Digitaler Arbeitsplatz und der Datenschutz

Zusammenfassung
  1. Slack ist ein Tool zur Kommunikation und Zusammenarbeit in Unternehmen. Der Austausch von Dokumenten und Co. findet in Channels statt, die individuell organisiert sein können.
  2. Slack ist in seiner kostenpflichtigen Vollversion datenschutzkonform für Unternehmen einsetzbar.
  3. Das Zusammenarbeitstool bietet Lösungen zum Datenschutz unter anderem in den Bereichen Auftragsverarbeitungsverträge, Sicherheitszertifizierungen, Berechtigungskonzepte und Profillöschung.
  4. Die Nutzung von Slack stellt eine Verarbeitungstätigkeit dar und ist dadurch im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.
  5. Slack kann durch API-Schnittstellen an andere Kollaborations-Tools angebunden werden. Hier sollte auf die DSGVO-konforme Umsetzung geachtet werden.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider

Dürfen Unternehmen Messenger wie Slack nutzen?

Dauerhaft werden nur agile Unternehmen erfolgreich sein – Unternehmen, die fokussiert, schnell und flexibel neue Geschäftsfelder entdecken, entwickeln und bereit sind, traditionelle Prozesse zu verlassen. Doch worauf ist dabei zu achten beim Datenschutz?

Slack ist ein Tool, welches die Kollaboration und Kommunikation im Team fördern und unterstützen soll, unabhängig der Abteilungs- und Gesellschaftszugehörigkeit. Slack kann ein gesellschaftsübergreifendes Zusammenarbeitstool für Projekte in Ihrem Unternehmen darstellen. Die Kommunikation und der Austausch von Dokumenten oder Code-Stücken findet in Channels statt, welche nach Projekten, Themen oder Teams organisiert sein können. Mit der integrierten Suchfunktion ist es möglich auf die gesamten Informationen zuzugreifen, die auch nach Austritt aus einem Channel nicht verloren gehen.

Workplace-as-a-service ist heute ein wichtiger Bestandteil von agilen Unternehmen. Kaum weg zu denken wäre hierbei das kollaborative Tool Slack. Slack wird in vielen Unternehmen wie AirBnB, LinkedIn, Uber, Google, Trivago, IBM, Oracle und auch der Keyed GmbH erfolgreich verwendet. Im Folgenden möchten wir Sie über die datenschutzrechtlichen Anforderungen aufklären und einen Lösungsweg aufzeigen, um den digitalen Arbeitsplatz zu realisieren.

 

Slack und die DS-GVO

Wenn Unternehmen neue Software einführen, sind umfassende Prüfungen zum Datenschutz erforderlich, ganz besonders wenn es sich um Anbieter aus Drittländern handelt. Slack hat im Zuge der Einführung der DS-GVO (Datenschutz-Grundverordnung) viele Änderungen vorgenommen, sodass Slack grundsätzlich datenschutzkonform einsetzbar ist. Hierzu finden Sie sämtliche Verpflichtungen und Dokumentationen auf den Webseiten von Slack. Wir fassen Ihnen die wichtigsten Änderungen zusammen:

 

  • Auftragsverarbeitungs-Vertrag bei Slack: Unternehmen sind verpflichtet mit Ihren Dienstleistern, welche eine Verarbeitung im Auftrag ausüben, hinreichend Garantien zu vereinbaren, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgen. Hierfür hat Slack ein Data-Processing-Addendum nach Artikel 28 DS-GVO zur Verfügung gestellt.
  • Erhöhter Datenschutz-Standard bei Slack: Slack hat international anerkannte Sicherheitszertifizierungen erhalten gemäß ISO 27001 (Management-System für die Informationssicherheit), ISO 27017 (Sicherheitskontrollen für die Bereitstellung und Nutzung von Cloud-Diensten) und ISO 27018 (für den Schutz persönlicher Daten in der Cloud).
  • Privacy by design bei Slack: Slack hat Tools für Import und Export eingeführt, somit können Unternehmen jetzt mit den Tools von Slack auf ihre Kundendaten zugreifen und diese importieren und exportieren. Darüber hinaus hat Slack für den Datenschutz das Tool zur Profillöschung eingeführt. Dieses Tool hilft Unternehmen und Mitarbeitern dabei, Anfragen von Benutzern nachzukommen, deren persönliche Informationen wie Namen und E-Mail-Adressen von einem Slack-Account zu löschen, um den Anforderungen der Artikel 15 – 21 DS-GVO gerecht zu werden. Zu letzt hat Slack ein Center für Workspace-Einstellungen entwickelt. Unternehmen können nun ein Rollen- und Berechtigungskonzept im Workspace administrieren.

 

Hinweis: Wir weisen darauf hin, dass der Export von Kommunikation der Mitarbeiter arbeitsrechtlich erlaubt sein muss!

 

Berechtigungskonzept bei Slack

 

datenschutz bei slack in unternehmen
Ein Auszug des Datenschutz-Management-Systems der Keyed GmbH.

 

Wie führen Unternehmen Slack datenschutzkonform ein?

Welche Aufgaben ergeben sich für die Praxis, wenn ein Unternehmen die Agilität ihrer Teams steigern möchte mit Slack? Im Folgenden finden Sie eine Auflistung, welche Punkte Sie auf jeden Fall berücksichtigen sollten. Die Aufzählung hat keinen Anspruch auf Vollständigkeit, da jedes Unternehmen individuelle Aufgaben mit sich bringt.

 

  • Die kostenpflichtige Volllizenz von Slack muss beschafft werden, um eine datenschutzkonforme Nutzung zu gewährleisten. In der kostenfreien Lizenz sind die oben beschriebenen Tools stark eingeschränkt.
  • Die Verantwortlichkeiten müssen klar definiert werden, denn der Kunde ist zum großen Teil für die Gestaltung der Verarbeitung zuständig. Dies gilt für die Administration, Umsetzung und Kontrolle des Datenschutzes bei Slack und für die Verteilung und Überprüfung der Einhaltung der Nutzungsbedingungen.
  • Vereinbarung der Auftragsverarbeitung mit Slack, nachdem Sie die Unterauftragnehmer von Slack geprüft haben.
  • Erstellung der Standardkonfiguration/Freigabe von Apps-Erweiterungen innerhalb von Slack bei Einführung. Sie müssen sicherstellen, dass Ihre Mitarbeiter nur Apps-Erweiterungen installieren, welche Ihr Datenschutzbeauftragter freigegeben hat.
  • Die Klärung der API-Funktion. Ist eine Schnittstelle geplant? Zum Beispiel können API-Schnittstellen Slack an andere Kollaborations-Tools wie Confluence, Jira oder Trello anbinden. Hierfür müssen unter Umständen erweiterte Maßnahmen nach Artikel 32 DS-GVO ergriffen werden.
  • Das Unternehmen sollte eine Nutzungsvereinbarung oder Betriebsvereinbarung für den Umgang von Slack entwerfen und vom Betriebsrat gegenprüfen lassen.
  • Die Nutzung von Slack stellt eine Verarbeitungstätigkeit dar und ist somit zu dokumentieren im Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DS-GVO.

Jetzt Angebot erhalten!

Als Datenschutzbeauftragte sind wir in ganz Deutschland für Sie unterwegs. Gerne stehen wir Ihnen als Ansprechpartner rundum Datenschutz zur Verfügung. Erhalten Sie jetzt kostenfrei ein unverbindliches Angebot von uns.

Jetzt Kontakt aufnehmen

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

4 Kommentare. Hinterlasse eine Antwort

  • Tut mir leid aber mit Slack und Co zwinge ich doch meine Mitarbeiter einen Vertrag mit Dritten einzugehen, oder nicht?
    Darf ich das?

    Antworten
    • Nils Möllers
      21. Mai 2019 15:20

      Guten Tag B. Sorgt,

      es gibt verschiedene Vertragsmodelle bei Slack. Bei der kostenfreien & “normalen” Version werden, wie schon richtig erkannt, End-Nutzerverträge geschlossen.
      Es gibt auch die Möglichkeit (Pro und Enterprise) einen Vertrag als Unternehmen abzuschließen. Und nur diese Vertragsmodelle sind für Unternehmen anwendbar.

      Liebe Grüße
      Nils Möllers

      Antworten
  • SLACK veröffentlicht in seinen Nutzungsbedingungen (auch Enterprise) folgendes:
    “Falls Informationen aggregiert oder um Identifizierungsmerkmale bereinigt werden, sodass sie nicht mehr einer bestimmten oder bestimmbaren natürlichen Personen zugeordnet werden können, kann Slack solche Informationen für beliebige geschäftliche Zwecke verwenden. Soweit Informationen einer bestimmten oder bestimmbaren natürlichen Person zugeordnet sind und als personenbezogene Daten gemäß geltendem Datenschutzrecht geschützt sind, werden sie im Rahmen dieser Datenschutzrichtlinie als „Personenbezogene Daten“ bezeichnet.”
    Das kann ich lesen als: “… personenbezogene Daten werden nicht ausgewertet oder nur anonymisiert – Ihre Unternehmens- und Kundendaten aber sehr wohl. Wir nutzen diese wie wir möchten (Weiterverkauf, Nutzung von Know-how etc.) …”
    Lese ich das falsch oder ist SLACK zwar bzgl. DSGVO sicher aber bzgl. Informationssicherheit / Vertraulichkeit von Unternehmens- oder Kundendaten überhaupt nicht?

    Antworten
    • Lieber Herr Rottach,

      ja das kann man so lesen. Dennoch ist in diesem Kontext von Slack auch der Schutz von Geschäftsgeheimnissen gem. GeschGehG gewahrt. Denn “Identifizierungsmerkmale” sind bei Slack nicht nur die personenbezogenen Daten. Slack gibt einem hier auch eine Auskunft!

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN