Unternehmenskommunikation per WhatsApp: Ein Problem unter der DSGVO

PrintMailRate-it

veröffentlicht am 6. September 2018 | Lesedauer: ca. 3 Minuten; Autoren: Alexander Theusner, Johannes Marco Holz, Maximilian S. Dachlauer
 
„Perfekt, alles Weitere schreib' ich Ihnen dann auf WhatsApp! Wie ist Ihre Nummer?” So oder so ähnlich erleben täglich viele Mitarbeiterinnen und Mitarbeiter ihren Alltag. Kein Wunder: Laut der YouGov-Studie von 2017 „WhatsApp im Kundenkontakt” nutzen inzwischen beinahe 70 Prozent der Deutschen WhatsApp in ihrer Alltagskommunikation und laut der @work-Studie der Brabbler AG haben sogar 45 Prozent WhatsApp auf ihrem geschäftlichen Smartphone installiert. Jeder 3. Nutzer würde eine Kontaktmöglichkeit mit einem Unternehmen über soziale Netzwerke oder Apps als „unkomplizierter” bezeichnen und jeder 5. empfindet die Einführung einer derartigen Kontaktfunktion als „längst überfällig”. Wäre da nicht die DSGVO, von der v.a. gerüchteweise behauptet wird, sie stehe der Nutzung von WhatsApp im Unternehmen generell entgegen.​
 

Datenschutzrechtliche Relevanz der geschäftlichen Nutzung von WhatsApp

Spätestens seitdem Continental dieses Jahr seinen weltweit 240.000 Mitarbeitern die Nutzung von WhatsApp und Snapchat verboten hat, ist die umstrittene Nutzung von WhatsApp in der Unternehmenskommunikation nochmals in den öffentlichen Fokus gerückt. Messenger-Dienste sind in der Unternehmenskommunikation sehr nützlich und äußerst gefragt und auch datenschutzrechtlich ist grundsätzlich nichts gegen sie einzuwenden. Das Problem steckt im Detail.
 
Laut eigenen Angaben erlaubt WhatsApp die geschäftliche Nutzung von WhatsApp nach vorheriger Zustimmung, wobei auch die (unerlaubte) Nutzung ohne Zustimmung (bisher) nicht geahndet wurde. Ferner wurde nach Angaben von WhatsApp eine sichere Ende-zu-Ende Verschlüsselung eingeführt, die das Mitlesen von Nachrichten verhindert und demnach sowohl personenbezogene Daten als auch Geschäftsgeheimnisse vor unbefugten Zugriffen Dritter schützt. Von den Datenschutzbehörden wird jedoch immer wieder kritisch auf die Verarbeitung von Metadaten in den USA, das unklare Zusammenwirken von WhatsApp und Facebook sowie die Frage nach den Zwecken der Datenverarbeitung über den unmittelbaren Zweck der Messaging-Dienst-Erbringung hinaus hingewiesen.
 

Das Hauptproblem

Die Synchronisation der Kontaktdaten ist das datenschutzrechtliche Hauptproblem bei der geschäftlichen Nutzung von WhatsApp. Die Kommunikation per WhatsApp erfolgt nicht über die Telefonnummer des Nutzers, sondern über einen Account, den WhatsApp für den jeweiligen Nutzer erstellt (weshalb auch der Wechsel einer Telefonnummer möglich ist). In den WhatsApp-Nutzungsbedingungen heißt es: „Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern von WhatsApp Nutzern und anderen Kontakten in Deinem Mobiltelefon-Adressbuch zur Verfügung”. Mangels eines oftmals nicht einschlägigen gesetzlichen Rechtfertigungstatbestands, bedürfte es für den umfassenden Adressbuchupload an WhatsApp in die USA Einwilligungen von allen geschäftlichen Kontakten, wobei WhatsApp die Einhaltung der geltenden Gesetze an die Nutzer delegiert. Konkret bedeutet das: WhatsApp geht davon aus, dass man vor dem Benutzen ihres Messaging-Dienstes Einwilligungen aller geschäftlichen Kontakte (im privaten Bereich finden die DSGVO-Vorschriften keine Anwendung, vgl. EWG 18 DSGVO) in Bezug auf die Übermittlung der Kontaktdaten an WhatsApp eingeholt hat. Das wird nicht nur als datenschutzrechtlich fragwürdig kritisiert, sondern entspricht bisher vielfach auch nicht der gängigen Unternehmenspraxis.
 

Anwendbare Vorschriften

Nach welchen Vorschriften sich die Problematik richtet, ist bislang noch völlig unklar. WhatsApp zählt als Instant Messaging-Dienst zu den sog. OTT-Diensten (Over-the-Top-Dienste) und stellt ein Äquivalent zu den „klassischen” Kommunikationsdiensten dar. Allerdings sind diese OTT-Dienste nicht in die Signal- bzw. Datenübermittlung involviert, weshalb äußerst strittig ist, ob sie als Telekommunikationsanbieter anzusehen sind. Wäre das der Fall, so wäre das TKG (Telekommunikationsgesetz) auf sie anwendbar. Da das TKG auf der ePrivacy-Richtlinie 2002/58/EG beruht, wäre die DSGVO dann gem. Art. 95 DSGVO nur noch subsidiär anwendbar. In dem Zusammenhang ist beachtenswert, dass der Entwurf der neuen ePrivacy-Verordnung die OTT-Dienste inkludiert.
 
Bis zu deren Verabschiedung besteht weiterhin große Unsicherheit, ob die Vorschriften der DSGVO auf die geschäftliche WhatsApp-Nutzung anzuwenden sind.
 

Lösungsmöglichkeiten

Auch aufgrund der noch nicht abschließend geklärten Zuständigkeit für die datenschutzrechtliche Kontrolle von WhatsApp in Deutschland (unterläge WhatsApp dem TKG, so fiele die Kontrolle nach § 115 Abs. 4 TKG dem Bundesbeauftragten für den Datenschutz, sonst den Landesdatenschutzbehörden, zu), gibt es bisher nur vereinzelt und keine abschließenden Aussagen der Datenschutzbehörden zu WhatsApp.

 

Zusammenfassend ist festzuhalten, dass gerade vor dem Hintergrund der Ankündigung von WhatsApp, in näherer Zukunft eine neue WhatsApp-Business-App anbieten zu wollen, ein vollkommener Verzicht auf WhatsApp trotz überzeugender Alternativ-Angebote wie Threema und Telegram (vgl. hierzu auch www.securemessagingapps.com) wenig praxistauglich erscheint.

 

Aufgrund des noch unklaren Vorgehens der Datenschutzbehörden ist daher zu einem sensiblen Umgang, auch im DSGVO-Verarbeitungsverzeichnis, zu raten. In Frage kommt neben dem Einholen von Einwilligungen und dem Umstellen auf Alternativ-Anbieter der Einsatz von Exchange-Containern, mittels derer die Synchronisation der WhatsApp-App mit dem Adressbuch außerhalb des Containers unterbunden werden kann. IOS-Nutzer und Nutzer neuerer Android-Version können alternativ die weitreichende Synchronisation bereits in ihren Einstellungen unterbinden. Die weitergehende Entwicklung der App-Funktionen von WhatsApp gerade in Bezug auf den neuen WhatsApp-Business-Dienst, die Problematik der anwendbaren Vorschriften sowie die Stellungnahme der Datenschutzbehörden sind insgesamt abzuwarten und rechtlich zu begleiten.

Kontakt

Contact Person Picture

Johannes Marco Holz

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU)

Associate Partner

+49 911 9193 1511

Anfrage senden

Profil

Contact Person Picture

Carina Richters

Rechtsanwältin, Compliance Officer (TÜV)

Manager

+49 221 949 909 206

Anfrage senden

 Wir beraten Sie gern!

 Mehr lesen?

Deutschland Weltweit Search Menu