WhatsApp & andere Messenger: Was Unternehmen beim Datenschutz beachten müssen

30.07.2018

Whatsapp Smartphone

Die Telekommunikation verändert sich – wer hätte vor einigen Jahren gedacht, dass Messenger Dienste die SMS ablösen? Insbesondere Whatsapp ist beliebt, der zu Facebook gehörende Messenger zählte im Januar 2018 mehr als 1,5 Mrd. Nutzer weltweit. Die Messenger App wird nicht nur von Privatpersonen, sondern auch Unternehmen genutzt. Ob Vertriebler oder Spezialist im Innendienst – viele Mitarbeiter haben Whatsapp auf ihren Smartphones installiert. Sie kommunizieren mit Kunden, Kollegen und häufig auch privaten Kontakten. An den Datenschutz wird dabei eher selten gedacht, obwohl die DSGVO strenge Vorschriften macht.

Datenschutzverstöße aufgrund Verwendung von Messengern

Andererseits haben mehrere Unternehmen zuletzt Whatsapp den Rücken gekehrt, d.h. ihren Mitarbeitern den Einsatz des Messengers auf dem Diensthandy untersagt. Diese Entscheidung ist fast immer auf die DSGVO zurückzuführen – denn es ist schwierig, den Smartphone Messenger rechtssicher einzusetzen. Zu schnell drohen Datenschutzverstöße, die womöglich mit hohen Bußgeldern geahndet werden.

Doch aufgepasst, nicht nur der Einsatz von Whatsapp in der Unternehmenskommunikation birgt Risiken. Dasselbe gilt für sämtliche Messenger. Ob Hoccer, iMessage, Skype, Telegram, Threema oder Wire: Werden entscheidende Regeln nicht beachtet, drohen Verstöße gegen geltendes Datenschutzrecht.

Diesbezüglich ist anzumerken, dass eine Ende-zu-Ende Verschlüsselung keine rechtssichere Verwendung in der Unternehmenskommunikation garantiert. Nicht nur die Wahl des Messengers und dessen Konfiguration oder technische Absicherung sind entscheidend, sondern auch die Art der Nutzung.

Wo die Übermittlung personenbezogener Daten droht

Zugriff auf das Telefonbuch

Ein entscheidender Kritikpunkt an Whatsapp ist der Zugriff auf Kontaktdaten. Die App fordert Zugriff auf das Telefonbuch / Adressbuch. Willigt der Nutzer ein, erfasst die App sämtliche Kontaktdaten aus dem Adressbuch und leitet die Informationen an den Betreiber weiter. Das Unternehmen Whatsapp Inc. verfügt aufgrund dieser Datenweitergabe über umfassende Datensätze, die Rufnummer und üblicherweise den vollständigen Namen der Kontakte umfassen.

Allein hierdurch droht die Übermittlung eines breiten Spektrums an sensiblen Daten. Hinzu kommt: Viele Mitarbeiter haben nicht nur Kontaktdaten ihrer Kollegen im Smartphone Telefonbuch gespeichert. Häufig finden sich im Telefonspeicher ebenso (private) Rufnummern von Kunden und Freunden wieder.

Inhalt der übermittelten Nachrichten

Von größter Bedeutung sind die eigentlichen Inhalte, die von Mitarbeitern via Messenger versendet werden. Angenommen ein Vertriebler teilt seinem Kollegen aus der Versandabteilung die Adresse eines privaten Kunden / Verbrauchers mit, damit dieser Ware zustellen kann. Hierbei werden Daten mit Personenbezug übermittelt, die aus Sicht der DSGVO von Relevanz sind. Aber auch Glückwünsche zum Geburtstag (ob an Kollegen oder Kunden) oder Krankmeldungen können als personenbezogene Daten gewertet werden.

Stolpersteine aus Sicht des Datenschutzes

Zustimmung der Betroffenen

Erfassung und Verarbeitung personenbezogener Daten dürfen nur mit Zustimmung der Betroffenen erfolgen. Diese Zustimmung liegt in der Praxis jedoch nur selten vor, d.h. die meisten Kunden sowie andere Personen dürften nicht damit einverstanden sein, dass ihre Daten via Whatsapp oder einem anderen Messenger versendet werden. Zumal es nicht genügt, die Zustimmung nachträglich einzuholen. Stattdessen muss sie bereits vorher eingeholt worden sein.

Auftragsverarbeitung

Ob Text, Foto oder Video, alle per Messenger verschickten Inhalte werden über Server geleitet. Im Regelfall handelt es sich dabei um Server der jeweiligen Messaging-Anbieter. Sofern die Übermittlung von Daten mit Personenbezug erfolgt, dürfte in den meisten Fällen eine Auftragsverarbeitung vorliegen. Hierüber ist wiederum ein Vertrag über die Auftragsverarbeitung mit dem Anbieter zu schließen. Nur so lässt sich gewährleisten, dass der jeweilige Anbieter angemessene Maßnahmen zum Schutz der Daten ergreift.

Mögliche Übermittlung der Daten in Drittstaaten

Je nach Messaging-Anbieter droht eine Übermittlung der personenbezogenen Daten in die USA oder andere sogenannter Drittstaaten. Die DSGVO schränkt diese Vorgehensweise jedoch enorm ein. So ist beispielsweise eine Datenweitergabe auf Server mit Standort in den USA derzeit nur gestattet, wenn der Anbieter eine Privacy-Shield Zertifizierung nachweisen kann oder die betroffene Person explizit einwilligt.

Hardware, die sich der Kontrolle des Unternehmens entzieht

Eine wachsende Anzahl an Unternehmen setzt auf Bring Your Own Device (BYOD) und gestattet es Mitarbeitern damit, eigene / private Geräte (vorrangig Smartphones und Tabletc) beruflich zu nutzen. Auf solchen Geräten gestaltet sich eine Überwachung der Daten umso schwieriger und die Installation bestimmter Apps lässt sich kaum unterbinden. Häufig unterliegen sämtliche Einstellungen dem Nutzer. Ebenso ist eine Vermischung privater und geschäftlicher Kontakte möglich. Aus Sicht des Datenschutzes gleicht dies einem Alptraum. Es drohen Datenschutzverstöße, die von den zuständigen Aufsichtsbehörden empfindlich geahndet werden können.

Randnotiz zu Whatsapp

Der Vollständigkeit halber sei angemerkt, dass Whatsapp gar nicht für den Einsatz im geschäftlichen Umfeld vorgesehen ist. Das Unternehmen gibt in seinen Bedingungen an, dass die Nutzung nur privat erfolgen darf. Damit könnte Whatsapp allen Unternehmen die Nutzung seines Messaging-Dienstes untersagen, was in der Praxis aber noch nicht erfolgt ist.

Lösungen für den kontrollierten Einsatz von Messengern

Damit ein angemessenes Datenschutzniveau besteht, müssen Unternehmen sicherstellen, dass keine ungewollte Übermittlung personenbezogener Daten über Whatsapp sowie andere Messenger Dienste oder Apps erfolgt.

Ein wirksamer Ansatz besteht darin, die Installation bestimmter Apps zu unterbinden und damit einzelne Risiken auszuschließen. Die Umsetzung ist auf den meisten Smartphones oder Tablets sogar möglich, bringt aber wiederum ihre eigenen Probleme mit sich. Besonders wenn Nutzer ihre eigenen Geräte (BYOD) einsetzen, ist eine vollständige Kontrolle über sämtliche Installationen eher schwer durchzusetzen.

Erfreulicherweise gibt es Alternativen. Inzwischen sind Apps verfügbar, die in Verbindung mit einer fachgerechten Konfiguration eine vollständige Kontrolle über Daten mit Personenbezug versprechen. Solche Apps wirken wie eine Zwischenschicht, die betroffene Daten (z.B. das Adressbuch) abschirmt. Besagte Daten werden nur in ausgewählten Bereichen überhaupt nutzbar macht (oft als Sandbox bezeichnet), anderen Apps hingegen der Zugriff verweigert.

Zugleich existieren mittlerweile einige Messenger-Apps, die speziell auf die Unternehmenskommunikation zugeschnitten sind. Die Anbieter setzen z.B. nicht nur auf eine Ende-zu-Ende Verschlüsselung, sondern haben sich außerdem selbst einem strengen Datenschutz unterworfen, den sie vertraglich zusichern. Ob Telefonnummer oder andere Daten aus dem Adressbuch, die Übermittlung von Nutzerdaten lässt sich überwachen. Im Gegenzug ist die Nutzung solcher Messenger im Regelfall nicht kostenlos, stattdessen wird üblicherweise eine monatliche Gebühr pro Nutzer fällig.

Fazit

Die rechtssichere Nutzung von Messengern in der Unternehmenskommunikation ist nicht ohne weiteres möglich – zumindest nicht in Verbindung mit Whatsapp und ähnlichen kostenfreien Lösungen. Grund sind die zahlreichen Risiken, die Unternehmen zunächst ausschließen müssen.

Der sichere Einsatz erfordert zunächst eine gründliche Prüfung. Verschiedenste Aspekte sind zu berücksichtigen, wie z.B. das Thema Auftragsverarbeitung ebenso wie technische Eigenschaften einer Messaging-Lösung. Im Regelfall führt kein Weg daran vorbei, Smartphones sowie andere Geräte detailliert zu konfigurieren und entweder zusätzliche Sicherheits-Apps zu installieren oder DSGVO-konforme Messenger Dienste einzusetzen.

Bei Fragen hierzu sowie anderen Themen rund um den betrieblichen Datenschutz stehen wir gerne zur Seite. Sie erreichen uns telefonisch unter 0800 5600831 (gebührenfrei) sowie über unser Kontaktformular.