WhatsApp & Datenschutz: Ist der Einsatz der App im Unternehmen erlaubt?

WhatsApp ist praktisch. Man kann schnell mal eine Nachricht an Freunde schreiben, Fotos und Standorte versenden, Gruppen erstellen und einiges mehr. Auch Unternehmen sehen die Vorteile der App. Ob intern mit Kollegen oder nach außen hin mit Kunden kommuniziert, Werbung versendet oder ein Kundenservice errichtet wird – WhatsApp macht alles schneller, effizienter und persönlicher. Und nicht zuletzt ist WhatsApp derart weit verbreitet, dass sich ein großer Kundenkreis damit erreichen lässt. Allein für Deutschland geht man von rund 40 Millionen aktiven Nutzern aus. Da WhatsApp die gewerbliche Nutzung von einer Genehmigung abhängig macht, bietet das Unternehmen speziell für den geschäftlichen Außenkontakt mit Kunden die App WhatsApp Business an, mit der sich Unternehmensprofile erstellen lassen, die den Kundenkontakt erleichtert und Statistiken erstellt, z.B. wie oft Nachrichten von den Kunden gelesen werden.
Doch kann man als Unternehmen WhatsApp bedenkenlos einsetzen?

Bedenkenlos sicherlich nicht, denn es können sich einige Probleme mit dem Datenschutz ergeben. WhatsApp hält sich bei dem Thema nicht zurück und sagt, “Schutz der Privatsphäre und Sicherheit sind in unseren Genen”. Doch das sehen längst nicht alle so. Immer wieder melden sich Stimmen, die dem Umgang des Unternehmens mit den Daten seiner Nutzer vielmehr mit großer Skepsis begegnen. So wirft der neue Datenschutzbeauftragte des Bundes, Ulrich Kelber (SPD), WhatsApp vor, absichtlich gegen die europäischen Datenschutzregelungen zu verstoßen. Und das kann auch auf die Unternehmen zurückfallen, die WhatsApp für ihre Zwecke nutzen. Die Landesbeauftragte für den Datenschutz Niedersachsen betont ausdrücklich, dass der Einsatz von WhatsApp in Unternehmen vielfach gegen das geltende europäische Datenschutzrecht verstößt. Damit ist auch die Business-Version gemeint, für die kaum andere Datenschutzbestimmungen verwendet werden.

Wo genau liegen die Probleme?

Installiert jemand WhatsApp auf seinem Smartphone, wird nach der Installation und später in regelmäßigen Abständen das Adressbuch des Nutzers ausgelesen, um anzuzeigen, welche Kontakte ebenfalls WhatsApp verwenden. Gleichzeitig werden Namen und Telefonnummern an den Messenger-Dienst übermittelt. Im Fokus der Kritik steht dabei insbesondere, dass darunter auch die Kontakte fallen, die selbst gar kein WhatsApp nutzen. Bezüglich der Kommunikationsdaten, also die Nachrichten, Fotos usw., die zwischen den Nutzern ausgetauscht werden, gewährleistet WhatsApp mit seiner Ende-zu-Ende-Verschlüsselung, dass weder WhatsApp noch irgendein Dritter mitlesen kann. Metadaten z.B. darüber, wie WhatsApp eingesetzt, wann und mit wem kommuniziert wird, werden aber durchaus erfasst.

Diese Daten gehen zunächst an die WhatsApp Ireland Limited in Dublin, die die Daten an andere Unternehmen des Facebook-Konzerns in die USA weitergibt – ein weiterer Punkt, der datenschutzrechtlich zumindest problematisch ist. Gleiches gilt für die Verwendung der Daten zu kaum begrenzten Zwecken, beispielsweise für Messungen, Analysen und sonstige Unternehmens-Services.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Wo liegen dabei die datenschutzrechtlichen Gefahren für Unternehmen?

Betrachtet man zunächst die Auslesung des Adressbuchs, beurteilt sich die Rechtmäßigkeit des Einsatzes von WhatsApp in Unternehmen nach der DSGVO. Wenn das Unternehmen diesen frei- oder sogar vorgibt, entscheidet es über Zwecke und Mittel der Datenverarbeitung und trägt somit die datenschutzrechtliche Verantwortung gem. Art. 4 Nr. 7 DSGVO.

Damit die Verwendung rechtmäßig ist, bedarf es einer Rechtsgrundlage für die Datenverarbeitung. Ob WhatsApp nun zur internen oder externen Kommunikation verwendet wird: entscheidend ist, wer sich im Adressbuch befindet. Geht es um die Personen, die selbst bei sich WhatsApp installiert haben, ist eine Einhaltung der Datenschutzregelungen einfacher. Diese Personen kommunizieren von sich aus über WhatsApp und haben dessen Nutzungs- und Datenschutzbestimmungen ebenfalls akzeptiert, in denen die Übermittlung der Kontaktdaten beschrieben wird. Darin lässt sich eine zumindest konkludent erteilte Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO sehen, die als Rechtsgrundlage dient. Andere stützen die Verarbeitung in dem Fall auf ein überwiegendes berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Das eigentliche Problem ergibt sich für Kontakte, die kein WhatsApp installiert haben. WhatsApp weist hier jede Verantwortung von sich und verlangt von seinen Nutzern, dafür zu garantieren, dass die Übermittlung der Daten rechtmäßig ist. Für Unternehmen ist auch deshalb Vorsicht geboten, da bei Datenschutzverletzungen Abmahnungen und im schlimmsten Fall Schadensersatzzahlungen oder Geldbußen nach Art. 82, 83 DSGVO drohen.

Dass WhatsApp die Daten in die USA weitergibt, ist im Gegensatz dazu bislang aus rechtlicher Sicht noch unproblematisch. Denn zurzeit ist das Privacy Shield-Abkommen in Kraft, das dieser Übermittlung gem. Art. 45 III DSGVO eine Rechtsgrundlage verleiht. Allerdings bestehen gegen dessen Rechtmäßigkeit einige Bedenken. Da bereits das Vorgängerabkommen Safe Harbor vom EuGH für unwirksam erklärt wurde, sollten Unternehmen in jedem Fall verfolgen, falls das Abkommen gerichtlich angegriffen werden sollte.

Dass nun WhatsApp die Daten weiter gebraucht und überdies mit den anderen Facebook-Unternehmen teilt, muss nicht zwingend auf die sich WhatsApp bedienenden Unternehmen zurückfallen. Denn zum einen wies der Generalanwalt des EuGHs, Michal Bobek, bereits im Verfahren zum Facebook-Like-Button darauf hin, dass eine Verantwortlichkeit eines Unternehmens auf die Bearbeitungsvorgänge beschränkt sein sollte, für die es tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung leiste. Im Falle von WhatsApp dürfte die Entscheidung für den Einsatz der App einen Beitrag in Bezug auf die Übermittlung darstellen, wohl kaum aber auf das, was WhatsApp dann mit den Daten macht. Letztlich ist aber auch hier zu beachten, dass bei WhatsApp verwendenden Kontakten diese genau darin eingewilligt haben, bevor sie sich die App installiert haben. Denn diese Vorgänge werden in den Nutzungs- und Datenschutzbestimmungen erläutert.

Wie kann ein Unternehmen dennoch Verletzungen der DSGVO vermeiden?

Natürlich könnte man daran denken, von allen Personen, die WhatsApp Messenger gebrauchen, eine entsprechende Einwilligung einzuholen. Das dürfte aber angesichts vieler Kontakte kaum praktikabel sein. Zudem lässt sich in den seltensten Fällen umfassend sicherstellen, dass jede Person erfasst wurde. Auch könnte man das gesamte Adressbuch nicht mehr verwenden, sobald auch nur ein Kontakt, der kein WhatsApp einsetzt, die Einwilligung verweigert.

Wenn möglich, kann man mit einem leeren Adressbuch arbeiten oder über das Betriebssystem der Smartphones, bei Android ab Version 6.0 möglich, den Zugriff der App auf die gespeicherten Kontakte ausschließen. Das verringert ihre Funktionalität allerdings deutlich. So kann der Nutzer nur von anderen erstmalig kontaktiert und zu einem Chat eingeladen werden. Es ist auch keine manuelle Eingabe einer Telefonnummer möglich. Für viele Anwendungen erscheint also auch das nicht als griffige Lösung.

Daneben lassen sich Mobile-Device-Management-Applikationen einrichten, mit denen insbesondere Zugriffsrechte auf bestimmte Daten festgelegt werden können. Sog. Sicherheitscontainer trennen zudem auf dem Gerät den privaten vom geschäftlichen Bereich. Technisch sind solche Lösungen in der Lage, die nötigen datenschutzrechtlichen Voraussetzungen zu erfüllen. Sie verursachen jedoch einen großen finanziellen und organisatorischen Aufwand, sodass sie für viele Unternehmen nicht in Betracht kommen. Denkbar ist auch die Nutzung einer Adressbuch-App, um zwei Adressbücher auf einem Gerät zu verwenden und die WhatsApp-nutzenden Kontakte von den übrigen zu trennen. Doch hier sind die Sicherheitsanforderungen nicht immer erfüllt und es muss im Einzelfall immer sicher geprüft werden können, ob ein Kontakt WhatsApp verwendet oder nicht.

Für den internen Gebrauch im Unternehmen ist es zu empfehlen, ganz einfach auf eine alternative App umzusteigen. Allerdings muss auch hier sichergestellt sein, dass nicht ebenfalls Rechtsverletzungen drohen. Die App Signal verlangt z.B. keinen Abgleich des Adressbuchs. Threema, für geschäftliche Zwecke ThreemaWork, ermöglicht darüber hinaus sogar eine anonyme Nutzung ohne die Anmeldung mit einer Telefonnummer oder E-Mail-Adresse. Für den Kundenkontakt fehlt solchen Apps bislang aber meist noch die Verbreitung.

Möchte man auch in der Kundenkommunikation nicht auf die Vorteile verzichten, sollte man vermeiden, andere Kontakte auf dem Gerät zu speichern als die, mit denen man über WhatsApp kommuniziert. Zu groß ist die Gefahr, dass sich darunter auch Personen, die kein WhatsApp nutzen, befinden und Datenrechtsverstöße begangen werden. Man sollte also ein Adressbuch anlegen, das nur mit WhatsApp-Kontakten gefüllt ist. Will ein Unternehmen beispielsweise über WhatsApp Business mit seinen Kunden in Kontakt treten, bietet sich dafür ein separates Gerät an.

Fazit

Bei der Verwendung von WhatsApp im Unternehmen stehen auf der einen Seite eine Menge Vorteile, die auf der anderen Seite von datenschutzrechtlichen Problemstellungen wieder in Frage gestellt werden. Doch unmöglich ist es nicht, Messenger im Unternehmensalltag zu gebrauchen. Man sollte aber die entsprechenden Anforderungen an den Datenschutz beachten, auch wenn damit unter Umständen ein Mehraufwand verbunden ist. Um diesen möglichst gering zu halten, ist es empfehlenswert, sich bereits von Anfang an damit auseinanderzusetzen und je nach Art der Anwendung die notwendigen Maßnahmen zu ergreifen.

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.