„Unternehmen haben andere Anforderungen an einen Messenger als Privatpersonen“
SMSme: Messenger-Dienst mit Datenschutz
Interview mit Marco Hauprich, Senior Vice President Digital Labs, Deutsche Post, über Datenschutz in der beruflichen Kommunikation und sichere Chat-Apps
THIS: Die Vorteile eines Messenger-Dienstes liegen auf der Hand – sind einfach, direkt, schnell und damit das ideale Medium für die Kommunikation in Teams. Warum soll ein Bauunternehmen auf Ihren Messenger-Dienst SMSme zugreifen? Andere Dienste sind weiterverbreitet und schon auf den Smartphones der Mitarbeiter installiert.
Marco Hauprich: Unser Dienst ist speziell auf die Anforderungen von Unternehmen und Arbeitsgruppen zugeschnitten. In einem Gruppenchat hat jeder den Überblick über die gesamte Informationshistorie. Das macht Kommunikation effizienter und verkürzt viele nachgelagerte Prozesse. Durch den Einsatz von Messenger-Diensten kann sich die Produktivität im Unternehmen um bis zu 35 Prozent erhöhen.
In der Baubranche arbeiten viele Menschen an unterschiedlichen Orten – Innendienst, Techniker, Lieferanten, Gutachter, Handwerker, Bauleiter und so weiter. Exakte Abstimmung ist hier alles. Sie muss reibungslos und schnell funktionieren. Der direkte Zugriff auf Daten und technische Unterlagen, die Möglichkeit der Inaugenscheinnahme vor Ort – schnelle Entscheidungen können die Arbeitsabläufe dadurch erheblich verbessern und sorgen dafür, dass Zeit- und Budgetrahmen eingehalten werden. Durch den Einsatz unseres Messenger-Dienstes können Bauunternehmen die Prozesse koordinieren und damit wertvolle Zeit einsparen. Alle können direkt und ohne Verzögerungen miteinander kommunizieren.
THIS: Können das Wettbewerbs-Dienste wie WhatsApp
nicht auch?
Marco Hauprich: WhatsApp & Co sind Dienste für Privat-Leute, und für den professionellen Einsatz nur eingeschränkt einsetzbar. Für Bauunternehmen und Handwerksbetriebe kann es teuer werden, wenn sie einen Messenger nutzen, der die geltenden Datenschutzbestimmungen nicht einhält. Nehmen Sie WhatsApp – das liest, wie viele andere Messenger-Dienste auch, die kompletten Adressverzeichnisse, die sich auf dem Smartphone eines Nutzers befinden, aus und leitet sie an seinen US-Mutterkonzern Facebook weiter. Das verstößt eindeutig gegen die europäische Datenschutz-Grundverordnung.
THIS: Welche Anforderungen muss also ein Messenger
erfüllen, damit er sich für den beruflichen Einsatz eignet?
Marco Hauprich: Unternehmen haben andere Anforderungen an einen Messenger als Privatpersonen – besonders in puncto Sicherheit. Erstens unterliegen Unternehmen in der internen und externen Kommunikation strengeren Datenschutzvorschriften als Privatpersonen. Der Betrieb ist für die Einhaltung verantwortlich und haftet im Zweifelsfall.
THIS: Haben Sie hierfür ein konkretes Szenario?
Marco Hauprich: Nicht nur eines. Fällt beispielsweise aus Krankheitsgründen ein Arbeiter auf der Baustelle aus, schickt er eine entsprechende Info oder gar seine Krankmeldung an seinen Arbeitgeber. Nun kann der Disponent direkt im Chat Ersatz anfragen und schnell Standort und Arbeitszeit durchgeben. Der Bauleiter erfährt in Echtzeit, dass und welcher Ersatzmann unterwegs ist – welcher Unternehmer, Bauleiter oder Vorarbeiter weiß wirklich, welche dieser persönlichen Informationen vertraulich sind?
Unternehmen sind beispielsweise verpflichtet, sogenannte personenbezogene Daten wie Krankmeldungen oder Arbeitszeugnisse besonders zu schützen. Diese sensiblen Inhalte dürfen nur Mitarbeitern zugänglich sein, die die Daten für den Ablauf des Betriebs brauchen. Dabei geht es nicht nur um die Speicherung der Daten, sondern auch um die Kommunikation. Die unternehmensinterne Weiterleitung von Krankmeldungen per WhatsApp beispielsweise verstößt gegen den Datenschutz und ist rechtswidrig.
Oder: Baumängel können mit dem Smartphone abfotografiert und bei Rückfragen an den Innendienst gesendet werden. Natürlich werden nachgelagerte Prozesse wie das Einreichen der Tagesstundenberichte und die damit verbundene Abrechnung schneller und einfacher – aber würden Sie Berichte oder Fotos, die eine juristische Relevanz bekommen können, unverschlüsselt versenden? Wie gesagt, das Unternehmen, nicht der einzelne Mitarbeiter, ist für die Einhaltung von Datenschutz-Vorschriften verantwortlich.
Ein weiterer genauso wichtiger Aspekt ist das Problem von Cyber-Angriffen. Jedes zweite Unternehmen in Deutschland war laut Bitkom schon einmal Opfer einer Cyber-Attacke in Form von Datendiebstahl, Industriespionage oder Sabotage. Im Visier der Computerkriminellen stehen dabei nicht mehr einzelne Unternehmen oder Institutionen, sondern wahllos alle erreichbaren Rechner – das haben uns die Ransom-Software-Angriffe von Wannacry und Petya gezeigt.
THIS: Das gilt aber nicht für normale Baufirmen, oder?
Marco Hauprich: Aber sicher! Baufirmen sind sogar überdurchschnittlich oft Opfer von Cyber-Attacken. Seit 2013 wurden dadurch laut einer aktuellen Studie des Center for Economics and Business Research deutschlandweit bei Bauunternehmen Schäden in Höhe von 6,5 Milliarden Euro verursacht.
THIS: Woran liegt das?
Marco Hauprich: Das Bewusstsein für IT-Sicherheit muss sich grundsätzlich wandeln. Unternehmen setzen heute eine Vielzahl von Anwendungen für verschiedene Geschäftsbereiche ein. Doch diese selbstentwickelten oder zugekauften Anwendungen weisen immer wieder Sicherheitslücken auf, die es Cyber-Kriminellen ermöglichen, anzugreifen und großen Schaden anzurichten. Und da liegt ein großes Risiko: Ein Messenger ist genau wie die E-Mail ein Einfallstor für Angreifer. Die Sicherheits- und Datenschutzstandards eines Messengers sind deshalb für Unternehmen enorm wichtig. Zumal die Datenschutzbestimmungen im Euroraum mit der Europäischen Datenschutzgrundverordnung (EU-DSGVO) noch strenger werden.
Die ab dem 25. Mai gültige Verordnung ist für alle Unternehmen in der EU bindend, also auch für Bauunternehmen. Bei Verstößen gegen das Gesetz drohen Bußgelder bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes. Das kann richtig teuer werden!
THIS: Verzichtet SIMSme auf bestimmte sicherheitsgefährdende Funktionen wie den Zugriff auf die Kontakte, oder was ist bei Ihrer Chat-App anders?
Marco Hauprich: SIMSme Business folgt dem Grundsatz der zweckbezogenen Datenminimierung. Heißt laut Gesetz, dem Zweck angemessen und auf das notwendige Maß beschränkt. Nachrichten werden zeitnah gelöscht, nachdem sie gelesen wurden. Ungeöffnete Nachrichten werden nach spätestens 30 Tagen gelöscht. Und: Ein Nutzer kann hier sein Konto inklusive aller Dateien über die Profileinstellungen selbst von den Servern entfernen. Das ist längst nicht bei allen Messengern der Fall.
Wir verfolgen einen konsequenten Zero-Knowledge-Ansatz über die gesamte Anwendung. Das heißt: keine Speicherung, Auswertung und Weitergabe von Metadaten. Der Betrieb auf deutschen Servern und eine vollständige Ende-zu-Ende-Verschlüsselung sorgen für maximale Sicherheit. Unsere App entspricht damit den Anforderungen der deutschen und europäischen Datenschutzbestimmungen.
Der Nutzer kann außerdem besonders sensible Inhalte mit einer Selbstzerstörungsfunktion versehen: Nach Ablauf eines festgesetzten Countdowns werden sie automatisch gelöscht. Die Unternehmen können davon ausgehen, dass kein Unbefugter Zugriff auf mit SIMSme Business ausgetauschte Informationen bekommt. Und natürlich ist SIMSme Business kompatibel mit vielen Mobile-Device-Managementsystemen.
SIMSme Business ist eine Messenger-App, die speziell auf die Bedürfnisse von Unternehmen zugeschnitten ist: Sie hat natürlich alle Funktionen, die man von einem Messenger erwartet. Darüber hinaus besitzt sie aber zahlreiche Features, die speziell für Unternehmen wichtig sind. Diese reichen vom Management Cockpit zur einfachen Nutzerverwaltung und Reportings bis hin zur Verfügbarkeit auf dem Bürorechner oder dem Tablet.
THIS: Gibt es für SMSme innerhalb eines Unternehmens eine Nutzer-Obergrenze?
Marco Hauprich: Nein. Jedes Unternehmen kann so viele Lizenzen vergeben, wie es braucht. Der Administrator kann die Lizenzen ganz einfach über das Cockpit an die Mitarbeiter vergeben. Über dieses praktische Steuerungstool kann man übrigens auch Gruppen- oder News-Kanäle einrichten und die Nutzer unterschiedlichen Gruppen zuordnen. Ganz besonders praktisch: Wenn ein Mitarbeiter das Unternehmen verlässt, kann der Administrator seine Berechtigungen umgehend sperren. Damit ist der Zugriff auf den Messenger nicht mehr möglich.
THIS: Kann der Mitarbeiter nur nicht mehr weiter mitlesen, oder werden bei ihm im Falle einer Sperrung alle bisherigen Chat-Verläufe gelöscht?
Marco Hauprich: Letzteres. Nach dem Entzug der Lizenz hat der Mitarbeiter keinerlei Zugriff mehr auf die Korrespondenz und die in der App gespeicherten Daten. Alle Chat-Verläufe werden somit gelöscht.
THIS: Wie werden die Mitarbeiter im Büro eingebunden?
Marco Hauprich: Wir haben den SIMSme Business Web Messenger entwickelt. Damit können Unternehmen die Anwendung jetzt auch auf dem Computer nutzen. Längere Texte tippen sich schneller über die Tastatur, Dateien versenden sich einfacher via Drag-and-drop. Somit lässt sich SIMSme Business ganz individuell an die Bedürfnisse jedes Unternehmens anpassen. Firmen können von sämtlichen Vorteilen der Echtzeitkommunikation profitieren – und halten gleichzeitig die relevanten Sicherheitsanforderungen ein.
