Rechtskonformer Einsatz von WhatsApp

Kaum ein Unternehmen, das WhatsApp (WA) nicht in irgendeiner Form einsetzen würde. Häufig geschieht dies nur indirekt ohne offizielle Freigabe des Arbeitgebers, indem Mitarbeiter den Messenger eigenmächtig z.B. für die Terminabstimmung oder Organisation von Schichtplänen, Weihnachtsfeiern usw. nutzen.

Weit verbreitet ist der Einsatz von WA auch, um die Erreichbarkeit eines Unternehmens zu erhöhen, z.B. als rein passive Kontaktadresse für Kundenanfragen oder bei Urlaubsabwesenheit, weil WA einen sehr hohen Verbreitungsgrad hat.

Mögliche Datenschutzverstöße durch WhatsApp

  • Synchronisation: Fremde Kontaktdaten werden ausgelesen und übermittelt. Hauptkritikpunkt an WA ist deshalb die datenschutzwidrige Synchronisation der Daten aus dem Kontaktordner (Adressordner) des Smartphones (z.B. Name, Post- und E-Mail-Adresse, Telefonnummer, Geburtstag usw.).
  • Übertragung der Daten in die USA: Überdies übermittelt WA die personenbezogenen Daten an Dienste mit Sitz in den USA (z.B. WhatsApp Inc., Meta, Facebook).
  • Online-Status, Schreibstatus, Lesebestätigung usw. werden an den Kommunikationspartner übermittelt. Hier kann der Nutzer allerdings durch entsprechende Konfigurationen die Datenübermittlung deaktivieren und so selbst für Abhilfe sorgen.
  • Auswertung von Metadaten (Telefonnummer, IP-Adresse, Geräteinformationen, Standort, Nutzungsverhalten): Analyse der Metadaten und des Nutzerverhaltens, Reichweitenmessung für eigene Zwecke von WA sowie Weitergabe der Analysedaten an andere Dienste und Geschäftspartner (laut AGB von WA)

Für den Nutzer ist der automatische Datenabgleich komfortabel, da er ansonsten jeden Kontakt einzeln in den Kontaktordner einpflegen müsste. Datenschutzrechtlich aber ist der Vorgang ein Rechtsverstoß, wenn keine ausdrückliche Einwilligung dafür eingeholt wird.

WA kann deshalb nach Meinung von Datenschutzbehörden aus datenschutzrechtlicher Sicht ohne Einwilligung nicht rechtmäßig eingesetzt werden. Durch die Installation von WA ist der Nutzer gezwungen, sämtliche Kontakte in seinem Kontaktordner mit WA zu teilen.

Meta (Facebook) verarbeitet diese Kontaktdaten dann weiter und erstellt Nutzerprofile. Die Freigabe des Kontaktordners ist rechtswidrig, sofern keine ausdrückliche Zustimmung aller Kontaktpersonen vorliegt.

Die rumänische Aufsichtsbehörde verhängte am 21.10.2019 ein Bußgeld in Höhe von 150.000€ gegen die Raiffeisen Bank S.A., weil über WA unzulässigerweise sensible Daten ausgetauscht wurden.

Auch Gerichtsentscheidungen stufen WA als rechtswidrig ein, weil WA eine fortlaufende Übertragung von fremden Kontaktdaten bedingt.  Die Übertragung wäre nur durch eine Einwilligung gerechtfertigt, andernfalls kann die Installation von WA zu einer kostenpflichtigen Abmahnung und Schadensersatz führen (AG Bad Hersfeld vom 20.03.17, Az. F 111/17 EASO; 15.05.17, Az. F 120/17 EASO).

Lösungsansätze für rechtskonformen Einsatz

Mit der privaten App von WA darf keine gewerbliche Nutzung mehr erfolgen, da es seit Anfang 2018 die Version WhatsApp Business gibt. Wer WA also für geschäftliche Zwecke einsetzen will, muss die ebenfalls kostenfreie WhatsApp Business-Version installieren.

Eine mögliche Lösung für das Synchronisationsproblem wäre der Betrieb von WA auf dem Smartphone in einem isolierten Software-Container oder mit leerem Kontaktordner, sodass die Synchronisation verhindert wird.

Selbst wenn die Synchronisation bei der Installation zunächst unterbunden wird, bleibt eine Einwilligung erforderlich. Um einen rechtmäßigen WA-Verteiler aufzubauen, muss – wie auch beim Newsletterversand – jeder Kunde, mit dem über WA kommuniziert werden soll, eine Einwilligung abgeben.

WhatsApp Business bietet erweiterte Funktionalitäten wie z.B. ein Firmenprofil oder automatische Abwesenheitsnachrichten und kann nicht nur auf dem Smartphone, sondern auch auf einem Rechner installiert werden. Wollen mehrere Vertriebsmitarbeiter WhatsApp Business gleichzeitig nutzen, sollte eine kostenpflichtige API-Variante von WhatsApp Business erworben werden (WhatsApp Business Plattform).

Notwendige Datenschutzhinweise und Datenschutzverträge

Zur Erfüllung der gesetzlichen Informationspflichten muss eine Datenschutzerklärung erstellt werden, die alle Umstände der Datenverarbeitung, insbesondere auch die Synchronisation, Datenübermittlung in die USA und Analyse des Nutzungsverhaltens konkret beschreibt. Darin sollte ergänzend auf die Datenschutzerklärung von WA verwiesen werden.

Gemäß Art. 28 DSGVO bietet WA den Abschluss des notwendigen Vertrages zur Auftragsverarbeitung (AV-Vertrag) an, dessen Textfassung frei zugänglich ist. Gemäß dem neuen TTDSG ist WA nun möglicherweise als TK-Anbieter anzusehen, sodass kein AV-Vertrag mehr erforderlich wäre, siehe hierzu den 27. TB des LfDI von NRW.

Allerdings besteht in dieser Frage offenbar bislang keine Einigkeit unter den Datenschutzbehörden. So ist der LfDI von Hessen wohl anderer Ansicht und bewertet WA nicht als TK-Anbieter, sondern weiterhin als Auftragsverarbeiter.

Datensicherheit

Bezüglich der Datensicherheit ist die Unterscheidung zwischen Nachrichteninhalten und Metadaten wichtig. Während Metadaten von WA eingesehen, ausgewertet und genutzt werden können, gewährleistet die Ende-zu-Ende-Verschlüsselung der Nachrichteninhalte, dass niemand, auch nicht WA selbst, Informationen aus den Chats einsehen kann. Zur Beschreibung der Datensicherheit hat WA zusätzlich auf seine TOM verlinkt.

Über den Autor:

Rechtsanwalt Horst Speichert ist spezialisiert auf IT-Recht und Datenschutz. Er ist Seniorpartner der Kanzlei esb Rechtsanwälte, renommierter Fachbuchautor und Lehrbeauftragter für Informationsrecht an der Universität Stuttgart.

Zudem ist er Mitgeschäftsführer der e|s|b data gmbh, die Unternehmen, Betriebs- und Personalräte sowie Behörden zu den Themenbereichen Datenschutz, Datensicherheit und Legal Compliance beratend unterstützt.

Horst Speichert E|S|B Data

Kontakt:  info@esb-data.de

Web:        https://esb-data.de