Messenger-Dienste im Unternehmen: Datenschutzrechtliche Herausforderungen und Lösungsansätze für WhatsApp-Nutzung"
Die Integration von Messenger-Diensten wie WhatsApp in geschäftliche Kommunikationsstrukturen hat in den letzten Jahren zugenommen, was zu berechtigten Fragen zur Vereinbarkeit mit der Datenschutzgrundverordnung (DSGVO) geführt hat. In diesem Newsletter Beitrag werden wir die rechtlichen Aspekte der Nutzung von WhatsApp in Unternehmen genauer betrachten, um Unternehmen ein tieferes Verständnis für die datenschutzrechtlichen Herausforderungen und Lösungsansätze zu vermitteln.
Übertragung von Metadaten und DSGVO-Kompatibilität:
Ein zentraler Punkt ist die Übermittlung von Metadaten an WhatsApp, die trotz der Ende-zu-Ende-Verschlüsselung unverschlüsselt an den Dienst übertragen werden. Diese Metadaten, darunter Telefonnummern, Geräteinformationen und IP-Adressen, fallen unter die Bestimmungen der DSGVO, da sie potenziell eine Identifizierung natürlicher Personen ermöglichen. Normalerweise würde dieses durch einen Vertrag zur Auftragsverarbeitung geregelt werden. Da WhatsApp diesen Vertrag jedoch nicht für Unternehmen anbietet, entstehen weitere rechtliche Unsicherheiten.
Adressbuchabfrage und Einwilligung:
Die Nutzung von WhatsApp stellt Unternehmen auch vor die Herausforderung, dass bei der Installation der App eine Adressbuchabfrage durchgeführt wird, ohne dass eine explizite Einwilligung der Kontakte vorliegt. Dies führte zu einem kontroversen Urteil des AG Bad Hersfeld im Jahr 2017, das die Bedeutung der Einholung schriftlicher Einwilligungen betonte, insbesondere bei der Weitergabe von Adressbuchdaten von Minderjährigen. Das Gericht argumentierte, dass die fehlende Einwilligung potenziell zu Abmahnungen durch betroffene Kontakte führen könnte, da die informationelle Selbstbestimmung verletzt wurde.
Nutzung von Telefonnummern als Identifikatoren:
Auch nutzt WhatsApp Telefonnummern als eindeutige Identifikatoren, um Geräte und Nutzer zu identifizieren. Diese werden unter anderem genutzt, um die Favoritenliste in WhatsApp zu erstellen und Übereinstimmungen mit Kontakten im Adressbuch vorzuschlagen. Trotz Behauptungen von WhatsApp, dass die Daten anonymisiert werden, stellt der Europäische Datenschutzausschuss fest, dass es sich lediglich um Pseudonymisierung handelt und ein Reidentifizierungsrisiko besteht.
WhatsApp sammelt auch weitere Daten, darunter vom Nutzer angegebene Informationen wie Namen, Telefonnummern, Status und Profilbilder. Nachrichten werden normalerweise nicht auf den Servern gespeichert, es sei denn, der Empfänger ist nicht erreichbar. Fotos werden vorübergehend gespeichert und anschließend gelöscht. Dennoch können Metadaten wie die Häufigkeit und Dauer von Kontakten zu umfassenden Profilen führen.
Rechtskonforme Nutzung auf Firmenhandys:
Die Nutzung von WhatsApp auf Firmenhandys stellt eine weitere Herausforderung dar, da oft keine rechtskonforme Nutzung möglich ist. Um die Einwilligung zur Weitergabe von Telefonnummern einzuholen, wäre es erforderlich, dies von allen Kontakten zu tun. Alternativ kann WhatsApp in einer virtualisierten IT-Umgebung betrieben werden, isoliert von anderen Unternehmensdaten und unter Verwendung der WhatsApp Business App mit separaten Nutzungs- und Datenverarbeitungsbedingungen. Diese Lösung wurde vom UDZ Saarland als zulässig angesehen, jedoch müssen vor einem Einsatz im Unternehmen die aktuellen Datenschutzbestimmungen und -bedingungen von WhatsApp erneut geprüft werden.
WhatsApp Business als Alternative:
Für Unternehmen, die dennoch WhatsApp nutzen möchten, bietet WhatsApp Business eine potenzielle Alternative. Im Gegensatz zur herkömmlichen Version verfügt WhatsApp Business über einen Vertrag zur Auftragsverarbeitung. Dennoch erfüllt dieser Vertrag nicht alle Anforderungen der DSGVO.
Unternehmen, die WhatsApp Business nutzen, müssen bestimmte rechtliche Anforderungen erfüllen, wie die Impressumspflicht und die Bereitstellung von Datenschutzhinweisen. Auch müssen werbliche Ansprachen von Kontakten die ausdrückliche Einwilligung der Empfänger einholen, um den Anforderungen der DSGVO gerecht zu werden.
Bei gemischt genutzten Geräten können Containerlösungen eingesetzt werden, um dienstliche Daten zu schützen und den Zugriff von Apps wie WhatsApp darauf zu beschränken. Diese Lösung ermöglicht es, die dienstlichen und privaten Daten strikt voneinander zu trennen und so die Nutzung von WhatsApp im Rahmen der Datenschutzbestimmungen zu ermöglichen.
Es ist auch möglich, die Weitergabe von Telefonnummern an WhatsApp zu unterbinden, indem der Zugriff auf die Kontakte im Betriebssystem direkt gesteuert wird. Dies hat zur Folge, dass die Kontakte nicht mehr in WhatsApp angezeigt werden, was die Kommunikation über die App einschränken kann. Eine weitere Möglichkeit besteht darin, eine Containerlösung zu verwenden, die den Zugriff auf Kontaktdaten steuert.
Fazit:
Die Nutzung von WhatsApp in Unternehmen birgt zahlreiche datenschutzrechtliche Herausforderungen, die sorgfältig abgewogen und adressiert werden müssen, um DSGVO-Konformität sicherzustellen. Die Übermittlung von Metadaten an WhatsApp sowie die Datenverarbeitung durch den Dienst erfordern eine genaue Prüfung, um potenzielle Risiken für die informationelle Selbstbestimmung zu minimieren. Obwohl WhatsApp Business eine alternative Lösung bietet, sind auch hier rechtliche Anforderungen zu beachten und nicht alle Aspekte sind vollständig DSGVO-konform.
Unternehmen sollten daher verschiedene Lösungsansätze in Betracht ziehen, um die Nutzung von WhatsApp im Einklang mit den Datenschutzbestimmungen zu ermöglichen. Containerlösungen und virtualisierte IT-Umgebungen können dabei helfen, die dienstlichen und privaten Daten zu trennen und den Zugriff auf WhatsApp zu kontrollieren.
Letztendlich ist es wichtig, dass Unternehmen sich kontinuierlich über die aktuellen Datenschutzbestimmungen informieren und ihre Maßnahmen entsprechend anpassen, um den Schutz der persönlichen Daten ihrer Mitarbeiter und Kunden zu gewährleisten.
