Über die Nutzung von WhatsApp im Rahmen der dienstlichen Kommunikation sowie WhatsApp Channels im Unternehmen und die damit zusammenhängenden datenschutzrechtlichen Risiken berichteten wir bereits.
Da mittlerweile auch der Einsatz von WhatsApp Communities als erweiterte Kommunikationsmöglichkeit in Unternehmen auf dem Vormarsch ist oder bspw. bei gemeinnützigen Organisationen zur Koordination von ehrenamtlich Tätigen eingesetzt wird, sollen im Folgenden die datenschutzrechtlichen Herausforderungen dieser Communities näher beleuchtet werden:
Was sind WhatsApp Communities?
Wie der Name schon nahelegt, handelt es sich bei einer WhatsApp Community um eine Art „Gemeinschaft“. Konkret stellt eine solche Community eine „Dachorganisation“ für mehrere WhatsApp Gruppen dar und ermöglicht eine zentrale Organisation und Verwaltung der einzelnen Mitglieder und Gruppen, die sich innerhalb einer Community befinden. Mitglieder innerhalb einer Community können den einzelnen Gruppen einer Community beitreten.
Auf Community-Ebene können Ankündigungen über eine Ankündigungsgruppe versendet werden, die alle Community-Mitglieder erreicht, unabhängig davon, welchen Gruppen sie beigetreten sind.
Die Community wird von Community-Admins verwaltet. Diese können in die Ankündigungsgruppe schreiben und somit sämtliche Mitglieder der Community erreichen, Beitrittserklärungen zur Community annehmen und Mitglieder löschen.
Datenschutzrechtliche Herausforderungen
Mit dem Einsatz von WhatsApp Community im Unternehmen / in der Organisation gehen jedoch auch (über die generellen datenschutzrechtlichen Risiken einer WhatsApp Nutzung im Unternehmen hinaus) datenschutzrechtliche Herausforderungen einher. Hervorheben wollen wir hier insbesondere folgende:
Rechtsgrundlage
Als Rechtsgrundlage für die stattfindende Datenverarbeitung im Rahmen der Nutzung der Community dürfte lediglich die freiwillige Einwilligung der Betroffenen in Betracht kommen. Diese müsste vor Einladung der Betroffenen in die Community eingeholt werden und transparent über die stattfindende Datenverarbeitung nach Art. 13, 14 DSGVO informieren.
Umfang der Nutzung klären
In diesem Zuge muss sich zunächst einmal mit dem Umfang der Nutzung auseinandergesetzt werden. Welche der angebotenen Funktionen sollen überhaupt genutzt werden und zu welchem Zweck? Auch im Rahmen von Communities sind die datenschutzrechtlichen Voraussetzungen z. B. zur werblichen Ansprache/Newsletter zu berücksichtigen und einzuhalten. Was darf in den Gruppen geteilt werden? Wie werden Personen in die Community bzw. in die einzelnen Gruppen eingeladen? Erfolgt dies per direkter „Einladung“ oder z. B. per Link?
Need-to-know-Prinzip
Des Weiteren wäre das Rollen- und Rechtekonzept näher zu betrachten, einmal innerhalb einer Gruppe, aber auch innerhalb einer Community. Bspw. wer darf was und wer sieht was in der Community, betreffen Ankündigungen ggf. nur manche Mitglieder und nicht die ganze Community? Kann z. B. ein Nicht-Gruppenmitglied innerhalb einer Community die anderen Gruppen und Gruppenmitglieder sehen? Wer entscheidet darüber, wer eingeladen werden darf und wer kontrolliert dies und hält die Mitglieder aktuell? Wird per Link zur Community eingeladen, kann dieser weitergeleitet werden und theoretisch auch von (unberechtigten) Dritten genutzt werden, um einer Community oder Gruppe beizutreten, auch wenn der Link nicht für den Dritten bestimmt war. Je nach konkreten Einstellungen kann der Dritte unberechtigterweise bereits Informationen alleine durch die Mitgliedschaft in der Community einsehen (bspw. einzelne Mitgliedernamen und Handynummern) oder gar einzelnen Gruppen beitreten, die wiederum Einsichtnahme in weitere Daten ermöglichen.
Integrität und Vertraulichkeit
Die Sicherheit der Daten vor unbefugter oder unrechtmäßiger Verarbeitung dürfte insbesondere vor dem Hintergrund der Verarbeitung von Metadaten und Datenübermittlungen durch WhatsApp selbst problematisch sein.
Schließlich müssen auch die weiteren datenschutzrechtlichen Grundsätze berücksichtigt und gewährleistet werden, wenn neue Gruppen gegründet oder neue Gruppen der bestehenden Community beitreten wollen.
Je nach konkreter Ausgestaltung und Nutzung wäre ggf. auch vorab die Durchführung einer Datenschutz-Folgenabschätzung notwendig.
Fazit
Dass die datenschutzrechtlichen Anforderungen im Rahmen einer dienstlichen Nutzung von WhatsApp zum Teil nicht umsetzbar sind, dürfte nichts Neues sein. Allerdings erweitert die Nutzung von WhatsApp Communities immens den Kreis von Nutzern bzw. Betroffenen und damit auch die datenschutzrechtlichen Risiken. Denn laut WhatsApp Hilfebereich können bis zu 100 Gruppen in einer Community erstellt und einer Community maximal 2.000 Mitglieder hinzugefügt werden.
20. März 2025 @ 11:18
Siehe https://www.datenschutz-notizen.de/eu-us-dpf-sind-unsere-daten-in-den-usa-in-gefahr-2952751/#comments : Seit die beiden Irren In Washington D.C. durch ihre Entlassungs-Orgie das PCLOB faktisch ausgeschaltet haben, ist auch noch das letzte Feigenblatt entfallen, das bisher Datentransfer in die USA formaljuristisch bemäntelte. Die beiden ersten Versuche sind ja beide vor Gericht gescheitert; beim jetzigen ist es nur eine Frage der Zeit (und der Klage durch noyb). Wer sich als Unternehmen jetzt noch ernsthaft mit WhatsApp befasst, muss sich fragen lassen, unter welchem Stein er lebt. Um den Elefanten im Raum zu leugnen, muss man schon beide Augen fest verschließen und außerdem die Ohren und die Nase zu halten.