Whatsapp im Unternehmen
8. Nov 2019, Wirtschaft | IT-Sicherheit und Datenschutz

Whatsapp im Unternehmen: Go oder No Go unter der DSGVO?

Die Datenschutz-Grundverordnung (DSGVO)ist am 25. Mai 2018 zur Anwendung gekommen und nimmt aufgrund des exterritorialen Anwendungsbereichs nicht nur die in der EU ansässigen Unternehmen in die Pflicht, sondern gemäss Art. 3 DSGVO auch Unternehmen ausserhalb der EU.
Diese Revision bedeutet für Unternehmen im Anwendungsbereich, dass diese spätestens bis Mai 2018 die neuen strikten Anforderungen der DSGVO umgesetzt haben müssen.
Die Anforderungen sind komplex und bestehen einerseits aus Prozessen (Löschprozess1, Anfragen von Datensubjekten2) ,Meldung von Datenschutzverstössen3),  Assessments (Datenschutzfolgeabschätzung4) organisatorischen Massnahmen (Datenschutzbeauftragter5), technischen Massnahmen (angemessene technische und organisatorische Massnahmen6,Privacy by Design7), sowie auch aus der Beachtung verschiedenster datenschutzrechtlicher Grundsätze und Bedingungen, wie die Grundsätze für die Verarbeitung personenbezogener Daten8, die Rechtmässigkeit der Verarbeitung9, Bedingungen für die Einwilligung10 und die Grundsätze der Datenübermittlung11.
 
Diese Anforderungen beziehen sich auf alle Personendaten verarbeitenden Prozesse im Unternehmen, welche stets unter einem Risiko basierten Aspekt analysiert und datenschutzrechtlich eingeordnet werden müssen. Eine solche Analyse kann mithilfe einer Datenschutzfolgeabschätzung gemäss Art. 35 DSGVO durchgeführt werden.
Bei einer solchen werden alle Aspekte bzw. Prozessschritte einer Datenverarbeitungsaktivität analysiert und mit einem Risiko bewertet. Je nach dem Ergebnismüssen weitere Massnahmen getroffen werden, wie beispielsweise Datenschutzdurch Technikgestaltung oder datenschutzfreundliche Voreinstellungen12. Ein solcher Personendaten verarbeitender Prozess ist der Messenger Dienst Whatsapp.

Der zur Facebook Gruppe gehörende Messengerdienst Whatsapp ist eine Applikation, welche sowohl auf dem Mobilfunkgerät und zusätzlich auch als Desktop Version heruntergeladen werden kann.

Whatsapp Nutzung im Unternehmen
Unternehmen setzen Whatsapp zunehmend sowohl für die Mitarbeiter-, Geschäftspartner als auch für die Kundenkommunikation ein.
Beispielsweise bieten Apotheken in Deutschland einen Service an, bei welchem vom Kunden selbst ein Foto von dessen Rezept via Whatsapp an die Apotheke gesendet wird und daraufhin das Medikament bestellt wird. Diese Verarbeitungsaktivität beinhaltet bspw. gemäss Art. 9 DSGVO spezielle Kategorien von personenbezogenen Daten.
Whatsapp wird von Unternehmen jedoch nicht immer primär zur Erbringung eines Service verwendet, sondern in vielen Fällen auch zu Marketingaktivitäten, um bestimmten Zielgruppen näher zu kommen oder gar aus dem Grund der Arbeitserleichterung für bestimmte Mitarbeiter. Gerade aus der beratenden Perspektive heraus sieht man viele Unternehmen, die Whatsapp nicht auf der Basis einer abgestimmten Kommunikationsstrategienutzen, sondern dass Mitarbeitende eigenständig diesen Messenger nutzen, ohne dass Compliance, die Rechtsabteilung, der Datenschutzbeauftragte oder der Bereichsleiter davon Kenntnis hat.
Diese Eigenständigkeit im Umgang mit personenbezogenen Daten stellt ein hohes Gefahrenpotential für die Unternehmen dar. So werden Daten oft ohne Rechtsgrundlage und nicht datenschutzkonform bearbeitet.

Seit dem Jahr 2018 bietet Whatsapp zwar eine Business Version des Messenger Dienstes an, doch weist diese Version keine datenschutzrelevanten Neuerungen auf und die datenschutzrechtliche Grundproblematik bleibt bestehen.

Ist WhatsApp mit den Anforderungen der DSGVO vereinbar?

Wie auch schon die LfD Niedersachsen13 mehrfach verlauten liess, ist der Einsatz von Whatsapp zu Kommunikationszwecken von Unternehmen nicht im Einklang mit der DSGVO. Der Grund dafür ist vor allem die Grundfunktionalität von Whatsapp.
Die Basis für die Kommunikation mit dem Messengerdienst ist, dass sich Nutzer registrieren und im Registrierungsprozess Whatsapp ihre Einwilligung geben auf deren Adressbuch zuzugreifen, um einen Adressbuchabgleich durchzuführen und somit Daten wie Telefonnummern, Namen und unter Umständen auch weitere Daten an Whatsapp Server zu übermitteln.
Dieser Adressbuchabgleich wiederholt sich in regelmässigen Abständen und garantiert Whatsapp eine aktuelle Liste.14  Problematisch ist jedoch, dass hierbei nicht nur Daten von Nutzern abgeglichen werden, sondern auch die Daten von Kontakten im Adressbuch, welche Whatsapp nicht nutzen. Obwohl diese Daten keine Nutzerdaten sind, werden sie auch auf den Servern von Whatsapp gespeichert. Gemäss der Legaldefinition aus Art. 4Ziff. 3 DSGVO bedeutet das Speichern von Daten auch schon das Verarbeiten im gesetzlichen Sinn. Problematisch ist zudem, dass aus der Datenschutzrichtlinie von Whatsapp nicht klar wird, was mit den jeweiligen Daten genau gemacht wird bzw. wie diese verarbeitet werden.
Die Frage ist bspw. ob nur Produktivdaten, also die Daten von aktiven Nutzern für die in der Datenschutzrichtlinie angegebenen Zwecke verarbeitet werden oder auch die Daten der Personen, welche Whatsapp nicht nutzen, jedoch durch den Adressbuchabgleich auf die Server von Whatsapp geraten sind.
Gemäss Art. 5 Abs. 1 lit. a DSGVO muss die Verarbeitung von personenbezogenen Daten stets auf rechtmässige und für die betroffene Person nachvollziehbare Weise geschehen. Die Daten von Personen, welche nicht Whatsapp Nutzer sind und den noch von Whatsapp verarbeitet werden, stellt gemäss Art. 6 DSGVO keine rechtmässige Datenverarbeitung dar, da die rechtliche Grundlage für die Erhebung gänzlich fehlt. Whatsapp verlangt zwar von den Nutzern selbst, dass diese die Rechtmässigkeit für die Übermittlung Daten Dritter garantieren, doch ist dies nicht möglich, da eine Dritte Person nicht für das betroffene Datensubjekt einwilligen kann.15
Beispiel: A ist Whatsapp Nutzer und hat gemäss Art. 6 Abs. 1 lit. a DSGVO eine Einwilligung für die Nutzung der personenbezogenen Daten erteilt. A hat viele Kontakte auf dem Telefon gespeichert. Unter anderem den Kontakt von B, welcher Whatsapp nicht nutzt, bspw. ausdatenschutzrechtlichen Gründen. Nun ist der Sachverhalt aber so, dass die Daten von B, obwohl dieser Whatsapp gar nichtnutzt, auf den Servern von Whatsapp landen und dort seine Daten auch verarbeitet werden. Aus rechtlicher Sicht, auch wenn Whatsapp dies von A verlangt, ist es A nicht möglich für B, in rechtmässiger Weise gemäss Art. 7 DSGVO einzuwilligen. Die Daten von B werden also nichtrechtmässig von Whatsapp verarbeitet.
Auch gemäss der LfD Niedersachsen ist die Übermittlung von Kontaktdaten aus dem Adressbuch an Whatsapp unzulässig16.
Die DSGVO fordert zudem die Einhaltung des Grundsatzes der Transparenz in allen Datenverarbeitungsaktivitäten, welche personenbezogenen Daten beinhalten. Hier müsste Whatsapp, die nicht bei Whatsapp angemeldete Person, überwelche auch Daten verarbeitet werden, über die jeweiligen Verarbeitungsaktivitäten informieren, was jedoch effektiv nicht geschieht.
Auch ist die Transparenz von Whatsapp gegenüber den Verarbeitungsprozessen der personenbezogenen Daten von Whatsapp Nutzern nicht ausreichend gegeben.
Die von Whatsapp veröffentlichte Datenschutzrichtlinie ist in zwei Abschnitte eingeteilt. Der erste Abschnitt ist für Datensubjekte ausserhalb des EWR bestimmt und der zweite Abschnitt für Datensubjekte, welche innerhalb des EWRs ansässig sind. Der zweite Abschnitt bezeichnet WhatsApp Ireland Limited als Verantwortlichen bzgl. der von Whatsapp verarbeiteten personenbezogenen Daten.
Im zweiten Abschnitt wird dabei über die jeweiligen Verarbeitungsaktivitäten aufgeklärt, jedoch nicht ausreichend. Beispielsweise wird nur erwähnt, dass Daten auch an Dritte, sog. Auftragsverarbeiter weitergeleitet werden dürfen, jedoch nicht in welchem Umfang und wer diese Dritten genau sind, bzw. wo deren Sitz ist «Wir arbeiten mit Drittanbietern und den Facebook-Unternehmen zusammen, die uns dabei helfen, unsere Dienste zu betreiben, anzubieten, zu verbessern, zu verstehen, zu individualisieren, zu unterstützen und zu vermarkten.».17 Auch sind die Verarbeitungszwecke sehr «breit» formuliert und lassen Whatsapp einen sehr grossen Spielraum bei den jeweiligen Verarbeitungsaktivitäten. Nahezu alle Verarbeitungsaktivitäten kann man unter die folgenden Verarbeitungszwecke subsumieren: «Dienste zu betreiben, anzubieten, zu verbessern, zu verstehen, zu individualisieren, zu unterstützen und zu vermarkten.».18  Gerade die Marketingaktivitäten können dabei ein grosses Ausmassannehmen, bei welchem Massen von Daten der Datensubjekte an Dritte oder innerhalb der Facebook Gruppe weitergegeben werden.
Problematisch ist zudem die grundsätzliche Übermittlung von Nutzerdaten an weitere Facebook Unternehmen. Dies bedeutet beispielsweise unter anderem, dass Daten gemäss Art. 44 DSGVO auch an Drittländer ohne Angemessenheitsbeschluss19 übermittelt werden. Bezüglich der Übermittlung von Daten in die USA ist momentan gemäss Art.45 Abs. 3 DSGVO von einer rechtskonformen Datenübermittlung auszugehen, solange das Empfängerunternehmen Privacy Shield zertifiziert ist. Da das Konzept des Privacy Shields jedoch ein umstrittenes datenschutzrechtliches Konstrukt darstellt und in Bezug auf dieses grosse Bedenken bestehen, besteht die Möglichkeit, dass das Privacy Shield Abkommen gerichtlich ausser Kraft gesetzt wird und nicht mehr als Rechtsgrundlage für die Datenübermittlung in Frage kommt.
Zudem gibt Whatsapp in deren Datenschutzrichtlinie an, dass diese ein berechtigtes Interesse gemäss Art. 6 Abs. 1lit. f DSGVO an der Verarbeitung zu dem folgenden Zweck haben: «Im Interesse von Unternehmen und sonstigen Partnern, um ihnen zu helfen, Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern, unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.» Dies sind wiederum sehr oberflächlich erläuterte Verarbeitungszwecke, bei welchen auch wieder nicht die Partner angegeben sind und auch nicht wo die Partner ihren Sitz haben. Besonders das Statement« um ihnen zu helfen, Erkenntnisse über ihre Kunden zu erlangen» kann vieles beinhalten, wie beispielsweise das kategorische Sammeln von Standortdaten oder auch eine massenhafte Sammlung von allen Kundendaten (wie beispielsweise die sog. Metadaten: Bsp. Die Erfassung wer mit wem wie oft kommuniziert)20. Eine solche Aufzählung ist dementsprechend nicht angemessen und gibt den Datensubjekten kaum Aufschluss, was mit deren Daten gemacht wird.
Nicht nur in Bezug auf Dritte, sondern auch generell, nimmt sich Whatsapp gemäss der eigenen Datenschutzrichtlinie das Recht, die Daten sehr umfassend zu verwenden. Beispielsweise für Messungen, Analysen und sonstige Unternehmens-Dienste21.

Die unternehmerische und datenschutzrechtliche Verantwortung bzgl. Datenverarbeitungsaktivitäten
Grundsätzlich trägt der Verantwortliche gemäss Art. 24 DSGVO die Verantwortung für die Verarbeitung der personenbezogenen Daten. Dies gilt auch wenn Datendurch einen Auftragsverarbeiter gemäss Art. 28 DSGVO verarbeitet werden.
Falsch wäre es in diesem Zusammenhang Whatsapp als Auftragsverarbeiter zu qualifizieren. Dies aus den folgenden Gründen:
  1. Whatsapp bezeichnet sich in dessen Datenschutzrichtlinie selbst als Verantwortlicher
  2. Whatsapp verfügt selbstständig über die Daten, welche die Nutzer bereitstellen
  3. Das Unternehmen bzw. der Nutzer hat keine Kontrolle über die Nutzung seiner Adressbuchdaten.
Wenn also ein Unternehmen Whatsapp nutzt, liegt gemäss Art. 26 DSGVO eine gemeinsame Verantwortlichkeit von Whatsapp und dem jeweiligen Unternehmen vor.
So ist das Whatsapp nutzende Unternehmen verantwortlich für die Datenverarbeitungsaktivitäten von Whatsapp, auch für diese, welche im oberen Abschnitt als unzulässig qualifiziert worden sind.
Beispielsweise ist die Unternehmung sodann auch verantwortlich für die nicht rechtmässige Übermittlung von Nutzerdaten an Whatsapp. Bezüglich der Nutzer, welche Whatsapp bereits nutzen, kann gemäss Art. 6 Abs. 1 lit. f DSGVO ein berechtigtes Interesse angenommen werden.
Dies ist jedoch nicht der Fall, wenn es um die personenbezogenen Datengeht, welche von Personen stammen, die Whatsapp nicht nutzen. Diese letztgenannten Daten können nur durch eine gültige Einwilligung22 rechtmässig verarbeitet werden.
Wie sollten Unternehmen vorgehen

Es gibt verschiedene Möglichkeiten mit der Problematik Whatsapp im Unternehmen umzugehen.
Einerseits könnte, wie in vielen namenhaften Beispielen schon geschehen, die Nutzung von Whatsapp zu Unternehmenszwecken vom Management des jeweiligen Unternehmens gänzlich untersagt werden. Dies würde bedeuten, dass die Applikation Whatsapp nicht auf die Mobilgeräte des Unternehmens geladen werden darf.
Zudem gibt es die Möglichkeit auf andere Messenger Dienste umzusteigen, bei welchen es beispielsweise möglich ist über einen QR Code miteinander in Kontakt zu treten, ohne dass das Adressbuchabgeglichen und synchronisiert wird.
Auch besteht die Möglichkeit durchgewisse Einstellungen im Betriebssystem des Android Mobilgerätes, den Zugriff auf das Adressbuch zu blockieren, so dass Whatsapp nicht auf das Adressbuch zugreifenkann. Whatsapp selbst stellt keine Option zur Verfügung, welche es dem Nutzer ermöglicht, den Zugriff auf das Adressbuch zu beschränken bzw. nur einzelne Kontaktgruppen zu synchronisieren.
Dies ist in der Unternehmenspraxis eine oft gesehene Lösung. Zu beachten ist jedoch, dass die Nutzer sodann nicht die volle Funktionalität von Whatsapp benutzen können. So können Nutzer von sich aus keine Kommunikation mehr starten, da Whatsapp auf keine Kontakte zugreifenkann. Auch eine manuelle Eingabe der Telefonnummer ist nicht möglich. Aufgrund dessen muss der Nutzer erst selbst angeschrieben werden, um mit dem Gegenüberkommunizieren zu können.
Diese Option stellt die einzige Möglichkeit dar, um Whatsapp datenschutzkonform bzgl. der rechtmässigen Erhebung von personenbezogenen Daten nutzen zu können.23

1.231. Art. 17 DSGVO.2. Kapitel III DSGVO.3. Art. 33 DSGVO.4. Art. 35 DSGVO.5. Art. 37 ff. DSGVO.6. Art. 32 DSGVO.7. Art. 25 DSGVO.8. Art. 5 DSGVO.9. Art. 6 DSGVO.10. Art. 7 DSGVO.11. Art. 44 ff. DSGVO.12. Siehe dazu Art. 25 DSGVO Privacy by Design = Datenschutzdurch Technikgestaltung und durch datenschutzfreundlicheVoreinstellungen.13. Landesbeauftragte für den Datenschutz Niedersachsen.14. Siehe dazu die Whatsapp Datenschutzrichtlinie:«Im Einklang mit geltenden Gesetzen stellst du unsregelmässig die Telefonnummern in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohldie Nummern von Nutzern unserer Dienste als auchdie von deinen sonstigen Kontakten.», https://www.whatsapp.com/legal?eea=1&lang=de 15. Ausnahme bei Kindern/Erziehungsberechtigte.16. LfD Niedersachsen, Merkblatt für die Nutzung von«Whatsapp» in Unternehmen, S.2.17. https://www.whatsapp.com/legal?eea=1&lang=de.18. https://www.whatsapp.com/legal?eea=1&lang=de.19. Art. 45 DSGVO.20. LfD Niedersachsen, Merkblatt für die Nutzung von«Whatsapp» in Unternehmen, S.2.21. https://www.whatsapp.com/legal?eea=1&lang=de.22. Art. 7 und 8 DSGVO.23. LfD Niedersachsen, Merkblatt für die Nutzung von«Whatsapp» in Unternehmen, S.2.


Schliessen Button
Immer erstklassig informiert

Melden Sie sich für den Newsletter der Handelskammer Deutschland-Schweiz an.