Die Kommunikation über WhatsApp ist nicht nur bei Privatpersonen weit verbreitet. Auch für Unternehmen ist es ein beliebtes Mittel um intern mit Kollegen oder extern mit Kunden und Geschäftspartnern zu kommunizieren, Meetings zu vereinbaren oder Auftragsfortschritte per Bild mitzuteilen. So praktisch der Messenger-Dienst im Berufsalltag auch ist, so problematisch ist die Nutzung aus datenschutzrechtlicher Sicht.
Worin besteht das datenschutzrechtliche Problem?
WhatsApp ist ein Instant-Messaging-Dienst, der von der WhatsApp Inc. mit Sitz in Kalifornien (USA) betrieben wird. Durch die Installation von WhatsApp auf den Firmenhandys (einschließlich Bestätigung der AGB) wird WhatsApp dazu berechtigt, die im Telefonbuch hinterlegten Kontaktadressen auszulesen, indem WhatsApp ein Zugriffsrecht auf das komplette Adressbuch erhält. Sämtliche kopierten Datensätze (unabhängig davon, ob die jeweiligen Personen selbst WhatsApp nutzen oder nicht!) werden dann via Internetverbindung zu WhatsApp in Kalifornien weitergeleitet. Es bleibt aber nicht beim einmaligen Auslesen. Nach der Installation wird das Adressbuch in regelmäßigen Abständen erneut ausgelesen und mit den bereits erhobenen Datensätzen abgeglichen (Synchronisation), um ggf. neu hinzugekommene Kontaktdaten nachzutragen. Mit der Zustimmung zu den AGB erklärt der Nutzer gegenüber WhatsApp, dass er zur Datenweitergabe befugt sei.
Daraus ergeben sich (neben anderen) insbesondere zwei datenschutzrechtliche Probleme:
1. Die Übermittlung der Kontaktdaten aus dem Adressbuch an WhatsApp
2. Die Übermittlung personenbezogener Daten in die USA
Übermittlung der Kontaktdaten an WhatsApp
Eine solche Datenweitergabe ist datenschutzrechtlich nur zulässig, wenn eine Einwilligung der Betroffenen oder ein anderer Erlaubnistatbestand der DSGVO gegeben ist.
Einholung einer Einwilligung kaum praktikabel
Allein die Mitteilung der Telefonnummer stellt regelmäßig keine Einwilligung (Art. 6 Abs. 1 lit a DSGVO) in eine Übermittlung der Kontaktdaten an einen Dritten dar. Von einer konkludenten Einwilligung könnte bestenfalls bei denjenigen Personen ausgegangen werden, die selbst WhatsApp nutzen. Jedenfalls kann auf diesem Wege keine Einwilligung von Personen erteilt werden, die WhatsApp selbst nicht verwenden. Auch das AG Hersfeld (allerdings im Rahmen einer familienrechtlichen Entscheidung) lehnt die Konstruktion einer solchen Einwilligung ab.
Nicht erforderlich zur Erfüllung eines Vertrags
Das Auslesen und Synchronisieren des vollständigen Adressbuchs ist auch nicht erforderlich, um die Versendung von Text- und Bildnachrichten gemäß dem Vertrag mit WhatsApp zu erfüllen (Art. 6 Abs. 1 lit. b DSGVO). Das zeigt sich schon daran, dass es alternative Anbieter gibt, die auf ein solches Zugriffsrecht verzichten.
Kein berechtigtes Interesse
Schließlich lässt sich kaum begründen, warum das Auslesen des vollständigen Adressbuchs ein berechtigtes Interesse von WhatsApp sein soll (Art. 6 Abs. 1 lit. f DSGVO). Denn das Auslesen sämtlicher Kontaktdaten, unabhängig davon, ob der Nutzer beabsichtigt eine Nachricht an diese Person zu senden, ist wohl kaum erforderlich. Hier kann man allenfalls argumentieren, dass ein Teil der Dienstleistung darin besteht, eine direkte Verbindungsmöglichkeit zu Personen zu schaffen, die ebenfalls WhatsApp nutzen. Selbst in diesem Fall scheidet ein berechtigtes Interesse aber jedenfalls in Bezug auf die Personen aus, die selbst kein WhatsApp verwenden.
Verstoß gegen Grundsatz der Datenminimierung
Die Nutzung von WhatsApp ist schließlich auch noch aus anderen Gründen datenschutzrechtlich kritisch. Nach Art. 25 Abs. 1 DSGVO ist der Verantwortliche (hier das WhatsApp nutzende Unternehmen) zur Datenminimierung verpflichtet. Das wiederholte Auslesen und Synchronisieren des kompletten Adressbuchs und damit die verbundene fortlaufende Datenweitergabe an WhatsApp lässt sich aber kaum mit dem Grundsatz der Datenminimierung vereinbaren. Dabei handelt es sich auch nicht nur um einen unverbindlichen Grundsatz. Vielmehr ist der Verstoß gegen die Grundsätze nach Art. 5 DSGVO bußgeldbewehrt (Art. 83 Abs. 5 lit. a DSGVO).
Datenübermittlung in die USA
Schließlich ist die Weiterleitung der Daten in die USA und damit in das Nicht-EU-Ausland problematisch. Zwar nimmt WhatsApp wohl am Privacy-Shield teil, ein Abkommen zwischen den USA und der EU, das bis vor kurzem eine gültige Rechtsgrundlage nach Art. 45 Abs. 3 DSGVO darstellte. In einer aktuellen Entscheidung hat der EuGH aber das Privacy-Shield-Abkommen für unwirksam erklärt (vgl. hierzu den Beitrag von Jens Nebel). Eine auf diesem Abkommen erfolgte Datenübermittlung scheidet daher nunmehr aus.
Fazit
Es sprechen erhebliche Argumente dafür, dass die Nutzung von WhatsApp auf Firmenhandys gegen die DSGVO verstößt, sofern keine wirksame Einwilligung sämtlicher betroffenen Personen vorliegt – was kaum praktikabel sein dürfte. Eine einheitliche Meinung der Datenschutzbehörden und der Rechtsprechung gibt es zu dieser Frage zwar bisher nicht. Für eine datenschutzrechtliche Unzulässigkeit hat sich aber jedenfalls die Landesbeauftragte für den Datenschutz in Niedersachsen ausgesprochen. Ähnlich kritisch äußerte sich der Landesbeauftragte für den Datenschutz in Rheinland-Pfalz.
Unabhängig vom Datenschutz stellt sich die Frage, ob Geschäftsgeheimnisse ausreichend geschützt sind, wenn WhatsApp für die interne Kommunikation genutzt wird.
Praktische Möglichkeiten
Will man die vorstehenden datenschutzrechtlichen Risiken vermeiden, empfiehlt es sich, die Nutzung von WhatsApp auf Firmenhandys (die ausschließlich unternehmerisch genutzt werden) den Mitarbeitern ausdrücklich zu untersagen und diese Anweisung stichprobenartig zu überprüfen. Die Gestattung einer privaten Nutzung von Firmenhandys, unternehmerischen E-Mail-Accounts etc. ist (unabhängig von der DSGVO) insbesondere wegen des bestehenden Fernmeldegeheimnisses problematisch. Aber das ist ein anderes Thema.
Mögliche Alternativen für die Praxis sind:
- Nutzung alternativer Messenger-Dienste ohne entsprechende Zugriffsfunktion,
- Keine Abspeicherung von Kontaktdaten in das Adressbuch der Firmenhandys (wohl wenig praktikabel),
- Rechtezugriff von WhatsApp auf das Adressbuch technisch beschränken (eine entsprechende Einstellung ist im Betriebssystem ab einer bestimmten Version wohl möglich, wirkt sich aber ggf. auf Funktionen von WhatsApp aus und kann eine Vertragsverletzung gegenüber WhatsApp darstellen),
- Kontaktdaten in einem separaten Bereich speichern (sog. Exchange Container).