WhatsApp & andere Messenger: Was Unternehmen beim Datenschutz beachten müssen

29.06.2023

Whatsapp Smartphone

So praktisch die Kommunikation via Messenger auch sein mag, aus Unternehmenssicht gehen mit ihr erhebliche Datenschutzrisiken einher. Unternehmen, die keine klaren Rahmenbedingungen schaffen, riskieren kostspielige Datenschutzvorfälle.

Whatsapp und Co. mit beeindruckenden Nutzerzahlen

Die Kommunikation per Messenger ist aus dem Alltag nicht mehr wegzudenken. Hier ein kurzer Blick auf größten Messenger-Apps und ihre weltweiten Nutzerzahlen (Monthly Active Users; Stand Juni 2023).

  1. WhatsApp: 2 Mrd.
  2. WeChat: 1,3 Mrd.
  3. Facebook Messenger: 931 Mio.
  4. Telegram: 700 Mio.
  5. Signal: 40 Mio.

WhatsApp wird nicht nur von Privatpersonen, sondern auch Unternehmen genutzt. Ob Vertriebler oder Spezialist im Innendienst – viele Mitarbeiter haben die Messenger App auf ihren Smartphones installiert. Sie kommunizieren mit Kunden, Kollegen und häufig auch privaten Kontakten. An den Datenschutz wird dabei eher selten gedacht, obwohl die DSGVO strenge Vorschriften macht.

Datenschutzverstöße aufgrund Verwendung von Messengern

Andererseits haben mehrere Unternehmen zuletzt Whatsapp den Rücken gekehrt, d.h. ihren Mitarbeitern den Einsatz des Messengers auf dem Diensthandy untersagt. Diese Entscheidung ist fast immer auf die DSGVO zurückzuführen, denn es ist schwierig, den Smartphone Messenger rechtssicher einzusetzen. Zu leicht drohen Datenschutzverstöße, die womöglich mit hohen Bußgeldern geahndet werden.

Doch aufgepasst, nicht nur der Einsatz von Whatsapp in der Unternehmenskommunikation birgt Risiken. Dasselbe gilt für sämtliche Messenger. Ob iMessage, Skype, Telegram, Threema, Signal oder Wire: Werden entscheidende Regeln nicht beachtet, drohen Verstöße gegen geltendes Datenschutzrecht.

Diesbezüglich ist anzumerken, dass eine Ende-zu-Ende Verschlüsselung keine rechtssichere Verwendung in der Unternehmenskommunikation garantiert. Nicht nur die Wahl des Messengers und dessen Konfiguration oder technische Absicherung sind entscheidend, sondern auch die Art der Nutzung.

Wo die Übermittlung personenbezogener Daten droht

  • Anlegen von Kontakten und Zugriff auf das Telefonbuch

    Ein entscheidender Kritikpunkt an WhatsApp ist der Zugriff auf Kontaktdaten. Die App fordert Zugriff auf das Telefonbuch / Adressbuch. Willigt der Nutzer ein, erfasst die App sämtliche Kontaktdaten aus dem Adressbuch und leitet die Informationen an den Betreiber weiter. Das Unternehmen Whatsapp Inc. verfügt aufgrund dieser Datenweitergabe über umfassende Datensätze, die Rufnummer und üblicherweise den vollständigen Namen der Kontakte umfassen.

    Allein hierdurch droht die Übermittlung eines breiten Spektrums an sensiblen Daten. Hinzu kommt: Viele Mitarbeiter haben nicht nur Kontaktdaten ihrer Kollegen im Smartphone Telefonbuch gespeichert. Häufig finden sich im Telefonspeicher ebenso (private) Rufnummern von Kunden und Freunden wieder.

  • Inhalt der übermittelten Nachrichten

    Von größter Bedeutung sind die eigentlichen Inhalte, die von Mitarbeitern via Messenger versendet werden. Angenommen ein Vertriebler teilt seinem Kollegen aus der Versandabteilung die Adresse eines privaten Kunden / Verbrauchers mit, damit dieser Ware zustellen kann. Hierbei werden Daten mit Personenbezug übermittelt, die aus Sicht der DSGVO von Relevanz sind. Aber auch Glückwünsche zum Geburtstag (ob an Kollegen oder Kunden) oder Krankmeldungen können als personenbezogene Daten gewertet werden.

Stolpersteine aus Sicht des Datenschutzes

  • Zustimmung der Betroffenen

    Erfassung und Verarbeitung personenbezogener Daten dürfen nur mit Zustimmung der Betroffenen erfolgen. Diese Zustimmung liegt in der Praxis jedoch nur selten vor, d.h. die meisten Kunden sowie andere Personen dürften nicht damit einverstanden sein, dass ihre Daten via Whatsapp oder einem anderen Messenger versendet werden. Zumal es nicht genügt, die Zustimmung nachträglich einzuholen. Stattdessen muss sie bereits vorher eingeholt worden sein.

  • Auftragsverarbeitung

    Ob Text, Foto oder Video, alle per Messenger verschickten Inhalte werden über Server geleitet. Im Regelfall handelt es sich dabei um Server der jeweiligen Messaging-Anbieter. Sofern die Übermittlung von Daten mit Personenbezug erfolgt, dürfte in den meisten Fällen eine Auftragsverarbeitung vorliegen. Hierüber ist wiederum ein Vertrag über die Auftragsverarbeitung mit dem Anbieter zu schließen. Nur so lässt sich gewährleisten, dass der jeweilige Anbieter angemessene Maßnahmen zum Schutz der Daten ergreift.

  • Mögliche Übermittlung der Daten in Drittstaaten

    Je nach Messaging-Anbieter droht eine Übermittlung der personenbezogenen Daten in die USA oder andere Drittstaaten. Die DSGVO schränkt diese Vorgehensweise jedoch enorm ein. So ist beispielsweise eine Datenweitergabe an Server in Drittstaaten nur gestattet, wenn sofern ein Angemessenheitsbeschluss der EU Kommission vorliegt oder eine gezielte Absicherung vorgenommen wird.

  • Hardware, die sich der Kontrolle des Unternehmens entzieht

    Eine wachsende Anzahl an Unternehmen setzt auf Bring Your Own Device (BYOD) und gestattet es Mitarbeitern damit, eigene / private Geräte (vorrangig Smartphones und Tablets) beruflich zu nutzen. Auf solchen Geräten gestaltet sich eine Überwachung der Daten umso schwieriger und die Installation bestimmter Apps lässt sich kaum unterbinden. Häufig unterliegen sämtliche Einstellungen dem Nutzer. Ebenso ist eine Vermischung privater und geschäftlicher Kontakte möglich. Aus Sicht des Datenschutzes gleicht dies einem Alptraum. Es drohen Datenschutzverstöße, die von den zuständigen Aufsichtsbehörden empfindlich geahndet werden können.

Randnotiz zu WhatsApp und WhatsApp Business

Der Vollständigkeit halber sei angemerkt, dass Whatsapp gar nicht für den Einsatz im geschäftlichen Umfeld vorgesehen ist. Das Unternehmen gibt in seinen Bedingungen an, dass die Nutzung nur privat erfolgen darf. Damit könnte Whatsapp allen Unternehmen die Nutzung seines Messaging-Dienstes untersagen, was in der Praxis aber noch nicht erfolgt ist.

Als Ausweg bietet Meta als Betreiber das sogenannte WhatsApp Business an. Diese Variante des Messengers senkt die datenschutzrechtlichen Hürden, da unter anderem ein Vertrag über die Auftragsverarbeitung geschlossen werden kann. Einige Stolpersteine existieren jedoch auch bei der Business-Variante, weshalb eine datenschutzkonforme Nutzer nicht automatisch garantiert ist.

Lösungen für den kontrollierten Einsatz von Messengern

Damit ein angemessenes Datenschutzniveau besteht, müssen Unternehmen sicherstellen, dass keine ungewollte Übermittlung personenbezogener Daten über WhatsApp sowie andere Messenger Dienste oder Apps erfolgt.

Ein wirksamer Ansatz besteht darin, die Installation bestimmter Apps zu unterbinden und damit einzelne Risiken auszuschließen. Die Umsetzung ist auf den meisten Smartphones oder Tablets sogar möglich, bringt aber wiederum ihre eigenen Probleme mit sich. Besonders wenn Nutzer ihre eigenen Geräte (BYOD) einsetzen, ist eine vollständige Kontrolle über sämtliche Installationen eher schwer durchzusetzen.

Erfreulicherweise gibt es Alternativen. Inzwischen sind Apps verfügbar, die in Verbindung mit einer fachgerechten Konfiguration eine vollständige Kontrolle über Daten mit Personenbezug versprechen. Solche Apps wirken wie eine Zwischenschicht, die betroffene Daten (z.B. das Adressbuch) abschirmt. Besagte Daten werden nur in ausgewählten Bereichen überhaupt nutzbar macht (oft als Sandbox bezeichnet), anderen Apps hingegen der Zugriff verweigert.

Zugleich existieren mittlerweile einige Messenger-Apps, die speziell auf die Unternehmenskommunikation zugeschnitten sind. Die Anbieter setzen z.B. nicht nur auf eine Ende-zu-Ende Verschlüsselung, sondern haben sich außerdem selbst einem strengen Datenschutz unterworfen, den sie vertraglich zusichern. Ob Telefonnummer oder andere Daten aus dem Adressbuch, die Übermittlung von Nutzerdaten lässt sich überwachen. Im Gegenzug ist die Nutzung solcher Messenger im Regelfall nicht kostenlos, stattdessen wird üblicherweise eine monatliche Gebühr pro Nutzer fällig.

Der große Nachteil solcher Lösungen besteht darin, dass sie sich primär für die Kommunikation innerhalb der Organisation eignen. Für den Informationsaustausch mit Außenstehenden wird die Nutzung derselben App vorausgesetzt, was jedoch selten der Fall ist.

Fazit

Die rechtssichere Nutzung von Messengern in der Unternehmenskommunikation ist nicht ohne weiteres möglich – zumindest nicht in Verbindung mit WhatsApp und ähnlichen kostenfreien Lösungen. Grund sind die zahlreichen Risiken, die Unternehmen zunächst ausschließen müssen.

Der sichere Einsatz erfordert zunächst eine gründliche Prüfung. Verschiedenste Aspekte sind zu berücksichtigen, wie z.B. das Thema Auftragsverarbeitung ebenso wie technische Eigenschaften einer Messaging-Lösung. Im Regelfall führt kein Weg daran vorbei, Smartphones sowie andere Geräte detailliert zu konfigurieren und entweder zusätzliche Sicherheits-Apps zu installieren oder DSGVO-konforme Messenger Dienste einzusetzen. Die bislang nicht beschlossene ePrivacy Verordnung könnte sogar noch weitere Datenschutzmaßnahmen erforderlich machen.

Bei Fragen hierzu sowie anderen Themen rund um den betrieblichen Datenschutz stehen wir gerne zur Seite. Sie erreichen uns telefonisch unter 0800 5600831 (gebührenfrei) sowie über unser Kontaktformular.