… durch Organisationseinheiten der TU Braunschweig (Oktober 2020)
1 Vorbemerkung
Kommerzielle Messenger-Diensten erfreuen sich großer Beliebtheit. Sie sind kostengünstige Lösungen, insbesondere für Gespräche ins Ausland. Ihr Einsatz ist aber für die Informations- und IT-Sicherheit und aus datenschutzrechtlicher Sicht nicht ohne Risiken.
2 Vorgabe
Der TU Braunschweig weist ausdrücklich darauf hin, dass der Einsatz externer Messenger-Dienste einen Rechtsverstoß darstellen kann!
Bitte nutzen Sie nach Möglichkeit den TU Messenger
(https://messenger.tu-braunschweig.de/).
Wenn Sie mit externen Partner*innen kommunizieren, achten Sie darauf, dass keine personenbezogenen Daten übermittelt werden. Die TU Braunschweig empfiehlt
Einige Messenger-Dienste nutzen zwar mittlerweile eine Ende-zu-Ende-Verschlüsselung, wodurch Nachrichteninhalt von niemandem außer dem Sendenden und dem Empfangenden der Nachricht gelesen werden können, doch sind das Speichern und die Weitergabe von Metadaten und insbesondere der Zugriff auf die Kontaktlisten der Nutzenden sehr problematisch und insbesondere datenschutzrechtlich bedenklich.
Bei andere Messenger-Diensten besteht nicht nur das Problem der Datenerhebung, sondern auch, dass die Chats nicht standardmäßig und Videoanrufe generell nicht verschlüsselt werden, sodass jeder mit den richtigen Mitteln Zugriff zu Nachrichteninhalten erhalten kann. Gerade beim Austausch von personenbezogenen Daten stellt dies eine massive Sicherheitslücke und einen Datenschutzverstoß dar. Zudem erklären diese Messenger-Dienste nicht in der Datenschutzerklärung, wie diese Daten auf Server gespeichert werden (ob verschlüsselt oder nicht) und wo die entsprechenden Server stehen.
Andere Messenger-Dienste legen ebenfalls wenig Wert auf Datenschutz. Eine Ende-zu-Ende-Verschlüsselung liegt bei diesen nur eingeschränkt vor, und die Verschlüsselung muss erst vom Nutzenden aktiviert werden.
Wenn Sie von Dritten zu Konversationen auf anderen Messenger-Diensten eingeladen werden, müssen Sie selbst abwägen, ob diese Produkte für die von Ihnen zu teilenden Informationen und Daten ausreichend sicher sind.
Bei der Nutzung von Messenger-Diensten ergeben sich im Wesentlichen diese datenschutzrechtlichen Problemstellungen:
- Die Übermittlung der Kontakte aus dem Adressbuch des Nutzenden an Messenger-Dienste.
- Die Übermittlung von personenbezogenen Daten in die USA.
- Die Nutzung von personenbezogenen Daten durch Messenger-Dienste.
- Die Übermittlung der Daten der Nutzenden an andere Unternehmen des Konzerns.
Deshalb ist der Einsatz von externen Messenger-Diensten auf Rechnern verboten, wenn:
- sie besonderen Sicherheitsanforderungen genügen müssen, z.B., weil
- die Rechner technische Anlagen steuern,
- die Rechner, deren Software aufgrund technischer Notwendigkeiten – entsprechend den Ausnahmeregelungen der IT-Sicherheitsrichtlinien der TU Braunschweig – nicht den allgemeinen Sicherheitsstandards entsprechen (z.B. keine aktuellen Betriebssystemupdates, fehlende Antivirussoftware, Dauerbetrieb, Abweichungen von Kennwortrichtlinien),
- auf ihnen vertrauliche Daten verarbeitet werden, wie z.B.
- personenbezogene Daten, die den Datenschutzgesetzen unterliegen z.B.
E-Mail Adressen, - Prüfungsunterlagen,
- vertrauliche Finanzdaten,
- sensible Forschungsergebnisse.
3 Unvollständige Auflistung nicht zu verwendender Messenger und Kommunikationsdienste
- AIM
- Apple Facetime
- Apple iMessage
- Facebook Messenger
- Google Hangout
- Google Meet
- Telegram
- Tiktok
- Skype (die kostenlose Version)
- SnapChat
- Viber
- Yahoo Messenger
- Discord
- und viele mehr!
4 Glossar
Ende-zu-Ende-Verschlüsselung: Wenn ein Chat Ende-zu-Ende verschlüsselt ist, können nur die Teilnehmenden dieses Chats auf die Inhalte zugreifen. Wenn eine Verschlüsselung zuverlässig umgesetzt wurde, können App-Betreibende nicht mitlesen und die Daten herausgeben. Ende-zu-Ende-Verschlüsselung ist auch unter dem Begriff Peer-to-Peer (P2P)- Verschlüsselung bekannt.
5 Mögliche Rechtsfolgen bei Nichtbeachtung
Erfolgt durch den Einsatz externer Messenger-Dienste einen Rechtsverstoß, kann dies sowohl für die TU Braunschweig als auch für den betreffenden Mitarbeitenden gravierende Konsequenzen haben:
5.1 Datenschutzrechtlich
Die der Nutzung externer Messenger-Dienste immanente Gefahr einer Verletzung der EU-DSGVO Regeln kann strafrechtlich relevant werden. Weiterhin drohen – neben zu befürchtenden Rufschädigungen und einer Schadensersatzhaftung der TU Braunschweig gem. Art. 82 DSGVO – hohe Bußgelder (50.000 € gem. § 59 NDSG).
5.2 Strafrechtlich
Verletzungen aufgrund des persönlichen Lebens- und Geheimbereichs (§§ 201 ff. StGB) und Straftaten im Amt sind durch das StGB mit Strafe bedroht. Hinsichtlich Letzterer kommt insbesondere eine Strafbarkeit aufgrund eines – ggf. nur fahrlässig begangenen – Geheimnisverrats i.S.d. § 353b StGB in Betracht (Geldstrafe oder Freiheitsstrafe bis zu einem Jahr möglich).
5.3 Patentrechtlich, urheberrechtlich
Neben einer eventuellen strafrechtlichen Verfolgung drohen bei Patentrechtsverletzungen anwaltliche Abmahnungen, einstweilige Verfügungen, Unterlassungsklagen und Schadensersatzansprüche (vgl. §§ 139 ff. PatG). Gleiches gilt für urheberrechtliche Verstöße (vgl. § 97 UrhG, etwa durch Preisgabe fremder Forschungsergebnisse).
5.4 Personalrechtlich
Bei Verstößen gegen ein Verbot der Nutzung bestimmter Messenger-Dienste können für betroffene Mitarbeitenden Abmahnungen, Schadensersatzforderungen und schlimmstenfalls sogar Kündigungen zu befürchten sein, sofern ein Verbot der Nutzung derartiger Dienste ausgesprochen wird.
5.5 Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG)
Neben Beseitigungs- und Unterlassungsansprüchen ist eine Schadenersatzhaftung gegenüber Dritten denkbar, wenn die TU Braunschweig oder ihre Mitarbeitenden im Einzelfall eine Rechtsverletzung i.S.d. §§ 4, 10 GeschGehG begehen.
Vom Schutz des neuen GeschGehG profitiert die TU Braunschweig hingegen ggf. nicht, wenn die Nutzung externer Messenger-Dienste nicht grundsätzlich untersagt wird. Denn ein Geschäftsgeheimnis stellt gem. § 2 Nr. 1 b) GeschGehG eine Information dar, die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhabenden ist. Ist die Nutzung externer Messenger-Dienste an der TU Braunschweig sanktionslos möglich, ist es fraglich, ob angemessene Geheimhaltungsmaßnahmen vorliegen.
Im Falle weiterer Fragen wenden Sie sich bitte an das Datenschutzmanagement