WhatsApp in der Unternehmenskommunikation

WhatsApp ist der beliebteste Messenger-Dienst in Deutschland. Fast jeder nutzt in Deutschland regelmäßig WhatsApp zum Versand von Kurznachrichten, Bildern, Videos, Dateien, Kontakten oder dem eigenen Standort. Auch in die Unternehmenskommunikation hat WhatsApp längst Einzug gefunden. Erst vor ein paar Tagen hat eine Störung von WhatsApp brisante Funktionen von WhatsApp zur Datenanalyse offenbart. Dies soll zum Anlass genommen werden um die datenschutzrechtliche Problematik des Einsatzes von WhatsApp im Unternehmen zu erläutern.

Datenschutzrechtliche Problematik

Beim Einsatz von WhatsApp in der Unternehmenskommunikation ergeben sich im Wesentlichen vier Problemfelder:

1. Zugriff auf Adressbuch des WhatsApp-Nutzers

Laut Nutzungsbedingungen und Datenschutzrichtlinie von WhatsApp übermittelt der Dienst regelmäßig Telefonnummern aller Kontakte aus dem Adressbuch des Nutzers - unabhängig davon ob diese ebenfalls bei WhatsApp registriert sind oder nicht - an die Server von WhatsApp. Dadurch kann dem Nutzer angezeigt werden, welche seiner Kontakte ebenfalls bei WhatsApp registriert sind. Der Abgleich findet unmittelbar nach Registrierung statt und wiederholt sich in regelmäßigen Abständen.

Bei den Telefonnummern im Adressbuch des WhatsApp-Nutzers dürfte es sich um personenbezogene Daten handeln. Das Unternehmen, welches WhatsApp zur Unternehmenskommunikation einsetzt, dürfte für die Übermittlung der Kontaktdaten im datenschutzrechtlichen Sinne verantwortlich sein und trägt die Verantwortung dafür, dass die Übermittlung auf eine Rechtsgrundlage gestützt werden kann.

Die Übermittlung der Telefonnummern von Personen, die selbst bei WhatsApp registriert sind, sollte auf Grundlage der berechtigten Interessen des Unternehmens gerechtfertigt sein (Art. 6 Abs. 1 S. 1 lit. f DS- GVO). Die berechtigten Interessen der betroffenen Person scheinen deshalb nicht überwiegen, weil sie selbst mit Registrierung bei WhatsApp der Übermittlung ihrer Telefonnummer an WhatsApp zugestimmt haben.

Datenschutzrechtlich problematisch dürften allerdings die Telefonnummern der Personen im Adressbuch sein, die selbst den Messenger-Dienst nicht nutzen. In diesem Fall dürfte die Übermittlung nicht auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO zu stützen sein.

Als Rechtsgrundlage dürfte ausschließlich die Einwilligung des Betroffenen nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO in Betracht kommen. Die Einholung einer Einwilligung an sich scheint schon nicht praktikabel. Die eigentlichen Probleme ergeben sich jedoch daraus, dass der Abgleich der Telefonnummern durch WhatsApp schon dann nicht mehr möglich ist, wenn eine Person nicht einwilligt oder die Einwilligung wiederruft. In diesem Fall bliebe lediglich die Möglichkeit die Telefonnummer dieser Person aus dem Adressbuch zu entfernen.

2. Nutzung personenbezogener Daten durch WhatsApp

Bei Kommunikation über den Messenger-Dienst erfasst WhatsApp die nachrichtenbezogenen Metadaten (d.h. wer mit wem, wann und wie oft kommuniziert). WhatsApp behält sich die Verarbeitung dieser Daten für Messungen, Analysen und sonstige Unternehmens-Dienste vor.

Zwar verfügt WhatsApp über eine Ende-zu-Ende-Verschlüsselung, sodass ausschließlich die Kommunikationspartner von den übermittelten Inhalten Kenntnis haben dürften. Es ist allerdings zu bezweifeln, dass WhatsApp nicht auch die Nachrichteninhalte zu Profilbildung und Analysezwecken nutzt. Die WhatsApp-Störung am 3. Juli 2019 hat diesbezügliche brisante Funktionen offenbart. Anstatt der Bilder wurden Platzhalter, mit Beschreibungen, was auf diesen Bildern zu sehen war, angezeigt. Offensichtlich scheint WhatsApp künstliche Intelligenz einzusetzen, die Bilder nach Mustern untersucht.

3. Übermittlung personenbezogener Daten in Drittländer

WhatsApp verarbeitet personenbezogene Daten im Rahmen der Nutzung des Dienstes außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraumes (EWR). Für eine Datenübermittlung in Drittländer müssen besondere Anforderungen erfüllt sein.

Die WhatsApp Inc. mit Sitz in Kalifornien ist für das EU-US-Privacy-Shield zertifiziert, womit die besonderen Anforderungen grundsätzlich erfüllt sind. An der Rechtmäßigkeit des Privacy-Shields bestehen allerdings Zweifel. Unmittelbar nach Beschluss des Privacy-Shields durch die EU-Kommission wurde von einer französischen NGO Nichtigkeitsklage beim EuGH eingereicht.

Hinsichtlich der Übermittlung in andere Drittländer dürften die Anforderungen allenfalls in Ausnahmen erfüllt sein.

4. Übermittlung von Nutzerdaten an andere Unternehmen des Facebook-Konzerns

Mit Geltung der DS-GVO hat WhatsApp die Nutzungsbedingungen geändert und die Übermittlung von Nutzerdaten an andere Unternehmen des Facebook-Konzerns wieder aufgenommen. Die Untersagungsverfügung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HambBfDi) aus Herbst 2016 scheint von WhatsApp und Facebook nicht anerkannt zu werden, weil seit Geltung der DS-GVO die irische Aufsichtsbehörde zuständig sein dürfte.

Fazit

Die deutschen Aufsichtsbehörden wie die Landesbeauftragte für den Datenschutz Niedersachen und der Thüringer Landesbeauftragte für den Datenschutz sehen den Einsatz von WhatsApp als Datenschutzverstoß an.

Die Zwecke und das Ausmaß der Verarbeitung personenbezogener Daten durch WhatsApp sind in der Tat nicht zu überblicken. Insbesondere die Übermittlung von besonderen personenbezogenen Daten oder sonstigen sensiblen Daten dürfte mit einem hohen Risiko für den Betroffenen einhergehen.

Unternehmen, die WhatsApp in der Unternehmenskommunikation nutzen, sollten ihren Mitarbeitern Regelungen zum Einsatz von WhatsApp an die Hand geben. So macht es beispielsweise die deutsche Telekom. Auf die Übermittlung von sensiblen Daten sollte verzichtet werden. Dementsprechend sind die Mitarbeiter vor dem Einsatz von WhatsApp datenschutzrechtlich zu schulen und hinsichtlich der Risiken zu sensibilisieren.

Dennoch dürfte ein nicht unerhebliches Restrisiko verbleiben, welches Unternehmen in Kauf nehmen müssen, wenn sie sich die Vorzüge von WhatsApp zunutze machen möchten. Ein Vorgehen der Datenschutzbehörden gegen die Unternehmen, die WhatsApp in der Unternehmenskommunikation einsetzten vor einem Vorgehen gegen WhatsApp selbst scheint „unverhältnismäßig“ Auszuschließen ist dies allerdings nicht.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessierten sich auch für

Facebook Fanpage - Best Practice nach der DSGVO
Nach dem aktuellen EuGH-Urteil sind sowohl Facebook als auch der Fanpage-Betreiber gemeinsam für die Verarbeitung von sogenannten Insights-Daten verantwortlich. Facebook hat mit eine Ergänzungsvereinbarung zur Regelung der gemeinsamen Verantwortlichkeit reagiert. Aber was bedeutet das für Fanpage-Betreiber?
Entschärfung des Datenschutzrechts durch das DSAnpUG?
Die zahlreichen Regelungen des Datenschutzrechts werfen viele Pflichten und Regeln für Unternehmen auf, die es zu befolgen gilt. Gerade kleine und mittelständische Unternehmen sowie Vereine leiden unter den Kosten für die Umsetzung. Dies wollen die Koalitionsparteien jetzt ändern. Dazu wurde das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 entworfen.