whatsapp

WhatsApp am Arbeitsplatz und Datenschutz

Der Messenger-Dienst WhatsApp erfreut sich auch weiterhin einer großen Beliebtheit, nicht nur im privaten Umfeld. Auch von Unternehmen ist dieser Dienst des kalifornischen Herstellers WhatsApp Inc. längst als alltägliches Werkzeug von Mitarbeitern untereinander und auch zur Kommunikation von Unternehmen zu Kunden etabliert.

Bei nahezu allen unseren Mandanten kommt die Sprache irgendwann auf die Nutzung von WhatsApp. Insbesondere im Bereich von Marketing und Kundenbetreuung, sowie auch für die interne Kommunikation. Wir sehen das kritisch und betonen das auch stets. Doch wo liegt genau das Problem an diesem Service? Worauf ist zu achten? Zwar ist eine Ende-zu-Ende Verschlüsselung in der Kommunikation zwischen Teilnehmern vorhanden. Diese schützt jedoch nur die Nachricht und die übertragenen Inhalte.

LFD Niedersachsen klärt auf

Die Landesbeauftragte für Datenschutz des Bundeslandes Niedersachsen hat auf ihrer Internetseite erläutert, warum ein Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DSGVO) verstößt.

Die Gründe hierfür liegen in der Übermittlung der Mobilfunknummern aus den Telefonbuchkontakten eines jeden Nutzers an WhatsApp in den USA und somit außerhalb der EU. Der Messenger ist nur mit allen Funktionen nutzbar, wenn alle Kontakte des Adressbuchs im Telefon freigegeben und an den Anbieter übermittelt werden. Eine einzelne Auswahl und Freigabe von Kontakten zur Kommunikation in WhatsApp ist nicht möglich. Gibt der Benutzer sein Adressbuch nicht frei, kann er selbst keine Benutzer kontaktieren, sondern nur angeschrieben werden. Nach Freigabe des Adressbuches werden die Mobilfunknummern ins Drittland USA ohne Einwilligung des Rufnummerninhabers weitergegeben. Da die Übermittlung auch auf keine andere Rechtsgrundlage des Art. 6 DSGVO gestützt werden kann, stellt diese einen bußgeldbewehrten Datenschutzverstoß dar.

WhatsApp trackt und gibt Daten weiter

Zudem räumt sich WhatsApp das Recht ein, weitere personenbezogene Daten zu erheben und diese für andere Zwecke zu nutzen und an Dritte zu übermitteln. In der Datenschutzerklärung heißt es unter dem Abschnitt „Geräte- und Verbindungsdaten“:

Wenn du unsere Dienste installierst, nutzt oder auf sie zugreifst, erfassen wir geräte- und verbindungsspezifische Informationen. Dazu gehören auch Informationen zu deinem Hardware-Modell und Betriebssystem, Batteriestand, Signalstärke, App-Version, Informationen zum Browser und Mobilfunknetz sowie zu der Verbindung, einschließlich Telefonnummer, Mobilfunk- oder Internetanbieter, Sprache und Zeitzone sowie IP-Adresse, Informationen zum Gerätebetrieb und Kennungen wie Gerätekennungen (einschließlich individueller IDs für Produkte der Facebook-Unternehmen, die mit demselben Gerät oder Account verknüpft sind).“
Quelle: https://www.whatsapp.com/legal/?eea=1#privacy-policy-information-we-collect

Das bedeutet, dass trotz der eingesetzten Ende-zu-Ende Verschlüsselung von Nachrichten und dem daraus resultierenden Umstand, dass der eigentliche Inhalt der Nachrichten dem Betreiber unbekannt ist, anhand dieser vom Benutzer gesammelten Informationen, ein Bewegungsprofil erstellt werden und Surfverhalten ausgewertet werden kann.

PrivacyShield?

Bei der Übermittlung der personenbezogenen Daten wird oft das Argument verwendet, dass WhatsApp am EU Privacy Shield teilnimmt und damit nachgewiesen hat, dass es ein ausreichendes Datenschutzniveau implementiert hat. Dies ist zwar grundsätzlich zutreffend, jedoch wird in der Zertifizierung nicht überprüft ob die durchgeführten Verarbeitungen auch tatsächlich konform zur DSGVO sind.

Einsatz von WhatsApp widerspricht der Sorgfaltspflicht

Die Verwendung von WhatsApp stellt nach Auffassung der Aufsichtsbehörde einen Verstoß gegen Art. 25 Absatz 1 DSGVO dar. Nach dieser Regelung muss das Unternehmen, welches WhatsApp nutzt, sowohl zum Zeitpunkt der Entscheidung WhatsApp zu nutzen, sowie zum Zeitpunkt der Verwendung (Verarbeitung) geeignete und angemessene technische und organisatorische Maßnahmen ergreifen, um die Datenschutzgrundsätze umzusetzen. Das bedeutet, dass schon bei der Auswahl des Messengers sichergestellt werden muss, dass die Datenschutz-Grundverordnung eingehalten werden kann. Die Auswahl von WhatsApp stellt einen Verstoß gegen diese Pflicht dar, da die regelmäßige Übermittlung von Daten aus dem Adressbuch zu dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 lit. c DSGVO im Widerspruch steht.

Auch rein private Nutzung bewirkt Verstoß

Bitte beachten Sie, dass es bei der Betrachtung der Situation nicht darauf ankommt, ob es sich um ein Firmen-Smartphone handelt oder um ein privates, welches auch für geschäftliche Dinge genutzt wird. Unerheblich ist auch, ob WhatsApp tatsächlich für die geschäftliche Kommunikation zum Einsatz kommt oder nur privat genutzt wird. Alleine die Tatsache, dass es auf einem Smartphone installiert ist, auf dem sich mindestens ein geschäftlicher Kontakt im Telefonbuch befindet, reicht aus, um den Verstoß zu begehen.

Daher ist es auch notwendig, im Unternehmen Regelungen für den Einsatz solcher Apps zu schaffen. Diese Regelungen müssen auch die private Nutzung der Firmengeräte beziehungsweise die geschäftliche Nutzung von privaten Geräten umfassen. Die unseres Erachtens einzige Möglichkeit der Regelung ist derzeit (Stand August 2018) das Verbot, diese App überhaupt auf dem Smartphone zu installieren. Optimaler Weise wird ein solches Verbot über technische Maßnahmen, wie zum Beispiel die Provisionierung der Geräte über MDM Server durchgesetzt.

Es gibt gute Alternativen wie zum Beispiel Threema, Telegram, oder Signal. Hier sind keine unzulässigen Übermittlungen von personenbezogenen Daten bekannt. Gerne beraten wir Sie hinsichtlich der datenschutzkonformen Kommunikation innerhalb Ihres Unternehmens und auch mit Ihren Kunden.


Diesen Beitrag teilen