Neben der Umstellung interner Prozesse auf die Datenschutzgrundverordnung ( DSGVO) scheint die deutschen Unternehmen derzeit vor allem auch der Einsatz von WhatsApp zu beschäftigen. Schließlich kann der Messenger-Dienst unterschiedliche Konzepte zur internen Kommunikation der Mitarbeiter, beispielsweise für die Absprache von Schichtplänen oder zur Planung der Firmenfeier, aber auch offizielle Kanäle für Kunden und Vertriebler betreffen. Doch häufig fehlt es an klaren internen Vorgaben zur Nutzung des Dienstes oder aber jedenfalls an deren Umsetzung. In der Praxis können IT-Policys über den Haufen geworfen werden, wenn der Vorgesetze selber WhatsApp nutzt und die Mitarbeiter untereinander ohnehin schon ihre Gruppen gebildet haben.

Der DAX-Konzern Continental hat die derzeitige Rechtsunsicherheit vor dem Hintergrund der seit wenigen Tagen geltenden Datenschutz-Grundverordnung (DSGVO) nun zum Anlass genommen, ein unternehmensweites „Verbot“ der Nutzung von WhatsApp und Snapchat auf den Dienst-Handys auszusprechen. Auf diese Weise wolle man aber auch die Beschäftigten und Geschäftspartner schützen. Die DSGVO hat höhere Bußgelder und strengere Regelungen hinsichtlich der Rechtmäßigkeit einer Datenverarbeitung etabliert.

Continental ist nicht das einzige große Unternehmen, dass in diesen Tagen über den Einsatz von WhatsApp entscheidet. Nach Angaben der FAZ prüfen derzeit auch BASF und Beiersdorf die Vereinbarkeit des Messengers mit dem Datenschutz.

Das Hauptproblem

Aus datenschutzrechtlicher Sicht bestehen zahlreiche Probleme beim Einsatz des weltgrößten Messenger Dienstes.

Zum einen übermittelt der Benutzer mit Installation bzw. Start von WhatsApp sowie regelmäßig durch die Nutzung alle Einträge aus dem internen Adressbuch des Smartphones an den Dienst. Es werden somit Telefonnummern, Vor- und Nachname und alle zusätzlich eingetragenen Daten auf den Servern des Unternehmens aus den USA verarbeitet. Womöglich sind hiervon noch weitere, nicht ersichtliche Daten (Meta-Daten) betroffen.

Mangels Rechtsgrundlage wird diese Datenverarbeitung auf die Einwilligung des Betroffenen zu stützen sein (Art. 6 Abs. 1 S. 1 lit. a), Art. 7 DSGVO). Die Einwilligung wird aber zumeist fehlen und wäre bei Kontaktpersonen unter 16 Jahren sogar von den Eltern abzugeben. Denn alle Personen aus dem Adressbuch müssten vorab über diesen Umstand transparent aufgeklärt und um ihr Einverständnis gebeten werden. Wer aber macht dies? Und insbesondere im Geschäftsverkehr wäre eine solche Einwilligung des Vertragspartners oder des Interessenten oder Kunden auch äußerst unüblich.

WhatsApp hat die entsprechende Vorschrift innerhalb der eigenen AGB jüngst angepasst und wie folgt ausgestaltet:

„Adressbuch: Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern von WhatsApp Nutzern und anderen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten.“

Das US-Amerikanische Unternehmen wälzt durch die Nutzungsbedingungen die rechtliche Verantwortung auf den Nutzer ab. Ob diese Klausel einer gerichtlichen Überprüfung standhalten dürfte, sei einmal dahingestellt.

Fragliche Sicherheit

Außerdem birgt der Messenger Dienst, sofern er denn offiziell durch die Geschäftsleitung genehmigt würde, zahlreiche weitere Risiken in der Nutzung. Es schwingt jederzeit die Gefahr mit, zusätzliche Informationen oder Angaben von Kunden oder Mitarbeitern mitzusenden. Ebenso können Fotos ausgetauscht werden, die ihrerseits sensible Angaben enthalten und über das erforderliche Maß gehen. Mittlerweile ist es keine Seltenheit mehr, dass Patientendaten, Rezepte, „gelbe Scheine“, Vertragsunterlagen oder auch Fotos über WhatsApp verschickt und damit auf den Servern in den USA verarbeitet werden. Diese Dateien werden nicht nur auf den lokalen Speichern des Handys (unverschlüsselt) abgelegt und könnten eventuell dort von Dritten eingesehen, sondern können unter Umständen auch von Angreifern abgefangen werden. Immerhin werden die verschickten Fotos und Dateien bis zur Zustellung auf den Servern von WhatsApp für bis zu 30 Tage gespeichert.

Zuletzt bleiben die Bedenken, ob die derzeit eingesetzte Verschlüsselung tatsächlich sicher ist und die Daten auch vor Zugriffen Dritter angemessen geschützt werden.

Rechtsunsicherheit

Es wurde bereits darüber spekuliert, ob im gewerblichen Bereich eine Nutzung von WhatsApp einen Wettbewerbsverstoß darstellen würde und somit eine Abmahngefahr bestünde.

Sonstige straf- und zivilrechtliche Fragen, z.B. zum Schadensersatz, zur Haftung oder Strafbarkeit bei rechtswidrigen Inhalten, die bei einem Medium dieser Größenordnung immer mitschwingen, seien einmal offengelassen.

Die niedersächsische Landesdatenschutzbeauftragte hat jüngst ein Merkblatt zum Einsatz von WhatsApp in Apotheken herausgegeben, in dem sie den Einsatz des Messengers als unzulässig einstuft. Zwar geht es in dem Merkblatt um den Einsatz in Apotheken, jedoch lässt sich die Argumentation der Datenschutzbeauftragten auch auf andere Unternehmen übertragen.

Alternativen

Gleichwohl bestehen ernstzunehmende Alternativen zu WhatsApp. Einerseits kann auf andere Anbieter ausgewichen werden, die keine Synchronisation des Adressbuches vornehmen. Allerdings erfreuen sich diese nicht solch einer großen Beliebtheit wie der von Facebook aufgekaufte Messenger-Dienst.

Ebenso gibt es Mobile Device Management-Lösungen bzw. Systeme mit Container-Lösung, die E-Mails und Adressbuch innerhalb eines geschlossenen Bereichs vorhalten. In diesem Fall hat WhatsApp dann keinen Zugriff auf diese Daten – es erfolgt somit keine Übermittlung des Adressbuches an die Server von WhatsApp.

Fazit

Angesichts der aufgeworfenen Risiken bleibt es selbstverständlich bei einer Risikoeinschätzung durch die Geschäftsleitung, die etwaige positive Argumente (Zugewinn an Support, Kundenbindung und Marketing) mit den rechtlichen Gefahren abwägen muss.

Im Falle von „Conti“ gelangte die Unternehmensleitung zu dem Ergebnis, den Dienst im Unternehmen ganz (auf den Firmenhandys) zu verbannen. Barbara Thiel, Landesdatenschutzbeauftragte von Niedersachsen begrüßte jedenfalls diesen Schritt vom DAX-Konzern.

Die beiden großen Kirchen in Deutschland haben WhatsApp aus der Gemeinde verbannt, wie z.B. die Evangelische Kirche und die Katholische Kirche vor wenigen Wochen mitteilten.