Praxistipp: Datenschutz und die geschäftliche Nutzung von WhatsApp

Team Datenschutz • 6. Juli 2020

Im Juli 2020 hat der Europäische Gerichtshof den Angemessenheitsbeschluss zwischen der EU und den Vereinigten Staaten, den EU-US Privacy Shield, für nichtig erklärt. Damit ist eine wichtige Grundlage für Datenübermittlungen in die USA unwirksam. Bitte beachten Sie die veränderte Rechtslage.


Praxistipp Datenschutz 02|2020

WhatsApp und andere Apps auf dem Handy



WhatsApp hat die Kommunikation stark verändert und vereinfacht. So verbreitet ist der Messenger, dass er auch aus dem Unternehmensalltag nicht mehr wegzudenken ist. Warum eine kurze Frage an die Kollegin nicht schnell und einfach via WhatsApp klären? Welche Datenschutz-Hürden im Weg sind und wie sie sich überwinden lassen.


WhatsApp rein privat

Zunächst war (und ist) WhatsApp in erster Linie für den privaten Gebrauch gedacht. Wer den Messenger rein privat nutzt, muss sich in Bezug auf die europäische Gesetzgebung um Datenschutz wenig sorgen. Er tauscht WhatsApp-Nachrichten unter dem Privileg persönlicher und familiärer Tätigkeiten und unterliegt nicht den Vorgaben der DSGVO. Das Vorrecht vereinfacht vieles – und stößt schnell an Grenzen. Wird WhatsApp eben doch eingesetzt, um sich, mal schnell, mit dem Kollegen geschäftlich auszutauschen, hat man den privaten Rahmen bereits verlassen. Ebenso, wenn unter den auf dem Handy gespeicherten Kontakten auch geschäftliche sind. Und das heißt: Der Anwender wird zum datenschutzrechtlichen Verantwortlichen.



WhatsApp Business

Neben dem Standard-Messenger WhatsApp gibt es mittlerweile WhatsApp Business, einen Dienst, der sich mit einigen Zusatzfunktionen speziell an Unternehmen richtet. Allerdings nutzen die meisten, auch im Business-Umfeld, die Standard-Variante. Und da, man ahnt es, sind die datenschutzrechtlichen Stolpersteine zahlreich.



Daten in die USA

WhatsApp sitzt in den USA und damit im Sinne der DSGVO in einem Drittland. Somit stellt sich die Frage, ob Verantwortliche personenbezogene Daten dorthin übermitteln dürfen. Mit dem EU-US Privacy Shield hat die EU-Kommission einen Angemessenheitsbeschluss getroffen, die WhatsApp Inc. ist beigetreten. Damit gilt die Weitergabe von Daten an WhatsApp in den USA der innerhalb der Europäischen Union als gleichwertig. Zwar wird die Angemessenheitsentscheidung der EU-Kommission regelmäßig kritisiert und in Frage gestellt. Solange sie nicht gerichtlich gekippt wird, sind die Anforderungen an Datenübertragungen in die USA, und damit an WhatsApp, offiziell erfüllt.



Verschlüsselung

Eine zentrale Anforderung des Datenschutzes sagt: Personenbezogene Daten sind ihrem Schutzbedarf gemäß zu verschlüsseln. Kann das eine Botschaft via WhatsApp gewährleisten? Sie kann. Für WhatsApp-Nachrichten besteht standardmäßig eine Ende-zu-Ende-Verschlüsselung auf derselben Grundlage wie beim Open-Source-Messenger Signal – sie gilt als sicher. Man darf also davon ausgehen, dass Nachrichten via WhatsApp derzeit hinreichend sicher verschlüsselt sind. Heikel hingegen, und häufig übersehen, ist das Thema Backups. Klar – die persönliche WhatsApp-Historie verliert man nicht gern. Nur: Manche Backup-Lösung, auch sehr verbreitete, sichert Dateien unverschlüsselt. So bewirkt der Anwender, wenn auch unabsichtlich, dass die Daten eben doch wieder unverschlüsselt auf fremden Servern landen.



Kontakte auf dem Smartphone

Komfortabel ist bei WhatsApp, dass der Nutzer nicht jede Telefonnummer händisch eingeben muss, mit der er in Kontakt treten möchte. Das übernimmt der Messenger. Er liest dafür, übrigens regelmäßig, sämtliche Kontakte auf dem Smartphone aus und zeigt dem Nutzer an, welche davon er auf WhatsApp erreicht. Sehr praktisch. Nur – datenschutzrechtlich gesprochen übermittelt der Nutzer damit personenbezogene Daten an einen Dritten. Dafür braucht er eine rechtliche Grundlage. Und das für jeden der Kontakte im Handyspeicher. Berechtigte Interessen mögen sich für jene Kontakte anführen lassen, die selbst WhatsApp nutzen. Für die Übrigen müsste der Nutzer Einwilligungen einholen. Wie realistisch das ist, mag jeder selbst beantworten. Und selbst wenn: Rechtlich gesichert wäre die Weitergabe nur, wenn sie zwischen dem Verantwortlichen und WhatsApp vertraglich geregelt wird, Stichwort Auftragsverarbeitung oder gar gemeinsame Verantwortung. Daran hat WhatsApp – wenigstens für die Standard-Version seines Messengers – wenig Interesse.



Container-Lösungen

Bleibt eine Container-Lösung oder ein Mobile Device Management. Damit lässt sich erreichen, dass WhatsApp keinen Zugriff auf die im Container abgelegten Kontakte erhält. Das bringt wiederum eigene Probleme mit sich. Etwa, dass auch andere Dienste den Zugriff auf den Kontaktspeicher vermissen und fortan Fehler melden.



Bilder & Co.

Nicht vergessen sollte man einen weiteren Speicherort des Handys: den Medienspeicher. Fotos, Videos oder Sprachaufnahmen aus WhatsApp werden über den internen Speicher anderen Diensten zugänglich und können damit zu Datenschutzverstößen führen. Und womöglich zu weiteren Tatbeständen. Etwa, wenn auf diesem Wege die berufliche Schweigepflicht verletzt wird.
Viele Hürden, eine Frage: Vor diese und ähnliche Herausforderungen stellt WhatsApp jene, die den Messenger geschäftlich nutzen möchten. Und nun? Finger weg von WhatsApp? Jein. Bei allen Stolpersteinen lässt sich der Messenger durchaus für betriebliche Belange nutzen, wenn man einige Punkte beachtet.



WhatsApp geschäftlich nutzen - so gehts

Wer auf eine Lösung hofft, WhatsApp ohne Einschränkungen, aber datenschutzrechtlich sicher einzusetzen, darf jetzt enttäuscht sein. Aber: Unternehmen können den Messenger nutzen – nämlich passiv. Wer Daten nur entgegennimmt, umgeht viele Probleme. Etwa ein Energieversorger, der Kunden die Möglichkeit gibt, die neuesten Zählerstände via WhatsApp zu senden. Wichtig ist: Der Versorger nutzt zum Empfang ein Handy, auf dem er keine Kontaktdaten speichert. Und bietet andere Übermittlungswege, die der Kundschaft Alternativen lassen. Je nach Fall muss er zudem die Informationspflicht beachten.



Und WhatsApp Business?

Keine Hürden, dieselben oder ganz andere? Dieser Frage widmen wir uns in einem der nächsten Praxistipps.



Fazit

WhatsApp im Business-Kontext zu nutzen, ist nur schwer mit dem Datenschutz vereinbar. Unkritisch ist die passive Nutzung mit den entsprechenden Vorkehrungen. Aber wer weiß, was die Zukunft bringt – vielleicht wird WhatsApp eines Tages bereit sein, Unternehmern auch den aktiven Gebrauch ohne rechtliche Hemmnisse zu ermöglichen. Bis dahin bleibt die Nutzung im Unternehmen angewandtes Risikomanagement.






Hier gibts den Praxistipp als kostenlosen PDF-Download.


zum Praxistipp

15. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 14. Dezember 2025
Dieses Türchen verbindet Alltag, Risiko und Weihnachtszauber und zeigt, warum Datenschutz in Behörden nicht nur Pflicht ist – sondern Menschenschutz.

14. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 13. Dezember 2025
Das heutige Adventskalender-Türchen ist für alle, die wissen wollen, wie Datenschutz auch auf vier Rädern funktioniert.

13. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 12. Dezember 2025
In dieser warm erzählten Adventsgeschichte zeigt ein Fuhrparkleiter, wie man mit Ruhe, Respekt und Know-how eine stille Datenpanne verhindert und gleichzeitig das gesamte Unternehmen verbessert.

12. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 11. Dezember 2025
VPN, Verschlüsselung und richtige Reihenfolge entscheiden, ob ein Angreifer nur bunte Datenpakete sieht oder ob ein echtes Risiko entsteht.

11. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 10. Dezember 2025
Nicht jeder Held trägt einen Umhang. Diese Geschichte erzählt von einem Kollegen, der mehr Sicherheit schafft als jede technische Maßnahme.

10. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 9. Dezember 2025
Was tun, wenn ein externer Partner einen Datenschutzfehler verursacht? Ein spannendes Türchen über Krisenkompetenz, Vertrauen und echtes Projekt-Leadership.

9. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 8. Dezember 2025
Wie gewinnt man Kunden, wenn Budgets wie dünne Eiszapfen wirken? Indem man zeigt, dass Datenschutz nicht nur Ressourcen kostet, sondern sich auszahlen kann.

8. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 7. Dezember 2025
Das 8. Türchen zeigt humorvoll, wie ein unscheinbarer Router zum Risiko wird und wie ein IT-Kollege mit viel Fachkenntnis (und etwas Übermut) eine kritische Situation sichtbar macht.

7. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 6. Dezember 2025
Was passiert, wenn ein Team erkennt, dass ein Kollege unterzugehen droht? In dieser warmen Adventsgeschichte wird aus Stress eine stille, liebevolle Rettungsaktion.
Mehr anzeigen