Vetter Gerlach Hartmann Rechtsanwälte
Aktuelle Fachbeiträge
 

Datenschutz Newsletter-Empfehlung zum Thema Datenschutz und IT-Sicherheit – activemind.AG – Hier zum Thema datenschutzkonformer Einsatz von Whatsapp für Unternehmen

Die Nutzung des Messenger-Dienstes WhatsApp ist auch für Unternehmen äußerst vorteilhaft: Attraktive Funktionen zur Strukturierung von Nachrichten, Empfängern und Inhalten bieten echte Mehrwerte. Darüber hinaus ist der Dienst kostenlos (zumindest monetär gesehen), unbeschränkt und über Ländergrenzen hinweg nutzbar. Doch können Unternehmen bzw. Businesskunden unter der EU-Datenschutz-Grundverordnung (DSGVO) WhatsApp überhaupt datenschutzkonform nutzen? Was gilt für die Kommunikation mit Kunden, Mitarbeitern oder Bewerbern?

Update Mai 2020: Die irische Datenschutzaufsichtsbehörde IPC prüft seit 2018, ob Whatsapp die Informationspflichten gem. Art. 12 – 14 DSGVO verletzt hat. Insbesondere wird von der IPC gerügt, dass Whatsapp nur mangelhaft über die Weitergabe von Nutzerdaten an die Konzernmutter Facebook informiert habe.

Die IPC hat einen Beschlussentwurf verfasst, zu dem Whatsapp die Möglichkeit hat, Stellung zu nehmen. Danach wird der Entwurf gem. Art. 60 DSGVO den betroffenen Aufsichtsbehörden der Mitgliedsstaaten vorgelegt. Sie können Einspruch einlegen, was den Zeitpunkt des endgültigen Beschlusses und der Verhängung eines Bußgelds gegen Whatsapp deutlich verzögern könnte.

Der Einsatz von WhatsApp im Unternehmen

Der Einsatz von WhatsApp ist für Unternehmen aller Branchen vor allem deswegen attraktiv, weil die App einen sehr hohen Verbreitungsgrad bei Nutzern von mobilen Endgeräten (Smartphones) hat. Die Anwendungsfälle sind zahlreich: Handwerksbetriebe und Maschinenhersteller lassen sich Defekte vorab per Bild zuschicken, um Ferndiagnosen durchzuführen oder Kostenvoranschläge zu erstellen. Personalagenturen erleichtern ihren Kandidaten die Kommunikation und treten mit Bewerbern durch die App unkompliziert in Kontakt.

Der Vorteil: Ansprechpartner aber auch Mitarbeiter können wesentlich besser erreicht werden. Findige Arbeitgeber nutzen die hohe private Aktivität ihrer Mitarbeiter, um diese Tag und Nacht für betriebliche Belange kontaktieren zu können. Auch WhatsApp-Gruppen für ganze Abteilungen sind hoch im Kurs bei den Mitarbeitern und weit verbreitet. Das Vorgehen steigert die Produktivität, ist bequem für alle Beteiligten und verschmilzt irrigerweise geschäftliche mit privater Kommunikation.

Was häufig übersehen wird ist, dass die Kontaktierung des WhatsApp-Accounts eines Kunden oder Mitarbeiters noch nicht bedeutet, dass es sich um einen Vorgang handelt, der dem Privatbereich zugeordnet werden kann. Die rein private Nutzung von WhatsApp unter Freunden bzw. in der Familie fällt nicht unter den Anwendungsbereich der DSGVO. Sofern der Zweck der Kontaktierung allerdings überwiegend geschäftlich ist, finden die europäischen Datenschutzregeln Anwendung.

Datenschutzrechtliche Herausforderungen beim geschäftlichen Einsatz von WhatsApp

Die DSGVO sieht einige Maßnahmen zum Schutz personenbezogener Daten von Nutzern vor, die von WhatsApp momentan nicht eingehalten werden. Die mit europäischem Datenschutzrecht unvereinbaren Praktiken sind u. a.:

Alle lokal gespeicherten Kontakte des WhatsApp-Nutzers werden zum Abgleich auf Server in den USA geschickt. Die Übermittlung dieser personenbezogenen Daten erfordert eine rechtswirksame Einwilligung jeder Kontaktperson, welche schlichtweg fehlt und den Datentransfer damit verbietet.

Obwohl die Kommunikationsinhalte Ende-zu-Ende verschlüsselt sind, beanstandet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), dass Metadaten von WhatsApp in den USA verarbeitet werden. Metadaten sind alle Daten, außer dem eigentlichen Inhalt der Nachricht, d. h. auch Informationen zu Sender und Empfänger der WhatsApp-Nachricht.

In seinen FAQ zum Datenschutz bestätigt WhatsApp, dass Informationen wie Telefonnummer, Informationen zu den genutzten Geräten sowie Art und Häufigkeit der Nutzung an Facebook weitergegeben werden. Dieser Austausch wird von den Datenschutzbehörden als kritisch eingestuft.

Die Nutzungsbedingungen erlauben den geschäftlichen Einsatz der App nur mit voriger Einwilligung von WhatsApp. WhatsApp hat kürzlich sein neues Produkt „WhatsApp Business“ veröffentlicht, welches allerdings keine datenschutzrechtlichen Verbesserungen bringt.

Die datenschutzrechtlichen Mängel haben große Konzerne wie die Deutsche Bank, BMW und Continental dazu bewogen, die Nutzung von WhatsApp auf dienstlichen Handys zu verbieten. Weil unter der DSGVO Strafen von bis zu 20 Millionen Euro für Verstöße solcher Art drohen, steht viel auf dem Spiel. Auch für Lehrer hat der Landesbeauftragte für Datenschutz Baden-Württemberg ein klares WhatsApp-Verbot bei dienstlicher Kommunikation mit Schülern und Erziehungsberechtigten ausgesprochen.

Datenschutzkonforme Implementierung von WhatsApp im Unternehmen

Angesichts der oben aufgeführten Bedenken stellt sich die Frage, ob WhatsApp von Unternehmen überhaupt datenschutzkonform eingesetzt werden kann. Vom Einsatz der App zur Mitarbeiterkommunikation untereinander (zu geschäftlichen Zwecken) wird abgeraten, da WhatsApp nach Meinung des BayLDA ein Sicherheitsrisiko für die Organisation darstellt. Unter bestimmten Voraussetzungen können Unternehmen WhatsApp aber zumindest zur Kommunikation mit externen Geschäftspartnern nutzen oder Mitarbeitern den Einsatz auf Diensthandys einräumen.

WhatsApp auf Diensthandys zur privaten Nutzung

Sofern Sie Mitarbeitern die private Nutzung von WhatsApp auf dem Diensthandy ermöglichen möchten, kann ein Mobile Device Management (MDM) den privaten Bereich des Handys vom geschäftlichen abgrenzen. So kann der Arbeitgeber sicherstellen, dass WhatsApp nicht auf geschäftliche Kontakte zugreift und Fehlhandlungen nicht seiner Verantwortlichkeit unterliegen.

Sofern Ihr Unternehmen kein MDM nutzt, gibt es zusätzliche Apps wie z. B. Securecontact, die geschäftliche Kontakte vor dem Zugriff von WhatsApp schützen. Wichtig ist allerdings, dass diese Apps wiederum keine Kontakte durch die Welt schicken. Alternativ können Sie auch WhatsApp den Zugriff auf das Adressbuch untersagen, darunter leidet aber deutlich der Komfort.

Mitarbeiter müssen zu den genannten Maßnahmen im Rahmen des Direktionsrechts dokumentiert angewiesen werden.

WhatsApp zur Kundenkommunikation

Das BayLDA hat angekündigt, nicht zu beanstanden, wenn Unternehmen mit Kunden über WhatsApp in Verbindung treten, sofern auf die Datenschutzbedenken hingewiesen wurde und den Kunden gleichzeitig ein anderer sicherer Kommunikationsweg angeboten wird. Diese Aussage ist allerdings mit Vorsicht zu genießen, besonders für Unternehmen außerhalb Bayerns.

Eine allgemeingültige Alternative der Landesbeauftragten für den Datenschutz Niedersachsen ist es, Kunden über Bedenken zu informieren, einen sichereren Kommunikationsweg anzubieten und WhatsApp den Zugriff auf das Adressbuch zu verwehren (z. B. durch zusätzliche App oder Systemeinstellung). Klassischer Anwendungsfall ist eine Autowerkstatt, die ein WhatsApp-Handy bereithält. Nach bzw. bei telefonischen Anfragen kann leicht ein Bild des eingedellten Seitenschwellers empfangen werden um einen Kostenvoranschlag zu erstellen.

Sofern besondere personenbezogene Daten gemäß Art. 9 DSGVO verschickt werden sollen, ist von WhatsApp gänzlich abzuraten. Die Daten werden intern auf eine Art und Weise verarbeitet, die mit dem geltenden Datenschutzrecht nicht in Einklang zu bringen ist (keinerlei Zweckbeschränkung durch WhatsApp, kein Privacy by Design). Ein Beispiel wäre eine Apotheke, die Rezepte per WhatsApp empfängt oder Ärzte, die sich Fotografien von körperlichen Leiden zuschicken lassen.

Fazit: WhatsApp-Nutzung durch Unternehmen ist eingeschränkt möglich

Unter den oben aufgeführten Bedingungen ist WhatsApp in Unternehmen durchaus einsetzbar. Aktuelle Entscheidungen von Datenschutzaufsichtsbehörden und Gerichten sollten jedoch verfolgt werden (und fließen laufend in diesen Artikel ein).

Darüber hinaus könnte die geplante ePrivacy-Verordnung die Datensicherheit für Kommunikationsdienste wie WhatsApp neu regeln. Es bleibt zu hoffen, dass für Anwender dann mehr Rechtssicherheit geschaffen wird.

(Quelle: Klaus Foitzick activeMind.AG https://www.activemind.de/magazin/datenschutz-whatsapp/)

Wir empfehlen die Website und insbesondere den Newsletter zum Thema Datenschutz und IT-Sicherheit

Beitrag veröffentlicht am
1. Mai 2020

Solveig Bauer
Vetter Gerlach Hartmann Rechtsanwälte PartGmbB
Rechtsanwältin
Alle Beiträge von Solveig Bauer

Sandro Dietrich
Vetter Gerlach Hartmann Rechtsanwälte PartGmbB
Rechtsanwalt
Alle Beiträge von Sandro Dietrich

Stichworte in diesem Beitrag
Diesen Beitrag teilen

Das könnte Sie auch interessieren

06.02.2024

Verfahrensfehlerhafter Betriebsratsbeschluss

Beitrag lesen
06.02.2024

Weiterbeschäftigung in ausländischem Betrieb nach betriebsbedingter Kündigung?

Beitrag lesen
Zivilrecht, Zivilverfahrensrecht, Kaufrecht, Kaufvertragsrecht
18.10.2023

Gerichtsstand bei Rücktritt vom Fahrzeugkauf

Ein Käufer, der vom Kaufvertrag eines ihm bereits überlassenen Fahrzeuges zurücktritt, darf die Vertragsrückabwicklung regelmäßig an dem für seinen Wohnsitz zuständigen Amts- oder Landgericht einklagen und ist nicht verpflichtet, den Prozess beim Gericht am Wohn- oder Geschäftssitz des beklagten Verkäufers zu führen.

Beitrag lesen
Alle Fachbeiträge anzeigen

Einwilligung in Cookies zur Erhebung und Weitergabe Ihrer Nutzerdaten an Dritte

Wir platzieren auf unserer Webseite technisch notwendige Cookies, die die grundlegenden Funktionen der Website gewährleisten und unentbehrlich sind. Für diese Cookies benötigen wir keine Einwilligung, so dass diese Cookies auch dann gesetzt werden, wenn Sie unten „alle ablehnen“ auswählen. Technisch notwendige Cookies verwenden wir, um unsere Dienste anbieten zu können und um vom Nutzer vorgenommene Einstellungen (wie z. B. die präferierte Sprache) zu speichern. Im Falle Ihrer Einwilligung verwenden wir darüber hinaus weitere performancesteigernde Cookies (Statistik und Nutzungsmessung sowie externe Dienste). Die Cookies verwenden wir ausschließlich dazu, unsere Website Ihren Wünschen entsprechend anpassen und weiterentwickeln zu können. Dabei werden Ihre personenbezogenen Daten (IP-Adresse, Nutzerverhalten etc.) verarbeitet und gespeichert, um die obigen Zwecke zu erreichen. Eine Identifizierung Ihrer Person ist durch die Pseudonymisierung der Daten nicht zu befürchten. Die Erläuterung zu den verschiedenen Cookies und datenschutzrechtlichen Vorgängen finden Sie unter „individuelle Einstellungen vornehmen“ oder in unseren Datenschutzhinweisen. Durch die Betätigung eines der untenstehenden Buttons willigen Sie in die Verwendung der jeweils ausgewählten Cookies und gleichzeitig in die Verarbeitung Ihrer personenbezogenen Daten zu oben beschriebenen Zwecken ein. Die Erteilung der Einwilligungen ist freiwillig.

Details finden Sie in unserer Datenschutzerklärung,   hier finden Sie unser Impressum

Einstellungen
Essentielle Dienste und Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

Mit dem DIRO Multisite Cookie werden die von Ihnen selbst vorgenommenen Einstellungen auf dieser Website (z. B. die bevorzugte Sprache) sowie die von Ihnen zugelassenen Inhalte externer Anbieter gespeichert. Dabei werden unter dem Verarbeitungsvorgang DIRO_C_FINGERPRINT die IDs der beim letzten Seitenaufruf vorhandenen zustimmungspflichtigen Dienste, sowie deren Konfigurationseinstellungen und die Zuordnung zu Kategorien im Datenschutz Popup (als verschlüsselte Zeichenfolge) erhoben und gespeichert. Alleiniger Zweck dieser Datenverarbeitung ist die Speicherung der vorgenommenen Einstellungen. Die Speicherung erfolgt für ein Jahr.

Details finden Sie in unserer Datenschutzerklärung,   hier finden Sie unser Impressum