Darth Vader droht mit Lichtschwert

BSI: War­nung vor Kas­pers­ky — Kein Ein­satz von Pro­duk­ten aus dem Hau­se Kas­pers­ky mehr

“Das BSI emp­fiehlt, Anwen­dun­gen aus dem Port­fo­lio von Viren­schutz­soft­ware des Unter­neh­mens Kas­pers­ky durch alter­na­ti­ve Pro­duk­te zu erset­zen.” Die­se War­nung vor Kas­pers­ky spricht das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik mit eini­ger Ver­zö­ge­rung und auch erst nach drän­gen­den Nach­fra­gen des Hei­se Ver­lags nun seit eini­gen Tagen offi­zi­ell aus.

War­nung vor Kas­pers­ky berech­tigt oder Panikmache?

Dazu kann man nun ste­hen wie man will. Wie­so erst jetzt? Wie­so nicht schon im Zuge der Anne­xi­on der Krim, als sich die tota­li­tä­ren Risi­ken bereits klar abzeich­ne­ten? Sei es drum. Ein Risi­ko ist nicht gene­rell von der Hand zu wei­sen, von daher ist Vor­beu­gen bes­ser als hin­ter­her schlau­er zu sein.

Das BSI schreibt dazu:

“Viren­schutz­soft­ware hat tief­ge­hen­de Ein­griffs­rech­te in PCs, Smart­pho­nes, Lap­tops und ande­re IT-Infra­struk­tu­ren. Ver­trau­en in die Zuver­läs­sig­keit und den Eigen­schutz des jewei­li­gen Her­stel­lers sowie sei­ner authen­ti­schen Hand­lungs­fä­hig­keit ist daher ent­schei­dend für den siche­ren Ein­satz sol­cher Systeme.”

Schwach­stel­len in der eigent­li­chen Soft­ware kön­nen daher schnell zur Kom­pro­mit­tie­rung ein­zel­ner Gerä­te, aber auch gan­zer Sys­tem­land­schaf­ten füh­ren. Das ist kein gene­rel­les Pro­blem der Kas­pers­ky-Pro­duk­te, son­dern von jeder Soft­ware, die so tief in die Betriebs­sys­te­me ver­zahnt ist. In die­sem kon­kre­ten Fall führt das BSI in sei­ner War­nung vor Kas­pers­ky wei­ter aus:

“Im Kon­text des Krie­ges, den Russ­land gegen die Ukrai­ne führt, könn­te ein rus­si­scher IT-Her­stel­ler selbst offen­si­ve Ope­ra­tio­nen durch­füh­ren, oder gegen sei­nen Wil­len dazu gezwun­gen wer­den, Ziel­sys­te­me anzu­grei­fen, oder als Opfer einer Cyber-Ope­ra­ti­on ohne sei­ne Kennt­nis aus­spio­niert oder als Werk­zeug für Angrif­fe gegen sei­ne eige­nen Kun­den miss­braucht werden.”

Guter Rat ist teuer

Was heißt die­se War­nung vor Kas­pers­ky jetzt kon­kret? Je weni­ger kom­plex die betrof­fe­ne Sys­tem­um­ge­bung ist und gera­de auf einem Ein­zel­ge­rät zuhau­se, des­to leich­ter fällt der Umstieg auf einen ande­ren Anbie­ter. In grö­ße­ren Sys­tem­um­ge­bun­gen wer­den jedoch sel­ten nur Viren­schutz­pro­duk­te, son­dern meist gan­ze Sicher­heits­sui­ten der Anbie­ter genutzt. Damit fal­len dann schnell auch wich­ti­ge Schutz­me­cha­nis­men wie Spam-Fil­te­rung, Schutz der USB-Ports und vie­le mehr weg. Da ist es mit einer ein­fa­chen De-Instal­la­ti­on und Neu-Instal­la­ti­on eines ande­ren Pro­dukts nicht mal eben so getan. Dazu kom­men lau­fen­de Lizenz­ge­büh­ren, die wei­ter­hin bis zum Ende der Ver­trags­lauf­zeit zu leis­ten sind. Son­der­kün­di­gungs­recht? Sieht aktu­ell nicht so aus, aber dar­über sol­len die Juris­ten strei­ten. D.h. durch den Umstieg auf eine ande­re Lösung bzw. einen ande­ren Anbie­ter fal­len zusätz­lich Lizenz­ge­büh­ren an, von der not­wen­di­gen Arbeits­zeit für Pla­nung und Kon­zep­ti­on sowie Roll-Out ganz zu schweigen.

Die jeweils aktua­li­sier­te FAQ des BSI für Unter­neh­men und Pri­vat­an­wen­der ist hier zu fin­den: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Technische-Sicherheitshinweise-und-Warnungen/Warnungen-nach-Par‑7/FAQ-Kaspersky/faq_node.html

 

Trojanisches Pferd

Wer aktu­ell eine Bewer­bung per Email erhält, soll­te beson­ders wach­sam sein. Hat­ten auf Stel­len­an­zei­gen hin prä­pa­rier­te Kryp­to-Tro­ja­ner wie Gol­den Eye damals das Ver­schlüs­seln aller Daten auf dem Ziel­sys­tem im Sinn, sieht das bei Ger­man­Wi­per nun anders aus. Statt Ver­schlüs­se­lung greift die­se neue Ran­som­wa­re zum Löschen aller Daten. Im ange­häng­ten ZIP-Archiv befin­det sich die­ses Mal kein Word-Doku­ment mit Makros, son­dern eine Win­dows-Link-Datei. Wird die­se gestar­tet, öff­net sich die Win­dows Powers­hell und der eigent­li­che Schad­code von Ger­man­Wi­per wird gela­den und aus­ge­führt. Lt. BSI gibt der Text der Email noch kei­nen Anlass zum Arg­wohn. Unbe­darf­te bzw. unsen­si­bi­li­sier­te Anwen­der dürf­ten also durch­aus eine Risi­ko­grup­pe für die­sen Angriff darstellen.

Hof­fen auf eine Löse­geld­for­de­rung nach mög­li­cher Bit­coin-Löse­geld­zah­lung braucht man bei Ger­man­Wi­per nicht. Denn statt zur Ver­schlüs­se­lung zu grei­fen, löscht Ger­man­Wi­per ein­fach alle Daten im Rah­men der Zugriffs­rech­te des Anwen­ders. Gelöscht wird nicht mit dem klas­si­schen Ver­schie­ben in den Papier­korb und anschlie­ßen­dem Lee­ren des Papier­korbs. In die­sem Fall wären die Daten meist mit mehr oder weni­ger Auf­wand wie­der­her­stell­bar. Ger­man­Wi­per über­schreibt vor­han­de­ne Daten mit Nul­len. Per­fi­de: Am Ende zeigt Ger­man­Wi­per doch einen Löse­geld­bild­schirm an. Dar­auf ein­ge­hen, soll­te man jedoch nicht. Denn die von Ger­man­Wi­per gelösch­ten Daten kön­nen auch nach Zah­lung von Löse­geld nicht mehr wie­der­her­ge­stellt werden.

Wohl dem, der ein funk­ti­ons­fä­hi­ges und regel­mä­ßig geprüf­tes Back­up sei­ner Daten hat. Die­ses soll­te selbst­ver­ständ­lich „off­line“ sein, also durch einen Angriff wie mit Ger­man­Wi­per nicht erreich­bar sein. Berech­ti­gungs­kon­zep­te soll­ten nach dem least pri­vi­le­ge Prin­zip umge­setzt sein (nur so vie­le Zugriffs­rech­te wie zwin­gend not­wen­dig). Exter­ne Lauf­wer­ke aber auch Netz­lauf­wer­ke soll­ten wirk­lich nur im Fall der Daten­si­che­rung ver­bun­den sein und danach wie­der getrennt wer­den. Eine Grund­an­for­de­rung ist eben­falls: Ein Admi­nis­tra­tor surft mit sei­nen erwei­ter­ten Rech­ten nicht im Inter­net und liest damit auch kei­ne Emails. Für die­se Tätig­kei­ten steht ein ein­ge­schränk­ter Account zur Verfügung.

Im Rah­men eines Infor­ma­ti­ons­si­cher­heits­kon­zepts aber auch bei regel­mä­ßig durch den Daten­schutz­be­auf­trag­ten geprüf­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men soll­te dies gewähr­leis­tet sein. Auch regel­mä­ßi­ge Tests zur Daten­wie­der­her­stel­lung (Reco­very-Tests) hel­fen, die­sem Risi­ko zu begeg­nen. Viel­leicht wäre es auch ein guter Zeit­punkt, die schon eine Wei­le zurück­lie­gen­de Sen­si­bi­li­sie­rung der Mit­ar­bei­ter nachzuholen.

Sie ver­fü­gen noch über kei­nen Daten­schutz­be­auf­trag­ten? Mit einem Infor­ma­ti­ons­si­cher­heits­kon­zept wie dem BSI IT-Grund­schutz, ISIS12 oder der Vari­an­te „Arbeits­hil­fe“ für kleins­te Ein­rich­tun­gen haben Sie zwar schon gelieb­äu­gelt, aber noch nichts der­glei­chen umge­setzt? Dann spre­chen Sie uns ger­ne an. Ger­ne unter­stüt­zen wir Sie auch als exter­ne Daten­schutz­be­auf­trag­te und exter­ne Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te mit unse­rem Team in Ber­lin, Sim­mels­dorf und Mün­chen und unse­rer über 10 Jah­re bewähr­ten Erfah­rung mit prag­ma­ti­schen Lösungen.

aboutpixel.de / Geldwäsche © Rainer Sturm

Schon jedem Mal pas­siert — News­let­ter oder Email an vie­le Emp­fän­ger verschickt

Sie ken­nen das bestimmt aus Ihrem eige­nen Arbeits­all­tag. Eine wich­ti­ge Nach­richt soll per Email oder News­let­ter ver­teilt wer­den. Mail- oder News­let­ter-Pro­gramm geöffnet, Text geschrie­ben, aus dem Adress­buch schnell die Empfänger zusam­men­ge­klickt oder kom­for­ta­bel eine Ver­tei­ler-Lis­te genutzt und auf Sen­den gedrückt. Auf Sei­ten des Empfängers wer­den sich dann die Augen gerie­ben. Ste­hen doch alle Email-Empfänger im Klar­text im AN:/TO: Feld der Email. Ordent­lich wie der Absen­der sei­ne Adres­sen gepflegt hat, akku­rat mit Vor‑, Nach­na­me und Email-Adres­se. Üblicherweise macht man den Absen­der freund­lich auf sein Miss­ge­schick auf­merk­sam und läßt es dar­auf beruhen.

Offe­ne News­let­ter-Ver­tei­ler kom­men nicht immer gut an

Die Mit­ar­bei­te­rin eines baye­ri­schen Han­del­un­ter­neh­mens hat­te weni­ger Glück. Sie schrieb eine sol­che Email an Kun­den des Unter­neh­mens. Kur­zer Inhalt, net­te Ges­te. Jedoch lei­der stan­den vor dem eigent­li­chen Text (hal­be DIN A4 Sei­te) über neun (9!) Sei­ten Email-Adres­sen im Klar­text. Einem oder meh­re­ren Empfängern miß­fiel dies und der Stein des Ansto­ßes wur­de an die zuständige baye­ri­sche Landesdatenschutzbehörde weitergeleitet.

Lan­des­da­ten­schutz­be­hör­de prüft offe­ne News­let­ter-Ver­tei­ler und ver­hängt Bußgeld

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) hat in der Ver­gan­gen­heit bereits mehr­fach über die eige­ne Web­sei­te und auf Ver­an­stal­tun­gen vor und mit Unter­neh­men auf die daten­schutz­recht­li­che Unzulässigkeit eines sol­chen Vor­gangs hin­ge­wie­sen. Name plus Email- Adres­se sind per­so­nen­be­zo­ge­nen Daten im Sin­ne des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Eine Übermittlung (nichts ande­res stellt eine Email dar) ist daher nur zulässig, wenn der Betrof­fe­ne (also der eigent­li­che Email-Inha­ber) expli­zit in die Übermittlung an Drit­te schrift­lich ein­ge­wil­ligt hat oder eine gesetz­li­che Grund­la­ge vor­liegt. Bei­des ist im Fal­le einer sol­chen Pan­ne sicher nicht der Fall. Die Ver­wen­dung des offe­nen Email-Ver­tei­lers (also das Ein­tra­gen der Empfänger in das AN:/TO: Feld) stellt somit einen Daten­schutz­ver­stoß dar. Auf­grund der Men­ge der betrof­fe­nen Email-Adres­sen sah das BayL­DA von einem rei­nen Ver­weis auf die recht­li­che Unzulässigkeit ab. Statt­des­sen wur­de ein Buß­geld verhängt, das nun nach Ver­strei­chen der Wider­spruchs­frist rechts­wirk­sam gewor­den ist.

Doch wer zahlt jetzt das Buß­geld für den offe­nen Newsletter-Verteiler?

In die­sem kon­kre­ten Fall wur­de das Buß­geld gegen die Mit­ar­bei­te­rin verhängt. Ob der Arbeit­ge­ber für Sie ein­springt, ist nicht bekannt. Das BayL­DA teil­te jedoch mit, daß es in einem ähnlichen Fall in zu einem Buß­geld gegen ein wei­te­res Unter­neh­men kam. Da hier die Mit­ar­bei­ter sei­tens der Unter­neh­mens­leis­tung nicht oder nicht aus­rei­chend für das The­ma sen­si­bi­li­siert wur­den, hat­te nun das Unter­neh­men selbst für den Faux­pas mit dem offe­nen Email-Ver­tei­ler geradezustehen.

Aufklärung ist Pflicht — Sorg­fäl­ti­ger Umgang mit News­let­tern-Ver­tei­lern ver­mei­det Bußgelder

Um sol­che Vorfälle von vorn­her­ein zu ver­mei­den und das Ein­tritts­ri­si­ko zu sen­ken, soll­ten Sie Ihre Mit­ar­bei­ter regelmäßig für die­ses The­ma sen­si­bi­li­sie­ren. Ger­ne können Sie hierfür die­sen Blog­bei­trag ein­set­zen. Was ist zu beach­ten? Wei­sen Sie dar­auf hin, sol­che Rund­mails stets über das Feld BCC, also Blind Car­bon Kopie zu adres­sie­ren. Die Nut­zung von TO: und CC: (Car­bon Copy) wird stets den sel­ben recht­li­chen Sach­ver­halt mit allen Kon­se­quen­zen auslösen. Bei klei­ne­ren falsch genutz­ten Ver­tei­lern kann es bei einer Ver­war­nung blei­ben, das ist jedoch nicht garantiert.

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Zum rich­ti­gen Umgang mit per­so­nen­be­zo­ge­nen Daten im Rah­men des Direkt­mar­ke­tings hilft Ihnen kom­pe­tent Ihr Daten­schutz­be­auf­trag­ter wei­ter. Sie haben kei­nen? Dann soll­ten Sie sich dar­um küm­mern, da eine gesetz­li­che Bestell­pflicht vor­lie­gen kann. Spre­chen Sie uns unver­bind­lich und kos­ten­frei an!

 

Maennchen traegt Drucker / Kopierer

Per­so­nal­aus­weis als Pfand, Per­so­nal­aus­weis-Kopie als Beleg — üblich, aber verboten

Usus, Rechts­ver­stoß inklu­si­ve. Der Per­so­nal­aus­weis wird als Pfand hin­ter­legt, eine Kopie zur Iden­ti­fi­ka­ti­on im Ver­trags­ord­ner abge­legt oder als Scan ins Doku­men­ten-Manage­ment-Sys­tem gespei­chert. Bran­chen­über­grei­fend üblich, vom Fit­ness-Stu­dio bis zur Autovermietung.

Der neue Personalausweis

Seit dem 01. Novem­ber 2010 wird nur noch der neue Per­so­nal­aus­weis her­aus­ge­ge­ben, ger­ne auch als „ePer­so“ bezeich­net. Im Zuge der Umstel­lung hat das Per­so­nal­aus­weis­ge­setz (PAuswG) eini­ge Ände­run­gen erfah­ren. Zahl­rei­che Kom­men­tie­run­gen und Begrün­dun­gen beglei­ten den neu­en Ausweis.

Kein aus­drück­li­ches Kopier­ver­bot, aber …

Neben der bis­her übli­chen Aus­weis­funk­ti­on beinhal­tet der „ePer­so“ nun auch die Mög­lich­keit zu Signa­tur und zur Authen­ti­sie­rung. Zum Schutz die­ser Funk­tio­nen schreibt unse­re Regie­rung in ihrer Begrün­dung zur Neu­re­ge­lung: “Die Erhe­bung und Ver­wen­dung per­so­nen­be­zo­ge­ner Daten aus oder mit­hil­fe des Aus­wei­ses darf künf­tig nur über die dafür vor­ge­se­he­nen Wege erfol­gen. (.) Wei­te­re Ver­fah­ren z.B. über die opto­elek­tro­ni­sche Erfas­sung (“scan­nen”) von Aus­weis­da­ten oder dem maschi­nen­les­ba­ren Bereich sol­len aus­drück­lich aus­ge­schlos­sen wer­den.” In den Aus­le­gun­gen hier­zu wird deut­lich davon gespro­chen, weder Kopien des Per­so­nal­aus­wei­ses zuzu­las­sen, noch die­sen aus der Hand zu geben.

War­um den Per­so­nal­aus­weis nicht kopieren?

Da der neue Per­so­nal­aus­weis auf­grund des­sen Gestal­tung noch eine sog. Berech­ti­gungs­num­mer trägt, weist das Bun­des­in­nen­mi­nis­te­ri­um auf einen zusätz­li­chen Sach­ver­halt hin. Die Berech­ti­gungs­num­mer soll näm­lich ledig­lich dem Aus­weis­in­ha­ber bekannt sein. Eine Kopie oder ein Scan ste­hen die­sem Umstand jedoch entgegen.

Der alte Per­so­nal­aus­weis darf aber kopiert werden?

Trägt die­ser zwar nicht die elek­tro­ni­schen Merk­ma­le sei­nes Nach­fol­gers so ist eine Kopie hier nur sehr schwer als daten­schutz­recht­lich erfor­der­lich zu begrün­den. Sub­jek­ti­ve Maß­stä­be hier­über sind aus­ge­schlos­sen. So soll­te auch hier auf eine Kopie ver­zich­tet wer­den. Notie­ren Sie die erfor­der­li­chen Daten. Vor­teil: Sie erspa­ren sich das vor­ge­schrie­be­ne Aus­schwär­zen nicht erfor­der­li­cher Daten und müs­sen spä­ter im Rah­men der Auf­be­wah­rungs– und Lösch­fris­ten nicht in Akten­sta­peln oder EDV Sys­te­men nach den zu löschen­den Doku­men­ten fahnden.

Dann neh­men wir den Per­so­nal­aus­weis eben als Pfand

Hier spricht das PAuswG eine kla­re Spra­che § 1 Abs. 1. S. 3+4 PAuswG — für bei­de Aus­weis­for­men: „Vom Aus­weis­in­ha­ber darf nicht ver­langt wer­den, den Per­so­nal­aus­weis zu hin­ter­le­gen oder in sons­ti­ger Wei­se den Gewahr­sam auf­zu­ge­ben. Dies gilt nicht für zur Iden­ti­täts­fest­stel­lung berech­tig­te Behör­den sowie in den Fäl­len der Ein­zie­hung und Sicher­stel­lung.” Ihre Orga­ni­sa­ti­on wird schwer­lich als berech­tig­te Behör­de anzu­se­hen sein, Aus­nah­men bestä­ti­gen die Regel.

Aus­nah­men vom Kopier­ver­bot und Pfand­ver­bot für Personalausweise?

Ja, u.a. § 8 Geld­wä­sche­ge­setz oder § 95 TKG (z.B. für Han­dy-Ver­trä­ge). Trifft das auf Ihr Unter­neh­men zu? Ihr Daten­schutz­be­auf­trag­ter klärt Sie ger­ne über den Sach­ver­halt auf. Sie haben kei­nen? Dann spre­chen Sie uns an. Wir unter­stüt­zen Sie als exter­ne Daten­schutz­be­auf­trag­te und exter­ne Informationssicherheitsbeauftragte.

Kaum hat das Amts­ge­richt Bad Hers­feld sein Urteil gefällt und die Begrün­dung ver­öf­fent­licht, gras­siert ein media­ler Hype um ein angeb­li­ches Abmahn­ri­si­ko für pri­va­te Whats­app-Nut­zer durch das Netz. Doch was steckt dahinter?

Etwas Auf­klä­rung zur pri­va­ten Nut­zung von Whatsapp

Das Amts­ge­richt Bad Hers­feld, wohl­ge­merkt ein Amts­ge­richt, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risi­ko eines pri­va­ten Whats­app-Nut­zers, auf­grund der nicht ein­ge­wil­lig­ten Daten­über­mitt­lung der Kon­tak­te in des­sen Adress­buch durch den auto­ma­ti­sier­ten Abgleich mit den Whats­app-Ser­vern durch die Kon­tak­te selbst auf Unter­las­sung in Anspruch genom­men zu wer­den. Selbst eine kos­ten­pflich­ti­ge Abmah­nung wird nicht aus­ge­schlos­sen. Kaum war die ers­te Nach­richt hier­zu im Web lan­ciert, ging der Copy & Pas­te — Mecha­nis­mus des Bou­le­vard­jour­na­lis­mus inklu­si­ve der sozia­len Netz­wer­ke los. Angst und Panik für Quo­te und Klicks lau­tet die Devise.

Was davon zu hal­ten ist, kön­nen Sie unter ande­rem im Blog des Anwalts Dr. Cars­ten Ulb­richt nach­le­sen, der zu die­sem The­ma kein Unbe­kann­ter ist.

Whats­app und geschäft­li­che oder dienst­li­che Nutzung?

Nutzt ein Unter­neh­men oder eine Behör­de nun Whats­app sieht die Rechts­la­ge etwas unbe­que­mer aus. Das Bun­des­da­ten­schutz­ge­setz schreibt für die betrieb­li­che Nut­zung per­so­nen­be­zo­ge­ner Daten die Aus­wahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Schutz­maß­nah­men vor. Bedient man sich bei der Umset­zung eines Drit­ten (in die­sem Fall des Betrei­bers von Whats­app), so ist die­ser nach § 11 Bun­des­da­ten­schutz­ge­setz (BDSG), aber auch nach EU-Daten­schutz­recht vor­ab auf aus­rei­chen­de Schutz­maß­nah­men zu prü­fen und zusätz­lich eine Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung zu schlie­ßen. Die Umset­zung wird sich in der Pra­xis als unmög­lich herausstellen.

Zumin­dest könn­te man Whats­app auf­grund der nun seit eini­ger Zeit akti­vier­ten Ende-zu-Ende-Ver­schlüs­se­lung bei den tech­ni­schen Schutz­maß­nah­men ein tech­ni­sches Schutz­ni­veau im posi­ti­ven Sin­ne unter­stel­len. Ein Mit­le­sen der Nach­rich­ten auf dem Trans­port­weg ist dadurch ja ausgeschlossen.

Dann steht der betrieb­li­chen Nut­zung ja nichts im Wege?

Lei­der doch. Denn Whats­app über­trägt die Kon­takt­da­ten aus dem Adress­buch des Geräts auf die Ser­ver des Betrei­bers in den USA. Die­se Daten­über­mitt­lung ist im Daten­schutz­recht nur zuläs­sig, wenn von dem Betrof­fe­nen, auf den sich die jewei­li­gen Kon­takt­da­ten bezie­hen, eine (schrift­li­che) Ein­wil­li­gung vor­liegt. Die­se kann nach gel­ten­der Mei­nung auch nicht pau­schal ange­nom­men wer­den nach dem Mot­to “Whats­app nutzt ja heut­zu­ta­ge jeder.”

Eine feh­len­de Ein­wil­li­gung bedeu­tet eine unrecht­mä­ßi­ge Daten­über­mitt­lung. Damit dro­hen Buß­gel­der und im Zwei­fel wei­te­re Auf­la­gen durch die Landesdatenschutzbehörde(n).

Dies gilt übri­gens sowohl für die betrieb­li­che /​ dienst­li­che Nut­zung des Smart­pho­nes als auch eine mög­li­cher­wei­se zuläs­si­ge Privatnutzung.

Wer es nicht glau­ben mag, hier ein Bei­trag unter vie­len zu die­sem The­ma, in die­sem Fall von Dr. Hans Mar­kus Wulf, Fach­an­walt für IT-Recht.

Von daher kann das Fazit zur Whats­app-Nut­zung im geschäft­li­chen oder behörd­li­chen Umfeld nur lau­ten: Fin­ger weg! Aber das ist nun auch nichts Neues.