Whatsapp DSGVO

Im Rahmen der Datenschutzgrundverordnung wurden die Betroffenenrechte im Datenschutz umfassend gestärkt.  Wollen Unternehmen personenbezogene Daten erheben und verarbeiten, müssen sie die Betroffenen über die Rahmenbedingungen umfassend informieren.

Diese sogenannte Informationspflicht ergibt sich direkt aus der DSGVO. Die maßgeblichen Vorschriften sind Art. 13 und 14 DSGVO. Sie geben dem Verantwortlichen genaue Anweisungen darüber, welchen Pflichten dieser nachzugehen hat.  

Das Wichtigste auf einen Blick

1. WhatsApp und die DSGVO 

Seit der Einführung der DSGVO am 25. Mai 2018 und einer damit einhergehenden Verschärfung des Datenschutzes in Europa ist WhatsApp in die Kritik geraten, weil der beliebte Messenger nicht DSGVO konform ist. 

Es gilt grundsätzlich die Faustregel, dass jede Erhebung oder Verarbeitung von Daten der Zustimmung der betroffenen Personen bedarf. Das bedeutet, dass je weniger Daten der Messenger erhebt, desto DSGVO konformer ist er, da er weniger Angriffsfläche für Datenschutzverstöße bietet.  

Bei WhatsApp ist das Problem, dass der Messenger auf jede Telefonnummer in der Kontaktliste des Nutzers zugreift und automatisch abgleicht, ob dieser Nummer ein entsprechendes WhatsApp Konto zugeordnet ist.

Nach der DSGVO ist dies eine Verarbeitung von personenbezogenen Daten nach Art. 4 DSGVO, die nach Art. 28 DSGVO der Zustimmung der betroffenen Personen und einen Vertrag mit dem die Daten verarbeitenden Unternehmen bedarf. 

Die Zustimmung von Personen, die WhatsApp ihrerseits benutzen, kann nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO als konkludent erteilt angesehen werden, da sie den Nutzungs- und Datenschutzbestimmungen des Unternehmens zugestimmt haben.  

Problematisch gestaltet sich die Sachlage, wenn einzelne Personen in ihren Kontakten der Nutzung nicht zugestimmt haben, da sie WhatsApp selbst nicht verwenden.  

2. WhatsApp auf dem Privathandy 

Wer sich jetzt Gedanken macht, ob er womöglich durch die Nutzung von WhatsApp zu privaten Zwecken gegen die Bestimmungen der DSGVO verstößt und sich damit einer Haftung aussetzt, der kann sich beruhigen:

Die Datenverarbeitung für persönliche und familiäre Zwecke ist nach Art. 2 Abs. 2 lit. c) DSGVO nicht von der Verordnung umfasst und kann folglich für Privatleute keine Haftung begründen.

Achten Sie aber in diesem Fall darauf das Handy nicht auch gleichzeitig für unternehmerische Zwecke zu verwenden, da Sie in diesem Fall wieder voll in der Haftung sind! 

3. WhatsApp auf gemischt genutzten Handys 

Wie bereits im vorhergehenden Absatz angeklungen ist die DSGVO Konformität der Nutzung von WhatsApp besonders bei sowohl privat, als auch geschäftlich genutzten Handys wieder ein Problem, da WhatsApp nicht zwischen dienstlichen und privaten Kontakten unterscheidet.

Die Lösung kann hier eine Container-App sein, die alle dienstlichen Daten in einen virtuellen Container verpackt, auf den keine andere App Zugriff hat. So stellen Sie sicher, dass tatsächlich nur private Kontaktdaten von WhatsApp verwendet werden und Sie nicht gegen die DSGVO verstoßen.   

4. WhatsApp auf dem Firmenhandy 

Das Problem mit WhatsApp auf dem Firmenhandy ist, dass Sie als Nutzer des Messengers und gleichzeitig Unternehmer, wenn auch indirekt, personenbezogene Daten Ihrer Kontakte an WhatsApp Inc. weitergeben. Seit der Einführung der DSGVO bedürfen Sie dafür der Zustimmung aller betroffener Personen.

Da WhatsApp wie bereits gesagt aber alle Kontakte auf dem Handy automatisch an seine Server in den USA übermittelt und überprüft, folglich verarbeitet, müssten Sie eine Einwilligung jedes einzelnen Kontakts vorweisen können um Datenschutzverstöße zu vermeiden. 

Besonders schwierig ist daran, dass Sie diese Zustimmung der Betroffenen bereits vor der Verarbeitung durch WhatsApp benötigen. Hatten Sie also schon Kontakte auf dem Handy bevor die DSGVO in Kraft getreten ist, so sind diese Kontakte bereits bei Inkrafttreten der DSGVO übermittelt gewesen und Sie haben schon gegen die DSGVO verstoßen. 

Für eine DSGVO konforme Nutzung von WhatsApp auch im Rahmen einer unternehmerischen Nutzung sollten Sie deshalb von ausnahmslos jedem Kontakt eine schriftliche Einwilligung zur Weiterverarbeitung seiner persönlichen Daten einholen. Außerdem ist ein Vertrag nach Art. 28 DSGVO mit WhatsApp Inc. als Anbieter der Datenverarbeitung für Sie verpflichtend.

Liegen diese beiden Voraussetzungen vor, dann können Sie auch WhatsApp weiterhin im Rahmen Ihrer unternehmerischen Tätigkeit DSGVO konform und sorglos nutzen. Der Haken bislang: Einen solchen Auftragsdatenverarbeitungsvertrag können Unternehmen mit WhatsApp bislang nicht schließen, auch wenn Experten davon ausgehen, dass dies nur noch eine Frage der Zeit ist. 

Besonders kompliziert wird es aber, wenn einzelne Personen der Nutzung nicht zustimmen, weil Sie WhatsApp selbst nicht nutzen und deshalb den Nutzungs- und Datenschutzbestimmungen des Unternehmens nicht zugestimmt haben.

Dann müssten Sie für diese Personen mindestens eine extra SIM-Karte, besser noch ein extra Handy ohne WhatsApp betreiben um einen Verstoß gegen die DSGVO zu vermeiden. Die „einfachste“ Lösung zur DSGVO konformen Nutzung von WhatsApp auf dem Firmenhandy ist daher WhatsApp nicht auf dem Firmenhandy zu nutzen oder besser noch allgemein im Rahmen der DSGVO Compliance die Nutzung zu verbieten.  

5. WhatsApp Business als Lösung? 

Um kurz und knapp zu antworten: Nein! WhatsApp Business bringt nicht, wie der Name vermuten lassen könnte für Unternehmen optimierte DSGVO konforme Neuerungen, sondern lediglich ein für Unternehmen optimiertes Benutzer Interface mit speziellen Funktionen. 

WhatsApp Business ist deshalb genauso DSGVO widrig, wie die herkömmliche WhatsApp Version. 

6. DSGVO konforme Alternativen zu WhatsApp 

Wer auf Nummer sicher gehen will, kann sich deshalb nach einer DSGVO konformen Alternative zu WhatsApp umschauen. Eine echte Alternative sollte dabei gewisse Kriterien erfüllen, um nicht wie WhatsApp DSGVO widrig zu sein. 

Zum Ersten sollte der Messenger nicht automatisch auf das Telefonbuch zugreifen und die Kontakte auf externen Servern speichern. Des Weiteren sollte die Alternative eine echte Ende-zu-Ende Verschlüsselung anbieten, das bedeutet, dass selbst wenn ein Dritter die Konversationen abfängt, diese für ihn unleserlich sind und deshalb erst aufwendig entschlüsselt werden müssen und er nicht direkt den Inhalt der Nachrichten sieht.  

Am sichersten sind dabei wohl der Dienst iMessage, der allerdings nur iOS bzw. iPhone Nutzern untereinander zur Verfügung steht, und zwar kostenpflichtige, aber dafür absolut DSGVO konforme Messenger Threema, den Behörden in der Schweiz zur DSGVO konformen Kommunikation nutzen.  

7. Fazit

Eine DSGVO konforme Nutzung von WhatsApp ist aktuell kaum möglich, da sich die DSGVO Konformität bei WhatsApp nur sehr schwer und aufwändig herstellen lässt, weil die Einholung einer Zustimmung aller betroffenen Personen umfangreich und zeitraubend ist. 

Wenn Sie WhatsApp also relativ gefahrlos in Ihrem Unternehmen verwenden wollen, dann greifen Sie auf eine Container App zurück, die private und geschäftliche Kontaktdaten trennt.

Außerdem sollten Sie sich stets zuerst anschreiben lassen, sodass Sie sicher sein können, dass der Gesprächspartner WhatsApp ebenfalls nutzt und deshalb den Nutzungs- und Datenschutzbestimmungen zugestimmt hat.