Sichere Kommunikation innerhalb des Unternehmens

Die UIMC meint: In Unternehmen und Behörden stellt sich oft die Frage, ob es aus Sicht des Datenschutzes Bedenken gibt, spezielle Social-Media- bzw. Instant-Messenger-Dienste wie zum Beispiel Twitter oder den Googledienst „google talk“ für die dienstliche Nutzung den Mitarbeitern zur Verfügung zu stellen. Grundsätzlich muss es das Ziel der Institution sein – unter Berücksichtigung der gesetzlichen Vorgaben – die verschiedenen Möglichkeiten, die das Internet bietet, zu einer möglichst guten Informationsversorgung sowie einer umfassenden Unterstützung der täglichen Arbeit in Produktion, im Marketing sowie der Verwaltung zu nutzen. Gleichzeitig führt die Sensibilität der personenbezogenen Daten des Unternehmens zu einem besonders hohen Sicherheitsanspruch. Dies gilt selbstverständlich auch für Behörden. Nach den Bundes- und verschiedenen Landesdatenschutzgesetzen sind im Umgang mit personenbezogenen Daten und besonderen Arten von personenbezogenen Daten technische und organisatorische Maßnahmen sicherzustellen, welche gewährleisten sollen, dass

• nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit)
• personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),
• personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
• jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität)- festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit)
• die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz)

Dies bedeutet nach den gesetzlichen Grundlagen, dass die Sicherstellung der Vertraulichkeit und der Integrität der personenbezogenen Daten sowie auch die Gewährleistung der Verfügbarkeit allen anderen mit der Nutzung des Internets angestrebten Zielen überzuordnen ist. Im Regelfall wird nach Feststellungen der UIMC für andere hoch vertrauliche/vertrauliche Daten der Institution ähnliches gelten. Die Forderungen des gesetzlichen Datenschutzes werden sich damit kaum von denen der Forderung nach Vertraulichkeit unternehmerischer/sonstiger institutioneller Daten unterscheiden, so dass der Einsatz solcher – oftmals für Konsumenten und nicht für Institutionen konzipierten – Dienste zumindest kritisch hinterfragt werden sollte. Ferner haben Social-Media- bzw. Instant-Messenger-Dienste die Besonderheit, dass eine schnelle Kommunikation und rasche Reaktion auf aktuelle Begebenheiten möglich sind. Hierdurch entfällt eine redaktionelle Kontrolle, wie sie bei klassischen PR-Medien in der Regel vorgenommen wird. Dies kann dazu führen, dass nicht mit der gebotenen Sorgfalt kommuniziert wird, was die aktuellen Meldungen von ungewollten Facebook-Partys oder Skandalen um US-Politiker zeigen. Institutionen sollten demnach den Mitarbeitern nur diejenigen Internet- und Intranetdienste zur Verfügung stellen, welche zum einen für die tägliche Arbeit zwingend notwendig sind, und die zum anderen die notwendigen Sicherheitsfunktionen beinhalten, um eine datenschutzkonforme Nutzung von vertraulichen Daten sicherzustellen. Jegliche Nutzung von Diensten, welche nicht durch die Institution freigegeben wurden, sollte untersagt werden. Institutionen, die anders verfahren, handeln leichtfertig. Vor der Klärung dieser Fragestellungen empfiehlt die UIMC, die Nutzung von solchen Diensten zu verbieten, zumindest aber zu reglementieren.