Viele Unternehmen nutzen inzwischen WhatsApp oder WhatsApp-Business zum Mitarbeiter- oder Kundenkontakt. [...]
Viele Unternehmen nutzen inzwischen WhatsApp oder WhatsApp-Business zum Mitarbeiter- oder Kundenkontakt. Seit Inkrafttreten der DSGVO am 25. Mai 2018 steigt allerdings die Verunsicherung bezüglich der rechtlichen Beurteilung dieser Nutzung. Verstößt man tatsächlich gegen den Datenschutz, wenn man WhatsApp oder WhatsApp-Business auf dem Diensthandy nutzt?
Derzeit wird diese Frage heftig diskutiert, die Antwort ist weiterhin strittig. Nach jetzigem Datenschutzrecht (DSGVO) handelt es sich beispielsweise bei der Weitergabe von Kundendaten „ohne Rechtsgrundlage oder Einwilligung“ um einen Datenschutzverstoß. Eine erlaubte Nutzung liegt vor, sofern das Handy lediglich für private Zwecke genutzt wird, also durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Werden Smartphone sowie WhatsApp hingegen (auch) für geschäftliche Zwecke verwendet, sieht die derzeit vorherrschende Auffassung darin einen Verstoß gegen die DSGVO.
Die Problematik besteht darin, dass WhatsApp bei der Installation der Zugriff auf das Adressbuch des Smartphones und somit auf jegliche Kontaktdaten (auch von Personen, die WhatsApp selbst nicht nutzen) erlaubt wird. Unternehmen sowie WhatsApp Inc. benötigen allerdings die Einwilligung der in den Adressbüchern abgelegten Personen zur Verarbeitung und Weitergabe ihrer Daten. Diese werden nämlich in weiterer Folge an die US-Server der Muttergesellschaft übermittelt, synchronisiert und für sämtliche Auswertungen verwendet. Unternehmen, die auf diese Art personenbezogene Daten übermitteln, können aber betroffenen Personen keine Auskunft darüber geben, wie und wo diese Daten verarbeitet wurden. Ebenso wenig können Betroffene ihre Rechte – wie etwa das Recht auf Löschung – geltend machen, zumal Unternehmen die Daten, welche WhatsApp gespeichert hat, nicht löschen können.
In der Praxis hat sich gezeigt, dass eine rechtswirksame Einwilligung zur Weitergabe personenbezogener Daten bei der Nutzung von Diensten wie WhatsApp lediglich in Ausnahmefällen gegeben ist. Entscheiden sich Unternehmen dennoch, WhatsApp weiterhin zu nutzen, empfiehlt sich eine Prüfung, ob eine Einwilligung bei geschäftlichen Kontakten vorliegt. Ansonsten kann es zu unangenehmen Verfahren vor der Datenschutzbehörde kommen. Als weiterer Lösungsansatz werden derzeit auch „Exchange-Container“-Apps befürwortet. Diese verhindern eine Synchronisation von etwaigen Apps innerhalb eines Containers (geschützter Bereich) mit Apps außerhalb des Containers. Würde man WhatsApp in einen am Smartphone abgelegten Container transferieren, würde keine Synchronisation mit dem Adressbuch außerhalb dieses Bereichs erfolgen. Diese Lösung ist zwar mit einem Mehraufwand verbunden, insbesondere da hierbei alle WhatsApp-Kontakte manuell eingegeben werden müssten. Sie verhindert allerdings eine unrechtmäßige Datenverarbeitung.
Alternativ könnte WhatsApp bei der Installation der Zugriff auf das Adressbuch verweigert werden. Entweder direkt in den Einstellungen des Smartphones oder durch sonstige Apps, welche diese Funktion anbieten.
Die Verweigerung des Zugriffs von Whatsapp auf das Adreßbuch löst das Problem nicht, daß dann ggf. personenbezogene Daten (aus der Privatsphäre des Mitarbeiters, auch mit Fotos etc.) am Firmensmartphone verarbeitet werden.