EU-DSGVO und die interne Kommunikation
EU-DSGVO und die unternehmensinterne Kommunikation

EU-DSGVO und die unternehmensinterne Kommunikation

Mit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (EU-DSGVO) verbindlich für jedes europäische Unternehmen. Aktuell sind zahlreiche Unternehmen mit den Vorbereitungen beschäftigt – jedoch findet oftmals vorrangig die externe Kommunikation Berücksichtigung. Dabei gilt es, auch die interne Unternehmenskommunikation DSGVO-konform zu gestalten. Wir geben Tipps, worauf Sie achten sollten.

Intranet, Social Media, Apps und Cloud-Dienste

Man mag kaum glauben, wie umfangreich die unternehmensinterne Kommunikation oft ist: Via Intranet, Social Media, Apps und Cloud-Diensten werden personenbezogene Daten erhoben, gespeichert und verarbeitet. Zahlreiche Tools und IT-Systeme stoßen auf IP-Adressen, es wird Dokumentenzugriff gewährt, man sieht Aufenthaltsorte, aber auch Nutzungszeiten.

Das wird mit der EU-DSGVO problematisch! Für Datensicherheit und Datenschutz sind gerade die Schnittstellen dieser Anwendungen und Geräte eine der häufigsten Schwachstellen. Diese Problematiken sollten keinesfalls auf die IT-Abteilungen oder auf den Datenschutzbeauftragten abgewälzt werden. Jeder Mitarbeiter, der sich mit interner Kommunikation befasst, muss sich mit der Thematik beschäftigen – heißt in der Praxis: nahezu jeder Mitarbeiter muss sich damit auseinandersetzen. Es muss zumindest ein grundlegendes Verständnis geschaffen werden, um Änderungen in der internen Kommunikation für jeden Mitarbeiter nachvollziehbar und damit anwendbar zu machen.

EU-DSGVO-konforme Tools

Mitarbeiter sind heutzutage mobil, flexibel, agil. Einige Mitarbeiter verfügen nicht mal über einen festen PC-Arbeitsplatz. Auch diese müssen zwingend in Zeiten der EU-DSGVO in die interne Kommunikation einbezogen werden. Deshalb setzen Unternehmen vermehrt auf Mitarbeiter-Apps. Sie sind häufig mit etlichen Features ausgestattet: Die gesamte unternehmensinterne Kommunikation wird gebündelt. Die Kommunikation aus den verschiedenen Social Media-Kanälen ist einsehbar. Externe Systeme werden integriert. Gruppenchats und Privatnachrichten erlauben es, untereinander zu interagieren.

Diese kleine Auflistung verschiedener Features zeigt es bereits: Apps dieser Art sammeln persönliche und sensible Informationen in Massen. Deshalb ist es unabdingbar, mögliche interne Mitarbeiter-Apps auf ihre EU-DSGVO-Konformität zu überprüfen.

Offizielle Lösungen wie WhatsApp oder Threema?

Messenger-Dienste erfreuen sich nach wie vor größter Beliebtheit. WhatsApp gehört dabei zweifelsfrei zu den bekanntesten und beliebtesten Vertretern. Jedoch zeigt sich der Messenger-Dienst nicht sonderlich datenschutzfreundlich: Erst kürzlich wurde die Nachricht veröffentlicht, dass Facebook trotz Ende-zu-Ende-Verschlüsselung Nachrichten von WhatsApp mitlesen kann. Eines von vielen Beispielen – WhatsApp tritt immer wieder mit Datenschutz-Skandalen in Erscheinung.

Das Problem bei offiziellen Lösungen ist die Datenübermittlung zwischen dem jeweiligen Anbieter und dem Endgerät. So gleichen einige Messenger, darunter WhatsApp, automatisch das Adressbuch mit den Daten auf dem Server (in aller Regel US-Server) ab. Telefonnummern sowie IP-Adressen sind jedoch personenbezogene Daten.

„Threema Work“ gehört zu den wirklich wenigen kommerziellen Lösungen, die einen datenschutzkonformen Einsatz in Unternehmen möglich machen. So bietet Threema beispielsweise eine sogenannte Ausschlussliste: Einzelne Kontakte lassen sich vom Datenabgleich ausschließen. Die gesamte Kommunikation verläuft Ende-zu-Ende-verschlüsselt, auf dem Smartphone gespeicherte Chats und Medien sind ebenfalls verschlüsselt. Außerdem findet keine zentrale Speicherung personenbezogener Daten statt.

Beispiele unternehmensinterner Kommunikation

Um zu verdeutlichen, wie relevant das Absichern der internen Kommunikation ist, haben wir einige Beispiele aus dem Alltag herausgepickt:

  • Der Vertriebsmitarbeiter möchte vom Home-Office aus einen Kunden anrufen. Leider hat er dessen Telefonnummer nicht. Der Kollege im Büro ist immer prima per Facebook-Chat erreichbar, also erfragt der Vertriebler die Telefonnummer auf diesem Wege. Natürlich hilft der Kollege gern und sendet die gesuchte Nummer unkompliziert per Facebook zurück.
  • Ein Mitarbeiter ist erkrankt. Er scannt seine Krankschreibung ein und sendet diese per E-Mail an den Vorgesetzten.
  • Bei einem Mitarbeiter hat sich die Bankverbindung geändert. Seine neuen Bankdaten sendet er der Personalabteilung per E-Mail, damit das kommende Gehalt problemlos auf dem richtigen Konto landet.
  • Abteilungen, die zusammenarbeiten, nutzen Google Drive, Dropbox oder andere US-Anbieter, um gemeinsam vertrauliche Dokumente zu bearbeiten. Auf einige Dokumente haben auch Kunden Zugriff.
  • Pünktlich zu den weihnachtlichen Feiertagen sollen einige Kunden Geschenke erhalten. Verschiedene Abteilungen wählen einige Kunden aus und setzen deren Daten zusammen mit Adressen in eine gemeinsam genutzte Excel-Tabelle, auf die über die Cloud zugegriffen wird.

All diese wirklich alltäglichen Beispiele sind mit der EU-DSGVO ab dem 25. Mai 2018 problematisch. Die meisten Unternehmen behandeln die interne Kommunikation stiefmütterlich – es genügt nicht, die Kommunikation mit Kunden sowie die Website abzusichern. Möchten Sie sich vor den horrenden, existenzvernichtenden Bußgeldern schützen, müssen sie Ihre interne Kommunikation wirklich kritisch beleuchten. Es gibt im Wesentlichen drei große Punkte, auf die Sie Ihren Fokus lenken sollten: Ihre Mitarbeiter, die Prozesse sowie die Technologien. Dass alle drei Aspekte eng zusammenhängen, versteht sich.

Mitarbeiter brauchen Compliance

Schatten-IT, leicht knackbare Passwörter oder sensible Informationen im privaten Postfach: Angestellten unterlaufen diverse Fehler bezüglich des Datenschutzes. Die Mitarbeiter – der Faktor Mensch – bilden quasi die Schwachstelle Nummer 1 in der internen Kommunikation. Sensible Daten gehen immer durch die Hände der Mitarbeiter. Schulungen, Seminare und das Aufbauen der Compliance sind dringende Voraussetzungen für eine EU-DSGVO-konforme interne Kommunikation.

Es ist unabdingbar, dass Sie Ihre Mitarbeiter beim Übergang in die neue Datenschutz-Ära intensiv unterstützen. Sie werden sicherlich auf Gewohnheiten stoßen, die nicht mehr hinterfragt werden, auf unflexible Mitarbeiter und auf sehr eingefahrene Arbeitsweisen. Nehmen Sie Ihre Mitarbeiter an die Hand, lassen Sie sie intensiv schulen und geben Sie ihnen eine Chance, sich auf die neuen Bedingungen, die mit der EU-DSGVO auf alle zukommen, einzustellen.

Prozesse überprüfen

Gerade alteingesessenen Mitarbeitern, die mit ihrer Vorgehensweise bisher immer Erfolg hatten, dürfte die Umstellung schwerfallen. Man muss sich an neue Regelungen für einfachste Handlungen gewöhnen: Dokumente werden plötzlich anders mit dem Team geteilt, die Personalabteilung kommt nicht mehr wie bisher einfach per E-Mail an neue Informationen. Es herrscht Unsicherheit: Was ist erlaubt, was strikt untersagt? Kann man sich den Aufwand auch sparen und einfach den bisherigen Workflow nutzen?

Damit die Umstellung zu keinem großen Unmut bei der Belegschaft führt, sollten Prozesse entworfen werden, wie womit umzugehen ist. Ein Mehr an Datensicherheit bringt auch ein Mehr an Arbeit mit sich. Etablieren Sie jedoch klare Prozesse, machen Sie es den Mitarbeitern einfacher.

Idealerweise entsprechen die neuen Prozesse weitestgehend den alten – hangeln Sie sich am bisherigen Workflow entlang und entwerfen Sie entsprechende EU-DSGVO-konforme Prozesse. Die Wahrscheinlichkeit, dass die neuen Prozesse positiv angenommen werden, steigt, wenn die Arbeitsweisen nicht zu sehr geändert werden müssen.

Technologien anpassen

Bereits weiter oben haben wir über Tools gesprochen. Darauf möchten wir noch einmal zurückkommen: Prüfen Sie, welche Technologien Sie aktuell für die interne Kommunikation nutzen. Haben Sie E-Mails bislang intern immer unverschlüsselt versendet? Ändern Sie dies – beispielsweise mit einer Gateway-Lösung. Informationen zum Thema erhalten Sie in unserem Blogbeitrag „Gateway-Lösungen zur zentralen Verschlüsselung und digitalen Signatur von E-Mails“. Haben sich Ihre Mitarbeiter bislang über einen beliebigen Chat ausgetauscht, sollten Sie nun auf eine sichere Messenger-Lösung umstellen, wie oben beschrieben.

Um einen ersten Schritt in Richtung ganzheitliche Sicherheitskultur zu gehen, ist konsequente Ende-zu-Ende-Verschlüsselung empfehlenswert. Nur die jeweiligen Kommunikationspartner können die Nachricht dann entschlüsseln. Damit sind die E-Mails selbst, aber auch Anhänge sicher vor ungebetenen Mitlesern sowie vor Manipulation.

EU-DSGVO-konforme Unternehmenskommunikation

Wie Sie sehen, dürfen Sie keinesfalls die unternehmensinterne Kommunikation übersehen, wenn Sie gerade in den Vorbereitungen für die EU-DSGVO stecken. Beziehen Sie idealerweise Ihre Mitarbeiter in sämtliche Überlegungen mit ein – schließlich sind es Ihre Mitarbeiter, die letzten Endes mit den Neuerungen arbeiten müssen. Es ist empfehlenswert, sich mit Tools und Technologien zu befassen, die den aktuellen recht ähnlich sind – umso höher fällt die Akzeptanz der Mitarbeiter aus.

Haben Sie noch viel zu tun, bevor die EU-DSGVO mit dem 25. Mai 2018 verbindlich gilt? Wir unterstützen Sie gerne! Sowohl bei den Überlegungen zur internen Kommunikation als auch bei anderen Themen, die die EU-DSGVO mit sich bringt. Kontaktieren Sie uns einfach!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*