Illustration: Absmeier

Die Digitalisierung im Arbeitsleben, die nicht zuletzt durch die Corona-Krise noch mal beschleunigt wurde, macht die effiziente digitale Kommunikation zur Grundlage für eine erfolgreiche Zusammenarbeit. Hier lohnt sich für viele Unternehmen der Einsatz einer Messenger-App. »Doch einfach WhatsApp herunterladen und loslegen funktioniert nicht«, warnt IT-Sicherheitsexpertin Patrycja Schrenk. Die Geschäftsführerin der PSW GROUP ( www.psw-group.de ) begründet: »Unternehmen müssen sich auch in der internen Kommunikation DSGVO-konform verhalten. Deshalb gilt es, den Business Messenger wohl durchdacht auszuwählen.«

Tatsächlich gibt es gute Gründe für die Kommunikation per Messenger im Unternehmen: Spätestens seit der Corona-Krise sind Mitarbeitende verstärkt im Homeoffice. Die Kommunikation muss aber dennoch am Laufen bleiben. Für solche Fälle, aber auch grundsätzlich zum Vereinfachen von Abstimmungs- sowie Kommunikationsprozessen, sind Messenger eine gute Alternative zur E-Mail: Das Smartphone ist für gewöhnlich immer dabei und alle, die angesprochen werden sollen, erfahren Dringliches zeitnah. Interaktionen und ein soziales Miteinander fördern darüber hinaus das Wir-Gefühl im Unternehmen. Das erhöht nicht nur die Motivation der Belegschaft, sondern kann dazu beitragen, die Produktivität ebenfalls zu steigern: Messenger vereinfachen den Zugang zu relevanten Informationen. Dokumente beispielsweise können zügig zum Kunden gelangen, auch wenn dieser sich auf Dienstreise befindet. Ein Video-Call mit Partnern sorgt für eine schnelle Abstimmung oder der Vertrieb schickt Informationen per Messenger an die Buchhaltung.

Allerdings braucht es zweierlei, um Messenger im Unternehmen erfolgreich zu etablieren: Sichere Endgeräte und Business Messenger, die rechtssicher genutzt werden können. »Bereits die Rechtslage ist komplex. Personenbezogene Daten müssen genauso geschützt werden wie Geschäftsgeheimnisse. Einschlägig ist nicht nur die Datenschutzgrundverordnung (DSGVO), sondern auch das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) muss beachtet werden, nach dem geheime Informationen mit angemessenen Maßnahmen zu schützen sind«, mahnt Patrycja Schrenk. Unternehmen – einschließlich aller Mitarbeitenden, die den Business Messenger verwenden – müssen deshalb über grundlegende rechtliche Kenntnisse verfügen, um nicht gegen die genannten Gesetze zu verstoßen.

Beim Einsatz von Messengern im Unternehmen sind noch weitere Punkte relevant: Neben Kommunikationsinhalten müssen auch Metadaten geschützt werden. Zudem ist die Übermittlung von Daten an Drittländer problematisch – etwa beim Übermitteln der Kontaktverzeichnisse. »Unternehmen sollten hier beachten, dass das Privacy Shield, auf das sich leider noch immer diverse Messenger-Anbieter stützen, hier keine Gültigkeit hat«, warnt Schrenk. Darüber hinaus muss Beschäftigten die strikte Trennung von privater und geschäftlicher Kommunikation sowie betriebsinternen und –externen Informationen eingeschärft werden.

Checkliste: So finden Unternehmen den richtigen Messenger

»Es wäre zu einfach, wenn ich einen oder zwei Messenger empfehlen könnte, der alle Anforderungen erfüllt. Aber je nach Organisation unterscheiden sich die Ansprüche an den Business Messenger«, so Patrycja Schrenk. Die IT-Sicherheitsexpertin rät deshalb, sich bei der Wahl des »richtigen« Messengers über einige wesentliche Punkte Gedanken zu machen. Dazu gehören die Art der Bereitstellung, der Einsatzzweck des Messengers, die Installationsumgebung sowie Richtlinien zum Datenschutz:

• Bereitstellung: Soll es sich um eine SaaS- oder eine selbstgehostete Lösung handeln? »Beides hat Vor- und Nachteile. Bei ersterem entfällt der Wartungsaufwand, selbstgehostete Lösungen liefern jedoch volle Datenhoheit«, erklärt Schrenk.
• Einsatzzweck: Soll der Messenger im Unternehmen ausschließlich intern oder auch extern eingesetzt werden? Ist die Nutzung zeitlich limitiert? Welche Funktionen sind wichtig?
• Installationsumgebung: Wird der Messenger ausschließlich auf Dienstgeräten oder auf privat und dienstlich gemischten Smartphones installiert? Soll ein Client für den Browser das Abrufen von Chats überall und plattformunabhängig ermöglichen?
• Rechtliches: Soll mit dem Dienstanbieter einen Auftragsverarbeitungsvertrag, z. B. bei SaaS, oder einen Vertrag zur gemeinsamen Verantwortlichkeit, z. B. bei Nutzung von Online-Diensten, geschlossen werden? »Beim Auftragsverarbeitungsvertrag bleibt das Unternehmen Verantwortlicher, während der Dienstanbieter Daten nicht zu eigenen Zwecken, sondern nur in Auftrag verarbeiten darf«, verdeutlicht die Expertin.
• Datenschutzleitlinie: Interne Richtlinien sollten in der Datenschutzleitlinie aufgenommen werden, damit Mitarbeitende stets Einblick in ihre Rechte und Pflichten haben. »Geregelt werden sollten mitunter, ob auch die private Kommunikation gestattet wird, dass Inhalte verschlüsselt und getrennt voneinander gespeichert werden, Identitäts- und Authentizitätsnachweise zur Identifikation von Kontakten möglich sein müssen und sicherheitsrelevante Konfigurationen bereits voreingestellt sind, bevor der Messenger praktisch im Unternehmensalltag eingesetzt wird«, rät Schrenk.

Damit allein ist es jedoch nicht getan. Unternehmen sollten sich auch Gedanken machen, welche Art Daten beim Business Messaging verarbeiten werden sollen: Beschäftigtendaten, Daten Dritter, Geschäftsgeheimnisse oder Daten besonderer Kategorie wie etwa Gesundheitsdaten? Anschließend gilt es, das Datenschutz- und Geheimhaltungsniveau zu bestimmen, um Schutzmaßnahmen ergreifen zu können. »Eine solche interne Analyse legt offen, wofür der Messenger im Unternehmen einsetzt werden soll. Zeigt sich, dass häufig sensible Dokumente per Messenger ausgetauscht werden sollen, beispielsweise Aufträge oder andere Geschäfts- sowie Handelsbriefe, dann steht ein professionelles Datenmanagement im Fokus der Funktionalität. Steht der Fokus eher auf informeller und privater Kommunikation, sollte die Vertraulichkeit in den Vordergrund der Überlegungen rücken«, erklärt Schrenk.

Ist die interne Seite analysiert, müssen die Business Messenger genau unter die Lupe genommen werden. »Um eine Risikobewertung durchzuführen, sind genaue Informationen über die verschiedenen, infrage kommenden, Dienste notwendig. Dazu gehören die Datenschutzerklärung sowie die Transparenz des Anbieters, aber auch die Überprüfung der technischen Funktionsweise inklusive eines Blicks auf die Zugriffsberechtigungen, von denen die Messaging-App nicht mehr als notwendig einfordern sollte«, so Patrycja Schrenk. Übrigens: Selbst wenn die Nutzung eines Messengers im Unternehmen ein geringes oder normales Risiko mit sich bringt, besteht die Pflicht, die Prüfung regelmäßig zu wiederholen.

Weitere Informationen unter: https://www.psw-consulting.de/blog/2021/12/02/business-messaging-messenger-im-unternehmen/