Datenschutz verstehen – WhatsApp Datenschutz in Unternehmen
Gerade im Zuge der Digitalisierung steht eine agile Kommunikation im Fokus vieler Unternehmen. Gerade im Bereich der Kommunikation mit Kunden oder Außendienstmitarbeitern kommt es darauf an, dass möglichst einfach und präzise kommuniziert werden kann. Wir kennen es alle aus unserem privaten Umfeld: WhatsApp. Wir Menschen können seit 2009 Textnachrichten, Bild-, Video- und Ton-Dateien sowie (Live)-Standortinformationen, Dokumente und Kontaktdaten zwischen zwei Personen oder in Gruppen über WhatsApp austauschen. Seit 2014 gehört WhatsApp nun zur Facebook Inc., womit die Facebook-typischen Datenverarbeitungen innerhalb von WhatsApp zugenommen haben. Seit dem 25 August 2016 gibt WhatsApp gemäß Datenschutzerklärung Nutzerdaten weiter an die Muttergesellschaft Facebook. Doch können Unternehmen trotz aller Bedenken durch immer wieder auftretende Sicherheitslücken den Messenger WhatsApp geschäftlich auf dem Firmenhandy nutzen?
Was ist WhatsApp (Business)?
WhatsApp ist der weltweit meistgenutzte Instant-Messaging-Dienst mit weltweit 2 Milliarden Nutzern vor dem Facebook Messenger mit 1.3 Milliarden und WeChat mit 1.2 Milliarden. Mit der Hilfe von WhatsApp ist möglich schnell und einfach zu kommunizieren mit dem Smartphone, sodass die SMS-Nachrichten nur noch sehr selten verwendet werden. Neben der Hauptfunktion des Versendens von Textnachrichten ist WhatsApp in der Lage Telefonate (WhatsApp-Calls) oder Videokonferenzen zu erstellen. WhatsApp benutzt hierbei die Internetverbindung des Firmenhandys und benötigt kein Mobilfunknetz zur Übertragung von Daten.
Funktionen von WhatsApp
Die Funktionen vom “normalen” WhatsApp für den privaten Gebrauch sind Folgende:
- Nicht nur Textnachrichten, sondern auch aufgezeichnete Sprachnachrichten können mit WhatsApp versendet werden.
- Nutzer von WhatsApp können Bilder oder Videoaufnahmen mit anderen Benutzern teilen, sogar direkt in WhatsApp können Fotos oder Videos aufgenommen werden und direkt im Chat verschickt werden.
- Mit der Funktion WhatsApp-Calls kann ein Nutzer über die Internetverbindung telefonieren, ohne zusätzliche Kosten zu verursachen.
- Mit WhatsApp Web ist es möglich, dass WhatsApp mit einem Desktop bedient werden kann.
WhatsApp Business
WhatsApp Business ist eine kostenfreie Applikation, welche speziell für kleine Unternehmen entwickelt wurde. Durch WhatsApp Business können Unternehmen die Kommunikation mit Kunden durch verschiedene Tools zur Automatisierung digitalisiert optimieren. WhatsApp Business erlaubt die gewerbliche Nutzung der App durch eine gesonderte allgemeine Geschäftsbedingung, allerdings werden hier datenschutzrechtlich noch viele offene Lücken nicht geschlossen. Die wesentlichen Vorteile der WhatsApp Business Version sind die Darstellung des Unternehmens als offizieller Account und die automatisierten Funktionen wie das Schnellantworten. WhatsApp Business kann mit Festnetz betrieben werden, sodass nur die WhatsApp Web-Oberfläche genutzt wird.
WhatsApp Business Solution
Für Unternehmen, welche einen großen Serviceaufwand bewerkstelligen müssen, bietet sich die WhatsApp Business Solution an, da hier WhatsApp noch skalierbarer gestaltet wird. Mithilfe einer API-Schnittstelle können andere Software-Lösungen an das WhatsApp angebunden werden, gerade im Bewerbungsverfahren nutzen viele Unternehmen diese Möglichkeit. Ebenfalls sind hier weitere Funktionen wie der Versand einer automatisierten Benachrichtigung möglich, welche sogar mit GEO-Tracking gesteuert werden können.
WhatsApp und Datenschutz
Unternehmen welche WhatsApp in der Europäischen Region nutzen, beziehen diese Dienste von WhatsApp Ireland Limited („WhatsApp Ireland“). Dieses Unternehmen ist auch der Verantwortliche bezüglich der Datenschutz-Informationen, wenn man WhatsApp-Dienste nutzt. In der Europäischen Union gilt seit dem Mai 2018 die Datenschutz-Grundverordnung (DSGVO), welche aktuell nur 25% der deutschen Unternehmen konform umgesetzt haben. Das Spannungsfeld zwischen WhatsApp und dem Datenschutz könnte kaum größer sein: Dürfen Unternehmen den Messenger-Dienst WhatsApp unter Berücksichtigung der DSGVO verwenden? Zunächst ist es wichtig zu verstehen, welche Daten WhatsApp sammelt und auf welche Daten WhatsApp Zugriff erlangt.
Auf welche personenbezogenen Daten greift WhatsApp zu?
- Account-Information: Durch die erste Anmeldung erhält WhatsApp grundlegende Informationen zur Person, wie den Vor- und Nachnamen und die Mobilfunknummer.
- Nachrichten-Informationen: Grundsätzlich wird auf WhatsApp eine Ende-zu-Ende-Verschlüsselung eingesetzt, sodass keine Dritten Zugriff auf die Kommunikation erhalten. Wenn Benutzer allerdings WhatsApp mit Diensten Dritter oder mit Produkten der Facebook-Unternehmen verbinden durch die Nutzung, erhält WhatsApp von diesen Unternehmen möglicherweise Informationen über den Benutzer, welche zusammengetragen werden, um ein Profil zu erstellen.
- Nutzungsdaten: Nutzungsdaten umfasst vorallem Informationen darüber, wann Nutzer von WhatsApp sich für die Nutzung WhatsApp registriert haben, Informationen über die von Nutzern getätigten Funktionen wie beispielsweise die Nachrichten-, Anrufe-, Status- oder Gruppen-Funktionen, über das Profilbild, über die Information, dazu der Nutzer gerade online ist und wann der Nutzer zuletzt Whatsapp genutzt hat.
- Standortdaten: WhatsApp erfasst Standort-Informationen des Geräts, wenn der Nutzer die Standort-Funktionen verwendet, also z.B. wenn ein Außendienst-Mitarbeiter den Standort mit seinen Mitarbeitern teilt. Eine potenzielle arbeitgeberseitige Leistungsüberwachung kann hier nicht erfolgen, da ein Arbeitgeber keinen Zugriff auf diese Standortdaten erhält.
- Synchronisation Kontaktdaten bei WhatsApp: WhatsApp macht es Nutzern einfach, die lokalen Kontakte des Geräts zu verwenden, indem eine Verbindung zu dem Kontaktbuch erstellt wird. Das ist für Unternehmen die bislang größte Herausforderung im Datenschutz und der Grund für den Einsatz von Mobile-Device-Management-Lösungen.
Datenschutzprobleme – Hier verstößt WhatsApp gegen den Datenschutz
Sobald auf einem Firmenhandy WhatsApp installiert ist, greift die App auf das interne Adressbuch oder Kontaktbuch zu und erstellt eine synchronisierte Kontaktliste innerhalb von WhatsApp. Die Daten aus dem internen Adressbuch werden an die US-amerikanischen WhatsApp-Server übertragen. Dabei werden auch die Kontaktdaten von Personen übertragen, welche kein WhatsApp nutzen.
Die DSGVO ist grundsätzlich ein Verbot mit Erlaubnisvorbehalt. Das bedeutet, jedes Unternehmen benötigt zwingend eine Rechtsgrundlage für eine solche Übermittlung. Sobald eine solche unerlaubte Weitergabe von personenbezogenen Daten (Kontaktdaten) ohne Rechtsgrundlage, z.B. die Einwilligung, seitens des Unternehmens an WhatsApp übertragen werden, ist dies ein Verstoß gegen die Grundsätze der DSGVO. Wenn ein Unternehmen gegen die Grundsätze der DSGVO verstößt dann werden gemäß Artikel 83 (5) a) DSGVO Geldbußen von bis zu 20.000.000 € oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist. Die Problematik hierbei ist, dass jeder Verstoß gegen die DSGVO zu empfindlichen Strafen führen kann. Deshalb ist es wichtig hier so vorsichtig wie möglich zu sein.
Ist der Einsatz von WhatsApp in Unternehmen DSGVO-konform?
Zusammenfassend kann man festhalten, dass WhatsApp die folgenden datenschutzrechtlichen Probleme mit sich bringt und somit nicht DSGVO-konform ist:
- Die Übermittlung der Firmenkontakte aus dem Adressbuch des Mitarbeiters an WhatsApp.
- Die grundsätzliche Übermittlung von personenbezogenen Daten in die USA ohne entsprechende Zusatzvereinbarung.
- Die Weiterleitung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns und Dritten
So können Unternehmen WhatsApp DSGVO-konform nutzen
Ohne eine entsprechende Trennung von privaten und geschäftlichen Kontakten auf dem Firmenhandy werden also die Kontaktdaten Ihrer Kunden, Lieferanten und Partner ohne Erlaubnis an WhatsApp übertragen. Hierfür gibt es sehr pragmatische Lösungen, wie zum Beispiel ein Mobile-Device-Management (Container-Lösung).
Ebenfalls gibt es eine Möglichkeit in den lokalen Einstellungen des Firmenhandys die Synchronisation zu dem Adressbuch bei WhatsApp zu unterbinden. Standardmäßig ist diese Synchronisation allerdings aktiviert, sodass die personenbezogenen Daten Ihrer Firmenkontakte sowieso schon übertragen worden sind. Den WhatsApp Zugriff auf Kontakte erlauben ist somit unbedingt vermeiden. Eine Schadensbegrenzung ist hier nur schwer möglich, da die Datenübertragung nicht rückgängig gemacht werden kann, allerdings kann man hiermit für die Zukunft eine Übertragung unterbinden.
Weitere Messenger für Unternehmen
Als WhatsApp Alternative im Datenschutz können professionelle Kollaborations-Tools herangezogen werden wie zum Beispiel die Microsoft Teams App oder Slack. Bei beiden Lösungen kann man ein Berechtigungskonzept einrichten und Zugriffe auf Daten gezielt steuern. Wir empfehlen hierbei jedoch auch den Einsatz einer Mobile-Device-Management-Lösung.
Sofern Sie Unterstützung bei der Einführung des digitalen Arbeitsplatzes benötigen, können wir Sie gerne datenschutzrechtlich begleiten. Aus unseren zahlreichen Erfahrungen in diesem Thema sind wir spezialisiert auf pragmatische Lösungen für Unternehmen, welche einen Messenger oder eine Kollaborations-Software suchen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.