WhatsApp-Nutzung auf Firmen-Smartphones

Da der Messenger WhatsApp einen sehr hohen Verbreitungsgrad bei Nutzern von mobilen Endgeräten hat, ist der Einsatz für Unternehmen aller Branchen lukrativ.

Die Anwendungsfälle sind zahlreich: Handwerksbetriebe und Maschinenhersteller lassen sich Defekte vorab per Bild zuschicken, um Ferndiagnosen durchführen oder Kostenvoranschläge zu erstellen. Personalagenturen erleichtern ihren Kandidaten die Kommunikation und treten mit Bewerbern durch die App unkompliziert in Kontakt. Durch WhatsApp lassen sich Ansprechpartner sowie Mitarbeiter wesentlich besser erreichen.

Findige Arbeitgeber nutzen die hohe private Aktivität der eigenen Mitarbeiter, um diese Tag und Nacht für betriebliche Anliegen kontaktieren zu können. Auch die Gruppenfunktion von WhatsApp ist unter den Unternehmen weit verbreitet. Mithilfe dieses Tools lassen sich direkt ganze Abteilungen des Unternehmens miteinander vernetzen.

Das Vorgehen steigert die Produktivität, ist bequem für alle Beteiligten und verschmilzt irrigerweise geschäftliche mit privater Kommunikation.

Häufig wird dabei jedoch übersehen, dass die Kontaktierung des WhatsApp-Accounts eines Kunden oder Mitarbeiters noch nicht bedeutet, dass es sich um einen Vorgang handelt, der dem Privatbereich zugeordnet werden kann.

Die rein private Nutzung von WhatsApp unter Freunden bzw. in der Familie fällt nicht unter den Anwendungsbereichen der DSGVO. Ist der Zweck der Kontaktierung jedoch überwiegend geschäftlich, finden die europäischen Datenschutzregeln Anwendung.

Es ergeben sich eine Reihe datenschutzrechtlicher Herausforderungen durch die Verarbeitung personenbezogener Metadaten.

Im Datenschutzrecht dürfen personenbezogene Daten nämlich nur aufgrund einer Rechtsgrundlage oder Einwilligung verarbeitet oder auch an Dritte übermittelt werden.

Das wohl bekannteste Problem ist der ständige Upload von Adressbuchdaten zu WhatsApp. Die Kontaktdaten werden dabei auf Servern von WhatsApp in den USA gespeichert und mit den Daten der Nutzer abgeglichen.

Da WhatsApp wissen muss, an welche Telefonnummern Nachrichten und Anfragen übermittelt werden können und wer generell als WhatsApp-Kontakt dem Nutzer zur Verfügung steht, ist dies auch technisch nachvollziehbar.

Die Kontaktdaten werden bei WhatsApp jedoch, im Gegensatz zu anderen Anbietern wie beispielsweise Threema, unverschlüsselt bei WhatsApp gespeichert. Außerdem kann nicht ausgeschlossen werden, dass Kontakte im Adressbuch keinen WhatsApp-Account besitzen, und dadurch bietet dieser automatisierte Upload eine gewisse datenschutzrechtliche Brisanz.

Als Unternehmer muss man nämlich für jeden einzelnen Kontakt eine Rechtsgrundlage für die Übermittlung der Daten vorweisen können.

Da weder eine vertragliche Grundlage für gemeinsame Nutzungen besteht noch eine Einwilligung jedes Einzelnen vorliegen dürfte, wäre die Übermittlung allein auf Grundlage einer Interessenabwägung im Sinne von Art. 6 Abs. 1 lit. f) DSGVO zulässig.

Diese Rechtsgrundlage greift jedoch immer dann nicht, wenn der jeweilige Kontakt selbst keinen eigenen WhatsApp-Account besitzt. Ist dies der Fall, überwiegen bereits aufgrund des Drittlandtransfers die Interessen der Betroffenen.

Zusammengefasst: Es fehlt in aller Regel an der datenschutzrechtlichen Befugnis zum Abgleich der Kontaktdaten. Der Upload von Adressdaten ist daher auch der wesentliche Kritikpunkt der Aufsichtsbehörden in Deutschland.

Ein weiters Problem betrifft die verschlüsselten Inhaltsdaten. Diese Informationen können in bestimmten Situationen unverschlüsselt an Dritte übermittelt werden, was, man kann es bereits ahnen, ebenfalls nicht zulässig ist.

Auch wenn alle Inhalte grundsätzlich Ende-zu-Ende verschlüsselt sind, sind die Backups regelmäßig nicht von diesem besonderen Schutz umfasst. Die Backupfunktion ist bei vielen Privatnutzern von WhatsApp bereits automatisch aktiviert.

Hat also ein Mitarbeiter die App auf dem privaten Smartphone installiert, um seine Nachrichten im Fall eines Verlustes wiederherstellen zu können, betrifft das ebenfalls die Nachrichten, welche mit geschäftlichem Hintergrund versendet und empfangen wurden.

Um dies ermöglichen zu können, werden jedoch alle Inhalte des Telefons unverschlüsselt bei Google oder Apple gespeichert, was natürlich eine gewisse datenschutzrechtliche Relevanz besitzt. Da auch diese Übermittlung sich nicht vertraglich in den Griff bekommen lässt, fehlt es hier ebenfalls an der erforderlichen Rechtfertigung der Datenverarbeitung.

Ein weiters Problem bei der Nutzung von WhatsApp im Unternehmen ist die Nutzung der Metadaten durch WhatsApp. Auch hierfür ist jeweils die Rechtfertigung mittels Rechtsgrundlagen notwendig.

Da Dienste wie WhatsApp zumindest derzeit nicht unter das TK-Geheimnis fallen, ist eine eigene Verwendung dieser Informationen auch gesetzlich nicht explizit ausgeschlossen. Dieses Problem wird normalerweise über die Vereinbarung eines Vertrags zur Auftragsverarbeitung im Sinne von Art. 28 DSGVO ausgeräumt.

Die eigenständige Nutzung ist aufgrund des Vertrags von Kundendaten durch den Auftragnehmer untersagt, wodurch die Übermittlung dieser Informationen an den Dienstleister, also WhatsApp, datenschutzrechtlich gerechtfertigt werden kann.

Der WhatsApp Messenger bietet diesen Vertrag für Unternehmen jedoch nicht an, da er allein für den privaten Gebrauch konzipiert wurde.

Aufgrund der datenschutzrechtlichen Probleme stellt sich die Frage, ob WhatsApp von Unternehmen überhaupt eingesetzt werden kann.

Vom Einsatz der App zur Mitarbeiterkommunikation untereinander im Unternehmen wird abgeraten, da WhatsApp nach Meinungen des BayLDA ein Sicherheitsrisiko für die Organisation darstellt. Unter bestimmten Vorrausetzungen können Unternehmen WhatsApp aber zumindest zur Kommunikation mit externen Geschäftspartnern nutzen oder Mitarbeitern den Einsatz auf Diensthandys einräumen.

Möchte man den eigenen Mitarbeitern die private Nutzung von WhatsApp auf dem Diensthandy ermöglichen, kann ein Mobile Device Management (MDM) den privaten Bereich des Handys vom geschäftlichen Abgrenzen. Der Arbeitgeber kann dadurch sicherstellen, dass WhatsApp nicht auf geschäftliche Kontakte zugreift und Fehlhandlungen nicht auf ihn zurückfallen.

Nutzt ihr Unternehmen kein MDM, gibt es zusätzliche Apps wie z. B. Securecontact, welche geschäftliche Kontakte vor dem Zugriff von WhatsApp schützen. Wichtig ist dabei jedoch, dass diese Apps wiederum keine Kontakte durch die Welt schicken.

Mitarbeiter müssen zu den genannten Maßnahmen im Rahmen des Direktionsrechts dokumentiert angewiesen werden.

Sofern auf die Datenschutzbedenken hingewiesen wurde und den Kunden gleichzeitig ein anderer sicherer Kommunikationsweg angeboten wird, hat die BayLDA angekündigt, nicht zu beanstanden, wenn Unternehmen mit Kunden über WhatsApp in Verbindung treten.

Sofern besondere personenbezogene Daten gemäß Art. 9 DSGVO verschickt werden sollen, sollte man von WhatsApp die Finger lassen. Die Daten werden intern auf eine Art und Weise verarbeitet, die mit dem geltenden Datenschutzrecht nicht in Einklang zu bringen ist.

Vorlage Auftragsverarbeitungsvertrag ADV