Das Wichtigste auf einen Blick
- Ein Unternehmen kann bei der Nutzung von WhatsApp kaum die Vorgaben der DS-GVO erfüllen
- Die DS-GVO nicht für Personen, die den WhatsApp-Messenger für rein private Zwecke verwenden
- Wird ein Handy mit WhatsApp privat und geschäftlich genutzt, so ist der Einsatz einer Container App empfehlenswert
- Um WhatsApp DS-GVO konform zu nutzen, sollte die App nicht im Rahmen einer unternehmerischen Tätigkeit verwendet werden
- In datenschutzrechtlicher Hinsicht bringt WhatsApp Business keinen Vorteil gegenüber der gängigen Version
- Es besteht zwar die Möglichkeit, beinahe deckungsgleiche Alternativen zu WhatsApp zu verwenden, diese sind jedoch zum Großteil sehr wenig verbreitet
1. Problemanriss
Grundsätzlich gilt, dass jede Erhebung, Verarbeitung oder Speicherung von personenbezogenen Daten eine geeignete Rechtsgrundlage erfordert. Die Verarbeitung sollte dabei so wenig Daten wie möglich erheben, damit sie datenschutzkonform erfolgt. Dies gilt auch für Verarbeitungen im Rahmen der Nutzung von WhatsApp.
In datenschutzrechtlicher Hinsicht ist es problematisch, dass WhatsApp automatisch auf die Telefonkontakte des Nutzers zugreift, um diese mit bestehenden WhatsApp Konten abzugleichen.
Hierbei handelt es sich gemäß der DS-GVO um eine Verarbeitung von personenbezogenen Daten. Diese Verarbeitung ist allerdings weder zur Durchführung des Vertrages erforderlich (da Daten Dritter auf Server von WhatsApp hochgeladen werden), Art. 6 Abs. 1 S. 1 lit. b) DS-GVO, noch lässt sie sich auf ein berechtigtes Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO stützen. Es bedarf somit einer datenschutzrechtlichen Einwilligung.
Personen, die WhatsApp nutzen, haben die Zustimmung konkludent abgegeben, da sie den Nutzungs- und Datenschutzbedingungen des Unternehmens zugestimmt haben.
Anders sieht das bei den Telefonkontakten von Personen aus, die den Messenger nicht verwenden, und deren Telefonnummer trotzdem abgeglichen und somit verarbeitet wird.
2. Das Privathandy und WhatsApp
Keine Sorge: Die Datenverarbeitung für private Zwecke ist nach Art. 2 Abs. 2 lit. c) DS-GVO datenschutzrechtlich zulässig. Die Nutzung von WhatsApp verstößt daher während des privaten Gebrauchs nicht gegen die gesetzlichen Vorgaben. Damit das so bleibt, ist eine strikte Trennung der Verwendungszwecke zwischen privaten und geschäftlichen Angelegenheiten erforderlich.
3. Das gemischt genutzte Handy und WhatsApp
Da WhatsApp nicht zwischen privaten und geschäftlichen Kontakten unterscheidet, kann ein gemischt genutztes Handy für datenschutzrechtliche Probleme sorgen.
Diese Probleme können mit der Nutzung einer Container-App umgangen werden.
Mit Hilfe dieser Apps werden alle dienstlichen Daten in einen virtuellen Container verschoben, auf den keine andere App zugreifen kann. Es kann daher sichergestellt werden, dass nur private Kontaktdaten von der Messenger-App verwendet werden.
4. Das Firmenhandy und WhatsApp
Die Problematik der Nutzung von WhatsApp auf dem Firmenhandy liegt darin, dass Sie als Nutzer und Unternehmer indirekt personenbezogene Daten Ihrer Kontakte an den Messenger weitergeben und es hierbei der erforderlichen Zustimmung der Betroffenen fehlt.
Damit kein Datenschutzverstoß vorliegt, müssen Sie eine vorherige Einwilligung der Kontakte nachweisen.
Bei einer unternehmerischen Nutzung empfiehlt es sich daher, die Einwilligung zur Weiterverarbeitung von persönlichen Daten ausnahmslos von jeden Ihrer Kontakte schriftlich einzuholen.
Außerdem ist gemäß Art. 28 DS-GVO ein Auftragsverarbeitungsvertrag mit WhatsApp Inc. verpflichtend.
Problematisch ist jedoch: Einen Auftragsdatenverarbeitungsvertrag können Unternehmen mit WhatsApp aktuell noch nicht schließen, Experten gehen jedoch davon aus, dass sich dies bald ändern wird.
Kompliziert wird es außerdem, wenn einzelne Betroffene der Nutzung nicht zustimmen, weil Sie WhatsApp selbst nicht verwenden, deshalb den Nutzungs- und Datenschutz–bestimmungen des Unternehmens nicht zugestimmt haben und außerdem nicht wollen, dass eigene Daten durch WhatsApp verarbeitet werden.
Hier sollte für diese Personen eine extra SIM-Karte oder ein extra Handy genutzt werden, um Verstöße gegen die DS-GVO in diesem Bereich sicher zu vermeiden. Alternativ sollten diese Kontakte in ebenfalls separat „containered“ werden.
Die Verwendung von WhatsApp auf dem Firmenhandy ist aus den genannten Gründen somit nicht empfehlenswert.
5. WhatsApp Business als Antwort?
Diese Frage ist mit nein zu beantworten.
WhatsApp Business bringt keine optimierte DSGVO konforme Neuerungen, sondern ledig–lich ein für Unternehmen optimiertes Benutzer Interface mit speziellen Funktionen mit sich.
6. DSGVO konforme Alternativen zu WhatsApp
Um DS-GVO konform zu sein, müssen die alternativen Messenger einige Voraussetzungen erfüllen:
Zum einen sollte der Messenger nicht automatisch auf das Kontaktbuch zugreifen und die Kontakte auf externen Servern speichern.
Außerdem ist erforderlich, dass die alternative Messenger-App eine echte Ende-zu-Ende–Verschlüsselung nutzt. Das heißt, dass selbst ,wenn ein Dritter die Konversationen abfängt, diese für ihn unleserlich sind und erst aufwendig entschlüsselt werden müssen.
Erfüllt werden diese Kriterien unter anderem bei iMessage für Apple Nutzer, oder bei der kostenpflichtigen Messenger-App Threema, die sogar von Behörden in der Schweiz genutzt wird.
7. Fazit
Die Nutzung von WhatsApp kann datenschutzrechtliche Gefahren mit sich bringen. Es bleibt zu hoffen, dass weitere sichere Lösungen gefunden werden.
