Beantwortung der Mündl. Anfrage der FDP zu Messenger-Diensten
Sitzung des Niedersächsischen Landtages am 22. Juni 2018; Fragestunde Nr. 23
Das Niedersächsische Ministerium für Inneres und Sport antwortet namens der Landesregierung auf die Mündliche Anfrage der Abgeordneten Jan-Christoph Oetjen, Dr. Stefan Birkner, Jörg Bode und Dr. Marco Genthe (FDP)wie folgt:
Vorbemerkung der Abgeordneten
Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) stellt besonders die Nutzung von Messenger-Apps in Unternehmen und Behörden ein Problem dar. Denn nach den neuen Datenschutzregeln ist der sogenannte Adressbuch-Upload, ohne die betreffende Kontakte um Erlaubnis gefragt zu haben, nicht mehr zulässig. „Die für sich genommen praktische Funktion von WhatsApp und Co., das Adressbuch des eigenen Handys auszulesen und auszugeben, welche der eigenen Kontakte ebenfalls Kunden des Messengers sind, wird damit zum Fallstrick. Denn in dem Moment, wo WhatsApp das Adressbuch ausliest, überträgt es die Daten darin an seine eigenen Server - im Sinne der DSGVO möglicherweise eine verbotene Weitergabe von Daten durch den Nutzer“ (Frankfurter Allgemeine Zeitung, 6. Juni 2018).
Unter anderem haben inzwischen einige Unternehmen, darunter der hannoversche Automobilzulieferer Continental, die dienstliche Nutzung von WhatsApp verboten.
Vorbemerkung der Landesregierung
Messenger-Dienste haben das private und inzwischen auch das geschäftliche Kommunikationsverhalten in den letzten Jahren maßgeblich verändert. Sowohl die Schnelligkeit und Einfachheit der direkten Kommunikation als auch die Möglichkeit der Gruppenkommunikation sind wesentliche Vorteile dieser Dienste. Gleichzeitig ergibt sich ein Spannungsverhältnis zum Schutz von personenbezogenen Daten. Gerade im Zusammenhang mit der voranschreitenden Digitalisierung und dem Umstand, dass personenbezogene Daten zur Triebfeder zahlreicher Geschäftsmodelle geworden sind, hat der Datenschutz für die Landesregierung eine erhebliche Bedeutung.
1. Durch welche Ministerinnen/Minister und Staatssekretärinnen/Staatssekretäre werden Messenger-Dienste wie z. B. WhatsApp auf dienstlichen Mobiltelefonen genutzt?
Messenger-Dienste werden durch folgende Ministerinnen und Minister sowie durch folgende Staatssekretärinnen und Staatssekretäre auf dienstlichen Mobiltelefonen genutzt:
|
Ministerpräsident / Ministerin / Minister |
Staatssekretärin / Staatssekretär |
|
|
Staatskanzlei |
Ja |
Herr CdS Dr. Mielke: Nein Frau StS’in Pörksen: Ja |
|
Ministerium für Inneres und Sport |
Ja |
Ja |
|
Finanzministerium |
Nein |
Nein |
|
Ministerium für Soziales, Gesundheit und Gleichheit |
Nein |
Nein |
|
Ministerium für Wissenschaft und Kultur |
Nein |
Ja |
|
Kultusministerium |
Nein |
Nein |
|
Ministerium für Wirtschaft, Arbeit, Verkehr und Digitalisierung |
Nein |
Herr StS Dr. Lindner: Ja Herr StS Muhle: Nein |
|
Ministerium für Ernährung, Landwirtschaft und Verbraucherschutz |
Nein |
Nein |
|
Justizministerium |
Ja |
Ja |
|
Ministerium für Umwelt, Energie, Bauen und Klimaschutz |
Ja |
Ja |
|
Ministerium für Bundes- und Europaangelegenheiten und Regionale Entwicklung |
Nein |
Nein |
2. Wie bewertet die Landesregierung die Verwendung entsprechender Dienste vor dem Hintergrund der Regelungen der DSGVO?
Das Spannungsverhältnis zwischen einer möglichst reibungslosen Kommunikation und dem Schutz personenbezogener Daten zeigt sich im dienstlichen Zusammenhang insbesondere bei Messenger-Diensten, die eine Übertragung der auf dem Smartphone gespeicherten Kontaktdaten an den jeweiligen Betreiber vorsehen. Die Verarbeitung personenbezogener Daten, wozu auch die beschriebene Übermittlung zählt, ist nur zulässig, soweit hierfür einer der Erlaubnistatbestände gemäß § 5 Abs. 1 S. 2 NDSG, Art. 6 Abs. 1 DSGVO vorliegt. Eine gesetzliche Grundlage für eine solche Datenübermittlung liegt nicht vor, so dass sich die Datenübermittlung allein auf eine Einwilligung gemäß Art. 6 Abs. 1 lit. a), Art. 7 DSGVO stützen könnte. Diese Einwilligungen müssten vor der Datenübermittlung und somit vor der Erstinstallation sowie vor jedem späteren Eintrag in das Adressbuch erfolgen. Hinzu kommt, dass die Einwilligungen jederzeit widerrufen werden können, so dass dieser Weg in der praktischen Umsetzung problematisch ist. Klarstellend sei ergänzt, dass die DSGVO gemäß Art 2 Abs. 2 lit. c) nicht für natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten gilt. Die dargestellte Rechtslage bezieht sich daher allein auf die geschäftliche bzw. dienstliche Nutzung von Messenger-Diensten.
Gleichwohl ist unter verschiedenen Gesichtspunkten ein datenschutzkonformer dienstlicher Betrieb von Messenger-Diensten möglich. Zunächst ist es im Rahmen eines sogenannten Mobile Device Managements möglich, die dienstlichen Kontaktdaten technisch vom sonstigen System des Mobilgeräts zu trennen. Somit sind die Kontaktinformationen auch dem Zugriff durch die Messenger-App entzogen, so dass eine Datenübermittlung an den Betreiber unterbleibt. Eine entsprechende technische Lösung wird derzeit bei IT.Niedersachsen für die Landesverwaltung pilotiert und für den Regelbetrieb vorbereitet.
Eine andere Möglichkeit für eine datenschutzkonforme Gestaltung ist die Verwendung von Diensten, bei denen nicht die eigentlichen Kontaktdaten, sondern nur ein aus diesen berechneter Schlüsselwert übertragen wird. Die personenbezogenen Daten als solche verbleiben bei derartigen Lösungen auf dem jeweiligen Gerät. Die Zuordnung der Kontaktdaten zum Account innerhalb des Messenger-Dienstes erfolgt allein auf dem Endgerät anhand einer Rückmeldung, dass ein Account zum übermittelten Schlüsselwert vorhanden ist.
Ein weiterer Weg für einen datenschutzkonformen Einsatz von Messenger-Diensten ist der eigene Betrieb der zugrundeliegenden Infrastruktur. Auf diese Weise verbleiben die in diesem Zusammenhang verarbeiteten personenbezogenen Daten innerhalb der Landesverwaltung, so dass ein angemessener Schutz und eine zweckkonforme Datennutzung gewährleistet werden können. Eine solche Lösung ist beispielsweise der Dienst NIMes für die Niedersächsische Polizei. Ziel und Zweck dieses Dienstes ist es, den Angehörigen der Niedersächsischen Polizei eine sichere Kommunikationsplattform für den Austausch dienstlicher Daten zu bieten. Derzeit erfolgt die Pilotierung mit einem begrenzten Nutzerkreis. Parallel erfolgen derzeit Überlegungen, geeignete Messenger-Lösungen auf Grundlage landeseigener Systeme auch für die allgemeine Verwaltung bereitzustellen.
Losgelöst vom konkreten Anwendungsbereich der DSGVO gelten die dargelegten datenschutzrechtlichen Erwägungen im Ergebnis für sämtliche Einrichtungen des Landes Niedersachsen einschließlich des parlamentarischen Raums. Die Konzepte für technische und organisatorische Lösungen zum rechtskonformen Betrieb von Messenger-Diensten sollen daher sämtlichen Einrichtungen des Landes Niedersachsen zur Verfügung gestellt werden.
3. Beabsichtigt die Landesregierung, die Verwendung entsprechender Dienste einzuschränken bzw. zu regulieren?
Zur Gewährleistung der Informationssicherheit und zum Schutz personenbezogener Daten sind der Umgang mit mobilen Endgeräten und insbesondere die Installation von Apps in der Niedersächsischen Landesverwaltung bereits reglementiert. Es wird auf die Informationssicherheitsrichtlinie über die Nutzung von Informationstechnik durch Anwenderinnen und Anwender (ISRL-IT-Nutzung; Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 11. 6. 2013) in Verbindung mit der Informationssicherheitsrichtlinie über die Nutzung von mobilen Endgeräten (ISRL-Mobile End-geräte, Gem. RdErl. d. MI, d. StK u. d. übr. Min. v. 11. 6. 2013, zuletzt geändert durch gemeinsamen Runderlass des MI, der StK u. der übr. Min. vom 10. 4. 2017) verwiesen.
Hinsichtlich geplanter technischer Maßnahmen für den Einsatz von Messenger-Diensten auf dienstlichen mobilen Endgeräten wird auf die Antwort zu Frage 2 verwiesen.