Unter welchen Bedingungen erlaubt die DSGVO den Einsatz von WhatsApp im Unternehmen?

Die Nutzung des Messenger-Dienstes WhatsApp ist auch für Unternehmen äußerst vorteilhaft: Attraktive Funktionen zur Strukturierung von Nachrichten, Empfängern und Inhalten bieten echte Mehrwerte. Darüber hinaus ist der Dienst kostenlos (zumindest monetär gesehen), unbeschränkt und über Ländergrenzen hinweg nutzbar. Doch können Unternehmen bzw. Businesskunden unter der EU-Datenschutz-Grundverordnung (DSGVO) WhatsApp überhaupt datenschutzkonform nutzen? Was gilt für die Kommunikation mit Kunden, Mitarbeitern oder Bewerbern?

Der Einsatz von WhatsApp im Unternehmen

Der Einsatz von WhatsApp ist für Unternehmen aller Branchen vor allem deswegen attraktiv, weil die App einen sehr hohen Verbreitungsgrad bei Nutzern von mobilen Endgeräten (Smartphones) hat. Die Anwendungsfälle sind zahlreich: Handwerksbetriebe und Maschinenhersteller lassen sich Defekte vorab per Bild zuschicken, um Ferndiagnosen durchzuführen oder Kostenvoranschläge zu erstellen. Personalagenturen erleichtern ihren Kandidaten die Kommunikation und treten mit Bewerbern durch die App unkompliziert in Kontakt.

Der Vorteil: Ansprechpartner aber auch Mitarbeiter können wesentlich besser erreicht werden. Findige Arbeitgeber nutzen die hohe private Aktivität ihrer Mitarbeiter, um diese Tag und Nacht für betriebliche Belange kontaktieren zu können. Auch WhatsApp-Gruppen für ganze Abteilungen sind hoch im Kurs bei den Mitarbeitern und weit verbreitet. Das Vorgehen steigert die Produktivität, ist bequem für alle Beteiligten und verschmilzt irrigerweise geschäftliche mit privater Kommunikation.

Was häufig übersehen wird ist, dass die Kontaktierung des WhatsApp-Accounts eines Kunden oder Mitarbeiters noch nicht bedeutet, dass es sich um einen Vorgang handelt, der dem Privatbereich zugeordnet werden kann. Die rein private Nutzung von WhatsApp unter Freunden bzw. in der Familie fällt nicht unter den Anwendungsbereich der DSGVO. Sofern der Zweck der Kontaktierung allerdings überwiegend geschäftlich ist, finden die europäischen Datenschutzregeln Anwendung.

Datenschutzrechtliche Herausforderungen beim geschäftlichen Einsatz von WhatsApp

Die DSGVO sieht einige Maßnahmen zum Schutz personenbezogener Daten von Nutzern vor, die von WhatsApp momentan nicht eingehalten werden. Die mit europäischem Datenschutzrecht unvereinbaren Praktiken sind u. a.:

  • Alle lokal gespeicherten Kontakte des WhatsApp-Nutzers werden zum Abgleich auf Server in den USA geschickt. Die Übermittlung dieser personenbezogenen Daten erfordert eine rechtswirksame Einwilligung jeder Kontaktperson, welche schlichtweg fehlt und den Datentransfer damit verbietet.
  • Obwohl die Kommunikationsinhalte Ende-zu-Ende verschlüsselt sind, beanstandet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), dass Metadaten von WhatsApp in den USA verarbeitet werden. Metadaten sind alle Daten, außer dem eigentlichen Inhalt der Nachricht, d. h. auch Informationen zu Sender und Empfänger der WhatsApp-Nachricht.
  • In seinen FAQ zum Datenschutz bestätigt WhatsApp, dass Informationen wie Telefonnummer, Informationen zu den genutzten Geräten sowie Art und Häufigkeit der Nutzung an Facebook weitergegeben werden. Dieser Austausch wird von den Datenschutzbehörden als kritisch eingestuft.
  • Die Nutzungsbedingungen erlauben den geschäftlichen Einsatz der App nur mit voriger Einwilligung von WhatsApp. WhatsApp hat kürzlich sein neues Produkt „WhatsApp Business“ veröffentlicht, welches allerdings keine datenschutzrechtlichen Verbesserungen bringt.

Die datenschutzrechtlichen Mängel haben große Konzerne wie die Deutsche Bank, BMW und Continental dazu bewogen, die Nutzung von WhatsApp auf dienstlichen Handys zu verbieten. Weil unter der DSGVO Strafen von bis zu 20 Millionen Euro für Verstöße solcher Art drohen, steht viel auf dem Spiel. Auch für Lehrer hat der Landesbeauftragte für Datenschutz Baden-Württemberg ein klares WhatsApp-Verbot bei dienstlicher Kommunikation mit Schülern und Erziehungsberechtigten ausgesprochen.

Datenschutzkonforme Implementierung von WhatsApp im Unternehmen

Angesichts der oben aufgeführten Bedenken stellt sich die Frage, ob WhatsApp von Unternehmen überhaupt datenschutzkonform eingesetzt werden kann. Vom Einsatz der App zur Mitarbeiterkommunikation untereinander (zu geschäftlichen Zwecken) wird abgeraten, da WhatsApp nach Meinung des BayLDA ein Sicherheitsrisiko für die Organisation darstellt. Unter bestimmten Voraussetzungen können Unternehmen WhatsApp aber zumindest zur Kommunikation mit externen Geschäftspartnern nutzen oder Mitarbeitern den Einsatz auf Diensthandys einräumen.

WhatsApp auf Diensthandys zur privaten Nutzung

  • Sofern Sie Mitarbeitern die private Nutzung von WhatsApp auf dem Diensthandy ermöglichen möchten, kann ein Mobile Device Management (MDM) den privaten Bereich des Handys vom geschäftlichen abgrenzen. So kann der Arbeitgeber sicherstellen, dass WhatsApp nicht auf geschäftliche Kontakte zugreift und Fehlhandlungen nicht seiner Verantwortlichkeit unterliegen.
  • Sofern Ihr Unternehmen kein MDM nutzt, gibt es zusätzliche Apps wie z. B. Securecontact, die geschäftliche Kontakte vor dem Zugriff von WhatsApp schützen. Wichtig ist allerdings, dass diese Apps wiederum keine Kontakte durch die Welt schicken. Alternativ können Sie auch WhatsApp den Zugriff auf das Adressbuch untersagen, darunter leidet aber deutlich der Komfort.
  • Mitarbeiter müssen zu den genannten Maßnahmen im Rahmen des Direktionsrechts dokumentiert angewiesen werden.

WhatsApp zur Kundenkommunikation

  • Das BayLDA hat angekündigt, nicht zu beanstanden, wenn Unternehmen mit Kunden über WhatsApp in Verbindung treten, sofern auf die Datenschutzbedenken hingewiesen wurde und den Kunden gleichzeitig ein anderer sicherer Kommunikationsweg angeboten wird. Diese Aussage ist allerdings mit Vorsicht zu genießen, besonders für Unternehmen außerhalb Bayerns.
  • Eine allgemeingültige Alternative der Landesbeauftragten für den Datenschutz Niedersachsen ist es, Kunden über Bedenken zu informieren, einen sichereren Kommunikationsweg anzubieten und WhatsApp den Zugriff auf das Adressbuch zu verwehren (z. B. durch zusätzliche App oder Systemeinstellung). Klassischer Anwendungsfall ist eine Autowerkstatt, die ein WhatsApp-Handy bereithält. Nach bzw. bei telefonischen Anfragen kann leicht ein Bild des eingedellten Seitenschwellers empfangen werden um einen Kostenvoranschlag zu erstellen.
  • Sofern besondere personenbezogene Daten gemäß Art. 9 DSGVO verschickt werden sollen, ist von WhatsApp gänzlich abzuraten. Die Daten werden intern auf eine Art und Weise verarbeitet, die mit dem geltenden Datenschutzrecht nicht in Einklang zu bringen ist (keinerlei Zweckbeschränkung durch WhatsApp, kein Privacy by Design). Ein Beispiel wäre eine Apotheke, die Rezepte per WhatsApp empfängt oder Ärzte, die sich Fotografien von körperlichen Leiden zuschicken lassen.

Fazit: WhatsApp-Nutzung durch Unternehmen ist eingeschränkt möglich

Unter den oben aufgeführten Bedingungen ist WhatsApp in Unternehmen durchaus einsetzbar. Aktuelle Entscheidungen von Datenschutzaufsichtsbehörden und Gerichten sollten jedoch verfolgt werden (und fließen laufend in diesen Artikel ein).

Darüber hinaus wird die für 2019 erwartete ePrivacy-Verordnung die Datensicherheit für Kommunikationsdienste wie WhatsApp neu regeln. Es bleibt zu hoffen, dass für Anwender dann mehr Rechtssicherheit geschaffen wird.

Bitte bewerten Sie diese Inhalte!
[9 Bewertung(en)/ratings]
2 Kommentare
  1. Andreas Winters
    Andreas Winters sagte:

    Sehr geehrte Damen und Herren,
    wie ist die geschäftliche Nutzung von WhatsApp auf privaten Handys der Mitarbeiter zu sehen? Kann hier ebenfalls eine entsprechende Nutzung untersagt werden?
    Vielen Dank.

    Antworten
    • Aaron Nourbakhsh
      Aaron Nourbakhsh sagte:

      Guten Tag,

      wir raten sogar dazu den geschäftlichen Gebrauch von Whatsapp auf Privathandies zu unterbinden, da anders die im Artikel beschriebenen Voraussetzungen nicht umgesetzt werden. Eine entsprechende Regelung macht sich gut in Ihrer IT-Nutzungsrichtlinie.

      Die Nutzung von Privatgeräten zu geschäftlichen Zwecken ist grundsätzlich nicht anzuraten, weil die Sicherheit des Geräts in der Hand des Arbeitnehmers liegt. Damit wird in aller Regel nicht der Grad an Informationssicherheit erreicht, der dem Standard des
      Arbeitgebers genügt. Alternativ kann ein Privatgerät durch ein Mobile-Device-Management vom Arbeitgeber gesteuert werden.

      Beste Grüße
      Aaron Nourbakhsh

      Antworten

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.