Praxistipp: Datenschutz und die geschäftliche Nutzung von WhatsApp
Im Juli 2020 hat der Europäische Gerichtshof den Angemessenheitsbeschluss zwischen der EU und den Vereinigten Staaten, den EU-US Privacy Shield, für nichtig erklärt. Damit ist eine wichtige Grundlage für Datenübermittlungen in die USA unwirksam. Bitte beachten Sie die veränderte Rechtslage.
Praxistipp Datenschutz 02|2020
WhatsApp hat die Kommunikation stark verändert und vereinfacht. So verbreitet ist der Messenger, dass er auch aus dem Unternehmensalltag nicht mehr wegzudenken ist. Warum eine kurze Frage an die Kollegin nicht schnell und einfach via WhatsApp klären? Welche Datenschutz-Hürden im Weg sind und wie sie sich überwinden lassen.
WhatsApp rein privat
Zunächst war (und ist) WhatsApp in erster Linie für den privaten Gebrauch gedacht. Wer den Messenger rein privat nutzt, muss sich in Bezug auf die europäische Gesetzgebung um Datenschutz wenig sorgen. Er tauscht WhatsApp-Nachrichten unter dem Privileg persönlicher und familiärer Tätigkeiten und unterliegt nicht den Vorgaben der DSGVO. Das Vorrecht vereinfacht vieles – und stößt schnell an Grenzen. Wird WhatsApp eben doch eingesetzt, um sich, mal schnell, mit dem Kollegen geschäftlich auszutauschen, hat man den privaten Rahmen bereits verlassen. Ebenso, wenn unter den auf dem Handy gespeicherten Kontakten auch geschäftliche sind. Und das heißt: Der Anwender wird zum datenschutzrechtlichen Verantwortlichen.
WhatsApp Business
Neben dem Standard-Messenger WhatsApp gibt es mittlerweile WhatsApp Business, einen Dienst, der sich mit einigen Zusatzfunktionen speziell an Unternehmen richtet. Allerdings nutzen die meisten, auch im Business-Umfeld, die Standard-Variante. Und da, man ahnt es, sind die datenschutzrechtlichen Stolpersteine zahlreich.
Daten in die USA
WhatsApp sitzt in den USA und damit im Sinne der DSGVO in einem Drittland. Somit stellt sich die Frage, ob Verantwortliche personenbezogene Daten dorthin übermitteln dürfen. Mit dem EU-US Privacy Shield hat die EU-Kommission einen Angemessenheitsbeschluss getroffen, die WhatsApp Inc. ist beigetreten. Damit gilt die Weitergabe von Daten an WhatsApp in den USA der innerhalb der Europäischen Union als gleichwertig. Zwar wird die Angemessenheitsentscheidung der EU-Kommission regelmäßig kritisiert und in Frage gestellt. Solange sie nicht gerichtlich gekippt wird, sind die Anforderungen an Datenübertragungen in die USA, und damit an WhatsApp, offiziell erfüllt.
Verschlüsselung
Eine zentrale Anforderung des Datenschutzes sagt: Personenbezogene Daten sind ihrem Schutzbedarf gemäß zu verschlüsseln. Kann das eine Botschaft via WhatsApp gewährleisten? Sie kann. Für WhatsApp-Nachrichten besteht standardmäßig eine Ende-zu-Ende-Verschlüsselung auf derselben Grundlage wie beim Open-Source-Messenger Signal – sie gilt als sicher. Man darf also davon ausgehen, dass Nachrichten via WhatsApp derzeit hinreichend sicher verschlüsselt sind. Heikel hingegen, und häufig übersehen, ist das Thema Backups. Klar – die persönliche WhatsApp-Historie verliert man nicht gern. Nur: Manche Backup-Lösung, auch sehr verbreitete, sichert Dateien unverschlüsselt. So bewirkt der Anwender, wenn auch unabsichtlich, dass die Daten eben doch wieder unverschlüsselt auf fremden Servern landen.
Kontakte auf dem Smartphone
Komfortabel ist bei WhatsApp, dass der Nutzer nicht jede Telefonnummer händisch eingeben muss, mit der er in Kontakt treten möchte. Das übernimmt der Messenger. Er liest dafür, übrigens regelmäßig, sämtliche Kontakte auf dem Smartphone aus und zeigt dem Nutzer an, welche davon er auf WhatsApp erreicht. Sehr praktisch. Nur – datenschutzrechtlich gesprochen übermittelt der Nutzer damit personenbezogene Daten an einen Dritten. Dafür braucht er eine rechtliche Grundlage. Und das für jeden der Kontakte im Handyspeicher. Berechtigte Interessen mögen sich für jene Kontakte anführen lassen, die selbst WhatsApp nutzen. Für die Übrigen müsste der Nutzer Einwilligungen einholen. Wie realistisch das ist, mag jeder selbst beantworten. Und selbst wenn: Rechtlich gesichert wäre die Weitergabe nur, wenn sie zwischen dem Verantwortlichen und WhatsApp vertraglich geregelt wird, Stichwort Auftragsverarbeitung oder gar gemeinsame Verantwortung. Daran hat WhatsApp – wenigstens für die Standard-Version seines Messengers – wenig Interesse.
Container-Lösungen
Bleibt eine Container-Lösung oder ein Mobile Device Management. Damit lässt sich erreichen, dass WhatsApp keinen Zugriff auf die im Container abgelegten Kontakte erhält. Das bringt wiederum eigene Probleme mit sich. Etwa, dass auch andere Dienste den Zugriff auf den Kontaktspeicher vermissen und fortan Fehler melden.
Bilder & Co.
Nicht vergessen sollte man einen weiteren Speicherort des Handys: den Medienspeicher. Fotos, Videos oder Sprachaufnahmen aus WhatsApp werden über den internen Speicher anderen Diensten zugänglich und können damit zu Datenschutzverstößen führen. Und womöglich zu weiteren Tatbeständen. Etwa, wenn auf diesem Wege die berufliche Schweigepflicht verletzt wird.
Viele Hürden, eine Frage: Vor diese und ähnliche Herausforderungen stellt WhatsApp jene, die den Messenger geschäftlich nutzen möchten. Und nun? Finger weg von WhatsApp? Jein. Bei allen Stolpersteinen lässt sich der Messenger durchaus für betriebliche Belange nutzen, wenn man einige Punkte beachtet.
WhatsApp geschäftlich nutzen - so gehts
Wer auf eine Lösung hofft, WhatsApp ohne Einschränkungen, aber datenschutzrechtlich sicher einzusetzen, darf jetzt enttäuscht sein. Aber: Unternehmen können den Messenger nutzen – nämlich passiv. Wer Daten nur entgegennimmt, umgeht viele Probleme. Etwa ein Energieversorger, der Kunden die Möglichkeit gibt, die neuesten Zählerstände via WhatsApp zu senden. Wichtig ist: Der Versorger nutzt zum Empfang ein Handy, auf dem er keine Kontaktdaten speichert. Und bietet andere Übermittlungswege, die der Kundschaft Alternativen lassen. Je nach Fall muss er zudem die Informationspflicht beachten.
Und WhatsApp Business?
Keine Hürden, dieselben oder ganz andere? Dieser Frage widmen wir uns in einem der nächsten Praxistipps.
Fazit
WhatsApp im Business-Kontext zu nutzen, ist nur schwer mit dem Datenschutz vereinbar. Unkritisch ist die passive Nutzung mit den entsprechenden Vorkehrungen. Aber wer weiß, was die Zukunft bringt – vielleicht wird WhatsApp eines Tages bereit sein, Unternehmern auch den aktiven Gebrauch ohne rechtliche Hemmnisse zu ermöglichen. Bis dahin bleibt die Nutzung im Unternehmen angewandtes Risikomanagement.
Lösungen zum Thema WhatsApp im Business-Kontext? Fragen Sie uns.
Persönliche Beratung, passgenaue Umsetzung. Mit Team Datenschutz sind Sie in Sachen Datenschutz und Informationssicherheit einen Schritt voraus.
Hier gibts den Praxistipp als kostenlosen PDF-Download.
Team Datenschutz
Langjährige Erfahrung. Zielgerichtete Lösungen. Zufriedene Kunden. In Deutschland. In Europa. Weltweit. Willkommen bei
Team
Datenschutz.
Kontakt
Wir sind für Sie da.
Am Hagelsrech 14
66806 Ensdorf
+49 6831 7689 777
Tipps & News
Praxistipps, Events, Aktuelles & mehr
Newsletter
Immer up to date im Datenschutz.
Copyright © 2024 Team Datenschutz