1. Home
  2. News
  3. Nutzung von WhatsApp im betrieblichen Kontext
  • Datenschutz

Nutzung von WhatsApp im betrieblichen Kontext

Viele Menschen nutzen Messenger-Dienste wie WhatsApp für ihre alltägliche Kommunikation. So ist es nur nachvollziehbar, dass man diesen Dienst auch gerne in seinem beruflichen Kontext nutzbar machen möchte. Sei es, weil man selbst die Handhabung kennt und sich so den Arbeitsalltag erleichtern möchte, sei es auch, um Kunden den Kontaktweg anzubieten, den sie auch sonst nutzen. Aus Sicht des Datenschutzes ist dies leider nicht unproblematisch. Es handelt sich nämlich nicht um eine private Kommunikation, sondern um eine berufliche, bei der anders als im Privaten gesetzliche Vorgaben zu beachten sind.

Bei einer beruflichen Nutzung ist ein Unternehmen verpflichtet, die Bestimmungen zum Datenschutz einzuhalten. Dazu gehört, dass die Verarbeitung von personenbezogenen Daten über den Messenger einer Rechtsgrundlage bedarf. Sofern sich keine gesetzliche Erlaubnisnorm findet, ist einzig die Legitimation über eine Einwilligung der Betroffenen möglich.

Besteht die Notwendigkeit für eine schriftliche Kommunikation, lässt sich die reine Kommunikation grundsätzlich über das zugrunde liegende Vertragsverhältnis rechtfertigen. Erfolgt die Kommunikation beispielsweise über einen Telefonanbieter mittels Kurznachricht, sind die Inhalte sowie die Rahmenbedingungen der Kommunikation durch das Fernmeldegeheimnis geschützt.

WhatsApp, anders als ein Telefonanbieter, sichert sich allerdings den Zugriff auf das Telefonbuch, also die Kontakte, die auf dem Smartphone gespeichert sind, für eigene Auswertungs-Zwecke zu. Die Daten werden bei WhatsApp auf Servern in den USA gespeichert. Gespeichert und ausgewertet werden auch die sogenannten „Metadaten“, wie Kommunikationsteilnehmer, Zeitpunkt der Kommunikation also Datum und Uhrzeit, Datenvolumen und ähnliche Verbindungsdaten. Diese Übermittlung an WhatsApp geht weit über die reine Kommunikation zwischen Vertragspartnern hinaus, ist nicht durch das Fernmeldegeheimnis geschützt und bedarf dementsprechend einer eigenständigen Rechtsgrundlage.

Als Zwischenfazit ist daher festzustellen, dass damit eine unerlaubte Weitergabe von personenbezogenen Daten an WhatsApp und somit ein Verstoß gegen Datenschutzrecht vorliegen kann.

Eben dies veranlasste die Schleswig Holsteinische Datenschutzbeauftragte Hansen in einem Interview, welches am 10.06.2016 von DAZ.online veröffentlicht wurde, darauf hinzuweisen, dass WhatsApp im Moment nicht das deutsche Datenschutzrecht erfüllt.

Bislang gab es einige Bußgeldbescheide in Europa im Zusammenhang mit dem Einsatz von WhatsApp im Unternehmenskontext. So hatte zum Beispiel ein Bankmitarbeiter Fotografien von Personalausweisen an ein kooperierendes Unternehmen via WhatsApp weitergeleitet. Die grundlegende Befugnis zur Datenübermittlung stand dabei nicht in Frage. Das Bußgeld belief sich insgesamt auf 170.000 Euro.

Sofern man den Einsatz von WhatsApp datenschutzrechtlich legitimieren wollte, bedürfte es einer rechtskonformen Einwilligung des Kunden. Eine Einwilligung müsste transparent sein, das bedeutet der Kunde ist darüber zu informieren, wie seine personenbezogenen Daten im Rahmen der Nutzung des Dienstes verarbeitet werden. Das schließt insbesondere auch die Datenverarbeitung von WhatsApp mit ein.

Ob eine ausreichend informierte Einwilligung möglich ist, ist ungewiss. Daher kann es derzeit keine Gewähr für eine rechtskonforme berufliche Nutzung von WhatsApp geben.

Es bestehen datenschutzfreundlichere Alternativen gegenüber WhatsApp, die beispielsweise keinen Zugriff auf Kontaktbücher erzwingen und teilweise auch ohne die Übermittlung von Telefonnummern einsetzbar sind. Als Alternativen kämen zum Beispiel in Betracht: Threema, SIMSme, Wire, Hoccer, Signal und Chiffry.

Da uns allerdings bewusst ist, dass diese Anbieter nicht zwingend dem Einsatzzweck dienen, nämlich dem Kunden den Kontaktweg zu bieten, den er auch sonst in seinem Alltag nutzt, möchten wir auf die Empfehlungen der bayrischen Datenschutzaufsicht verweisen. Punkt 8.6 des Tätigkeitsberichts 2017/18-Bayerisches Landesamt für Datenschutzaufsicht empfiehlt dazu:

Sollten Verantwortliche dennoch nicht auf WhatsApp verzichten wollen, sind folgende Anforderungen zu berücksichtigen:
    • WhatsApp darf von Berufsgeheimnisträgern grundsätzlich nicht eingesetzt werden (Ausnahmen nur unter ganz speziellen Voraussetzungen möglich).
    • Für die interne Unternehmenskommunikation sollte der Einsatz von WhatsApp grundsätzlich unterbleiben.
    • Nachrichtenverläufe über WhatsApp sollten nicht archiviert werden.
    • Automatische Speicherung der Nachrichten im internen Speicher, insbesondere der Anhänge, sollte vermieden werden, wenn weitere Apps auf dem mobilen Gerät installiert sind, denen Zugriff auf den internen Speicher gestattet wird (Gefahr eines unberechtigten Zugriffs und Fehlversand von Anhängen).
    • WhatsApp sollte von einem separaten Smartphone oder über eine Container-Lösung/Mobile Device Management betrieben werden.
    • Soweit der Zugriff auf das Telefonbuch gewährt wird, muss sichergestellt werden, dass nur Kontakte (z. B. Kunden/Klienten) im Telefonbuch gespeichert sind, die ihre Einwilligung erteilt haben.

Aus Unternehmenssicht sollten Sie zudem berücksichtigen, dass Ihnen der Zugriff auf die Informationen, die über WhatsApp fließen, möglicherweise verschlossen ist. Dies wird insbesondere dann relevant, wenn ein Mitarbeiter vorübergehend oder auch dauerhaft aus dem Unternehmen ausscheidet. Machen Sie sich auch diesem Grunde frühzeitig Gedanken darüber, wie eine Vertretungsregelung organisiert werden kann, bzw. wie Sie die Informationen grundsätzlich für das Unternehmen verfügbar machen können.

Kontaktieren Sie bitte Ihren Datenschutzbeauftragten für Hilfestellungen beim Einsatz von WhatsApp oder zur Erarbeitung einer Einwilligungserklärung für Ihre Kunden.

Nicole Krause
Juristische Mitarbeiterin der Gindat GmbH

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo