Die Nutzung von Messenger-Diensten ist in der täglichen Kommunikation vieler sozialwirtschaftlicher Einrichtungen mittlerweile weit verbreitet. Ob zur Abstimmung im Team, zur schnellen Rückmeldung gegenüber Klient*innen oder zur informellen Kommunikation mit Jugendämtern – Messenger erscheinen praktisch, schnell und unkompliziert. Doch aus datenschutzrechtlicher Sicht ist ihr Einsatz hochproblematisch, insbesondere dann, wenn personenbezogene oder gar besonders schutzbedürftige Daten betroffen sind. Die DSGVO stellt strenge Anforderungen an die Sicherheit der Verarbeitung, die Wahl der Kommunikationsmittel und den Schutz der betroffenen Personen – Anforderungen, die viele gängige Messenger-Dienste wie WhatsApp oder Facebook Messenger nicht erfüllen.

Grundsätzlich gilt: Der Einsatz von Messengern im professionellen Kontext der sozialen Arbeit ist nur dann zulässig, wenn eine wirksame Rechtsgrundlage für die Kommunikation besteht, der Dienst datenschutzkonform betrieben wird, ein entsprechender Auftragsverarbeitungsvertrag abgeschlossen wurde und angemessene technische und organisatorische Schutzmaßnahmen vorliegen. Bei vielen marktüblichen Diensten ist das nicht der Fall. Sie übermitteln Metadaten, Adressbücher und teilweise auch Inhalte an Server außerhalb der EU, ermöglichen keine zentrale Benutzerverwaltung und bieten keine ausreichenden Kontrollmöglichkeiten für Einrichtungen. Selbst wenn die Inhalte Ende-zu-Ende verschlüsselt sind, bleibt das Problem der Datentransparenz gegenüber dem Plattformbetreiber bestehen. Damit scheidet der Einsatz solcher Dienste in aller Regel aus, wenn es um schutzbedürftige personenbezogene Daten geht – etwa in der Jugendhilfe, Eingliederungshilfe, Beratung oder Pflege.

Ein weiteres Problem besteht in der unkontrollierten Verbreitung von Daten. Messenger-Dienste laufen in der Regel auf privaten Smartphones, auf denen keine ausreichenden Schutzmaßnahmen vorhanden sind. Fotos, Sprachnachrichten oder Chatverläufe werden automatisch gespeichert, in die Cloud synchronisiert oder in andere Apps exportiert – oft ohne Wissen der Einrichtung. Die Kontrolle über die Daten geht damit verloren. Auch organisatorisch bestehen erhebliche Risiken: Es fehlen oft zentrale Nutzerkonten, Protokollierungen, Löschkonzepte oder Regelungen für den Ausstieg einzelner Personen. Wenn eine Fachkraft die Einrichtung verlässt, bleiben dienstliche Chatverläufe häufig auf dem privaten Endgerät – ein klarer Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO (Integrität und Vertraulichkeit).

Einrichtungen, die dennoch Messenger einsetzen möchten, müssen daher auf datenschutzkonforme Alternativen ausweichen. Dazu gehören spezielle Lösungen für Unternehmen und Organisationen mit europäischem Hosting, professionellem Nutzer*innenmanagement und Auditfunktionen – etwa Signal in Kombination mit Mobile Device Management oder dedizierte Anbieter wie Teamwire, stashcat oder Threema Work. Diese Systeme müssen vor dem Einsatz sorgfältig geprüft, vertraglich eingebunden und technisch abgesichert werden. Auch die Nutzungsbedingungen innerhalb der Einrichtung müssen klar geregelt sein: Wer darf wie kommunizieren, welche Inhalte sind erlaubt, wie erfolgt die Löschung, wer trägt die Verantwortung bei Verstößen?

Die IJOS Datenschutzmanagement-Software (DSM) unterstützt Träger dabei, Messenger-Nutzung datenschutzgerecht zu planen, zu dokumentieren und intern zu regeln. Über das System können Verarbeitungstätigkeiten mit Messenger-Einsatz strukturiert erfasst, Risiken bewertet und geeignete Schutzmaßnahmen dokumentiert werden. Die Integration in Schulungspläne, Rollen- und Berechtigungskonzepte sowie Datenschutz-Folgenabschätzungen ist möglich. Die Whistleblower-Plattform der IJOS GmbH bietet zudem einen Kanal, um unzulässige oder ungesicherte Nutzung von Messenger-Diensten anonym zu melden und strukturiert aufzuarbeiten.

Messenger-Nutzung ist im beruflichen Kontext kein datenschutzfreier Raum. Wer personenbezogene Daten über Messaging-Dienste verarbeitet, übernimmt Verantwortung für deren Sicherheit – unabhängig davon, wie „normal“ oder etabliert der Kanal erscheint. Einrichtungen der Sozialwirtschaft sollten deshalb nicht der technischen Bequemlichkeit folgen, sondern rechtlich belastbare, technisch sichere und organisatorisch eingebettete Lösungen einsetzen. Nur so lässt sich digitale Kommunikation mit den Anforderungen des Datenschutzes in Einklang bringen – und das Vertrauen der Menschen schützen, mit denen und für die man arbeitet.