Die Behördenkommunikation befindet sich im Wandel der Zeit. Auch oder gerade in der aktuellen Coronavirus-Pandemie ist ein leichter(er) Informationsaustausch mit den Bürgerinnen und Bürgern wichtig. Die Verwaltung sollte daher nicht abgeneigt sein, auch auf die zunehmende Verschiebung von Kommunikationswegen hin zum Smartphone-Zeitalter zu reagieren und entsprechende Dienste anzubieten. Hierzu zählt auch WhatsApp.
Im vor wenigen Tagen von der Landesbeauftragten für Datenschutz und Informationsfreiheit im Saarland, Frau Monika Grethel, veröffentlichten Tätigkeitsbericht des Saarlandes für das Jahr 2019 findet sich eine bemerkenswert klare und ausdifferenzierte Prüfung des Einsatzes des wohl marktführenden Messenger-Dienstes durch öffentlichen Stellen (siehe ab S. 75 ff.). Alle Kritikpunkte und Bedenken zum Datenschutz bei WhatsApp werden im mehrseitigen Bericht angesprochen.
Doch Vorsicht: Die Behörde prüfte nicht die verbreitete Smartphone-App selbst zum Datenschutz, sondern lediglich eine WhatsApp Installation [als WhatsApp-Business-Konto (S. 75)], die in einer gesonderten virtualisierten IT-Umgebung „abgeschottet und isoliert betrieben“ wird. Deshalb wird auf einen Datenzugriff durch WhatsApp auf die Kontaktdaten bzw. das Adressbuch des mobilen Endgeräts nicht eingegangen.
Einsatz von WhatsApp durch Behörden
Kern der datenschutzrechtlichen Anforderung bildet die Frage nach der geeigneten und wirksamen Rechtsgrundlage für die Datenverarbeitung. Immerhin werden durch/bei dem Messenger-Dienst nicht nur die Gesprächsinhalte, sondern auch weitere Daten (insbesondere die Telefonnummer, ggfs. das Profilfoto, IP-Adressen und weitere Meta-Daten) verarbeitet.
Die Saarländische LfDI sieht eine Rechtsgrundlage in Verbindung mit dem jeweiligen Landesrecht gegeben und kommt daher in der Prüfung zum Ergebnis:
„Für die Einrichtung eines Bürgerdienstes in Form einer elektronischen Kommunikationsplattform zwischen Bürger und Kommune kommt als Rechtsgrundlage Art. 6 Abs. 1 lit. e, Abs. 3 lit. b DSGVO i. V. m. Art. 28 Abs. 2 G, Art. 117 Abs. 3 SVerf in Betracht. Hiernach können die Gemeinden in Eigenverantwortung den Bereich der örtlichen Öffentlichkeitsarbeit ausgestalten, was grundsätzlich auch den Einsatz moderner Kommunikationsmedien – wie Social-Media-Dienste – umfasst.“
Verantwortlichkeit im Sinne der DSGVO
Eine weitere Problematik ergibt sich aus der Frage nach der Verantwortlichkeit für die konkreten Datenverarbeitungsvorgänge. Hier gilt es zunächst zwischen den beiden Richtungen des Datenversands („Hin- und Rückkanal“) zu differenzieren. Die eine Situation besteht, wenn der Bürger die öffentliche Stelle aktiv anschreibt über WhatsApp und die andere Situation liegt bei der Antwort durch die Kommune im Chat vor. Hierzu macht die Aufsichtsbehörde mehrseitige Ausführungen.
Die derzeit in der Rechtswissenschaft diskutierte Interpretation der EuGH-Rechtsprechung zum Begriff der Verantwortlichkeit bzw. gemeinsamen Verantwortlichkeit wurde mangels „Parametisierungsmöglichkeiten“ des Nutzers innerhalb von WhatsApp abgelehnt. Der Nutzer hat keinen Einfluss auf die technischen Prozesse. Eine gemeinsame Verantwortlichkeit mit dem Betreiber ist auch nicht ersichtlich:
„Die bloße Nutzung von WhatsApp – und damit einhergehend eine u. U. kausale Mitverantwortlichkeit der Kommune für eine Verarbeitung von Daten der den Bürgerdienst nutzenden Personen durch WhatsApp – begründet demnach keine Verantwortlichkeit im datenschutzrechtlichen Sinne.“
Diese Ansicht ist zu begrüßen und sollte in dieser Klarheit auch kundgetan werden.
Die Aufsichtsbehörde stell sodann fest, dass die per WhatsApp übertragenen Inhalte (Chats, Fotos, Videos und andere Inhalte) auf dem Übertragungsweg (via WhatsApp) ausreichend geschützt sind:
„Die Verantwortlichkeit der Kommunen und sonstiger öffentlicher Stellen beim Einsatz von elektronischen Kommunikationsdiensten erstreckt sich jedoch darauf, einen in technisch-organisatorischer Hinsicht sicheren Übertragungsweg für die versendeten Nachrichten (Inhaltsdaten) anzubieten. Diese Voraussetzungen werden nach hiesiger Einschätzung von WhatsApp – in den jeweils aktuellen Versionen – derzeit erfüllt.“
Hinreichende Verschlüsselung der Inhaltsdaten?
Im Hinblick auf die von WhatsApp derzeit verwendete Verschlüsselungstechnik bestehen offenkundig keine Bedenken. Diesbezüglich geht die Aufsichtsbehörde von einer inhaltsverschlüsselten Übertragung zwischen den Gesprächspartnern aus. Auch die (max. 30 tägige) Zwischenspeicherung auf den Servern für den Fall, dass die Nachrichten beim Empfänger noch nicht zugestellt worden sind, ändert hieran nichts.
Datenübermittlung in die USA
Ein häufig gehörter Kritikpunkt ist der Datenfluss in die USA, wo die Server von WhatsApp stehen. Wie auch bei diversen anderen Anbietern steht daher zur Diskussion, ob das von der DSGVO vorgesehene Datenschutzniveau deshalb unterschritten wird.
Jedoch habe sich WhatsApp im März 2018 nach dem EU-US Privacy Shield zertifizieren lassen, womit die Anforderungen aus Art. 44 ff. DSGVO erfüllt seien.
So heißt es:
„Letztlich stellt auch eine potentielle Datenübermittlung in die Vereinigten Staaten von Amerika aus datenschutzrechtlicher Sicht hier keinen Hinderungsgrund für den Einsatz des Messaging-Dienstes WhatsApp dar. Die Datenübermittlung in die USA erweist sich derzeit als von den Vorschriften des Art. 44 ff. DSGVO gedeckt.“
Fazit
Die LfDI Saarland kommt zu einem praxistauglichen Ergebnis und lässt den grundsätzlichen Einsatz von WhatsApp (als Business-Konto) für die externe Kommunikation der Verwaltung im Saarland zu. Schon fast wohltuend stößt damit der LfDI Saarland ein erstes Fenster in Richtung WhatsApp auf, auch wenn die Rechtsausführungen – wie gesagt – nur die gesonderte Installation in einer virtuell isolierten Umgebung behandeln. Ob damit alle Bedenken aus der Welt geräumt worden sind, lässt sich bezweifeln. Es zeigt aber, dass lösungsorientierte Ansätze denkbar sind.
Wie die Aufsichtsbehörde selbst einleitend schreibt:
„Die Aufgabe einer Datenschutzbehörde besteht jedoch auch in diesem Bereich nicht darin, sich den Entwicklungen des digitalen Zeitalters entgegenzustellen. Sie ist vielmehr dazu berufen, das erwähnte Spannungsverhältnis zu lösen und die verantwortlichen Verwaltungen bei der Einrichtung von modernen Zugangsmöglichkeiten zu ihren Diensten zu unterstützen. In den meisten Fällen kann hierbei eine datenschutzkonforme Lösung gefunden werden.“
Das ist eine äußerst positive Ansicht und sollte von allen beherzigt werden.
Wie Unternehmen für den eigenen Kundenkontakt WhatsApp Business jetzt bereits datenschutzkonform einsetzen können, haben wir bereits ausgiebig untersucht. Lesen Sie hier gern mehr dazu.
Anonymous
8. April 2020 @ 13:56
Das schwächste Glied einer Kette bestimmt die Sicherheit (und hier den Datenschutz).
1) Wie sicher und datenschutzgerecht kann eine Kommunikation zwischen einer aufwändig (?) optimierten Business-Version und einem DAU-Smartphone sein?
2) Wer redet von den Alternativen?
https://www.kuketz-blog.de/empfehlungsecke/#messenger
3) Warum gibt es nicht schon lange eine sichere E-Mailkommunikation?
4) Wo ist das Abstandsproblem, wenn jeder im Amt seine Nummer zieht?
Fazit:
Corona wird leider schamlos ausgenutzt (und verlängert), um die Grundrechte systematisch zu schleifen und das Thema Gesundheit gegen die informationelle Selbstbestimmung auszuspielen!
https://www.bfdi.bund.de/DE/Infothek/Transparenz/_functions/Stellungnahmen_table.html
https://www.eaid-berlin.de/appell-der-europaeischen-akademie-fuer-informationsfreiheit-und-datenschutz-corona-pandemie-bekaempfen-buergerrechte-und-datenschutz-wahren/
Anonymous
1. April 2020 @ 15:45
Ich empfehle die Ausführungen zu ergänzen.
Die Saarländische LfDI bezieht sich nach meinem Verständnis nur auf das Produkt „WhatsApp Business“ (gibt es als App und als Web-API). Meiner Ansicht nach völlig zurecht, da nur dieses Produkt eine EU-US-Privacy-Shield-Zertifizierung hat, im Gegensatz zum gängigen Privatkundenprodukt „WhatsApp“. Insoweit halte ich den Einsatz des Privatkundenprodukts „WhatsApp“ in Unternehmen / Behörden mangels Erfüllung der Anforderungen der Art. 44 ff. DS-GVO weiterhin nicht für datenschutzkonform zulässig.
Demnach wäre eine differenzierte Darstellung im Artikel wünschenswert.
Conrad Conrad
1. April 2020 @ 16:42
Guten Tag,
vielen Dank für den Hinweis. Zur Klarstellung haben wir diese Info im Beitrag ergänzt.
Mit besten Grüßen,
Conrad S. Conrad
Anonymous
1. April 2020 @ 10:59
Was soll er jetzt nur tun, der Datenschutzbeauftragte von kleinen-mittelständischen Unternehmen? Falls es ihn überhaupt gibt, versteht sich. Bisher konnte er ja noch beraten „WhatsApp geht aus datenschutzrechtlichen gar nicht“. Jetzt kann er mitteilen, geht immer noch nicht, irgendwie unter ganz engen Voraussetzungen aber vielleicht doch. Zwar weiß zwar immer noch keiner, ob und was die an Facebook weitergeben, aber ich druck mal die Blogeinträge von Datenschutznord aus: Am 01.04. 20 (kein Aprilscherz) und am 05.12.19 haben die was veröffentlicht. Und beziehen sich auf die Saarländer. „Liebe Unternehmensleitung, macht das doch einfach so, dann sind die Risiken jedenfalls irgendwie reduziert. “ Corona legt ganz deutlich offen, dass die Macht des Faktischen und die Durchdringungskraft von WhatsApp einerseits und der Regelungswahn europäischer Verordnungsgeber verbunden mit dem deutschen Länder klein-klein andererseits ausreichen, um blanke Verwirrung zu erzeugen. Am Ende ist wahrscheinlich der der Sieger, der als Unternehmen einfach „gewhatsappt“ hat. Am besten nur nicht erwischen lassen und ansonsten war´s Corona. Geht so Rechtssicherheit ? Ich hoffe wir lernen alle was aus dieser Krise: So geht’s jedenfalls nicht. In Zukunft muss klar sein, was geht und was nicht. Alle Beteiligten müssen wissen, welche Kommunikationsmittel eindeutig erlaubt sind. Da muss sowas wie ein Datenschutz-TüV her. Technisch-juristische Expertenaufsätze helfen vielleicht in Zeiten der Ruhe, aber bestimmt nicht wenn es um Leben und Tod geht.
PEgu
1. April 2020 @ 12:27
Ich teile Ihre Empörung nicht, Anonymous. Die Klarstellung (nicht „irgendwie so“, sondern belegt) finde ich für meinen Alltag als DSB einer Organisation der Größe Mittelstand hilfreich. Und der Tätigkeitsbericht bezieht sich auf das Jahr 2019, steht also nicht in Verbindung mit der aktuellen Corona-Krise, auch wenn diese vermutlich dazu führt, die Bedarfe für Messenger-Interaktion noch wachsen zu lassen.