WhatsApp und Office 365 – Was die Nutzung dieser Anwendungen für den Datenschutz in Ihrem Unternehmen bedeutet

​veröffentlicht am 04. November 2019

Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung und die meisten Unternehmen haben sich inzwischen ein entsprechendes Datenschutzmanagementsystem zugelegt. Jedoch sollte auch überprüft werden, welche Onlinedienste genutzt werden, denn WhatsApp und Office 365 sind (noch) nicht datenschutzkonform.

Viele (Immobilien-)Unternehmen nutzen Messenger-Dienste wie WhatsApp zur Kommunikation untereinander und mit dem Kunden sowie Clouddienste wie Office 365, um vertrauliche Dokumente von unterschiedlichen Zugriffspunkten aus zu bearbeiten und auch zu speichern. Dies erscheint im Arbeitsalltag zunächst praktisch – doch beide Anwendungen haben einen Haken: Sie sind nicht DSGVO-konform. Welche Probleme stellen sich?

DATENSCHUTZRECHTLICHE ZULÄSSIGKEIT DES EINSATZES VON WHATSAPP IM UNTERNEHMEN

Hierzu muss man sich kurz die Funktionsweise des Messenger-Dienstes vergegenwärtigen: Nach der Registrierung wird das (komplette) Adressbuch des Nutzers ausgelesen und es werden mindestens Name und Mobilfunknummer an die Server von WhatsApp in den USA übermittelt. Der Abgleich wird in regelmäßigen Abständen wiederholt, sodass auch bei neu aufgenommenen Kontakten geprüft wird, ob sie bereits WhatsApp-Kunden sind. Dabei werden immer auch die Daten von Personen übermittelt, die WhatsApp nicht nutzen. All diese Informationen teilt WhatsApp auch mit anderen Facebook-Unternehmen. Meldungen wie „…Ihre Freunde sahen auch …” sind so zu erklären.

Aus datenschutzrechtlicher Sicht liegt daher eine Verarbeitung von personenbezogenen Daten vor. Gemäß Art. 6 DSGVO ist eine derartige Verarbeitung verboten, es sei denn, es liegt ein Rechtfertigungsgrund vor (sog. Verbot mit Erlaubnisvorbehalt). Als solcher Rechtfertigungsgrund kommt vorliegend ausschließlich die Einwilligung aller Kontakte und ein entsprechender Vertrag zur Auftragsdatenverarbeitung mit WhatsApp Inc. in Betracht. Der Einsatz von WhatsApp im geschäftlichen Alltag ist daher ohne Zustimmung aller Kontakte und einem Vertrag zwischen WhatsApp und dem Unternehmen rechtlich nicht zulässig und verstößt gegen die Bestimmungen der Datenschutzgrundverordnung.

Die Rechtmäßigkeit der Verarbeitung auf diesem Weg ist nicht darstellbar. Zum einen fehlt es an der Möglichkeit, einen Auftragsverarbeitungsvertrag mit WhatsApp abzuschließen. Zum anderen wird es fast unmöglich sein, sich von sämtlichen geschäftlichen Kontakten eine entsprechende schriftliche Einwilligung einzuholen. Noch komplizierter wird es dann, wenn nicht alle Kontakte eine Zustimmung erteilen bzw. ein Kontakt seine Einwilligung nachträglich widerruft, denn konsequenterweise müssten Sie dann für alle Kontakte ohne Zustimmung ein Smartphone ohne WhatsApp betreiben. Dabei ist die Vermischung mit privaten Kontakten noch unberücksichtigt.

Für Immobilienunternehmen stellt sich nun die Frage, ob und wie sie WhatsApp datenschutzkonform einsetzen können. Am einfachsten und wohl auch sinnvollsten ist es, die Nutzung von WhatsApp auf dem Geschäftshandy zu verbieten. Es ist zwar auch denkbar, dass ein Smartphone mit einem leeren Adressbuch verwendet wird, um die dargestellten Probleme zu vermeiden. Die Funktionalität der Anwendung wird dabei allerdings stark eingeschränkt.

Alternativ empfiehlt sich der Einsatz von datenschutzfreundlichen Messenger-Diensten oder die Installation sog. Container-Apps.

DATENSCHUTZRECHTLICHE ZULÄSSIGKEIT DES EINSATZES VON OFFICE 365 IM UNTERNEHMEN

Office 365 ist die cloudbasierte Version des Office-Anwendungspakets von Microsoft. Bei der Nutzung von Office 365 stellen sich ähnliche datenschutzrechtliche Probleme wie vorbeschrieben. Auch Microsoft speichert personenbezogene Daten über das Verhalten seiner Nutzer in nicht unerheblichem Umfang und nutzt diese Verhaltensdaten konzernintern. Dies erfolgt über die individuelle Nutzung der einzelnen Office-Anwendungen. Hierbei werden nicht nur ggf. vertrauliche betriebsrelevante Informationen/technische Daten an die Server von Microsoft in den USA versendet, sondern auch personenbezogene Daten.

Darüber hinaus sammelt Microsoft Office auch Daten bei der Verwendung der Rechtschreibprüfung und des Übersetzungsdienstes. Neben dem recherchierten Wort wird der vorherstehende und nachfolgende Satz übermittelt. Dies führt dazu, dass eine große Anzahl an Daten ohne Wissen des Nutzers automatisiert übermittelt wird.

Zwar bietet Office 365 ProPlus ab der Version 1905 die Einstellung an, diese Datenübermittlungen zu deaktivieren. Jedoch lassen sich selbst in der höchsten Sicherheitsstufe nicht alle Datenübertragungen an Microsoft unterbinden. Zudem gibt es weder in der mobilen App noch bei der Web-Anwendung derzeit die Möglichkeit, den Umfang der Datenübermittlung zu regulieren oder einzusehen, welche Daten an Microsoft übermittelt werden.

Man sollte daher auf die Nutzung der Web-Version von Office 365 verzichten, bis Microsoft datenschutzrechtlich nachgebessert hat. Zudem sollte für vertrauliche oder sensible Daten eine lokale Office-Version genutzt werden, die ohne Microsoft-Account betrieben wird.

Wird von privaten PCs auf Office 365 zugegriffen, bedarf es zudem einer BYOD-Vereinbarung (Bring Your Own Device), um die damit verbundenen Sicherheitsrisiken weitestgehend zu mindern. Mit Microsoft 365 können dann die Zugriffs-, Speicher- und Freigabefunktionen für Geschäftsdaten auf den privaten Endgeräten eingeschränkt werden.