Neben der Umstellung interner Prozesse auf die Datenschutzgrundverordnung ( DSGVO) scheint die deutschen Unternehmen derzeit vor allem auch der Einsatz von WhatsApp zu beschäftigen. Schließlich kann der Messenger-Dienst unterschiedliche Konzepte zur internen Kommunikation der Mitarbeiter, beispielsweise für die Absprache von Schichtplänen oder zur Planung der Firmenfeier, aber auch offizielle Kanäle für Kunden und Vertriebler betreffen. Doch häufig fehlt es an klaren internen Vorgaben zur Nutzung des Dienstes oder aber jedenfalls an deren Umsetzung. In der Praxis können IT-Policys über den Haufen geworfen werden, wenn der Vorgesetze selber WhatsApp nutzt und die Mitarbeiter untereinander ohnehin schon ihre Gruppen gebildet haben.
Der DAX-Konzern Continental hat die derzeitige Rechtsunsicherheit vor dem Hintergrund der seit wenigen Tagen geltenden Datenschutz-Grundverordnung (DSGVO) nun zum Anlass genommen, ein unternehmensweites „Verbot“ der Nutzung von WhatsApp und Snapchat auf den Dienst-Handys auszusprechen. Auf diese Weise wolle man aber auch die Beschäftigten und Geschäftspartner schützen. Die DSGVO hat höhere Bußgelder und strengere Regelungen hinsichtlich der Rechtmäßigkeit einer Datenverarbeitung etabliert.
Continental ist nicht das einzige große Unternehmen, dass in diesen Tagen über den Einsatz von WhatsApp entscheidet. Nach Angaben der FAZ prüfen derzeit auch BASF und Beiersdorf die Vereinbarkeit des Messengers mit dem Datenschutz.
Das Hauptproblem
Aus datenschutzrechtlicher Sicht bestehen zahlreiche Probleme beim Einsatz des weltgrößten Messenger Dienstes.
Zum einen übermittelt der Benutzer mit Installation bzw. Start von WhatsApp sowie regelmäßig durch die Nutzung alle Einträge aus dem internen Adressbuch des Smartphones an den Dienst. Es werden somit Telefonnummern, Vor- und Nachname und alle zusätzlich eingetragenen Daten auf den Servern des Unternehmens aus den USA verarbeitet. Womöglich sind hiervon noch weitere, nicht ersichtliche Daten (Meta-Daten) betroffen.
Mangels Rechtsgrundlage wird diese Datenverarbeitung auf die Einwilligung des Betroffenen zu stützen sein (Art. 6 Abs. 1 S. 1 lit. a), Art. 7 DSGVO). Die Einwilligung wird aber zumeist fehlen und wäre bei Kontaktpersonen unter 16 Jahren sogar von den Eltern abzugeben. Denn alle Personen aus dem Adressbuch müssten vorab über diesen Umstand transparent aufgeklärt und um ihr Einverständnis gebeten werden. Wer aber macht dies? Und insbesondere im Geschäftsverkehr wäre eine solche Einwilligung des Vertragspartners oder des Interessenten oder Kunden auch äußerst unüblich.
WhatsApp hat die entsprechende Vorschrift innerhalb der eigenen AGB jüngst angepasst und wie folgt ausgestaltet:
„Adressbuch: Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern von WhatsApp Nutzern und anderen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten.“
Das US-Amerikanische Unternehmen wälzt durch die Nutzungsbedingungen die rechtliche Verantwortung auf den Nutzer ab. Ob diese Klausel einer gerichtlichen Überprüfung standhalten dürfte, sei einmal dahingestellt.
Fragliche Sicherheit
Außerdem birgt der Messenger Dienst, sofern er denn offiziell durch die Geschäftsleitung genehmigt würde, zahlreiche weitere Risiken in der Nutzung. Es schwingt jederzeit die Gefahr mit, zusätzliche Informationen oder Angaben von Kunden oder Mitarbeitern mitzusenden. Ebenso können Fotos ausgetauscht werden, die ihrerseits sensible Angaben enthalten und über das erforderliche Maß gehen. Mittlerweile ist es keine Seltenheit mehr, dass Patientendaten, Rezepte, „gelbe Scheine“, Vertragsunterlagen oder auch Fotos über WhatsApp verschickt und damit auf den Servern in den USA verarbeitet werden. Diese Dateien werden nicht nur auf den lokalen Speichern des Handys (unverschlüsselt) abgelegt und könnten eventuell dort von Dritten eingesehen, sondern können unter Umständen auch von Angreifern abgefangen werden. Immerhin werden die verschickten Fotos und Dateien bis zur Zustellung auf den Servern von WhatsApp für bis zu 30 Tage gespeichert.
Zuletzt bleiben die Bedenken, ob die derzeit eingesetzte Verschlüsselung tatsächlich sicher ist und die Daten auch vor Zugriffen Dritter angemessen geschützt werden.
Rechtsunsicherheit
Es wurde bereits darüber spekuliert, ob im gewerblichen Bereich eine Nutzung von WhatsApp einen Wettbewerbsverstoß darstellen würde und somit eine Abmahngefahr bestünde.
Sonstige straf- und zivilrechtliche Fragen, z.B. zum Schadensersatz, zur Haftung oder Strafbarkeit bei rechtswidrigen Inhalten, die bei einem Medium dieser Größenordnung immer mitschwingen, seien einmal offengelassen.
Die niedersächsische Landesdatenschutzbeauftragte hat jüngst ein Merkblatt zum Einsatz von WhatsApp in Apotheken herausgegeben, in dem sie den Einsatz des Messengers als unzulässig einstuft. Zwar geht es in dem Merkblatt um den Einsatz in Apotheken, jedoch lässt sich die Argumentation der Datenschutzbeauftragten auch auf andere Unternehmen übertragen.
Alternativen
Gleichwohl bestehen ernstzunehmende Alternativen zu WhatsApp. Einerseits kann auf andere Anbieter ausgewichen werden, die keine Synchronisation des Adressbuches vornehmen. Allerdings erfreuen sich diese nicht solch einer großen Beliebtheit wie der von Facebook aufgekaufte Messenger-Dienst.
Ebenso gibt es Mobile Device Management-Lösungen bzw. Systeme mit Container-Lösung, die E-Mails und Adressbuch innerhalb eines geschlossenen Bereichs vorhalten. In diesem Fall hat WhatsApp dann keinen Zugriff auf diese Daten – es erfolgt somit keine Übermittlung des Adressbuches an die Server von WhatsApp.
Fazit
Angesichts der aufgeworfenen Risiken bleibt es selbstverständlich bei einer Risikoeinschätzung durch die Geschäftsleitung, die etwaige positive Argumente (Zugewinn an Support, Kundenbindung und Marketing) mit den rechtlichen Gefahren abwägen muss.
Im Falle von „Conti“ gelangte die Unternehmensleitung zu dem Ergebnis, den Dienst im Unternehmen ganz (auf den Firmenhandys) zu verbannen. Barbara Thiel, Landesdatenschutzbeauftragte von Niedersachsen begrüßte jedenfalls diesen Schritt vom DAX-Konzern.
Die beiden großen Kirchen in Deutschland haben WhatsApp aus der Gemeinde verbannt, wie z.B. die Evangelische Kirche und die Katholische Kirche vor wenigen Wochen mitteilten.
21. Juni 2018 @ 12:27
Das ist nichts neues, bei uns im Unternehmen ist die Nutzung von WhatsApp schon immer verboten, auch wenn das regelmäßig zu Diskussionen ala „mein Freund arbeitet bei xyz, und da ist WhatsApp nicht verboten“ führte.
Die Unternehmen, die das erst jetzt verbieten, und das auch noch an die große (PR-)Glocke hängen, bestätigen damit ja nur, dass sie sich in der Vergangenheit nicht an die deutschen Gesetze gehalten haben.
Eigentlich müsste man jetzt her gehen, und Continental vor Gericht ziehen, weil sie die Nutzung von WhatsApp bisher geduldet haben. Aber das wird nur dazu führen, dass andere Unternehmen das Thema dann weiter ignorieren, statt sich darüber wie BASF und Beiersdorf darüber Gedanken zu machen, von daher wäre das wohl eher kontraproduktiv…
12. Juni 2018 @ 15:16
Wäre denn eine Lösung mit Doppel-Sim gangbar, auf der die Geschäftskontakte nur auf der Geschäfts-Sim liegen/gespeichert sind, oder liest WhatsApp dort auch aus bzw. muss man annehmen, dass das Telefon technisch doch irgendwie aus der Sim in das Telefon-Speicher-Kontaktbuch Daten überträgt und dann dort WhatsApp doch wieder zuschlägt?
13. Juni 2018 @ 9:15
Vielen Dank für Ihren Kommentar.
Sofern durch die Einstellung der Doppel-Sim die Trennung gewährleistet wird, so dass gerade nicht im Adressbuch (automatisch oder über die Synchronisation) die Einträge/Nummern beider Sim Karten eingefügt bzw. hinterlegt werden, wäre es vielleicht machbar. Ich bin mir aber nicht sicher, inwiefern nicht durch die Einträge/Nummern z.B. mit dem Google Konto verknüpft werden und dann auch weiterhin übermittelt werden.
21. Juni 2018 @ 12:28
Die gängigen Dual-SIM Smartphones haben keine getrennten Adressbücher, so dass das kein gangbarer Weg wäre. Einzige Lösung sind getrennte Smartphones für geschäftliche und private Nutzung, oder Bastellösungen wie XPrivacyLua, mit denen man Apps Zugriff nur auf ausgewählte Kontakte gewähren kann.