Slack DSGVO-konform nutzen: Kann das gelingen?

Slack ist ein Kommunikations-Tool der Slack Technologies LLC, die zum Salesforce-Konzern gehört. Slack wird von vielen Unternehmen vor allem für die interne Kommunikation zwischen Mitarbeitern oder mit Projektpartnern verwendet. Eine DSGVO-konforme Nutzung von Slack ist nach unserer Einschätzung theoretisch möglich, allerdings ist dies sehr umstritten. Es ist immer mit einem Risiko verbunden, weshalb Sie auch Alternativen prüfen sollten. Folgendes sollten Sie in jedem Fall berücksichtigen:

Nutzen Sie Slack, sollten Sie in jedem Fall unbedingt einen Auftragsverarbeitungsvertrag (AVV) mit dem Unternehmen abschließen und bei der Verarbeitung von personenbezogenen Daten Dritter eine datenschutzkonforme Rechtsgrundlage schaffen, etwa durch eine explizite Einwilligung der Betroffenen oder den Bezug auf ein berechtigtes Interesse.

Darüber hinaus kommt es vor allem auf die Art der verarbeiteten personenbezogenen Daten an, um abschließend zu bewerten, welche weiteren Maßnahmen Sie treffen müssen, um Slack DSGVO-konform zu nutzen. Wir klären Sie darüber auf, worauf Sie achten sollten.

Elementar wichtig: Rechtsgrundlage und AVV

Slack hat als Dienstleister einen zumindest eingeschränkten Zugang zu Nutzerprofilen und Chat-Inhalten. Allein durch das Anlegen von Nutzerprofilen, bspw. für Mitarbeiter, werden bereits personenbezogene Daten verarbeitet.

Sie müssen daher einerseits die Zwecke und den Umfang der Nutzung von Slack umfangreich dokumentieren sowie gleichzeitig eine Rechtsgrundlage identifizieren, um personenbezogene Daten von Betroffenen, also z. B. Beschäftigten oder Projektpartnern, datenschutzkonform zu verarbeiten.

Die sicherste Rechtsgrundlage bildet dabei die explizite Einwilligung von Betroffenen, was insbesondere im Gebrauch mit externen Ressourcen wie Agenturen gewählt werden sollte. Im Falle von Mitarbeitern können Sie ebenfalls bei der Einstellung über die geplante Verarbeitung informieren und um eine Einwilligung bitten.

Eine Einwilligung allerdings nur dann wirksam, wenn sie freiwillig erteilt wird. Aufgrund des Machtgefälles im Beschäftigungskontext wird dies oft in Frage gestellt. In der Praxis sollte daher primär auf das berechtigte Interesse oder ggf. vertragliche Notwendigkeit zurückgegriffen werden. In diesem Rahmen müssen Sie u. a. berücksichtigen, ob nicht Tools eingesetzt werden können, die bessere Rahmenbedingungen für den Datenschutz bieten. Eine solche Interessenabwägung ist nicht unkompliziert. 

Am sichersten fahren Sie daher damit, möglichst wenige personenbezogene Daten über Slack zu verarbeiten und für solche andere, speziell dafür gemachte und EU-basierte Kanäle zu nutzen.

Außerdem müssen Sie mit Slack in jedem Fall eine Auftragsverarbeitungsvereinbarung (AVV) abschließen, bei der die Rechte und Pflichten beider Seiten genau geklärt sind. Die Möglichkeit dazu bietet Slack standardmäßig an.

Höhere Sicherheit und Datenschutz durch Enterprise-Features

Slack selbst gibt an, die Vorgaben der DSGVO bereits in der kostenlosen Version umzusetzen. Das sehen wir jedoch sehr kritisch. Hier kommt es sehr stark auf den Einzelfall an, ob die sehr begrenzten Einstellmöglichkeiten von Slack tatsächlich ausreichend sind.

Von herausragender Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (TOM) – wie Zugriffskontrollen, Protokollierung oder Zwei-Faktor-Authentifizierung – die das Tool Ihnen bietet, um ein angemessenes Sicherheitsniveau sicherzustellen. Diese sind in der kostenlosen Version stark eingeschränkt.

Verarbeiten Sie regelmäßig personenbezogene Daten über Slack, kann es sein, dass dies erst mit Funktionen aus dem Enterprise-Paket datenschutzkonform überhaupt möglich ist.

Hervorzuheben ist etwa die Unterstützung der HIPAA-Compliance, die die Voraussetzungen für die Verarbeitung besonders geschützter Gesundheitsdaten ermöglichen soll. Allerdings entspricht dieser US-amerikanische Standard nicht den Vorgaben der DSGVO, weswegen wir von einer Verarbeitung solcher Daten bei Slack generell abraten. Jedenfalls wird dafür eine Datenschutz-Folgeabschätzung nach Art. 35 DSGVO notwendig sein kann.

Ein weiteres wichtiges Feature der Enterprise-Version ist die Möglichkeit zur Nutzung von eigens erstellten Schlüsseln für die Verschlüsselung von Nachrichten.

Slack verschlüsselt Nachrichten grundsätzlich immer, allerdings liegen die Schlüssel auf den US-Servern und können damit beispielsweise im Rahmen von Ermittlungen von US-Behörden herangezogen werden, um verschlüsselte Daten von europäischen Kunden zu entschlüsseln (mehr zu den besonderen Problemen durch die Übertragung von Daten in die USA können Sie im nächsten Abschnitt lesen).

Mithilfe von EKM (Enterprise Key Management) können Sie hingegen Ihre Schlüssel selbst verwalten. Slack nutzt den ebenfalls US-basierten Dienst AWS Key Management Service, der, nach eigener Angabe, die Nutzung von externen Schlüsselmanagern erlaubt. Ist ein solcher Schlüsselmanager in der EU angesiedelt, kann das Risiko eines Zugriffs durch US-Behörden deutlich reduziert werden.

Darüber hinaus bietet die Enterprise-Version auch weitere Features wie etwa die Errichtung von Informationsbarrieren. Ob in Ihrem speziellen Fall die Nutzung dieses oder eines kleineren Pakets die komplexen Vorgaben der DSGVO erfüllt, lässt sich nur im Einzelfall sicher klären.

Achtung bei allen US-Dienstleistern

Die Nutzung von US-Dienstleistern wie Slack oder dem von uns zuvor betrachteten Dropbox bei der Verarbeitung personenbezogener Daten ist immer mit einem Risiko behaftet. Aufgrund des derzeitig gültigen EU-US Data Privacy Frameworks (DPF) können Stand heute immer noch personenbezogene Daten mit teilnehmenden Unternehmen in den USA ausgetauscht werden. Slack ist über die Muttergesellschaft Salesforce Teilnehmer des Abkommens.

Es gibt jedoch das realistische Risiko, dass der Angemessenheitsbeschluss für das DPF widerrufen wird und dieses damit unwirksam wird – wie bereits seine beiden Vorgängerabkommen. In einem solchen Fall würden die USA nicht mehr als sicheres Drittland im Sinne der DSGVO gelten und Sie müssten mit US-Dienstleistern wie Slack Standardvertragsklauseln zur Einhaltung des Datenschutzes schließen, was Slack immerhin bereits standardmäßig in seinen AVV anbietet.

Doch selbst damit wäre eine Wahrung der Datenschutz-Compliance nicht automatisch gegeben, denn Sie wären als Unternehmen im Zweifel verantwortlich dafür, selbst zu überprüfen, ob Slack sich tatsächlich an die geltenden Vorgaben hält, was realistisch kaum umsetzbar wäre.

Durch die Nutzung des bereits erwähnten EKM können Sie z. B. eine zusätzliche Sicherheitsbarriere einrichten, die Ihr Datenschutzniveau deutlich erhöht. Eine maximale Reduzierung der Verarbeitung von personenbezogenen Daten über Slack kann ebenfalls einen Beitrag zur Einhaltung der Compliance leisten.

Die Nutzung von EU-basierten alternativen Anbietern hätte demgegenüber jedoch weiterhin ein geringeres Risiko.

Wichtig hierbei ist zu beachten, dass Slack zwar die Speicherung der Daten innerhalb der EU (Datenresidenz) ab dem Business+-Paket anbietet, nach allen vorliegenden Informationen aber weiterhin eine Datenübertragung in die USA stattfindet. Die Datenresidenz allein löst die Problematik daher nicht.

Lassen Sie sich beim Datenschutz professionell unterstützen

Viele Unternehmen treffen bei Maßnahmen zum Erhalt der Compliance regelmäßig auf Herausforderungen, die nur durch detaillierte Einzelfallanalysen rechtlich sicher geklärt werden können. Auch im Falle von Slack gibt es selbst bei einem bestehenden AVV und einer gültigen Rechtsgrundlage hohe Risiken, weshalb oft eine genaue Prüfung im Hinblick auf die Art der Nutzung und die gewählten Einstellungen nötig ist. Größere Sicherheit versprechen aus Europa stammende Kommunikations-Tools, die speziell auf die Anforderungen der DSGVO zugeschnitten sind.

Für Unternehmen ist es zudem häufig am einfachsten und günstigsten, externe Expertise an Bord zu holen, um den Datenschutz rechtssicher zu garantieren. Kontaktieren Sie uns gerne, wenn Sie Ihr Datenschutzkonzept professionell überprüfen und überarbeiten lassen möchten.