Die Behördenkommunikation befindet sich im Wandel der Zeit. Auch oder gerade in der aktuellen Coronavirus-Pandemie ist ein leichter(er) Informationsaustausch mit den Bürgerinnen und Bürgern wichtig. Die Verwaltung sollte daher nicht abgeneigt sein, auch auf die zunehmende Verschiebung von Kommunikationswegen hin zum Smartphone-Zeitalter zu reagieren und entsprechende Dienste anzubieten. Hierzu zählt auch WhatsApp.

Im vor wenigen Tagen von der Landesbeauftragten für Datenschutz und Informationsfreiheit im Saarland, Frau Monika Grethel, veröffentlichten Tätigkeitsbericht des Saarlandes für das Jahr 2019 findet sich eine bemerkenswert klare und ausdifferenzierte Prüfung des Einsatzes des wohl marktführenden Messenger-Dienstes durch öffentlichen Stellen (siehe ab S. 75 ff.). Alle Kritikpunkte und Bedenken zum Datenschutz bei WhatsApp werden im mehrseitigen Bericht angesprochen.

Doch Vorsicht: Die Behörde prüfte nicht die verbreitete Smartphone-App selbst zum Datenschutz, sondern lediglich eine WhatsApp Installation [als WhatsApp-Business-Konto (S. 75)], die in einer gesonderten virtualisierten IT-Umgebung „abgeschottet und isoliert betrieben“ wird. Deshalb wird auf einen Datenzugriff durch WhatsApp auf die Kontaktdaten bzw. das Adressbuch des mobilen Endgeräts nicht eingegangen.

Einsatz von WhatsApp durch Behörden

Kern der datenschutzrechtlichen Anforderung bildet die Frage nach der geeigneten und wirksamen Rechtsgrundlage für die Datenverarbeitung. Immerhin werden durch/bei dem Messenger-Dienst nicht nur die Gesprächsinhalte, sondern auch weitere Daten (insbesondere die Telefonnummer, ggfs. das Profilfoto, IP-Adressen und weitere Meta-Daten) verarbeitet.

Die Saarländische LfDI sieht eine Rechtsgrundlage in Verbindung mit dem jeweiligen Landesrecht gegeben und kommt daher in der Prüfung zum Ergebnis:

„Für die Einrichtung eines Bürgerdienstes in Form einer elektronischen Kommunikationsplattform zwischen Bürger und Kommune kommt als Rechtsgrundlage Art. 6 Abs. 1 lit. e, Abs. 3 lit. b DSGVO i. V. m. Art. 28 Abs. 2 G, Art. 117 Abs. 3 SVerf in Betracht. Hiernach können die Gemeinden in Eigenverantwortung den Bereich der örtlichen Öffentlichkeitsarbeit ausgestalten, was grundsätzlich auch den Einsatz moderner Kommunikationsmedien – wie Social-Media-Dienste – umfasst.“

Verantwortlichkeit im Sinne der DSGVO

Eine weitere Problematik ergibt sich aus der Frage nach der Verantwortlichkeit für die konkreten Datenverarbeitungsvorgänge. Hier gilt es zunächst zwischen den beiden Richtungen des Datenversands („Hin- und Rückkanal“) zu differenzieren. Die eine Situation besteht, wenn der Bürger die öffentliche Stelle aktiv anschreibt über WhatsApp und die andere Situation liegt bei der Antwort durch die Kommune im Chat vor. Hierzu macht die Aufsichtsbehörde mehrseitige Ausführungen.

Die derzeit in der Rechtswissenschaft diskutierte Interpretation der EuGH-Rechtsprechung zum Begriff der Verantwortlichkeit bzw. gemeinsamen Verantwortlichkeit wurde mangels „Parametisierungsmöglichkeiten“ des Nutzers innerhalb von WhatsApp abgelehnt. Der Nutzer hat keinen Einfluss auf die technischen Prozesse. Eine gemeinsame Verantwortlichkeit mit dem Betreiber ist auch nicht ersichtlich:

„Die bloße Nutzung von WhatsApp – und damit einhergehend eine u. U. kausale Mitverantwortlichkeit der Kommune für eine Verarbeitung von Daten der den Bürgerdienst nutzenden Personen durch WhatsApp – begründet demnach keine Verantwortlichkeit im datenschutzrechtlichen Sinne.“

Diese Ansicht ist zu begrüßen und sollte in dieser Klarheit auch kundgetan werden.

Die Aufsichtsbehörde stell sodann fest, dass die per WhatsApp übertragenen Inhalte (Chats, Fotos, Videos und andere Inhalte) auf dem Übertragungsweg (via WhatsApp) ausreichend geschützt sind:

„Die Verantwortlichkeit der Kommunen und sonstiger öffentlicher Stellen beim Einsatz von elektronischen Kommunikationsdiensten erstreckt sich jedoch darauf, einen in technisch-organisatorischer Hinsicht sicheren Übertragungsweg für die versendeten Nachrichten (Inhaltsdaten) anzubieten. Diese Voraussetzungen werden nach hiesiger Einschätzung von WhatsApp – in den jeweils aktuellen Versionen – derzeit erfüllt.“

Hinreichende Verschlüsselung der Inhaltsdaten?

Im Hinblick auf die von WhatsApp derzeit verwendete Verschlüsselungstechnik bestehen offenkundig keine Bedenken. Diesbezüglich geht die Aufsichtsbehörde von einer inhaltsverschlüsselten Übertragung zwischen den Gesprächspartnern aus. Auch die (max. 30 tägige) Zwischenspeicherung auf den Servern für den Fall, dass die Nachrichten beim Empfänger noch nicht zugestellt worden sind, ändert hieran nichts.

Datenübermittlung in die USA

Ein häufig gehörter Kritikpunkt ist der Datenfluss in die USA, wo die Server von WhatsApp stehen. Wie auch bei diversen anderen Anbietern steht daher zur Diskussion, ob das von der DSGVO vorgesehene Datenschutzniveau deshalb unterschritten wird.

Jedoch habe sich WhatsApp im März 2018 nach dem EU-US Privacy Shield zertifizieren lassen, womit die Anforderungen aus Art. 44 ff. DSGVO erfüllt seien.

So heißt es:

„Letztlich stellt auch eine potentielle Datenübermittlung in die Vereinigten Staaten von Amerika aus datenschutzrechtlicher Sicht hier keinen Hinderungsgrund für den Einsatz des Messaging-Dienstes WhatsApp dar. Die Datenübermittlung in die USA erweist sich derzeit als von den Vorschriften des Art. 44 ff. DSGVO gedeckt.“

Fazit

Die LfDI Saarland kommt zu einem praxistauglichen Ergebnis und lässt den grundsätzlichen Einsatz von WhatsApp (als Business-Konto) für die externe Kommunikation der Verwaltung im Saarland zu. Schon fast wohltuend stößt damit der LfDI Saarland ein erstes Fenster in Richtung WhatsApp auf, auch wenn die Rechtsausführungen – wie gesagt – nur die gesonderte Installation in einer virtuell isolierten Umgebung behandeln. Ob damit alle Bedenken aus der Welt geräumt worden sind, lässt sich bezweifeln. Es zeigt aber, dass lösungsorientierte Ansätze denkbar sind.

Wie die Aufsichtsbehörde selbst einleitend schreibt:

„Die Aufgabe einer Datenschutzbehörde besteht jedoch auch in diesem Bereich nicht darin, sich den Entwicklungen des digitalen Zeitalters entgegenzustellen. Sie ist vielmehr dazu berufen, das erwähnte Spannungsverhältnis zu lösen und die verantwortlichen Verwaltungen bei der Einrichtung von modernen Zugangsmöglichkeiten zu ihren Diensten zu unterstützen. In den meisten Fällen kann hierbei eine datenschutzkonforme Lösung gefunden werden.“

Das ist eine äußerst positive Ansicht und sollte von allen beherzigt werden.

Wie Unternehmen für den eigenen Kundenkontakt WhatsApp Business jetzt bereits datenschutzkonform einsetzen können, haben wir bereits ausgiebig untersucht. Lesen Sie hier gern mehr dazu.