Allem Wirbel um geänderte AGB und allen Kettenbriefen zu angeblich heimlich geänderten Einstellungen zum Trotz ist WhatsApp immer noch die beliebteste App zum Versenden von Textnachrichten, Videos, Sprachaufzeichnungen und Bildern in Chats im privaten Bereich. Aufgrund der weit verbreiteten Nutzung ist es nachvollziehbar, wenn sich Unternehmen, Behörden und sonstige Organisationen auch Gedanken darüber machen, ob und wie ein Einsatz von WhatsApp in der dienstlichen Kommunikation aussehen kann.

Hier stellen sich jedoch leider einige datenschutzrechtliche Anforderungen, die zum Teil praktisch kaum umsetzbar sind. Im Ergebnis bestehen datenschutzrechtliche Risiken beim Einsatz von WhatsApp zur dienstlichen Kommunikation, da rechtliche Anforderungen aus der Datenschutzgrundverordnung (DSGVO) nicht eingehalten werden können. Bei einer dienstlichen Nutzung in nur eingegrenztem Rahmen ist das Beanstandungsrisiko geringer.

Welche Anforderungen es im Einzelnen einzuhalten gibt, wird im Folgenden näher erläutert:

Allgemeine Anforderungen

Die folgenden Anforderungen müssten insbesondere aus datenschutzrechtlicher Sicht bei einem beim Einsatz von WhatsApp zur dienstlichen Kommunikation in Unternehmen, Behörden und sonstigen Organisationen beachtet werden:

Personenbezogene Daten müssten aus WhatsApp gelöscht werden, sobald ihre weitere Speicherung nicht mehr erforderlich ist.
Personenbezogene Daten aus WhatsApp müssten grds. bei der Beantwortung von Auskunftsersuchen (Art. 15 Abs. 1 DSGVO), der Bereitstellung von Kopien (Art. 15 Abs. 3 DSGVO) und beim Recht auf Datenportabilität (Art. 20 DSGVO) berücksichtigt werden.
Die dienstliche Kommunikation müsste von den WhatsApp AGB gestattet sein. Dies gilt auch, wenn nicht WhatsApp Business verwendet wird.
Das sog. Need to know Prinzip müsste beachtet werden. Zugriff auf personenbezogene Daten, die innerhalb von WhatsApp verwendet werden, dürften nur Berechtigte haben. Bei der Erstellung von Chatgruppen dürften ausschließlich solche Teilnehmer in eine Gruppe aufgenommen werden, für die eine Kenntnis von den geteilten Inhalten erforderlich ist im Rahmen ihrer Beschäftigung.
Mit dem Anbieter WhatsApp müsste ein Vertrag zur Auftragsverarbeitung vereinbart werden. Zusätzlich müsste das fehlende angemessene Datenschutzniveau beim Empfänger WhatsApp bspw. durch EU-Standardvertragsklauseln (inkl. sog. ergänzender Maßnahmen) überwunden werden. Dies gilt auch, wenn nicht WhatsApp Business verwendet wird.
Allen Personen gegenüber, deren Daten innerhalb von WhatsApp verarbeitet werden, müssten die Informationspflichten aus Art. 13, 14 DSGVO erfüllt werden. Dies gilt auch für Personen, die nur Gegenstand der Kommunikation, aber nicht Teilnehmer sind.
WhatsApp dürfte die Metadaten der Kommunikation (bspw. Teilnehmer eines Chats, Zeitpunkt, Häufigkeit) nur streng nach Weisung verwenden und u.a. nicht zu eigenen Zwecken an andere Stellen wie Facebook weitergeben.
WhatsApp müsste soweit erforderlich bei der Beschreibung von Prozessen im Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO genannt werden.

In der Kundenkommunikation

In der Kommunikation mit Externen wie Bewerben oder Kunden, lassen sich die meisten der oben genannten allgemeinen Anforderungen umsetzen. Für diese Art der Kommunikation bietet der Anbieter die Variante WhatsApp Business.

Fazit: Hier bestehen nur geringere datenschutzrechtliche Risiken.

Nutzung auf privaten Endgeräten

Die Nutzung von WhatsApp auf privaten Endgeräten zur dienstlichen Kommunikation begegnet erheblichen datenschutzrechtlichen Risiken. Die Einhaltung vieler der oben genannten allgemeinen Anforderungen ist bei der Nutzung auf privaten Endgeräten schwierig oder unmöglich. So kann hier gerade kein Vertrag zur Auftragsverarbeitung mit WhatsApp geschlossen werden. Es kann nicht sichergestellt werden, dass an den privaten Endgeräten kein Zugriff auf die App und ihre Inhalte für unbefugte Dritte (bspw. Familienmitglieder und Freunde) des Nutzers besteht. Mangels einer zentralen Steuerung kann man als Unternehmen usw. auch nicht die Einhaltung von Löschpflichten oder die Berücksichtigung von Inhalten der Kommunikation bei der Beantwortung von Auskunftsersuchen usw. gewährleisten.

Fazit: Hier bestehen erhebliche datenschutzrechtliche Risiken.

Nutzung auf dienstlichen Endgeräten

Neben den oben dargestellten allgemeinen Anforderungen müsste bei der Verwendung von WhatsApp auf dienstlichen Endgeräten gewährleistet werden, dass es zu keiner Übermittlung der lokal auf dem Endgerät gespeicherten Kontaktdaten (bspw. von Kollegen oder Geschäftspartnern) an WhatsApp ohne Einwilligung der Betroffenen kommt. Andernfalls läge eine unzulässige Datenübermittlung an WhatsApp vor. Ein Zugriff von WhatsApp auf die Kontaktdaten kann verhindert werden, wenn diese entsprechend geschützt gespeichert sind.

Fazit: Hier bestehen nur etwas geringere datenschutzrechtliche Risiken als bei der Nutzung auf privaten Endgeräten.

Welche Inhalte auf keinen Fall über WhatsApp geteilt werden sollten

Sensible oder rechtlich besonders geschützte Daten sollten auf keinen Fall über WhatsApp geteilt werden. Hierzu zählen:

Informationen über Bewerber und Personaldaten
Gesundheitsdaten
Sensible Geschäftsinformationen

Fazit: Hier würde es besonders ins Gewicht fallen, wenn datenschutzrechtliche Anforderungen nicht eingehalten werden.

Résumé

Auch wenn es wenig pragmatisch erscheinen mag, da im privaten Bereich fast jeder WhatsApp nutzt, bleibt festzuhalten, dass datenschutzrechtliche Anforderungen im Falle eine dienstliche Nutzung zum Teil nicht umsetzbar sind. Im Worst Case drohen Beanstandungen und Bußgelder durch eine Datenschutzaufsichtsbehörde. Dieses Risiko müssen Unternehmen usw. tragen, sollten sie sich zur dienstlichen Verwendung von WhatsApp entscheiden.

Das Risiko einer Beanstandung sinkt freilich, je geringer der Umfang der dienstlichen Nutzung ist. Die Nachricht über eine verspätete Ankunft zu einem Meeting oder Hinweise an Kollegen zu einem dienstlich relevanten Zeitungsartikel oder Video mit Link führen nur zu einem geringeren Risiko. Grds. müssten jedoch auch hier die oben dargestellten Anforderungen eingehalten werden, solange es sich nicht wirklich um private Kommunikation handelt, die einem Unternehmen usw. nicht mehr zugerechnet werden kann.

Christian Dugall | 21. Juni 2021 | Allgemein | Datenschutzrechtliche Anforderungen, dienstliche Kommunikation, WhatsApp, WhatsApp Business App

2 Comments

Christoph Schmees PC-Fluesterer. info
24. Juni 2021 @ 15:34

WA überträgt das komplette Adressbuch des Endgerätes in die USA. Das wäre (Irrealis) nur dann zulässig, wenn ALLE Kontakte dem ausdrücklich zugestimmt hätten. Hat Irgendjemand auf der Welt dieses Einverständnis aller Kontakte eingeholt? Jedenfalls bin ich persönlich noch nie gefragt worden, obwohl ich in etlichen Adressbüchern vertreten bin.
Fazit: Die Nutzung von WA ist IMMER illegal, gleich in welchem Kontext!
- björn
  17. Mai 2022 @ 13:38
  
  @Christoph Schmees : Sie haben einen Denkfehler. Dadurch, dass Sie mit Ihrer eigenen Rufnummer bei WhatsApp teilnehmen, wird Ihre Rufnummer auf US-amerikanische Server geladen. Hier könnte man von einer Einwilligung sprechen, schließlich zwingt Sie niemand WhatsApp zu nutzen. Nun befinden sich zig Mio. Rufnummern auf deren Servern. Kommt ein neuer Nutzer hinzu gleichen sich die Rufnummern der Server und des Adressbuchs, durch Upload des kompletten Adressbuchs des Nutzers, ab. Dieser Abgleich/Upload ist einwilligungspflichtig und zwar muss diese Einwilligung durch jeden WhatsApp-Nutzer der sein Adressbuch freigibt bei jedem Kontakt im Adressbuch eingeholt werden. Sie sind nie gefragt nach einer Einwilligung gefragt worden, sagen Sie. Das liegt dann aber an den Menschen, die Sie in den Adressbüchern gelistet haben.

Datenschutzrechtliche Anforderungen beim Einsatz von WhatsApp zur dienstlichen Kommunikation