Nachricht

Benutzung von WhatsApp in Unternehmen: Merkblatt

Kundenkontakt über Messenger-Dienst verstößt gegen die DSGVO

Unternehmen, die den Messenger-Dienst "WhatsApp" für die betriebliche Kommunikation verwenden, verstoßen gegen die Datenschutz-Grundverordnung (DSGVO)! Das betont die Landesbeauftragte für Datenschutz (LfD) Niedersachsen. Auch die Version "WhatsApp Business" dürfe nicht verwendet werden: Sie biete gegenüber der herkömmlichen WhatsApp-Version zwar Zusatzfunktionen. Was Datenschutz angehe, gebe es aber keine relevanten Unterschiede.

Ein Beispiel, wie Betriebe WhatsApp nutzen, nennt die LfD auch: Einige Apotheken böten ihren Kunden an, rezeptpflichtige Medikamente per WhatsApp zu bestellen. Ein Foto des Rezepts reicht dann aus, um das Medikament zu ordern.

Das sind laut LfD Niedersachsen im Wesentlichen die vier datenschutzrechtlichen Problemstellungen:

  1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
  2. Die Übermittlung von personenbezogenen Daten in die USA.
  3. Die Nutzung von personenbezogenen Daten durch WhatsApp.
  4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns


Deswegen entspricht WhatsApp nicht der DSGVO

Ein großer datenschutzrechtlicher Casus knacksus bei WhatsApp: Die Applikation liest regelmäßig das Adressbuch der User aus und "es werden mindestens Namen und Mobilfunknummern an die Server von WhatsApp übermittelt". Es gibt keine Möglichkeit, die Übermittlung zu deaktivieren, zu konfigurieren oder auf einzelne Gruppen zu beschränken. Dabei wird auch bei neuen Kontakten geprüft, ob sie bereits WhatsApp-Kunden sind. Dementsprechend werden auch die Daten von Personen an WhatsApp übermittelt, die den Messenger nicht nutzen. "WhatsApp verlangt von seinen Nutzern, dass sie für die Rechtmäßigkeit der Übermittlung an WhatsApp garantieren. […] Ausweislich seiner Datenschutzrichtlinie behält sich WhatsApp eine umfassende Verwendung von ihnen vorliegenden Informationen vor, zum Beispiel für 'Messungen, Analysen und sonstige Unternehmens-Dienste'. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen." Diese regelmäßige Übermittlung der Kontaktdaten an WhatsApp ist laut LfD Niedersachsen unzulässig.


Verantwortlichkeit für Datenübermittlung liegt beim Unternehmen

Unternehmen, die WhatsApp für den Kundenkontakt nutzen, sind für die Übermittlung von Adressbuchdaten verantwortlich. Selbst wenn die Kunden eine Einwilligung geben (wie in §6 Absatz 1 der DSGVO gefordert), sieht die LfD das nach DSGVO "berechtigte Interesse" des Unternehmens an der Datenübermittlung nur für Kunden als gegeben, die bei WhatsApp bereits als User registriert sind. Alle Kunden, die nicht bei WhatsApp registriert sind, müssten also ihre Einwilligung dafür geben, dass ihre Daten dorthin fließen. "Die Einholung einer Einwilligung von den betroffenen Personen ist zwar denkbar, wird aber regelmäßig praktisch nicht durchführbar sein. Verweigert nur eine Person, deren Daten im Adressbuch gespeichert sind, die Einwilligung, ist eine Übermittlung des Adressbuchs zudem nicht mehr auf der Grundlage von Einwilligungen möglich, es sei denn, der nicht einwilligende Kontakt wird zuvor aus dem Adressbuch gelöscht."


Schon die Auswahl des Messengers verstößt gegen die DSGVO

Die Datenschutzbehörde sieht schon bei der Auswahl von WhatsApp als Kommunikationsmittel einen Verstoß gegen Art. 25 Abs. 1 DS-GVO. Der Verantwortliche, also der Betrieb, der den Messenger einsetzt, muss geeignete und angemessene technische und organisatorische Maßnahmen ergreifen, um die Datenschutzgrundsätze umzusetzen – schon bei der Auswahl der Verarbeitungsmittel muss er also darauf achten, dass die Datenschutz-Grundverordnung eingehalten wird. Laut LfD ist bereits die Auswahl von WhatsApp ein Verstoß gegen diese Pflicht, und zwar aus folgenden Gründen:

  • Die regelmäßige Übermittlung von Daten aus dem Kontaktbuch widerspricht dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 Buchstabe c DSGVO.
  • Mit WhatsApp wird ein Diensteanbieter ausgewählt, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen ist. "WhatsApp legt selbst in seiner Datenschutzrichtlinie dar, dass sie ihnen vorliegende Informationen zu kaum eingegrenzten Zwecken verwenden", so die LfD.


Datenschutzkonforme WhatsApp-Nutzung nur mit Einschränkungen

Zwei DSGVO-konforme Möglichkeiten gibt es dennoch, dass Betriebe WhatsApp nutzen können, um mit ihren Kunden zu kommunizieren:

  1. Sie verwenden ein Smartphone mit einem leeren Adressbuch.
  2. Sie verweigern WhatsApp den Zugriff auf die Kontakte, was bei Android-Betriebssystemen ab der Version 6.0 möglich ist. Dann ist die Nutzung von WhatsApp allerdings wie folgt nur eingeschränkt möglich: 
  • Verweigert der Nutzer WhatsApp nach der Installation und vor der ersten Anwendung den Zugriff auf die Kontakte, kann er selbst keine Kommunikation starten, sondern nur angeschrieben werden.
  • Der Nutzer kann auch keine Telefonnummer manuell eingeben, um eine Kommunikation zu starten.
  • Sobald der Nutzer den Zugriff auf die Kontaktdaten erlaubt, auch erst zu einem späteren Zeitpunkt, werden diese ausgelesen und er verstößt gegen die DSGVO.

Die LfD betont: "Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern ist also nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich."


Datenübertragung in die USA

Da WhatsApp am sogenannten "Privacy Shield"-Abkommen teilnimmt, ist die Übermittlung von personenbezogenen Daten in die USA grundsätzlich gerechtfertigt. Zertifizierte Unternehmen mit Sitz in den USA dürfen nach Art. 45 Abs. 3 DSGVO solche sensiblen Daten empfangen. "Die LfD Niedersachsen weist dennoch darauf hin, dass gegen die Rechtmäßigkeit des Privacy Shields erhebliche Bedenken bestehen. Es besteht daher das Risiko, dass das Privacy Shield-Abkommen gerichtlich angegriffen und durch den EuGH unmittelbar für unwirksam erklärt wird. Dies ist bereits beim Vorgänger, dem sogenannten Safe-Harbor-Abkommen, passiert."


WhatsApp erkennt Untersagungsverfügung nicht mehr an

Die LfD Niedersachsen berichtet außerdem, dass WhatsApp und Facebook das Inkrafttreten der DSGVO und die damit veränderte aufsichtsbehördliche Struktur zum Anlass genommen hätten, die Nutzungsbedingungen für WhatsApp zu ändern und die Übermittlung von Daten von WhatsApp an Facebook (erneut) aufzunehmen. Vorher konnte man diese Weitergabe von Daten von WhatsApp an Facebook durch eine sofort vollziehbare Anordnung des HambBfDI, die durch Entscheidungen deutscher Gerichte bestätigt wurde, zum Schutz nationaler Nutzer unterbinden. "WhatsApp und Facebook erkennen diese Untersagungsverfügung nicht mehr an, da seit der Geltung der DSGVO die irische Aufsichtsbehörde federführend für Anordnungen gegenüber diesen Unternehmen zuständig ist. Bislang ist die irische Aufsichtsbehörde trotz der Aufforderung durch den Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit (HambBfDI) nicht tätig geworden."

Das ausführliche "Merkblatt für die Nutzung von 'WhatsApp' in Unternehmen" finden Sie über den Link auch zum Herunterladen.

Durch die Nutzung unserer Website stimmen Sie zu, dass Cookies in Ihrem Browser platziert werden.  [mehr erfahren] OK, verstanden