Vetter Gerlach Hartmann Rechtsanwälte
Aktuelle Fachbeiträge
 

Datenschutz Newsletter-Empfehlung zum Thema Datenschutz und IT-Sicherheit – activemind.AG – Hier zum Thema datenschutzkonformer Einsatz von Whatsapp für Unternehmen

Die Nutzung des Messenger-Dienstes WhatsApp ist auch für Unternehmen äußerst vorteilhaft: Attraktive Funktionen zur Strukturierung von Nachrichten, Empfängern und Inhalten bieten echte Mehrwerte. Darüber hinaus ist der Dienst kostenlos (zumindest monetär gesehen), unbeschränkt und über Ländergrenzen hinweg nutzbar. Doch können Unternehmen bzw. Businesskunden unter der EU-Datenschutz-Grundverordnung (DSGVO) WhatsApp überhaupt datenschutzkonform nutzen? Was gilt für die Kommunikation mit Kunden, Mitarbeitern oder Bewerbern?

Update Mai 2020: Die irische Datenschutzaufsichtsbehörde IPC prüft seit 2018, ob Whatsapp die Informationspflichten gem. Art. 12 – 14 DSGVO verletzt hat. Insbesondere wird von der IPC gerügt, dass Whatsapp nur mangelhaft über die Weitergabe von Nutzerdaten an die Konzernmutter Facebook informiert habe.

Die IPC hat einen Beschlussentwurf verfasst, zu dem Whatsapp die Möglichkeit hat, Stellung zu nehmen. Danach wird der Entwurf gem. Art. 60 DSGVO den betroffenen Aufsichtsbehörden der Mitgliedsstaaten vorgelegt. Sie können Einspruch einlegen, was den Zeitpunkt des endgültigen Beschlusses und der Verhängung eines Bußgelds gegen Whatsapp deutlich verzögern könnte.

Der Einsatz von WhatsApp im Unternehmen

Der Einsatz von WhatsApp ist für Unternehmen aller Branchen vor allem deswegen attraktiv, weil die App einen sehr hohen Verbreitungsgrad bei Nutzern von mobilen Endgeräten (Smartphones) hat. Die Anwendungsfälle sind zahlreich: Handwerksbetriebe und Maschinenhersteller lassen sich Defekte vorab per Bild zuschicken, um Ferndiagnosen durchzuführen oder Kostenvoranschläge zu erstellen. Personalagenturen erleichtern ihren Kandidaten die Kommunikation und treten mit Bewerbern durch die App unkompliziert in Kontakt.

Der Vorteil: Ansprechpartner aber auch Mitarbeiter können wesentlich besser erreicht werden. Findige Arbeitgeber nutzen die hohe private Aktivität ihrer Mitarbeiter, um diese Tag und Nacht für betriebliche Belange kontaktieren zu können. Auch WhatsApp-Gruppen für ganze Abteilungen sind hoch im Kurs bei den Mitarbeitern und weit verbreitet. Das Vorgehen steigert die Produktivität, ist bequem für alle Beteiligten und verschmilzt irrigerweise geschäftliche mit privater Kommunikation.

Was häufig übersehen wird ist, dass die Kontaktierung des WhatsApp-Accounts eines Kunden oder Mitarbeiters noch nicht bedeutet, dass es sich um einen Vorgang handelt, der dem Privatbereich zugeordnet werden kann. Die rein private Nutzung von WhatsApp unter Freunden bzw. in der Familie fällt nicht unter den Anwendungsbereich der DSGVO. Sofern der Zweck der Kontaktierung allerdings überwiegend geschäftlich ist, finden die europäischen Datenschutzregeln Anwendung.

Datenschutzrechtliche Herausforderungen beim geschäftlichen Einsatz von WhatsApp

Die DSGVO sieht einige Maßnahmen zum Schutz personenbezogener Daten von Nutzern vor, die von WhatsApp momentan nicht eingehalten werden. Die mit europäischem Datenschutzrecht unvereinbaren Praktiken sind u. a.:

Alle lokal gespeicherten Kontakte des WhatsApp-Nutzers werden zum Abgleich auf Server in den USA geschickt. Die Übermittlung dieser personenbezogenen Daten erfordert eine rechtswirksame Einwilligung jeder Kontaktperson, welche schlichtweg fehlt und den Datentransfer damit verbietet.

Obwohl die Kommunikationsinhalte Ende-zu-Ende verschlüsselt sind, beanstandet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), dass Metadaten von WhatsApp in den USA verarbeitet werden. Metadaten sind alle Daten, außer dem eigentlichen Inhalt der Nachricht, d. h. auch Informationen zu Sender und Empfänger der WhatsApp-Nachricht.

In seinen FAQ zum Datenschutz bestätigt WhatsApp, dass Informationen wie Telefonnummer, Informationen zu den genutzten Geräten sowie Art und Häufigkeit der Nutzung an Facebook weitergegeben werden. Dieser Austausch wird von den Datenschutzbehörden als kritisch eingestuft.

Die Nutzungsbedingungen erlauben den geschäftlichen Einsatz der App nur mit voriger Einwilligung von WhatsApp. WhatsApp hat kürzlich sein neues Produkt „WhatsApp Business“ veröffentlicht, welches allerdings keine datenschutzrechtlichen Verbesserungen bringt.

Die datenschutzrechtlichen Mängel haben große Konzerne wie die Deutsche Bank, BMW und Continental dazu bewogen, die Nutzung von WhatsApp auf dienstlichen Handys zu verbieten. Weil unter der DSGVO Strafen von bis zu 20 Millionen Euro für Verstöße solcher Art drohen, steht viel auf dem Spiel. Auch für Lehrer hat der Landesbeauftragte für Datenschutz Baden-Württemberg ein klares WhatsApp-Verbot bei dienstlicher Kommunikation mit Schülern und Erziehungsberechtigten ausgesprochen.

Datenschutzkonforme Implementierung von WhatsApp im Unternehmen

Angesichts der oben aufgeführten Bedenken stellt sich die Frage, ob WhatsApp von Unternehmen überhaupt datenschutzkonform eingesetzt werden kann. Vom Einsatz der App zur Mitarbeiterkommunikation untereinander (zu geschäftlichen Zwecken) wird abgeraten, da WhatsApp nach Meinung des BayLDA ein Sicherheitsrisiko für die Organisation darstellt. Unter bestimmten Voraussetzungen können Unternehmen WhatsApp aber zumindest zur Kommunikation mit externen Geschäftspartnern nutzen oder Mitarbeitern den Einsatz auf Diensthandys einräumen.

WhatsApp auf Diensthandys zur privaten Nutzung

Sofern Sie Mitarbeitern die private Nutzung von WhatsApp auf dem Diensthandy ermöglichen möchten, kann ein Mobile Device Management (MDM) den privaten Bereich des Handys vom geschäftlichen abgrenzen. So kann der Arbeitgeber sicherstellen, dass WhatsApp nicht auf geschäftliche Kontakte zugreift und Fehlhandlungen nicht seiner Verantwortlichkeit unterliegen.

Sofern Ihr Unternehmen kein MDM nutzt, gibt es zusätzliche Apps wie z. B. Securecontact, die geschäftliche Kontakte vor dem Zugriff von WhatsApp schützen. Wichtig ist allerdings, dass diese Apps wiederum keine Kontakte durch die Welt schicken. Alternativ können Sie auch WhatsApp den Zugriff auf das Adressbuch untersagen, darunter leidet aber deutlich der Komfort.

Mitarbeiter müssen zu den genannten Maßnahmen im Rahmen des Direktionsrechts dokumentiert angewiesen werden.

WhatsApp zur Kundenkommunikation

Das BayLDA hat angekündigt, nicht zu beanstanden, wenn Unternehmen mit Kunden über WhatsApp in Verbindung treten, sofern auf die Datenschutzbedenken hingewiesen wurde und den Kunden gleichzeitig ein anderer sicherer Kommunikationsweg angeboten wird. Diese Aussage ist allerdings mit Vorsicht zu genießen, besonders für Unternehmen außerhalb Bayerns.

Eine allgemeingültige Alternative der Landesbeauftragten für den Datenschutz Niedersachsen ist es, Kunden über Bedenken zu informieren, einen sichereren Kommunikationsweg anzubieten und WhatsApp den Zugriff auf das Adressbuch zu verwehren (z. B. durch zusätzliche App oder Systemeinstellung). Klassischer Anwendungsfall ist eine Autowerkstatt, die ein WhatsApp-Handy bereithält. Nach bzw. bei telefonischen Anfragen kann leicht ein Bild des eingedellten Seitenschwellers empfangen werden um einen Kostenvoranschlag zu erstellen.

Sofern besondere personenbezogene Daten gemäß Art. 9 DSGVO verschickt werden sollen, ist von WhatsApp gänzlich abzuraten. Die Daten werden intern auf eine Art und Weise verarbeitet, die mit dem geltenden Datenschutzrecht nicht in Einklang zu bringen ist (keinerlei Zweckbeschränkung durch WhatsApp, kein Privacy by Design). Ein Beispiel wäre eine Apotheke, die Rezepte per WhatsApp empfängt oder Ärzte, die sich Fotografien von körperlichen Leiden zuschicken lassen.

Fazit: WhatsApp-Nutzung durch Unternehmen ist eingeschränkt möglich

Unter den oben aufgeführten Bedingungen ist WhatsApp in Unternehmen durchaus einsetzbar. Aktuelle Entscheidungen von Datenschutzaufsichtsbehörden und Gerichten sollten jedoch verfolgt werden (und fließen laufend in diesen Artikel ein).

Darüber hinaus könnte die geplante ePrivacy-Verordnung die Datensicherheit für Kommunikationsdienste wie WhatsApp neu regeln. Es bleibt zu hoffen, dass für Anwender dann mehr Rechtssicherheit geschaffen wird.

(Quelle: Klaus Foitzick activeMind.AG https://www.activemind.de/magazin/datenschutz-whatsapp/)

Wir empfehlen die Website und insbesondere den Newsletter zum Thema Datenschutz und IT-Sicherheit

Das könnte Sie auch interessieren