Messenger-Dienste sind längst nicht nur im Privatleben ein nicht mehr wegzudenkendes Kommunikationsmittel. Auch im beruflichen Umfeld setzen mehr und mehr Unternehmen auf die umfangreichen Angebote von WhatsApp und Co. Ein wesentlicher Aspekt bei der Nutzung von Messenger-Diensten ist die Sicherstellung der datenschutzrechtlichen Anforderungen.
Um einheitliche Standards bei der Prüfung von Messenger-Diensten anzuwenden, hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Entwicklung eines einheitlichen Prüfkatalogs mit begleitet. Hierzu hat die Aufsichtsbehörde nun ein öffentliches Konsultationsverfahren gestartet. Akteure aus u. a. Politik, Wirtschaft, Gesellschaft und Verwaltung sind eingeladen, den umfangreichen Katalog zu kommentieren und dem BfDI entsprechende Anmerkungen bis zum 15. November 2024 zukommen zu lassen. Ziel des Verfahrens ist es, gemeinsame Kriterien an die Nutzung von Messenger-Diensten sowie standardisierte Prüfmethoden abzustimmen. Der Katalog und weitere Informationen können auf der Webseite des BfDI eingesehen werden.
Prüfkriterien
Die im Katalog empfohlenen Prüfkriterien orientieren sich im Wesentlichen an den allgemeinen Vorgaben der DSGVO. Erwartungsgemäß werden die bekannten Themen aufgegriffen und jeweilige Empfehlungen in Form von „MUSS“-, „SOLLTE“- und „KANN“-Verweisen ausgesprochen, z. B.:
- „CONSENT_6 – Während des Einwilligungsvorgangs MUSS der oder die Nutzende auf die Datenschutzerklärung zugreifen können.“, S. 8
- „E2E ENC_1 – Die Nachrichten SOLLTEN durch eine Ende-zu-Ende-Verschlüsselung geschützt sein.“, S. 35
- „AUTH_3 – Der Messenger KANN einen zweiten Authentifizierungsfaktor nutzen.“, S. 45
Mittels farblicher Markierungen wird zudem kenntlich gemacht, ob die jeweilige Anforderung einen Schwerpunkt des Katalogs darstellt und ob für die genannte Anforderung eine im weiteren Verlauf empfohlene Prüfmethodik vorliegt (grüne Markierung) oder dies nicht der Fall ist (rote und blaue Markierung).
Neben den gewohnten Aussagen zu Themen der DSGVO (u. a. zum notwendigen Vorliegen einer geeigneten Rechtsgrundlage inklusive bereitzustellenden Datenschutzhinweisen) werden im Speziellen aber auch klassische Messenger-Themen mit den jeweiligen Empfehlungen angesprochen. Im Folgenden wird jeweils ein Beispiel pro Bereich genannt:
- Löschung von Nachrichten
„MSG DEL_2 – Eine gelöschte Nachricht MUSS für alle an der Konversation Beteiligten deutlich gekennzeichnet sein.“, S. 13
- Onlinestatus
„ONST_1 – Die Sichtbarkeit des Onlinestatus SOLLTE von Nutzenden konfiguriert werden können.“, S. 16
- Lesestatus von Nachrichten
„READ_1 – Der Messenger SOLLTE Nutzenden die Möglichkeit bieten, die Sichtbarkeit des Lesestatus von Nachrichten, die der oder die Nutzende erhalten hat, zu konfigurieren.“, S. 17
- Profildaten
„PROF_1.b.i – Es MUSS die Möglichkeit geben, die Sichtbarkeit für alle profilbezogenen Informationen über eine einzige Einstellung festzulegen.“, S. 18
- Zugriffskontrolle für Geräteressourcen
„PERM_3 – Bei jeder angeforderten Berechtigung MUSS die Messenger-Anwendung den Nutzenden oder die Nutzende über die Notwendigkeit der angeforderten Berechtigung informieren.“, S. 19
- Push-Benachrichtigungen
„PUSH_1.a – Die Push-Benachrichtigungsfunktion MUSS zunächst deaktiviert sein.“, S. 21
- Kontaktabgleich
„CONTACT_4 – Der Messenger SOLLTE die Option bieten, einzelne Kontakte im Messenger zu speichern, ohne die Verwendung der Kontaktliste des Geräts zu erzwingen.“, S. 22
- Gruppen
„GROUPS_7 – Der Nachrichtenverlauf der Gruppe SOLLTE für neue Mitglieder NICHT sichtbar sein.“, S. 23
- Storys
„STORY_1 – Der Messenger SOLLTE es Nutzenden ermöglichen zu konfigurieren, wer ihre Storys ansehen darf.“, S. 27
- Datenerfassung für Analysen und Absturzberichte
„ANALYTICS_1.a – Die Erfassung von Telemetriedaten MUSS standardmäßig deaktiviert sein.“, S. 31
Prüfmethodik
Für die im Katalog in Grün hinterlegten Prüfkriterien enthält der Katalog im zweiten Teil methodische Hinweise zur einheitlichen Durchführung möglicher Prüfungen. Einleitend wird jedes Kriterium bzw. jede Voraussetzung mit einem übergreifenden Satz vorgestellt. Anschließend werden die jeweiligen Prüfschritte durchlaufen. Anhand der Prüfschritte wird dann der aktuelle Zustand der Messenger-Anwendung festgestellt, um abschließend eine fundierte Beurteilung/Validierung vornehmen zu können. Je nach Einzelfall können weitere Schritte hinzukommen.
Bezogen auf das Prüfungskriterium „CONSENT_2“ zum Widerruf einer Einwilligung (vgl. Art. 7 Abs. 3 DSGVO) wird bspw. die folgende konkrete Prüfungsmethodik vorgeschlagen:
„CONSENT_2
Der Messenger MUSS Nutzenden die Möglichkeit einräumen ihre Einwilligung zu widerrufen. Dies muss ebenso einfach wie das Erteilen der Einwilligung sein.
Voraussetzung
- Ein Konto, für das die Einwilligung erteilt wurde;
Prüfschritte
- Melden Sie sich mit dem Konto an;
- Überprüfen Sie, ob die Option zum Widerrufen der Einwilligung existiert;
- Widerrufen Sie die Einwilligung;
- Überprüfen Sie, ob das Verfahren zum Widerrufen der Einwilligung ebenso einfach wie das zum Erteilen der Einwilligung ist. Zur Bewertung der Leichtigkeit, mit der das Verfahren durchgeführt werden kann, kann der oder die Prüfende folgende Faktoren heranziehen:
- das Vorhandensein einer Einwilligungsebene
- die Anzahl der Schritte, um auf die relevante Option zuzugreifen
- die deutliche Erkennbarkeit und Verständlichkeit der Optionen
- Wiederholen Sie die vorherigen Schritte für alle möglichen Frontends;
Validierung
Wenn die Anwendung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten nicht die Einwilligung verwendet, ist die Anforderung nicht anwendbar (NA). Andernfalls ist die Anforderung erfüllt (BESTANDEN), wenn für alle verfügbaren Frontends Folgendes gilt: Der oder die Prüfende kommt zu dem Schluss, dass das Verfahren zum Widerrufen der Einwilligung so einfach wie das zum Erteilen der Einwilligung ist. Andernfalls ist die Anforderung nicht erfüllt (NICHT BESTANDEN).
Regularien, die ebenfalls relevant sein könnten
Art. 5 (1), 5 (3), 6 (1), 6 (3), 9 ePD“, S. 55 f.
Ausblick
Zwar läuft das Konsultationsverfahren derzeit noch und es dürfte mit einigen Anmerkungen zu rechnen sein. Die groben Richtungen scheinen jedoch abgesteckt. Vornehmlich an die datenschutzrechtlichen Aufsichtsbehörden gerichtet, dürften die Prüfkriterien sowie die ebenfalls dokumentierte Prüfmethodik auch für die Privatwirtschaft nicht uninteressant sein, zeigen sie doch deutlich auf, was die Aufsichtsbehörden von Anbietern der Dienste und von den die Messenger nutzenden Unternehmen erwarten (könnten). Wenngleich viele der aufgestellten Kriterien die Anbieter der Messenger-Dienste in die Pflicht nehmen, entsprechende (technische) Implementierungsmöglichkeiten bereitzustellen, werden punktuell auch die nutzenden Unternehmen motiviert, ihre sprichwörtlichen Hausaufgaben zu machen.
Vor diesem Hintergrund sollte unternehmensintern regelmäßig geprüft werden, ob man zu den einschlägigen Punkten sprach- und nachweisfähig (Art. 5 Abs. 2 DSGVO) wäre. Nichts anderes galt jedoch auch schon vor der Veröffentlichung des Katalogs.