Spionage-App im Unternehmen: Panik oder reale Gefahr?

Eine kostenlose App kann teuer werden beziehungsweise Schaden anrichten. Nämlich dann, wenn diese App datenschutzwürdige Informationen aus der Firma (und dem Privatleben) abfragt, weiter verarbeitet und an (unbefugte) Dritte weiter gibt.

Zum Beispiel gibt es Apps für die Taschenlampen-Funktion, die wie selbstverständlich wissen wollen, wo man sich aufhält. Diese Apps fragen den Standort ab, was in diesem Kontext total irrelevant ist. Weiterhin wird oft die Gerätenummer abgefragt – auch das ist für die Funktion nicht nötig. Ganz neugierige Apps interessieren sich für den Telefonstatus und die Identität von Kommunikationspartnern – auf welcher Ebene auch immer. Sind diese Taschenlampen-Apps Spionage-Tools?

Der Verdacht liegt nahe, denn die einzige Erlaubnis, die man solchen Apps geben sollte, ist der Zugriff auf die Kamera. Denn der Kamerablitz oder das LED-Licht wird als Quelle für die Beleuchtung benutzt. Mehr Zugriff braucht diese App wirklich nicht.

Eine Spionage-App, die Sprache aufnimmt und weiterleitet (Messenger, Diktier-App) benötigt natürlich Zugriff auf das Mikrophon. Viele Apps verlangen diesen Zugriff ebenso, auch wenn diese Funktion gar nicht mit dieser App genutzt werden kann. Hier liegt die Gefahr darin, dass Sie Ihrem Smartphone erlauben, als mobile Wanze missbraucht zu werden.

Die Geheimhaltung von Firmeninterna – während einer vertraulichen Besprechung beispielsweise – ist damit nicht gewährleistet. Sollte ein Hacker den Spitzel-Auftrag von der Konkurrenz mittels dieser App ausführen, dann können Sie ahnen, was passiert.

Bei wirklich geheimen Besprechungen und bei Gesprächen über Firmen-Strategien und Innovationen sollten die Smartphones aller Beteiligten am besten nicht im selben Raum sein – das wäre konsequent zu Ende gedacht.

Bei der Installation und Nutzung von allen Apps sollte man also darauf achten, dass man nur das freigibt und Zugriffsrechte dafür erteilt, was unbedingt nötig ist. Eine Navigations-App funktioniert natürlich nur, wenn sie auf den Standort zugreifen kann. Aber muss die Navi-App auch unbedingt die eigene Kontaktliste einlesen?

Das müsste sie nur, wenn es einen Mehrwert gäbe, der dringend gebraucht würde. Aber seien wir mal ehrlich: Ist es nicht zu viel Bequemlichkeit, wenn man nicht mal mehr eine Straße und einen Ort als Ziel in die Navi-App eingeben mag?

WhatsApp ist ein Instant-Messaging-Dienst, mit dem Text- und Sprachnachrichten, aber auch Bild-, und Video-Dateien versendet und empfangen werden können. Laut Statista nutzten im Sommer 2018 mindestens 83% (Altersklasse 55-60) und 96% (14-24 Jahre) der Deutschen diese App.

Mit dem Akzeptieren der Nutzungsbedingungen erlaubt man wie selbstverständlich dem Unternehmen WhatsApp Inc., das seit 2014 zu Facebook gehört, die eigenen Kontakte auf dem Gerät auszulesen.

Interessant ist auch, dass man mit WhatsApp keine neuen Kontakte (aus der Ferne) über die reine Angabe einer Mobilfunknummer hinzufügen kann. Wer das Auslesen der Kontakte verboten hat, kann sich nur hinzufügen lassen! Und gibt damit indirekt den Schwarzen Peter an denjenigen, der einen hinzufügt. Denn dieser muss in der App Zugriff auf seine Kontakte gewähren. Damit macht sich der WhatsApp-Kontakt sogar strafbar, wenn man es rechtlich genau auslegt. Ein Beispiel aus der Praxis zeigt es auf.

Bekannt geworden ist ein Fall, der an sich in die familiäre Privatsphäre gehört, aber vor einem Amtsgericht verhandelt wurde. Das Amtsgericht Bad Hersfeld hat (mit Beschl. v. 15.05.2017, Az.: F 120/17 EASO) eine Mutter dazu verpflichtet, der Whatsapp-Nutzung ihres Kindes einen kontrollierenden Rahmen oder aber Grenzen zu setzen. Warum? Unter anderem, da die Gefahr bestehe, dass das Kind von Dritten kostenpflichtig abgemahnt werden könne. Denn auf dem Handy des Kindes waren Kontaktdaten gespeichert. Diese Daten wiederum können von WhatsApp ausgelesen und weitergegeben werden, was die Rechte der Betroffenen auf Schutz ihrer personenbezogenen Daten (in dem Fall: Kontaktdaten) verletzt. Siehe auch “AG Bad Hersfeld zur Nutzung von Whatsapp”.

Der folgende Auszug aus dem Beschluss des Amtsgerichts macht klar: Es wollte den dreizehnjährigen Jungen E. vor der Praxis der Datenerfassung und -weitergabe durch WhatsApp schützen:

E. wurden in der Kindesanhörung in altersgerechter Sprache die Begriffe Daten, Datenerfassung, Datenweitergabe und Schutz von Daten sowie Hintergründe hierzu erläutert. (…) In Bezug auf die von ihm benannte App “WhatsApp” ist E. erläutert worden, in welcher Form und in welchem Umfang eine Datenweitergabe von seinem Smartphone über diese Applikation ab dem Moment der Installation laufend automatisiert erfolgt. Hierzu erklärte E., eine derartige Datenweitergabe über diese App habe er von sich aus weder gewollt noch von diesen Umständen bisher überhaupt gewusst.

Kurz gesagt: Eltern wurden dazu verdonnert, ihre Kinder von WhatsApp fernzuhalten, da dessen Umgang mit Daten nicht den Gesetzen in Deutschland entspreche. Geht es uns da nicht ähnlich? Wer macht sich Gedanken bei der Nutzung von WhatsApp darüber, dass die Datenweitergabe ohne unseren Willen und Wissen einfach erfolgt? Weiterhin erklärte das Gericht:

Wer den Messenger-Dienst “WhatsApp” nutzt, übermittelt nach den technischen Vorgaben des Dienstes fortlaufend Daten in Klardaten-Form von allen in dem eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das hinter dem Dienst stehende Unternehmen.

Wer durch seine Nutzung von “WhatsApp” diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.

Besteht Abmahnungsgefahr, wenn keine Erlaubnis der Datenweitergabe bei der WhatsApp-Nutzung vorliegt?

Das gilt nun nicht nur für einen dreizehnjährigen Jungen, sondern das Gericht hat dieses (meines Erachtens) ja allgemeingültig festgestellt! Somit sind wir alle betroffen, sobald wir eine App nutzen, der wir erlauben (müssen), das eigene Adressbuch zu nutzen beziehungsweise den Zugriff darauf zu erlauben.

Wie sieht das nun im Business aus? Müssen wir allen Kontakten, die in unserem Smartphone-Adressbuch stehen, Bescheid geben, dass die Daten an WhatsApp weitergeleitet und diese dort genutzt werden? Ja, wir müssten jeden einzeln um Erlaubnis fragen! Könnten wir abgemahnt werden, sobald bekannt wird, dass wir WhatsApp beruflich sowie privat nutzen? Das Amtsgericht hat auf jeden Fall darauf aufmerksam gemacht, dass wir die Nutzungsbedingungen bei WhatsApp akzeptiert haben. Die Informationen, die gesammelt werden, hat das Unternehmen in seiner WhatsApp-Datenschutzrichtlinie zusammengestellt.

Das Amtsgericht hat interessanterweise sogar im Beschluss noch eine Empfehlung für andere Messenger-Dienste mitgeteilt:

[…] Dies ist nach betreffender Recherche des Gerichts exemplarisch bei den Messenger-Diensten “Threema” und “Hoccer” gegeben. Die dahinter stehenden Betreiber aus Deutschland (www.hoccer.com) bzw. aus der Schweiz (www.threema.ch/de) intendieren keine Datenauswertung und -vermarktung in Bezug auf den Nutzer und seine Kontakte (Quelle: Stiftung Warentest, 8/2015, S. 47 ff.), weshalb nach deren rechtlicher Zusicherung auch keine Speicherung von Kontaktdaten auf deren Servern erfolgt.

Daraus könnte man indirekt die Empfehlung ableiten, auf andere Messenger auszuweichen, die es mit dem Datenschutz genauer nehmen.

Was können wir tun? Geht es soweit, dass wir ein WhatsApp-Smartphone haben müssen, in dem keine Kontaktdaten, kein Adressbuch vorhanden ist? Sollten wir nun ein reines Business-Smartphone besitzen, mit dem wir datenschutzkonform arbeiten können?

In der Praxis ist das bei vielen Freiberuflern und Selbstständigen gar nicht machbar, da hier teilweise auch eine Vermischung einhergeht. Risiko Spionage-App hin oder her. Da fragt der langjährige Facebook-Freund über WhatsApp an, ob man ein geschäftliches Angebot für ein Projekt abgeben möchte oder ähnliches.

Wie können Sie das Thema Spionage-App angehen und handeln?

• Aufklären aller Mitarbeiter über Art und Umfang der Zugriffe auf Daten, die man als Nutzer diversen Apps bei der Installation erlaubt – was kann die Folge sein, wenn man Zugriff auf Kamera, Mikrofon, Standort und Kontakte gewährt?
• Information der Belegschaft über die rechtlichen und geschäftlichen Risiken datensammelnder Apps auf Smartphones
• Aufruf, auf das Installieren nicht zwingend notwendiger Apps zu verzichten
• Sensibilisierung für Lausch- und Spionagefunktionen von Smartphone Apps auf dem privaten Handy, das ins Unternehmen mitgebracht wird
• ggf. Regelungen, die eine Mitnahme privater Smartphones in sensible Unternehmensbereiche einschränken
• Auswahl und Implementierungen von Sicherheits-Software für firmeneigene Smartphones gegen Datenlecks (z.B. Firewall-Lösungen)
• Verfassen klarer Leitlinien für die Belegschaft, aus denen hervorgeht, welche Apps oder welche Typen von Apps auf Dienst-Smartphones erlaubt sind
• Solche Regelungen lassen sich bei Firmenhandys auch technisch durchsetzen. Es lässt sich beispielsweise zentral für alle Geräte einstellen, was installiert werden kann und was nicht.

Eine weitere Möglichkeit ist das “Containern”, also die Datentrennung auf Handys: Ein Exchange-Container trennt die privaten und beruflichen Daten. Für Freiberufler und kleinere Firmen gibt es zudem WhatsApp Business. Das ist jedoch keine Lösung für größere Firmen, die sich nach anderen Lösungen umschauen sollten, um viele Mitarbeiter/innen zu verwalten. Hiscox Kunden mit einer Gewerbeversicherung plus Modul Cyber-Versicherung können mit einem Cyber-Training ihre Mitarbeiter kostenlos über digitale Sicherheitsrisiken aufklären und für den korrekten Umgang mit Daten sensibilisieren.

Es bleibt spannend, was in Zukunft noch in Sachen Spionage-App, Datenschutz und Smartphone-Nutzung passiert! Ob es neue Urteile geben wird und welche Konsequenzen daraus erwachsen werden. Wie ist Ihre Meinung dazu?