Von Dipl.-Ing. (FH) Harald Müller-Delius, MBA Datenschutzbeauftragter (IHK) HMDATA Ing.-Büro

WhatsApp-Einsatz in Kürze

– Der Einsatz von WhatsApp im betrieblichen Umfeld ist grundsätzlich nicht DSGVOkonform zu gewährleisten.

– Mit folgenden Fakten, Hinweisen und Richtlinien können Sie die datenschutzrechtlichen Risiken beim Einsatz von WhatsApp kennenlernen und minimieren.

– Die Verantwortung zum Einsatz obliegt Ihnen als verantwortliche Stelle. – Prüfen Sie die Möglichkeiten für Ihr Unternehmen und klären Sie in jedem Fall Ihre Mitarbeiter auf.

– Bedenken Sie auch die Dokumentations- und Haftungsrisiken

WhatsApp ist ein Unternehmen der Facebook-Gruppe und hat seinen Stammsitz in den USA. Auf Grund des Geschäftsmodells von Facebook ist davon auszugehen, dass jegliche Kommunikation über dessen Kanäle zu werblichen Zwecken und zur Profilbildung genutzt wird.

Grundsätzlich wird – vorab gesagt – die Ansicht vertreten, dass ein datenschutzkonformer Einsatz von WhatsApp im täglichen Geschäftsbetrieb nicht möglich ist.

Die Fakten

Rein technisch gesehen liegt bei der WhatsApp-Kommunikation zwar eine sog. Ende-zuEnde-Verschlüsselung vor, die es nur dem sendenden und dem (den) empfangenden Endgeräte(n) ermöglicht, die Kommunikation mitzulesen. Die Nachrichten werden dabei sicher verschlüsselt über Server von WhatsApp (Facebook) zur Verfügung gestellt und übertragen.

Somit ist es vereinfacht gesagt nicht möglich, außer den zwei (oder bei Gruppen mehreren) Geräten, auf irgendwelchen bei der Übertragung beteiligten Servern, Netzwerken und Diensten mitzulesen, da nur den Endgeräten die verwendete Verschlüsselung bekannt ist. Auf Grund der rechtlichen Situation (US CLOUD Act) in den USA, die es Behörden u.a. bei bspw. Straftaten allerdings ermöglichen soll, Zugriff auf die Kommunikation zu erlangen, ist davon auszugehen, dass WhatsApp ( Facebook) eine Art Generalschlüssel besitzt. Richterlich vor Zugriff geschützt wären nur US-Bürger, nicht jedoch US-„ausländische“ Nutzer.

WhatsApp (Facebook) ist zwar Mitglied im sog. „Privacy-Shield-Abkommen“ (https://dede.facebook.com/about/privacyshield) , eine Art Selbstverpflichtung für Unternehmen zwischen EU und dem US-Handelsministerium zum Einhalt eines Datenschutzstandards nach Art. 45 Abs. 1 DSGVO. Somit wäre formal eine datenschutzrechtliche Vereinbarung im Raum der Gültigkeit der EU-DSGVO möglich, ist jedoch eher als fragil anzusehen, da der US CLOUD Act auf Grund einer möglichen Datenübertragung an US-Behörden nicht vereinbar mit der EU-DSGVO ist.

Und das eigentliche Problem der Datenschutzverletzung ist damit in keinem Fall gelöst: der automatisierte Zugriff auf das Kontakte-Verzeichnis des Nutzers. In der Theorie wird die Ansicht vertreten, dass dies nur zulässig wäre, wenn von allen im Kontaktebuch vorhandenen Personen eine Einwilligung nach Art. 7 DSGVO vorliegt. Das wird in der Praxis weder der Fall noch überhaupt möglich sein.

WhatsApp regelt dies in seinen Nutzungsbedingungen wie folgt:
„Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“

Das entspricht einer enthaftenden Regelung für WhatsApp (Facebook) und lässt den Nutzer im Trockenen stehen, da davon auszugehen ist, dass diese „Autorisierung“ aus datenschutzrechtlicher Sicht in Form einer gültigen Einwilligung der Kontakte nach DSGVO in den allerseltensten Fällen vorliegt.

Auf Grund dieser Überlegungen ist in vielen – auch DAX-notierten – Unternehmen der geschäftliche Einsatz von WhatsApp verboten. Dem Autor liegt es allerdings nicht nahe, praxistaugliche Lösungen per Verbotskultur zu verhindern, allerdings unterliegt die folgende Entscheidung für den Einsatz oder Duldung von WhatsApp der Verantwortung der verarbeitenden Stelle.

Fakt ist aber auch: WhatsApp ist ein mittlerweile gleichwertiger EndkundenKommunikationskanal wie Telefon oder E-Mail und daher in der breiten Masse bereits vorhanden / installiert und aus dem Alltag der Smartphones nicht mehr „wegzudenken“. Unternehmen haben das Problem, bei Verbot gegenüber „ignoranten“ Mitbewerbern Kundengruppen zu verlieren. Alternative Messenger sind unbeliebt, da diese erst beim jeweiligen Nutzerkreis installiert werden müssten (bspw. Threema) und daher keine durchgehende Verbreitung bei Endkunden wie WhatsApp besitzen.

Bitte beachten Sie beim Einsatz von WhatsApp zudem, dass die Nachrichten nur vom Inhaber des WhatsApp-Accounts gelesen werden können. D.h. im Urlaubs-, Vertretungs-, Krankheitsfall oder nach Beendigung des Arbeitsverhältnisses haben Sie in keinem Fall mehr Zugriff auf die geführten Chats und die Kommunikation. Das gilt ebenso für Ihre Beweispflichten aus der Beratungsdokumentation. Zudem erfolgt die Kundenkommunikation i.d.R. außerhalb der offiziellen Kanäle, in denen Sie Ihre Services anbieten wie etwa Reaktionszeiten, Zustellungsgarantie, Vertreterregelungen usw. Ein Kunde könnte bspw. an einem Samstag einen dringenden Schaden mit Foto an einen Mitarbeiter melden und davon ausgehen, dass dieser umgehend bearbeitet würde. Ist der entsprechende Mitarbeiter im Krankenstand oder im Urlaub bleibt diese Meldung außerhalb Ihrer geregelten Kommunikation liegen.

Und wenn WhatsApp trotzdem eingesetzt wird?

Sollte sich also trotz o.a. Ausführungen in Kenntnis der datenschutzrechtlichen Problematik eine verantwortliche Stelle für den Einsatz von WhatsApp entscheiden, so dienen folgende Hinweise sicherlich der Minimierung des datenschutzrechtlichen Risikos:

– Die DSGVO bezieht sich ausschließlich auf die automatisierte Verarbeitung personenbezogener Daten. Automatisiert wäre die Verarbeitung, sollten aber demzufolge keine entsprechenden personenbezogenen Daten versandt werden, trifft die Verordnung auch nicht zu.

– Sollte WhatsApp in der Form installiert sein, dass ein technischer Zugriff auf das Kontaktebuch / Foto-, Kamera-, Mikrofonfunktion nicht möglich ist (bspw. per Einstellung unter IOS) oder enthält das Kontaktebuch keine Einträge, erfolgt keine automatische Datenschutzverletzung.

– Sollte sichergestellt sein, dass sich im gesamten Kontaktebuch des WhatsApp-Nutzers ausschließlich bereits bei WhatsApp registrierte Nutzer befinden, so läge bereits durch die Akzeptanz der Nutzungsbedingungen solcher Nutzer die Einwilligung vor. – Keine Weiterleitung von personenbezogenen Daten von Kunden oder Mitarbeitern per WhatsApp. Sonst hat man selbst die Datenpanne generiert.

Was heißt das nun in der Praxis?

Mögliche Maßnahmen beim Einsatz von WhatsApp im Unternehmen:

– Sensibilisierung: Richtlinien für Mitarbeiter und Kunden

– Keine Synchronisierung des Kontaktebuches mit dem Unternehmensaccount

– Einrichtung eines zentralen Unternehmensaccounts für eingehende Nachrichten (bspw. Anschaffung eines fabrikneuen Handys mit ausschließlicher alleiniger WhatsApp-Installation ohne Zugriff auf das Unternehmensnetzwerk oder FirmenKommunikations-Accounts, Hinterlegung beim Sekretariat). Dies hätte zudem den Vorteil, dass sowohl der langfristige Zugriff auf die Kommunikation durch das Unternehmen gewährt als auch eine Vertreterregelung ermöglicht wäre.

– Nutzung sog. Container-Lösungen (bspw. SecurePIM / Telekom), die die Unternehmenskommunikation (Mail, Termine, Kontakte, Dokumente, Fotos, …) vor dem Zugriff von WhatsApp abschotten. Ein entsprechender Dienstleister müsste per AVV vertraglich verpflichtet werden.

– Nur für eingehende Nachrichten: Hinweis auf ausgehenden Versand – personenbezogene Daten werden nicht aktiv vom Unternehmen per WhatsApp versandt, sondern nur auf anderem Wege der Kommunikation. Eingangsbestätigungen (sofern ohne Hinweis auf Person und Inhalt), Terminvereinbarungen, Versandbestätigung wären – da keine personenbezogenen Daten verarbeitet – nach DSGVO kein Problem.

– Administrative Rechte auf dem Mobilgerät: Verbot des Zugriffs von WhatsApp auf Kontakt-, Foto-, Bilder-, Kamera- und Mikrofon-Funktion.

– Selbstverständlich können Sie aber – solange Sie keinerlei personenbezogene Daten übertragen – eine WhatsApp-News-Gruppe über einen WhatsApp-Firmenaccount für Ihre Kunden anbieten, da nur bereits registriere Benutzer bei WhatsApp diese abonnieren können.

Wie so oft im Datenschutz schließen sich Bequemlichkeit und Sicherheit reziprok aus. Jede der o.a. aufgeführten Maßnahmen stellt einen Einschnitt in die gewohnte bequeme Nutzung von WhatsApp dar. Es bleibt daher jedem Unternehmen als verantwortliche Stelle selbst überlassen, in welcher Form der grundsätzlich datenschutzrechtlich nicht konforme Einsatz von WhatsApp im Unternehmen gestattet oder unter Nutzung entsprechende Maßnahmen legitimiert wird.

Sensibilisieren Sie hierbei bitte unbedingt Ihre Mitarbeiter und Kunden mit u.a. Richtlinien.

Richtlinien für Mitarbeiter bei der Nutzung von WhatsApp

Folgende Regelungen sind nicht abschließend, dienen aber einem Überblick über mögliche zu ergreifende Maßnahmen:

  • Keine ausgehende Übertragung personenbezogener Daten
  • Prüfen das Kontaktebuches auf nicht bei WhatsApp registrierte Benutzer
  • Allgemeine Kundeninformation:
    – keine Gewähr für unverlangt eingesandte Nachrichten
    – keine Service-Reaktion im Gegensatz zu „offiziellen“ Unternehmenskanälen
    – bei dringenden Fällen, wichtigen Dokumenten o.ä. ist in jedem Fall ein „offizieller“ Kommunikationskanal zu verwenden
  • Sollten personenbezogene Daten vom Kunden per WhatsApp eingereicht werden:
    – Hinweis, dass personenbezogene Daten nur auf sicheren Kanälen eingesandt werden sollten
    – Rückantwort ohne Bezug auf die personenbezogenen Daten („Ihre Nachricht habe ich erhalten.“)
    – Keine Weiterleitung der personenbezogenen Daten an einen anderen WhatsApp-Account
    – Extraktion der eingesandten Kundendaten in sicheren Transportkanal zur Weiterverarbeitung (bspw. E-Mail)
    – Löschen der Daten nach Verarbeitung
  • Netiquette und Stil wahren (dem Geschäftsverkehr üblich, s. bspw. Social Media Guidelines), keine Nachrichten versenden die „später bereut würden“
  • Haftung beachten bei bspw. nicht zugestellten Nachrichten, bzw. Dokumentationspflichten prüfen
  • Sofortige Weiterleitung (auf anderen gesicherten Kanälen) relevanter Kunden- und Vertragsdaten an die jew. Sachbearbeitung