WhatsApp hat schon seit längerer Zeit die SMS ersetzt und ihre Beliebtheit sogar längst übertroffen. Allein für Deutschland geht man von rund 40 Millionen aktiven Nutzern aus, die sich tagtäglich unzählige Nachrichten, Fotos oder Standorte hin- und herschicken. Das ruft Unternehmen auf den Plan, die ebenso von den praktischen Funktionen wie von dem riesigen Kundenkreis, der sich über WhatsApp erreichen lässt, profitieren wollen.
Da WhatsApp die gewerbliche Nutzung von einer Genehmigung abhängig macht, bietet das Unternehmen speziell für den geschäftlichen Außenkontakt mit Kunden die App WhatsApp Business an, mit der sich Unternehmensprofile erstellen lassen, die den Kundenkontakt erleichtert und Statistiken erstellt, z.B. wie oft Nachrichten von den Kunden gelesen werden.
Die App ist vielfältig einsetzbar, effizient und fast jeder hat sie auf seinem Handy – perfekt für Unternehmen, wäre da nicht der Datenschutz. WhatsApp hält sich bei dem Thema nicht zurück und sagt, “Schutz der Privatsphäre und Sicherheit sind in unseren Genen”. Doch das sehen längst nicht alle so. Immer wieder melden sich Stimmen, die dem Umgang des Unternehmens mit den Daten seiner Nutzer vielmehr mit großer Skepsis begegnen. So wirft der neue Datenschutzbeauftragte des Bundes, Ulrich Kelber (SPD), WhatsApp vor, absichtlich gegen die europäischen Datenschutzregelungen zu verstoßen. Und das kann auch auf die Unternehmen zurückfallen, die WhatsApp für ihre Zwecke nutzen. Die Landesbeauftragte für den Datenschutz Niedersachsen betont ausdrücklich, dass der Einsatz von WhatsApp in Unternehmen vielfach gegen das geltende europäische Datenschutzrecht verstößt. Damit ist auch die Business-Version gemeint, für die kaum andere Datenschutzbestimmungen verwendet werden.
Da WhatsApp die gewerbliche Nutzung von einer Genehmigung abhängig macht, bietet das Unternehmen speziell für den geschäftlichen Außenkontakt mit Kunden die App WhatsApp Business an, mit der sich Unternehmensprofile erstellen lassen, die den Kundenkontakt erleichtert und Statistiken erstellt, z.B. wie oft Nachrichten von den Kunden gelesen werden.
Die App ist vielfältig einsetzbar, effizient und fast jeder hat sie auf seinem Handy – perfekt für Unternehmen, wäre da nicht der Datenschutz. WhatsApp hält sich bei dem Thema nicht zurück und sagt, “Schutz der Privatsphäre und Sicherheit sind in unseren Genen”. Doch das sehen längst nicht alle so. Immer wieder melden sich Stimmen, die dem Umgang des Unternehmens mit den Daten seiner Nutzer vielmehr mit großer Skepsis begegnen. So wirft der neue Datenschutzbeauftragte des Bundes, Ulrich Kelber (SPD), WhatsApp vor, absichtlich gegen die europäischen Datenschutzregelungen zu verstoßen. Und das kann auch auf die Unternehmen zurückfallen, die WhatsApp für ihre Zwecke nutzen. Die Landesbeauftragte für den Datenschutz Niedersachsen betont ausdrücklich, dass der Einsatz von WhatsApp in Unternehmen vielfach gegen das geltende europäische Datenschutzrecht verstößt. Damit ist auch die Business-Version gemeint, für die kaum andere Datenschutzbestimmungen verwendet werden.
Inhalt der Kritik
Installiert jemand WhatsApp auf seinem Smartphone, wird nach der Installation und später in regelmäßigen Abständen das Adressbuch des Nutzers ausgelesen, um anzuzeigen, welche Kontakte ebenfalls WhatsApp verwenden. Gleichzeitig werden Namen und Telefonnummern an WhatsApp übermittelt. Im Fokus der Kritik steht dabei insbesondere, dass darunter auch die Kontakte fallen, die selbst gar kein WhatsApp nutzen. Bezüglich der Kommunikationsdaten, also die Nachrichten, Fotos usw., die zwischen den Nutzern ausgetauscht werden, gewährleistet WhatsApp mit seiner Ende-zu-Ende-Verschlüsselung, dass weder WhatsApp noch irgendein Dritter mitlesen kann. Metadaten z.B. darüber, wie WhatsApp eingesetzt, wann und mit wem kommuniziert wird, werden aber durchaus erfasst.
Diese Daten gehen zunächst an die WhatsApp Ireland Limited in Dublin, die die Daten an andere Unternehmen des Facebook-Konzerns in die USA weitergibt – ein weiterer Punkt, der datenschutzrechtlich zumindest problematisch ist. Gleiches gilt für die Verwendung der Daten zu kaum eingegrenzten Zwecken, beispielsweise für Messungen, Analysen und sonstige Unternehmens-Services.
Diese Daten gehen zunächst an die WhatsApp Ireland Limited in Dublin, die die Daten an andere Unternehmen des Facebook-Konzerns in die USA weitergibt – ein weiterer Punkt, der datenschutzrechtlich zumindest problematisch ist. Gleiches gilt für die Verwendung der Daten zu kaum eingegrenzten Zwecken, beispielsweise für Messungen, Analysen und sonstige Unternehmens-Services.
Welche Gefahren gibt es für Unternehmen?
Betrachtet man zunächst die Auslesung des Adressbuchs, beurteilt sich die Rechtmäßigkeit des Einsatzes von WhatsApp in Unternehmen nach der DSGVO. Wenn das Unternehmen diesen frei- oder sogar vorgibt, entscheidet es über Zwecke und Mittel der Datenverarbeitung und trägt somit die datenschutzrechtliche Verantwortung gem. Art. 4 Nr. 7 DSGVO.
Damit die Verwendung rechtmäßig ist, bedarf es einer Rechtsgrundlage für die Datenverarbeitung. Unterschieden wird, ob die Personen, deren Daten verarbeitet werden, WhatsApp-Nutzer sind. Diese kommunizieren nämlich von sich aus über WhatsApp und haben dessen Nutzungs- und Datenschutzbestimmungen ebenfalls akzeptiert, in denen die Übermittlung der Kontaktdaten beschrieben wird. Darin lässt sich eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO sehen, die als Rechtsgrundlage dient. Andere stützen die Verarbeitung in dem Fall auf ein überwiegendes berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO. Die Entwicklung sollte aber beobachtet werden: Der Hamburgische Datenschutzbeauftragte Johannes Caspar äußerte jüngst Zweifel an der Freiwilligkeit der Zustimmung, da ohne sie der Dienst nicht genutzt werden kann – der neue EU-Datenschutzausschuss will sich dem Thema annehmen, wie übrigens auch dem Datenaustausch mit Facebook.
Ein besonderes Problem ergibt sich für Kontakte, die kein WhatsApp installiert haben. WhatsApp weist hier jede Verantwortung von sich und verlangt von seinen Nutzern, dafür zu garantieren, dass die Übermittlung der Daten rechtmäßig ist. Für Unternehmen ist auch deshalb Vorsicht geboten, da bei Datenschutzverletzungen Abmahnungen und im schlimmsten Fall Schadensersatzzahlungen oder Geldbußen nach Art. 82, 83 DSGVO drohen.
Dass WhatsApp die Daten in die USA weitergibt, ist im Gegensatz dazu bislang aus rechtlicher Sicht noch unproblematisch. Denn zurzeit ist das Privacy Shield-Abkommen in Kraft, das dieser Übermittlung gem. Art. 45 III DSGVO eine Rechtsgrundlage verleiht. Allerdings bestehen gegen dessen Rechtmäßigkeit einige Bedenken. Da bereits das Vorgängerabkommen Safe Harbor vom EuGH für unwirksam erklärt wurde, sollten Unternehmen in jedem Fall verfolgen, falls das Abkommen gerichtlich angegriffen werden sollte.
Dass nun WhatsApp die Daten weiter gebraucht und überdies mit den anderen Facebook-Unternehmen teilt, muss nicht zwingend auf die sich WhatsApp bedienenden Unternehmen zurückfallen. Denn zum einen wies der Generalanwalt des EuGHs, Michal Bobek, bereits im Verfahren zum Facebook-Like-Button darauf hin, dass eine Verantwortlichkeit eines Unternehmens auf die Bearbeitungsvorgänge beschränkt sein sollte, für die es tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung leiste. Im Falle von WhatsApp dürfte die Entscheidung für den Einsatz der App einen Beitrag in Bezug auf die Übermittlung darstellen, wohl kaum aber auf das, was WhatsApp dann mit den Daten macht.
Damit die Verwendung rechtmäßig ist, bedarf es einer Rechtsgrundlage für die Datenverarbeitung. Unterschieden wird, ob die Personen, deren Daten verarbeitet werden, WhatsApp-Nutzer sind. Diese kommunizieren nämlich von sich aus über WhatsApp und haben dessen Nutzungs- und Datenschutzbestimmungen ebenfalls akzeptiert, in denen die Übermittlung der Kontaktdaten beschrieben wird. Darin lässt sich eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO sehen, die als Rechtsgrundlage dient. Andere stützen die Verarbeitung in dem Fall auf ein überwiegendes berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO. Die Entwicklung sollte aber beobachtet werden: Der Hamburgische Datenschutzbeauftragte Johannes Caspar äußerte jüngst Zweifel an der Freiwilligkeit der Zustimmung, da ohne sie der Dienst nicht genutzt werden kann – der neue EU-Datenschutzausschuss will sich dem Thema annehmen, wie übrigens auch dem Datenaustausch mit Facebook.
Ein besonderes Problem ergibt sich für Kontakte, die kein WhatsApp installiert haben. WhatsApp weist hier jede Verantwortung von sich und verlangt von seinen Nutzern, dafür zu garantieren, dass die Übermittlung der Daten rechtmäßig ist. Für Unternehmen ist auch deshalb Vorsicht geboten, da bei Datenschutzverletzungen Abmahnungen und im schlimmsten Fall Schadensersatzzahlungen oder Geldbußen nach Art. 82, 83 DSGVO drohen.
Dass WhatsApp die Daten in die USA weitergibt, ist im Gegensatz dazu bislang aus rechtlicher Sicht noch unproblematisch. Denn zurzeit ist das Privacy Shield-Abkommen in Kraft, das dieser Übermittlung gem. Art. 45 III DSGVO eine Rechtsgrundlage verleiht. Allerdings bestehen gegen dessen Rechtmäßigkeit einige Bedenken. Da bereits das Vorgängerabkommen Safe Harbor vom EuGH für unwirksam erklärt wurde, sollten Unternehmen in jedem Fall verfolgen, falls das Abkommen gerichtlich angegriffen werden sollte.
Dass nun WhatsApp die Daten weiter gebraucht und überdies mit den anderen Facebook-Unternehmen teilt, muss nicht zwingend auf die sich WhatsApp bedienenden Unternehmen zurückfallen. Denn zum einen wies der Generalanwalt des EuGHs, Michal Bobek, bereits im Verfahren zum Facebook-Like-Button darauf hin, dass eine Verantwortlichkeit eines Unternehmens auf die Bearbeitungsvorgänge beschränkt sein sollte, für die es tatsächlich einen Beitrag zur Entscheidung über die Mittel und Zwecke der Verarbeitung leiste. Im Falle von WhatsApp dürfte die Entscheidung für den Einsatz der App einen Beitrag in Bezug auf die Übermittlung darstellen, wohl kaum aber auf das, was WhatsApp dann mit den Daten macht.
Lassen sich Rechtsverstöße vermeiden?
Natürlich könnte man daran denken, von allen Personen, die kein WhatsApp gebrauchen, eine entsprechende Einwilligung einzuholen. Das dürfte aber angesichts vieler Kontakte kaum praktikabel sein. Zudem lässt sich in den seltensten Fällen umfassend sicherstellen, dass jede Person erfasst wurde. Auch könnte man das gesamte Adressbuch nicht mehr verwenden, sobald auch nur ein Kontakt, der kein WhatsApp einsetzt, die Einwilligung verweigert.
Wenn möglich, kann man mit einem leeren Adressbuch arbeiten oder über das Betriebssystem der Smartphones, bei Android ab Version 6.0 möglich, den Zugriff der App auf die gespeicherten Kontakte ausschließen. Das verringert ihre Funktionalität allerdings deutlich. So kann der Nutzer nur von anderen erstmalig kontaktiert und zu einem Chat eingeladen werden. Es ist auch keine manuelle Eingabe einer Telefonnummer möglich. Für viele Anwendungen erscheint also auch das nicht als griffige Lösung.
Daneben lassen sich Mobile-Device-Management-Applikationen einrichten, mit denen insbesondere Zugriffsrechte auf bestimmte Daten festgelegt werden können. Sog. Sicherheitscontainer trennen zudem auf dem Gerät den privaten vom geschäftlichen Bereich. Technisch sind solche Lösungen in der Lage, die nötigen datenschutzrechtlichen Voraussetzungen zu erfüllen. Sie verursachen jedoch einen großen finanziellen und organisatorischen Aufwand, sodass sie für viele Unternehmen nicht in Betracht kommen. Denkbar ist auch die Nutzung einer Adressbuch-App, um zwei Adressbücher auf einem Gerät zu verwenden und die WhatsApp-nutzenden Kontakte von den übrigen zu trennen. Doch hier sind die Sicherheitsanforderungen nicht immer erfüllt und es muss im Einzelfall immer sicher geprüft werden können, ob ein Kontakt WhatsApp verwendet oder nicht.
Für den internen Gebrauch im Unternehmen ist es zu empfehlen, ganz einfach auf eine alternative App umzusteigen. Allerdings muss auch hier sichergestellt sein, dass nicht ebenfalls Rechtsverletzungen drohen. Die App Signal verlangt z.B. keinen Abgleich des Adressbuchs. Threema, für geschäftliche Zwecke ThreemaWork, ermöglicht darüber hinaus sogar eine anonyme Nutzung ohne die Anmeldung mit einer Telefonnummer oder E-Mail-Adresse. Für den Kundenkontakt fehlt solchen Apps bislang aber meist noch die Verbreitung.
Möchte man auch in der Kundenkommunikation nicht auf die Vorteile verzichten, sollte man vermeiden, andere Kontakte auf dem Gerät zu speichern als die, mit denen man über WhatsApp kommuniziert. Zu groß ist die Gefahr, dass sich darunter auch Personen, die kein WhatsApp nutzen, befinden und Datenrechtsverstöße begangen werden. Man sollte also ein Adressbuch anlegen, das nur mit WhatsApp-Kontakten gefüllt ist. Will ein Unternehmen beispielsweise über WhatsApp Business mit seinen Kunden in Kontakt treten, bietet sich dafür ein separates Gerät an.
Wenn möglich, kann man mit einem leeren Adressbuch arbeiten oder über das Betriebssystem der Smartphones, bei Android ab Version 6.0 möglich, den Zugriff der App auf die gespeicherten Kontakte ausschließen. Das verringert ihre Funktionalität allerdings deutlich. So kann der Nutzer nur von anderen erstmalig kontaktiert und zu einem Chat eingeladen werden. Es ist auch keine manuelle Eingabe einer Telefonnummer möglich. Für viele Anwendungen erscheint also auch das nicht als griffige Lösung.
Daneben lassen sich Mobile-Device-Management-Applikationen einrichten, mit denen insbesondere Zugriffsrechte auf bestimmte Daten festgelegt werden können. Sog. Sicherheitscontainer trennen zudem auf dem Gerät den privaten vom geschäftlichen Bereich. Technisch sind solche Lösungen in der Lage, die nötigen datenschutzrechtlichen Voraussetzungen zu erfüllen. Sie verursachen jedoch einen großen finanziellen und organisatorischen Aufwand, sodass sie für viele Unternehmen nicht in Betracht kommen. Denkbar ist auch die Nutzung einer Adressbuch-App, um zwei Adressbücher auf einem Gerät zu verwenden und die WhatsApp-nutzenden Kontakte von den übrigen zu trennen. Doch hier sind die Sicherheitsanforderungen nicht immer erfüllt und es muss im Einzelfall immer sicher geprüft werden können, ob ein Kontakt WhatsApp verwendet oder nicht.
Für den internen Gebrauch im Unternehmen ist es zu empfehlen, ganz einfach auf eine alternative App umzusteigen. Allerdings muss auch hier sichergestellt sein, dass nicht ebenfalls Rechtsverletzungen drohen. Die App Signal verlangt z.B. keinen Abgleich des Adressbuchs. Threema, für geschäftliche Zwecke ThreemaWork, ermöglicht darüber hinaus sogar eine anonyme Nutzung ohne die Anmeldung mit einer Telefonnummer oder E-Mail-Adresse. Für den Kundenkontakt fehlt solchen Apps bislang aber meist noch die Verbreitung.
Möchte man auch in der Kundenkommunikation nicht auf die Vorteile verzichten, sollte man vermeiden, andere Kontakte auf dem Gerät zu speichern als die, mit denen man über WhatsApp kommuniziert. Zu groß ist die Gefahr, dass sich darunter auch Personen, die kein WhatsApp nutzen, befinden und Datenrechtsverstöße begangen werden. Man sollte also ein Adressbuch anlegen, das nur mit WhatsApp-Kontakten gefüllt ist. Will ein Unternehmen beispielsweise über WhatsApp Business mit seinen Kunden in Kontakt treten, bietet sich dafür ein separates Gerät an.
Fazit
Bei der Verwendung von WhatsApp im Unternehmen stehen auf der einen Seite eine Menge Vorteile, die auf der anderen Seite von datenschutzrechtlichen Problemstellungen wieder in Frage gestellt werden. Doch unmöglich ist es nicht, Messenger im Unternehmensalltag zu gebrauchen. Man sollte aber die entsprechenden Anforderungen an den Datenschutz beachten, auch wenn damit unter Umständen ein Mehraufwand verbunden ist. Um diesen möglichst gering zu halten, ist es empfehlenswert, bereits von Anfang an sich damit auseinanderzusetzen und je nach Art der Anwendung die notwendigen Maßnahmen zu ergreifen.
Autorin Simone Rosenthal
Simone Rosenthal ist Partnerin bei der Technologiekanzlei Schürmann Rosenthal Dreyer und spezialisiert auf das digitale Business. Die Rechtsanwältin hat sich erfolgreich als Expertin für Datenschutz-, IT-Recht und Wettbewerbsrecht etabliert.
Sie ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, einem Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet.
Simone Rosenthal ist Co-Founder von lawpilots, einem LegalTech für das digitale Lernen rund um die Themen Digitalisierung & Recht.