WhatsApp VS DSGVO und die Nutzung im Unternehmen

Darf man WhatsApp geschäftlich nutzen oder nicht?
Wo liegen die Gefahren und was muss man bei der Nutzung wissen?

Fangen wir mal bei den deutschen Aufsichtsbehörden an. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat in Ihrer Pressemitteilung 16/2019 vom 8. Mai 2019 eine PDF-Datei als Anhang veröffentlicht, in diesem Anhang nimmt der BFDI Stellung zu WhatsApp in der Form das die Datenübermittlung an den Mutterkonzern Facebook kritisiert wird und der BFDI sich dazu mit der Datenschutzbehörde in Irland auseinandersetzt. Soweit so gut aber auch regionale Aufsichtsbehörden geben wichtige Hinweise.

Dass LDI in NRW z. B. verweist, wenn man auf deren Internetseite “WhatsApp” eingibt auf eine Seite die sich “Young Data” nennt (https://www.youngdata.de/#) hier gibt es dann auch direkt einen wichtigen Hinweis zu WhatsApp, nämlich zum einen, dass WhatsApp Teil des Facebook Konzerns ist, der in Sachen Datenschutz nicht nur einmal negativ aufgefallen ist und dass WhatsApp mehrfach täglich das Adressbuch seiner Nutzers ausliest und in die USA übermittelt. (Auch das Privacy Shield, wodurch eine Übermittlung in die USA gesetzlich gerechtfertigt würde, ist nicht unumstritten!).

WhatsApp Business-Version enthält keine datenschutzrechtlich relevanten Unterschiede

Die Niedersächsische Aufsichtsbehörde stellt in Ihrem Internetauftritt ein Merkblatt zur Nutzung von WhatsApp zur Verfügung, darin heißt es unter anderem: “Das auch bei der WhatsApp Business-Version keine datenschutzrechtlich relevanten Unterschiede zur herkömmlichen App-Version bekannt sind”. Und, was sicher noch wichtiger ist, das LFD Niedersachsen sagt ganz klar: “Dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt.” Den Beitrag kann man sich hier komplett anschauen.

Konkret benennt die Aufsichtsbehörde folgende datenschutzrechtliche Problemstellungen:

Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp (ohne das die Betroffenen selber bei WhatsApp angemeldet sind und insofern der Übermittlung nicht einwilligen können)
Die Übermittlung von personenbezogenen Daten in die USA. (wie schon erwähnt ist auch das Privacy Shield, wodurch eine Übermittlung in die USA gesetzlich gerechtfertigt würde, nicht unumstritten!).
Die Nutzung von personenbezogenen Daten durch WhatsApp.
Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns

Besteht die Möglichkeit einer datenschutzkonformen Nutzung von WhatsApp?

Es gibt wohl eine Möglichkeit, die Weiterleitung der Kontaktdaten von seinem Mobiltelefon unter bestimmten Umständen zu unterbinden, wenn das dauerhaft funktioniert, dann besteht die Möglichkeit einer datenschutzkonformen Nutzung von WhatsApp. Wie und unter welchen Voraussetzungen das geht, wird in dem Artikel des LFD Niedersachsen auch beschrieben.

Abschließend noch ein Hinweis des LFDI BWL (Landesbeauftragte für den Datenschutz und die Informationssicherheit in Baden Württemberg) hier gibt es einen Hinweis zur Nutzung von WhatsApp in Schulen, von Lehrern um mit Schülern und Eltern zu kommunizieren, kurz gesagt ist auch das aus deren Sicht unzulässig, resultierend aus den bekannten datenschutzrechtlichen Problemen und weil man damit der Verwendung von Handys und WhatsApp einen Vorschub gibt der von seiten der Schulen nicht gewollt ist, was aber weniger mit dem Datenschutzrecht zu tun hat aber ggf. löblich sein kann.

Weitere Hinweise, was die Aufsichtsbehörden zur Nutzung von WhatsApp sagen werden hier nicht dargestellt, wir wenden uns noch mal der eigentlichen Frage zu.

Neben der Übermittlung der Kontaktdaten (ohne die Einwilligung der betroffenen Personen) in die USA und der Nutzung und Verbreitung der Daten, führen verschiedene Stellen auch an, dass die Verantwortlichen durch die Übermittlung dieser Daten gegen den Artikel 25 Abs. 1 der DSGVO verstoßen. WhatsApp garantiert nicht, dass die Daten mit geeigneten und angemessenen technischen und organisatorischen Maßnahmen gesichert werden. Ob die eingeführte Ende-zu-Ende Verschlüsselung hier ausreichend ist können wir nicht beurteilen aber insgesamt ist sie sicher nicht ausreichend.

Das heißt im Umkehrschluss das es auch darauf ankommt welche Daten ein Unternehmen per WhatsApp versendet. Eine Firma die per WhatsApp besondere personenbezogene Daten (PbD) versendet, hat also nicht nur das Problem der Kontaktübermittlung sondern auch in Bezug auf die Inhalte, die in Nachrichten verbreitet werden.

Außerdem erklärt WhatsApp in der eigenen Datenschutzrichtlinie das sie die Verarbeitung der erlangten pbD nicht nennenswert eingrenzen und untereinandern also mit Facebook austauschen, was so wohl auch gegen europäisches und deutsches Datenschutzrecht verstößt.

Ende-zu-Ende Verschlüsselung

Kommen wir zu der Ende-zu-Ende Verschlüsselung von WhatsApp, diese Verschlüsselung ist laut verschiedener Quellen nicht so sicher wie man glaubt es werden eben nur die Inhalte aber nicht die Daten der Kontaktpersonen verschlüsselt ergo sind diese Daten weiterhin in Gefahr.

Mann könnte außerdem annehmen das WhatsApp ein Auftragsdatenverarbeiter ist, wenn wir als Firma die App verwenden, aber da wir WhatsApp gar nicht beauftragt haben das zu tun, was sie alles machen ist die Verarbeitung dahingehend vorsichtig ausgedrückt n. i. O. WhatsApp handelt hier nicht im Auftrag des oder der Verantwortlichen sondern im eigenen Interesse. Ein Auftragsverarbeitungsvertrag (AVV) müsste außerdem mit der Firma abgeschlossen werden und nicht mit den Einzelpersonen, die in der Firma die App verwenden, wenn man die dienstllche Nutzung rechtskonform für ein Unternehmen ausführen möchte.