Die DSGVO brachte für Unternehmen viel Arbeit und neue Abläufe mit sich. Während die Umsetzung auf Webseiten und Online-Shops mittlerweile auf die DSGVO-Konformität hin ausgerichtet sein sollte, ist der Umgang mit anderen Instrumenten der Digitalisierung oft noch unklar. Sehr häufig Gegenstand von Diskussionen ist zum Beispiel die Nutzung von WhatsApp (oder auch anderen Messenger-Diensten) auf dem Firmen- bzw. Diensthandy.
1. Datenverarbeitung und die DSGVO
Wenn es um die Nutzung von Messenger-Diensten im Rahmen der beruflichen Tätigkeit geht, dann betrifft dies in erster Linie die Regeln zur Datenverarbeitung. Diese ist durch die DSGVO nun strengeren Regelungen unterworfen und hat insbesondere bei den personenbezogenen Daten eine deutliche Verschärfung der gesetzlichen Bestimmungen erfahren.
Wenn Sie als Unternehmer Zugriff auf die Daten Ihrer Kunden oder User haben, sind die Vorschriften aus Art. 28 DSGVO einschlägig und ein gesonderter Vertrag nötig: Nur so ist rechtlich gewährleistet, dass eine Weitergabe bzw. Verarbeitung der Daten datenschutzrechtlichen Anforderungen genügt. Art. 28 DSGVO1 regelt die sogenannte Auftragsdatenverarbeitung (kurz: AV) und ersetzt damit den bis zur DSGVO gültigen § 11 des Bundesdatenschutzgesetzes (kurz: BDSG).
Die Auftragsdatenverarbeitung gem. Art. 28 DSGVO ist gerade dann wichtig, wenn Sie die personenbezogenen Daten Ihrer Kunden weitergeben und ein Zugriff durch externe Dienstleister bzw. andere Dritte möglich wird. Ein entsprechender Vertrag muss dann zwischen Ihnen und den externen Unternehmen geschlossen werden. Zusätzlich ist zudem die Einwilligung der Betroffenen erforderlich: Diese ist vor der Weitergabe einzuholen und sollte entweder schriftlich oder in einem elektronischen Format vorliegen.
2. Auf welche personenbezogenen Daten greift WhatsApp zu?
Die Regeln zur AV gelten nicht nur für die typischen Beispiele im Outsourcing wie zum Beispiel Gehalts- und Arbeitszeitabrechnungen, Wartung und Instandhaltung oder Marketing und Werbung: Die gesetzlichen Vorschriften gelten vielmehr auch dort, wo eine AV nicht sofort erkennbar ist.
Problematisch erscheint in diesem Zusammenhang die Nutzung von Anwendungen wie zum Beispiel WhatsApp. Der Messenger-Dienst erstellt als Anwendung eine Kontaktliste, indem er die auf dem Smartphone gespeicherten Nummern mit den Nummern abgleicht, die auf den Servern von WhatsApp abgelegt sind. Dabei werden aber ohne Ausnahme alle Nummern aus dem Adressbuch abgeglichen: Die App erhält somit Zugriff auf alle Nummern, die auf dem Smartphone gespeichert sind – und damit
auch auf diejenigen Nummern von Personen, die die App nicht nutzen und nur als reine Kontakte geführt werden. Wir haben für sie eine kleine Zusammenfassung erstellt welche Daten gesammelt werden:
- Benutzerinformationen
- Nutzungsbedingungen
- Registrierungs -Information
- Einstellungen
- Geräteinformationen
- App-Version
- Mobile Länderkennung
- Mobilfunknetzkennzahl
- Version des Betriebssystems
- Gerätehersteller
- Gerätemodell
Sie können mit ein paar Klicks ihre Account-Daten anfordern, die der Anbieter über die eigene Person gesammelt hat. Wir zeigen ihnen, wie Sie Ihre WhatsApp Account Informationen anfordern können.
Aus datenschutzrechtlicher Sicht liegt dadurch bereits ein Zugriff auf personenbezogene Daten vor, denn: Art. 4 DSGVO definiert personenbezogene Daten als konkrete Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Ganz ohne Zweifel gehört die Telefonnummer (mobil oder als Festnetzanschluss) zu diesen Daten.
Die Anforderungen der DSGVO verlangen, dass Sie als Unternehmer einen entsprechenden Vertrag schließen – und zwar vor der Auftragsverarbeitung. Zusätzlich müssen Sie von Ihren Kontakten die Einwilligung zur Weitergabe der Daten an WhatsApp Inc. einholen. Nur, wenn diese Voraussetzungen erfüllt sind, ist die berufliche Nutzung von WhatsApp als DSGVO-konform einzustufen.
3. Welche personenbezogenen Daten gibt WhatsApp weiter?
WhatsApp greift nicht nur selbst auf Daten zu, sondern gibt diese auch weiter. In den Datenschutzbestimmungen des Unternehmens heißt es in Bezug auf die Weitergabe der durch WhatsApp erhobenen personenbezogenen Daten explizit:
„WhatsApp Inc. teilt Informationen weltweit, sowohl intern mit den Facebook-Unternehmen als auch extern mit Unternehmen, Dienstleistern und Partnern und außerdem mit jenen, mit denen du weltweit kommunizierst. Deine Informationen können für die in dieser Datenschutzrichtlinie beschriebenen Zwecke beispielsweise in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet werden.“
Die Datenschutzbestimmung beschränkt sich dabei nicht nur auf die Weitergabe der Daten an den Mutterkonzern Facebook Inc., sondern lässt durch die Formulierung offen, ob und in welchem Maß auch weitere Unternehmen an die Daten gelangen.
Auf europäischer Ebene ist aber durch Art. 6 DSGVO eine derartige Weitergabe von Daten ohne Einwilligung verboten. Auch hier besteht also bei der Nutzung von Facebook ein Konflikt mit den datenschutzrechtlichen Vorschriften aus der Datenschutzgrundverordnung – es sei denn, es liegt eine Einwilligung vor und ein entsprechender Vertrag zur Auftragsdatenverarbeitung.
4. Ist der Einsatz von WhatsApp in Unternehmen erlaubt?
Kommt WhatsApp im wirtschaftlichen Alltag zum Einsatz, ist ohne Zustimmung der Kontakte und einem Vertrag zwischen WhatsApp Inc. und dem Unternehmen der Einsatz des Messenger-Dienstes rechtlich nicht zulässig und verstößt gegen die Bestimmungen der Datenschutzgrundverordnung.
Die Problematik besteht übrigens nicht erst seit der DSGVO: Schon im Mai 2017 hatte das Amtsgericht Bad Hersfeld (AZ F 120/17 EASO) festgestellt, dass die Übertragung der Daten aus der Kontaktliste im Smartphone an WhatsApp gegen datenschutzrechtliche Vorschriften aus dem Bundesdatenschutzgesetz verstößt und Abmahnungen begründen kann.
5. Ist der Einsatz von WhatsApp durch Privatpersonen erlaubt?
Wer als Privatperson WhatsApp auf dem privaten Handy nutzt, ist auch weiterhin von den datenschutzrechtlichen Vorschriften der DSGVO befreit, denn: Die Datenverarbeitung für rein persönliche und familiäre Zwecke wird gem. Art. 2 II c) DSGVO nicht erfasst.
Achtung: Wer das Privathandy nicht nur für persönliche und familiäre Zwecke nutzt, sondern hierüber auch geschäftliche Interessen wahrnimmt, für den sind die Vorschriften der DSGVO uneingeschränkt bindend. Besonderes Augenmerk gilt hierbei Smartphones, die die Möglichkeit bieten, zwei oder sogar mehrere SIM-Karten parallel zu benutzen: Da WhatsApp die gesamte Kontaktliste mit den eigenen Servern abgleicht, werden hierbei automatisch auch die auf dem Telefon gespeicherten privaten Kontakte erfasst. Eine „gemischte“ Nutzung ist damit aus datenschutzrechtlichen Überlegungen heraus konsequent abzulehnen!
Falls sie sich entscheiden sollten, einen Alternativen Messenger nutzen zu wollen und WhatsApp zu deinstallieren haben für sie eine Anleitung erstellt, um WhatsApp richtig zu löschen.
6. Alternativen: Einsatz von anderen Messenger-Diensten im Unternehmen
Nicht nur WhatsApp, sondern auch andere Messenger-Dienste kommen bei der Kommunikation im Geschäftsalltag immer häufiger zum Einsatz. Sie haben sich als effizient erwiesen, verkürzen Entscheidungswege deutlich und ermöglichen den unkomplizierten Austausch von Daten und Bildern. Datenschutzrechtlich gibt es aber oft Probleme.
Problem 1: Zugriff auf Telefonbuchdaten
Viele kostenlose Messenger-Apps greifen ebenfalls ungefragt auf alle Telefonbuchdaten des Smartphones zu und scheidet damit als DSGVO-konforme Alternative oft aus.
Problem 2: Keine Ende-zu-Ende-Verschlüsselung
Viele Messenger wie etwa der von Facebook bieten keine echte Ende-zu-Ende-Verschlüsselung und sind damit datenschutzrechtlich ebenfalls ungeeignet.
Problem 3: Anonyme Nutzung oft nicht möglich
Die meisten Messenger erlauben keine Anonyme Nutzung, es werden stets automatisch viele personenbezogene Daten, Standortdaten usw. Gespeichert, obwohl diese für die eigentliche Funktion oft gar nicht notwendig wären.
Wer Messenger-Dienste datenschutzkonform für das eigene Unternehmen einsetzen möchte, der sollte diese unter Datenschutzaspekten genau analysieren: Alternativen wie zum Beispiel der kostenpflichtige Instant-Messenger Threema erfüllen die Anforderungen der DSGVO und kommt ohne den Zugriff auf die Kontaktdaten aus. Alternative Messenger sind auch Signal oder Telegram.
7. So lassen sich Messenger-Dienste datenschutzkonform auf dem Firmenhandy nutzen
Wer auf Messenger-Dienste wie WhatsApp & Co. im Unternehmen nicht verzichten möchte oder kann, der muss sicherstellen, dass die Nutzung datenschutzkonform erfolgt.
Konkret heißt das, dass Sie zumindest die Einwilligung Ihrer Kontakte einholen müssen – und zwar ohne Ausnahme. Liegt diese schriftliche Einwilligung vor, brauchen Sie aber zudem noch einen Vertrag gem. Art. 28 DSGVO mit WhatsApp Inc. als Anbieter zur Datenverarbeitung. Erst dann ist gewährleistet, dass Sie nicht gegen die Vorschriften der DSGVO verstoßen.
Empfehlenswert ist ein Umstieg auf DSGVO-konforme Instant-Messenger. Nur so sind Sie auch langfristig gegen Abmahnungen geschützt und gewährleisten die durch die DSGVO normierten Standards.
Achtung: Nehmen Sie das Thema WhatsApp & Co. nicht auf die leichte Schulter! Verstöße gegen die DSGVO können empfindliche Sanktionen nach sich ziehen!
8. Fazit
Die Nutzung von WhatsApp zu geschäftlichen Zwecken ist aus datenschutzrechtlicher Sicht „legal“ aktuell kaum möglich. Praktisch lässt sich eine DSGVO-Konformität eben nur schwer umsetzen.
Zum einen fehlt es an der Möglichkeit, einen AV abzuschließen. Zum anderen wird es im geschäftlichen Alltag aus praktischen Gründen fast unmöglich sein, sich von sämtlichen geschäftlichen Kontakten eine entsprechende schriftliche Einwilligung einzuholen. Noch kompliziert wird es auch dann, wenn nicht alle Kontakte eine Zustimmung erteilen, denn: Konsequenterweise müssten Sie dann für alle Kontakte ohne Zustimmung ein Smartphone ohne WhatsApp betreiben.
WhatsApp und Messenger-Dienste, die auf ähnliche Art und Weise funktionieren, sollten Sie als Unternehmer aus Datenschutzgründen besser nicht installieren bzw. dringend deinstallieren, sofern Sie dies nicht schon im Rahmen der DSGVO-Compliance getan haben.
Datenschutz trotz Messenger: Welche Lösungen gibt es?
Aus Datenschutzgründen dürfen Unternehmen WhatsApp nicht mehr verwenden. Wenn Mitarbeiter zur firmeninternen Kommunikation, oder zur Kommunikation mit Kunden WhatsApp benutzen, dann ist das spätestens seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) rechtlich heikel.
Wer ein iPhone nutzt, kann WhatsApp unter dem Menüpunkt „Einstellungen, Datenschutz“ den Zugriff auf das Adressbuch verweigern. Android-Nutzer haben es nicht so leicht: Sie müssen eine zusätzliche App herunterladen, damit WhatsApp nicht mehr auf Kontakte zugreift.
Eine andere Möglichkeit bieten sogenannte Exchange-Container. Diese Programme sorgen dafür, dass WhatsApp nicht auf andere Daten im Smartphone zugreifen kann. Nachteil: Die Kontakte muss der Nutzer dann einzeln im Messenger speichern. „Für kleine Unternehmen ist das ein zu großer Zeit- und auch Kostenaufwand“.
Stattdessen könnten Unternehmen andere Messenger-Dienste nutzen: „Am besten Programme, deren Server in Europa stehen und damit datenschutzkonform sind.“ Doch welche datenschutzkonformen WhatsApp-Alternativen gibt es für die schnelle, mobile Kommunikation? Ein Überblick über allgemeine Messenger-Dienste, die Datenschutz ernst nehmen, und solche, die speziell auf Unternehmen ausgerichtet sind.
Update 19.05.2021