Datenschutzkonformer Einsatz von WhatsApp für Unternehmen

Die Nutzung des Messenger-Dienstes WhatsApp ist auch für Unternehmen äußerst vorteilhaft: Attraktive Funktionen zur Strukturierung von Nachrichten, Empfängern und Inhalten bieten echte Mehrwerte. Darüber hinaus ist der Dienst kostenlos (zumindest monetär gesehen), unbeschränkt und über Ländergrenzen hinweg nutzbar. Doch können Unternehmen bzw. Businesskunden unter der EU-Datenschutz-Grundverordnung (DSGVO) WhatsApp überhaupt datenschutzkonform nutzen? Was gilt für die Kommunikation mit Kunden, Mitarbeitern oder Bewerbern?

Update Januar 2021: „WhatsApp aktualisiert seine Nutzungsbedingungen und seine Datenschutzrichtlinie“ – wenn Sie die App des amerikanischen Anbieters WhatsApp LLC, welcher zum Facebook-Konzern gehört, nutzen, wurde Ihnen diese Meldung in den letzten Tagen beim Start der App angezeigt. Die Änderungen treten am 8. Februar 2021 in Kraft – wer dann noch nicht zugestimmt hat kann den Messenger nicht weiterverwenden.

Das Einholen einer neuen Einwilligung legt die Vermutung nahe, dass sich Grundlegendes ändert. Aus datenschutzrechtlicher Sicht ist das aber nur bedingt der Fall. Insbesondere willigt man nicht in neue Verarbeitungen ein. Auf der Rechtsgrundlage einer Einwilligung werden nur die Geräteinformationen verarbeitet, die über die Berechtigungssteuerung abgefragt werden. Alle anderen personenbezogenen Daten werden nicht aufgrund einer Einwilligung verarbeitet. Laut WhatsApp stützt man die sonstigen Verarbeitungen vor allem auf die Notwendigkeit zur Erfüllung des Vertrags mit dem Nutzer, auf bestehende rechtliche Verpflichtungen und auf ein überwiegendes berechtigtes Interesse.

Unter letztgenannter Rechtsgrundlage werden auch die Marketingkommunikation und die Datenweitergabe an andere Facebook-Unternehmen verortet. Gerade die Weitergabe an andere Facebook-Unternehmen sorgt momentan im Netz für viel Empörung. Dabei muss man fairerweise sagen, dass sich für europäische Nutzer wenig ändert. Für diese gelten nicht die globalen, sondern eigene EU-Datenschutzbedingungen, in welchen steht: „Keine der Informationen, die WhatsApp […] weitergibt, dürfen für die eigenen Zwecke der Facebook-Unternehmen verwendet werden.“

Die Datenweitergabe erfolgt demnach nur, damit die anderen Facebook-Unternehmen „dabei helfen können, unsere Dienste zu betreiben, bereitzustellen, zu verbessern, zu verstehen, anzupassen, zu unterstützen und zu vermarkten.“ Beschrieben wird damit im Grunde eine Auftragsverarbeitungssituation, bei der ein anderes Unternehmen (z.B. Facebook) auf Weisung des Auftraggebers (WhatsApp) Daten verarbeitet, ohne Zwecke und Mittel selbst zu bestimmen.

Heißt das also, dass es ausgeschlossen ist, dass Facebook Daten zu eigenen Zwecken bekommt? Nein, nicht ganz. Aber zumindest nicht direkt. Unternehmen, die WhatsApp nutzen, können für die Kommunikation auf Drittanbietertools zurückgreifen. Unter anderem auch auf Facebook. Die Verantwortung sieht WhatsApp dann aber beim jeweiligen Unternehmen. Dieses muss dafür Sorge tragen eine Rechtsgrundlage für die Verarbeitung zu haben und Betroffene zu informieren: „Damit du weißt, wie ein Unternehmen deine Informationen verarbeitet (und zum Beispiel deine Informationen an Dritte oder Facebook weitergibt), solltest du dir die Datenschutzrichtlinie dieses Unternehmens durchlesen oder dich direkt an dieses Unternehmen wenden.“

Hinweis: Diese Änderungen betreffen nicht die Version „WhatsApp Business“ für Unternehmen. Die Business Version ermöglicht Unternehmen einen für die Verwendung des Messengers notwendigen Auftragsverarbeitungsvertrag mit WhatsApp zu schließen. Datenschutzrechtliche Verbesserungen gegenüber der Nicht-Business-Version bestehen sonst aber nicht. Aber auch die Nicht-Business-Version hat zum Teil erhebliche Relevanz für Unternehmen: nämlich dann, wenn Mitarbeiter sie auf Geschäftsgeräten installieren.

Was ändert sich also an unserer Einschätzung zum Einsatz von WhatsApp im Unternehmen? Im Grunde nichts. Die einzige Verbesserung durch die Datenschutzrichtlinie betrifft die Darstellung der Informationen. Der Text ist klarer und transparenter formuliert. An den stattfindenden Verarbeitungen ändert sich aber nichts. Unsere bisherige Empfehlung, WhatsApp aus Datenschutzgründen nicht oder nur unter sehr strengen Rahmenbedingungen einzusetzen, gilt nach wie vor unverändert.

Einen großen Pluspunkt sehen wir aber dennoch in den zustimmungsbedürftigen Änderungen: Viele Nutzer interessieren sich plötzlich für Alternativen zu WhatsApp und befassen sich mit der Nutzung ihrer Daten durch den App-Anbieter. Messenger, die den Datenschutz ernst nehmen, haben einen unverhofften Popularitätsschub bekommen. Und manch einer wird überrascht sein, wie viele personenbezogene Daten WhatsApp verarbeitet und mit wie wenig Daten dagegen andere Messenger auskommen.

Update Mai 2020: Die irische Datenschutzaufsichtsbehörde IPC prüft seit 2018, ob WhatsApp die Informationspflichten gem. Art. 12 – 14 DSGVO verletzt hat. Insbesondere wird von der IPC gerügt, dass WhatsApp nur mangelhaft über die Weitergabe von Nutzerdaten an die Konzernmutter Facebook informiert habe.

Die IPC hat einen Beschlussentwurf verfasst, zu dem WhatsApp die Möglichkeit hat, Stellung zu nehmen. Danach wird der Entwurf gem. Art. 60 DSGVO den betroffenen Aufsichtsbehörden der Mitgliedsstaaten vorgelegt. Sie können Einspruch einlegen, was den Zeitpunkt des endgültigen Beschlusses und der Verhängung eines Bußgelds gegen WhatsApp deutlich verzögern könnte.

Der Einsatz von WhatsApp im Unternehmen

Der Einsatz von WhatsApp ist für Unternehmen aller Branchen vor allem deswegen attraktiv, weil die App einen sehr hohen Verbreitungsgrad bei Nutzern von mobilen Endgeräten (Smartphones) hat. Die Anwendungsfälle sind zahlreich: Handwerksbetriebe und Maschinenhersteller lassen sich Defekte vorab per Bild zuschicken, um Ferndiagnosen durchzuführen oder Kostenvoranschläge zu erstellen. Personalagenturen erleichtern ihren Kandidaten die Kommunikation und treten mit Bewerbern durch die App unkompliziert in Kontakt.

Der Vorteil: Ansprechpartner aber auch Mitarbeiter können wesentlich besser erreicht werden. Findige Arbeitgeber nutzen die hohe private Aktivität ihrer Mitarbeiter, um diese Tag und Nacht für betriebliche Belange kontaktieren zu können. Auch WhatsApp-Gruppen für ganze Abteilungen sind hoch im Kurs bei den Mitarbeitern und weit verbreitet. Das Vorgehen steigert die Produktivität, ist bequem für alle Beteiligten und verschmilzt irrigerweise geschäftliche mit privater Kommunikation.

Was häufig übersehen wird ist, dass die Kontaktierung des WhatsApp-Accounts eines Kunden oder Mitarbeiters noch nicht bedeutet, dass es sich um einen Vorgang handelt, der dem Privatbereich zugeordnet werden kann. Die rein private Nutzung von WhatsApp unter Freunden bzw. in der Familie fällt nicht unter den Anwendungsbereich der DSGVO. Sofern der Zweck der Kontaktierung allerdings überwiegend geschäftlich ist, finden die europäischen Datenschutzregeln Anwendung.

Datenschutzrechtliche Herausforderungen beim geschäftlichen Einsatz von WhatsApp

Die DSGVO sieht einige Maßnahmen zum Schutz personenbezogener Daten von Nutzern vor, die von WhatsApp momentan nicht eingehalten werden. Die mit europäischem Datenschutzrecht unvereinbaren Praktiken sind u. a.:

  • Alle lokal gespeicherten Kontakte des WhatsApp-Nutzers werden zum Abgleich auf Server in den USA geschickt. Die Übermittlung dieser personenbezogenen Daten erfordert eine rechtswirksame Einwilligung jeder Kontaktperson, welche schlichtweg fehlt und den Datentransfer damit verbietet.
  • Obwohl die Kommunikationsinhalte Ende-zu-Ende verschlüsselt sind, beanstandet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), dass Metadaten von WhatsApp in den USA verarbeitet werden. Metadaten sind alle Daten, außer dem eigentlichen Inhalt der Nachricht, d. h. auch Informationen zu Sender und Empfänger der WhatsApp-Nachricht.
  • In seinen FAQ zum Datenschutz bestätigt WhatsApp, dass Informationen wie Telefonnummer, Informationen zu den genutzten Geräten sowie Art und Häufigkeit der Nutzung an Facebook weitergegeben werden. Dieser Austausch wird von den Datenschutzbehörden als kritisch eingestuft.
  • Die Nutzungsbedingungen erlauben den geschäftlichen Einsatz der App nur mit voriger Einwilligung von WhatsApp. WhatsApp hat kürzlich sein neues Produkt „WhatsApp Business“ veröffentlicht, welches allerdings keine datenschutzrechtlichen Verbesserungen bringt.

Die datenschutzrechtlichen Mängel haben große Konzerne wie die Deutsche Bank, BMW und Continental dazu bewogen, die Nutzung von WhatsApp auf dienstlichen Handys zu verbieten. Weil unter der DSGVO Strafen von bis zu 20 Millionen Euro für Verstöße solcher Art drohen, steht viel auf dem Spiel. Auch für Lehrer hat der Landesbeauftragte für Datenschutz Baden-Württemberg ein klares WhatsApp-Verbot bei dienstlicher Kommunikation mit Schülern und Erziehungsberechtigten ausgesprochen.

Datenschutzkonforme Implementierung von WhatsApp im Unternehmen

Angesichts der oben aufgeführten Bedenken stellt sich die Frage, ob WhatsApp von Unternehmen überhaupt datenschutzkonform eingesetzt werden kann. Vom Einsatz der App zur Mitarbeiterkommunikation untereinander (zu geschäftlichen Zwecken) wird abgeraten, da WhatsApp nach Meinung des BayLDA ein Sicherheitsrisiko für die Organisation darstellt. Unter bestimmten Voraussetzungen können Unternehmen WhatsApp aber zumindest zur Kommunikation mit externen Geschäftspartnern nutzen oder Mitarbeitern den Einsatz auf Diensthandys einräumen.

WhatsApp auf Diensthandys zur privaten Nutzung

  • Sofern Sie Mitarbeitern die private Nutzung von WhatsApp auf dem Diensthandy ermöglichen möchten, kann ein Mobile Device Management (MDM) den privaten Bereich des Handys vom geschäftlichen abgrenzen. So kann der Arbeitgeber sicherstellen, dass WhatsApp nicht auf geschäftliche Kontakte zugreift und Fehlhandlungen nicht seiner Verantwortlichkeit unterliegen.
  • Sofern Ihr Unternehmen kein MDM nutzt, gibt es zusätzliche Apps wie z. B. Securecontact, die geschäftliche Kontakte vor dem Zugriff von WhatsApp schützen. Wichtig ist allerdings, dass diese Apps wiederum keine Kontakte durch die Welt schicken. Alternativ können Sie auch WhatsApp den Zugriff auf das Adressbuch untersagen, darunter leidet aber deutlich der Komfort.
  • Mitarbeiter müssen zu den genannten Maßnahmen im Rahmen des Direktionsrechts dokumentiert angewiesen werden.

WhatsApp zur Kundenkommunikation

  • Das BayLDA hat angekündigt, nicht zu beanstanden, wenn Unternehmen mit Kunden über WhatsApp in Verbindung treten, sofern auf die Datenschutzbedenken hingewiesen wurde und den Kunden gleichzeitig ein anderer sicherer Kommunikationsweg angeboten wird. Diese Aussage ist allerdings mit Vorsicht zu genießen, besonders für Unternehmen außerhalb Bayerns.
  • Eine allgemeingültige Alternative der Landesbeauftragten für den Datenschutz Niedersachsen ist es, Kunden über Bedenken zu informieren, einen sichereren Kommunikationsweg anzubieten und WhatsApp den Zugriff auf das Adressbuch zu verwehren (z. B. durch zusätzliche App oder Systemeinstellung). Klassischer Anwendungsfall ist eine Autowerkstatt, die ein WhatsApp-Handy bereithält. Nach bzw. bei telefonischen Anfragen kann leicht ein Bild des eingedellten Seitenschwellers empfangen werden um einen Kostenvoranschlag zu erstellen.
  • Sofern besondere personenbezogene Daten gemäß Art. 9 DSGVO verschickt werden sollen, ist von WhatsApp gänzlich abzuraten. Die Daten werden intern auf eine Art und Weise verarbeitet, die mit dem geltenden Datenschutzrecht nicht in Einklang zu bringen ist (keinerlei Zweckbeschränkung durch WhatsApp, kein Privacy by Design). Ein Beispiel wäre eine Apotheke, die Rezepte per WhatsApp empfängt oder Ärzte, die sich Fotografien von körperlichen Leiden zuschicken lassen.

Fazit: WhatsApp-Nutzung durch Unternehmen ist eingeschränkt möglich

Unter den oben aufgeführten Bedingungen ist WhatsApp in Unternehmen durchaus einsetzbar. Aktuelle Entscheidungen von Datenschutzaufsichtsbehörden und Gerichten sollten jedoch verfolgt werden (und fließen laufend in diesen Artikel ein).

Darüber hinaus könnte die geplante ePrivacy-Verordnung die Datensicherheit für Kommunikationsdienste wie WhatsApp neu regeln. Es bleibt zu hoffen, dass für Anwender dann mehr Rechtssicherheit geschaffen wird.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

2 Kommentare

  1. Andreas Winters Profilbild
    Andreas Winters

    Sehr geehrte Damen und Herren,

    wie ist die geschäftliche Nutzung von WhatsApp auf privaten Handys der Mitarbeiter zu sehen? Kann hier ebenfalls eine entsprechende Nutzung untersagt werden?

    Vielen Dank.

    1. Aaron Nourbakhsh Profilbild
      Aaron Nourbakhsh

      Guten Tag,

      wir raten sogar dazu den geschäftlichen Gebrauch von Whatsapp auf Privathandies zu unterbinden, da anders die im Artikel beschriebenen Voraussetzungen nicht umgesetzt werden. Eine entsprechende Regelung macht sich gut in Ihrer IT-Nutzungsrichtlinie.

      Die Nutzung von Privatgeräten zu geschäftlichen Zwecken ist grundsätzlich nicht anzuraten, weil die Sicherheit des Geräts in der Hand des Arbeitnehmers liegt. Damit wird in aller Regel nicht der Grad an Informationssicherheit erreicht, der dem Standard des Arbeitgebers genügt. Alternativ kann ein Privatgerät durch ein Mobile-Device-Management vom Arbeitgeber gesteuert werden.

      Beste Grüße
      Aaron Nourbakhsh

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.