WhatsApp auf dem Firmenhandy: Das kann richtig unangenehm werden!

WhatsApp auf dem Firmenhandy: Das kann richtig unangenehm werden!

Achtung vor Whatsapp auf dem Diensthandy!

Können Sie sich noch daran erinnern, als man vor noch nicht allzu langer Zeit für die Versendung einer SMS oder MMS zum Teil mehrere Euro zahlen musste? Seitdem ist einiges passiert. Vor allem WhatsApp hat unser Leben in diesem Bereich vollkommen auf den Kopf gestellt und revolutioniert. Videos, Sprachnachrichten und Gruppenchats können ohne Kosten verwendet bzw. genutzt werden. Für viele Menschen ist ein Leben ohne dieses Tool gar nicht mehr vorstellbar. Auch im beruflichen Kontext erfreut sich WhatsApp einer breiten Beliebtheit, als Teil der internen wie auch externen Kommunikation.

Aber ist wirklich alles so toll, wie es sich darstellt? Oder zahlen wir nicht doch einen hohen Preis dafür, dass wir diesen amerikanischen Messenger Dienst nutzen?

Grundsätzliches zur Datenverarbeitung von personenbezogenen Daten

Viele WhatsApp-Nutzer wissen mittlerweile, dass hinter diesem Messenger Anbieter Facebook steht. Doch dass möglicherweise die gespeicherten Kontaktdaten auf dem Handy mit der WhatsApp Nutzung an Facebook transferiert werden können, obwohl das offiziell nach den gesetzlichen Vorgaben der DSGVO nicht erlaubt ist, wissen leider nur die Wenigsten. Problematisch ist in diesem Zusammenhang das mögliche Abgreifen aller gespeicherten Kontaktdaten auf dem Handy, inklusive der im beruflichen Umfeld verwendeten personenbezogenen Daten von Mitarbeitern, Lieferanten und Gästen, die auf dem Firmen- bzw. Diensthandy gespeichert sind.

Denn hier geht es in erster Linie um die gesetzlichen Vorgaben zur Datenverarbeitung von personenbezogenen Daten. Diese sind mit der Einführung der DSGVO im Jahr 2018 klar vorgegeben worden und haben dadurch eine deutliche Verschärfung der Bestimmungen erfahren.

Wenn Sie als Hotelier oder Gastronom Zugriff auf die Kontaktdaten Ihrer Gäste und/oder Lieferanten haben, sind die datenschutzrechtlichen Vorschriften eindeutig geregelt und ein gesonderter Auftragsdatenverarbeitungsvertrag notwendig: Nur so ist rechtlich gewährleistet, dass eine Weitergabe bzw. Verarbeitung der Kontaktinformationen den datenschutzrechtlichen Anforderungen genüge tut.

Die Auftragsdatenverarbeitung ist gerade dann elementar, wenn Sie die personenbezogenen Daten Ihrer geschäftlichen Partner und Gäste weitergeben und ein Zugriff durch externe Dienstleister bzw. andere Dritte möglich werden.

Welche personenbezogenen Daten greift WhatsApp ab?

Erhebung personenbezogener Daten Whatsapp
Erhebung personenbezogener Daten von Whatsapp
(freestocks.org)

Die Regeln zur Auftragsverarbeitung gelten nicht nur für die bekannten Beispiele im Outsourcing an externe Dienstleister, wie z.B. für Gehalts- und Arbeitszeitabrechnungen, die Wartung und Instandhaltung von IT-Anlagen oder bei der Übertragung von Gästedaten an eine Marketing-Agentur zur Versendung eines Mailings oder Newsletters: Die gesetzlichen Vorschriften greifen auch dort, wo eine Datenweiterverarbeitung nicht auf den ersten Blick erkennbar ist, wie bei dem Messenger Dienst WhatsApp.

WhatsApp erstellt als Anwendung eine allumfassende Kontaktliste, indem die auf dem Smartphone gespeicherten Kontakte mit den Nummern abgeglichen werden, die auf den Servern von WhatsApp abgelegt sind. Dabei werden ohne Ausnahmen alle Nummern aus dem Adressbuch des Handys ausgelesen: Die App erhält somit Zugriff auf alle Kontaktdaten, die auf dem Smartphone gespeichert sind – und damit auch auf diejenigen Nummern von Personen, die die App nicht nutzen und nur als reine Kontakte geführt werden.

Aus datenschutzrechtlicher Sicht liegt dadurch bereits ein Zugriff auf personenbezogene Daten vor.  Sie als Unternehmer sind damit aufgefordert, einen entsprechenden Vertrag abzuschließen. Und zwar vor der Auftragsverarbeitung. Nur wenn diese Voraussetzungen erfüllt sind, ist die berufliche Nutzung von WhatsApp auf dem Diensthandy als DSGVO-konform einzustufen!

Welche personenbezogenen Daten werden von WhatsApp an Dritte weitergegeben?

WhatsApp greift nicht nur selbst auf Kontaktdaten zu, sondern gibt diese auch an Dritte weiter. Hierzu heißt es in den Datenschutzbestimmungen des Unternehmens:

„WhatsApp Inc. teilt Informationen weltweit, sowohl intern mit dem Facebook-Unternehmen als auch extern mit Unternehmen, Dienstleistern und Partnern und außerdem mit jenen, mit denen du weltweit kommunizierst. Deine Informationen können für die in dieser Datenschutzrichtlinie beschriebenen Zwecke beispielsweise in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet werden.“

Die Weitergabe der abgeführten personenbezogenen Daten beschränkt der Messenger Dienst hierbei nicht nur auf die Weitergabe an den Mutterkonzern Facebook Inc., sondern lässt zudem für die User vollkommen offen, ob und in welchem Maße die Daten darüber hinaus noch an weitere Unternehmen weitergeben werden.

Auf europäischer Ebene ist aber eine derartige Weitergabe von Daten unzulässig, es sei denn, es liegt eine Einwilligung vor und ein entsprechender Vertrag zur Auftragsdatenverarbeitung wurde geschlossen. Dies werden aber bisher die wenigsten Unternehmer gemacht haben.

Darf WhatsApp in Unternehmen überhaupt genutzt werden?

Wird WhatsApp im unternehmreichen Alltag verwendet, z.B. zur Kommunikation mit Gästen oder Geschäftspartnern, ist ohne Zustimmung der jeweiligen Kontakte und einem Vertrag zwischen WhatsApp und dem eigenen Unternehmen der Einsatz des Messenger-Dienstes rechtlich nicht zulässig und verstößt eindeutig gegen die Bestimmungen der europäischen Datenschutzgrundverordnung.

Wer auf Messenger-Dienste wie WhatsApp & Co. im Unternehmen nicht verzichten möchte oder kann, muss sicherstellen, dass die grundsätzliche Nutzung datenschutzkonform abgesichert ist.

Nur so sind Sie auch langfristig gegen mögliche sehr hohe Bußgelder geschützt und agieren im Rahmen der normierten DSGVO Standards.

Ist der private Einsatz von WhatsApp erlaubt?

Grundsätzlich gilt, wer als Privatperson WhatsApp auf dem privaten Handy nutzt, ist auch weiterhin von den datenschutzrechtlichen Vorschriften der DSGVO befreit!

ABER: Wer sein privates Handy nicht nur für persönliche und familiäre Zwecke nutzt, sondern hierüber auch geschäftliche Tätigkeiten ausübt (Stichwort Homeoffice etc.), für den sind die Vorschriften der DSGVO ebenso uneingeschränkt bindend!

Dies gilt übrigens auch für Smartphones, die die Möglichkeit bieten, zwei oder sogar mehrere SIM-Karten parallel zu benutzen: Da WhatsApp die gesamte Kontaktliste mit den eigenen Servern abgleichen kann, werden hierbei automatisch auch die auf dem Telefon gespeicherten privaten Kontakte erfasst und gespeichert.

Messenger Dienste nutzen?
Messenger Dienste nutzen - ja/nein?
(pexels)

Messenger Dienste trotz Datenschutz nutzen: Welche Lösungen gibt es?

Aus den beschriebenen datenschutzrechtlichen Gründen dürfen Unternehmen WhatsApp nicht verwenden. Wenn Mitarbeiter zur firmeninternen Kommunikation oder zur Kommunikation mit Gästen WhatsApp benutzen, kann das rechtlich gesehen sehr heikel werden.

Kommt ein iPhone zum Einsatz, kann WhatsApp zumindest unter dem Menüpunkt „Einstellungen, Datenschutz“ den Zugriff auf das Adressbuch verweigert werden. Android-Nutzer haben es hier nicht so einfach. Sie müssen eine zusätzliche App herunterladen, damit WhatsApp nicht mehr auf die jeweiligen Kontaktdaten zugreifen kann.

Eine andere Möglichkeit bieten sogenannte Exchange-Container an. Diese Programme sorgen dafür, dass WhatsApp nicht auf andere Daten im Smartphone zugreifen kann. Nachteil: Die Kontakte müssen dann einzeln im Messenger eingespeichert werden. Dies ist aber eher unpraktikabel und zu zeitintensiv.

Bei den hier genannten möglichen Maßnahmen sind Sie trotzdem nicht von dem Abschluss eines Datenschutzverarbeitungsvertrages wie auch der Zustimmungspflicht Ihrer Kontakte entbunden!

Wer Messenger-Dienste datenschutzkonform für das eigene Unternehmen einsetzen möchte, der sollte diese unter Datenschutzaspekten genau analysieren. Als kostenpflichtige Alternative ist hier der Instant-Messenger „Threema“ zu nennen, der die Anforderungen der DSGVO erfüllt und zudem ohne den Zugriff auf die Kontaktdaten auskommt. Ebenso erfüllen die Messenger Anbieter „Signal“ oder „Telegram“ als kostenfreies Pendant die datenschutzrechtlichen Vorgaben.

Bei allen Alternativen ist ebenso die Ende-zu-Ende Verschlüsselung selbstverständlich und wie auch die Tatsache, dass sich die Server in Europa oder in der Schweiz befinden.

Fazit

Auch wenn bei WhatsApp & Co zum Thema Datenschutz vieles im Argen liegt, punktet die Anwendung doch durch die sehr einfache Bedienbarkeit und vor allem das sie kostenlos ist. „Bezahlen“ tun die Nutzer für die Verwendung der App bisweilen ungewollt mit ihren Daten. Dabei werden gerade in Europa die Unternehmen durch die fragwürdigen Praktiken des Messenger Dienstes zuweilen vor ein unüberwindbares Datenschutz-Problem gestellt. Selbst wenn Arbeitnehmer und –geber ihre Datenschutzeinstellungen bei WhatsApp anpassen, werden sie der Datenschutzverordnung nicht gerecht, weil sie nie die volle Kontrolle über die Weitergabe von Informationen haben werden.

Aber Nutzer dieses Dienstes leben jedoch auch davon, dass das gesamte eigene soziale, gesellschaftliche wie auch berufliche Umfeld mit diesem Messenger verbunden ist. Folglich nützt die beste Messenger-Alternative nichts, wenn sich dort die eigene Zielgruppe nicht aufhält.

Im Grunde müsste und sollte jeder Nutzer im beruflichen Kontext auf andere, alternative Messenger ausweichen. Die Betonung liegt auf "müsste und sollte“. Solange andere Anbieter nicht mit völlig neuen, kostenlosen Funktionen und Attraktionen punkten können, die Nutzer global in ihren Bann ziehen, wird WhatsApp trotzdem weiterhin eine große Anzahl an weltweiten Anwendern finden und behalten, auch wenn es für Unternehmen durch mögliche DSGVO-Abmahnung richtig teuer werden kann.

Letztlich muss jeder Hotelier und Gastronom für sich entscheiden und verantworten können, wie er mit der Thematik „WhatsApp & Datenschutz“ und den damit möglichen, drastischen Folgen umgeht. Die Fakten sind eindeutig, die Alternativen gegeben, der Mensch jedoch immer noch ein Gewohnheitstier ;-)

Herzlichst
Ihr Jan Schmidt-Gehring

Beitrag druckenBeitrag druckenBeitrag als PDF herunterladenBeitrag als PDF herunterladen
Dankeschön!

PS: Falls Ihnen der Beitrag nicht gefallen hat, interessiert uns der Grund natürlich besonders - denn wir möchten, dass Sie einen Nutzen aus diesem Blog ziehen. Und vielleicht können wir ja noch etwas aus Ihrem Feedback lernen?

Sie finden diesen Beitrag interessant? Dann sagen Sie es doch weiter!