Der Messenger-Dienst WhatsApp erfreut sich auch weiterhin einer großen Beliebtheit, nicht nur im privaten Umfeld. Auch von Unternehmen ist dieser Dienst des kalifornischen Herstellers WhatsApp Inc. längst als alltägliches Werkzeug von Mitarbeitern untereinander und auch zur Kommunikation von Unternehmen zu Kunden etabliert.
Doch wo liegt genau das Problem an diesem Service? Worauf ist zu achten? Zwar ist eine Ende-zu-Ende Verschlüsselung in der Kommunikation zwischen Teilnehmern vorhanden. Diese schützt jedoch nur die Nachricht und die übertragenen Inhalte.
Die Landesbeauftragte für Datenschutz des Bundeslandes Niedersachsen hat auf ihrer Internetseite erläutert, warum ein Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt.
Die Gründe hierfür liegen in der Übermittlung der Mobilfunknummern aus den Telefonbuchkontakten eines jeden Nutzers an WhatsApp in den USA und somit außerhalb der EU. Der Messenger ist nur mit allen Funktionen nutzbar, wenn alle Kontakte des Adressbuchs im Telefon freigegeben und an den Anbieter übermittelt werden. Eine einzelne Auswahl und Freigabe von Kontakten zur Kommunikation in WhatsApp kann nicht erfolgen. Gibt der Benutzer sein Adressbuch nicht frei, kann er selbst keine Benutzer kontaktieren, sondern nur angeschrieben werden. Nach Freigabe des Adressbuches werden die Mobilfunknummern ins Drittland ohne Einwilligung des Rufnummerninhabers weitergegeben. Da die Übermittlung auch auf keine andere Rechtsgrundlage des Art. 6 DS-GVO gestützt werden kann, stellt diese einen bußgeldbewehrten Datenschutzverstoß dar.
Zudem räumt sich WhatsApp das Recht ein, weitere personenbezogene Daten zu erheben und diese für andere Zwecke zu nutzen und an Dritte zu übermitteln. In der Datenschutzerklärung heißt es unter dem Abschnitt „Geräte- und Verbindungsdaten“:
Wenn du unsere Dienste installierst, nutzt oder auf sie zugreifst, erfassen wir geräte- und verbindungsspezifische Informationen. Dazu gehören auch Informationen zu deinem Hardware-Modell und Betriebssystem, Batteriestand, Signalstärke, App-Version, Informationen zum Browser und Mobilfunknetz sowie zu der Verbindung, einschließlich Telefonnummer, Mobilfunk- oder Internetanbieter, Sprache und Zeitzone sowie IP-Adresse, Informationen zum Gerätebetrieb und Kennungen wie Gerätekennungen (einschließlich individueller IDs für Produkte der Facebook-Unternehmen, die mit demselben Gerät oder Account verknüpft sind).“
Quelle: https://www.whatsapp.com/legal/?eea=1#privacy-policy-information-we-collect
Das bedeutet, dass trotz der eingesetzten Ende-zu-Ende Verschlüsselung von Nachrichten und dem daraus resultierenden Umstand, dass der eigentliche Inhalt der Nachrichten dem Betreiber unbekannt ist, anhand dieser vom Benutzer gesammelten Informationen, ein Bewegungsprofil erstellt werden und Surfverhalten ausgewertet werden kann.
Bei der Übermittlung der personenbezogenen Daten wird oft das Argument verwendet, dass WhatsApp am EU Privacy Shield teilnimmt und damit nachgewiesen hat, dass es ein ausreichendes Datenschutzniveau implementiert hat. Dies ist zwar grundsätzlich zutreffend, jedoch wird in der Zertifizierung nicht überprüft ob die durchgeführten Verarbeitungen auch tatsächlich konform zur DS-GVO sind.
Die Verwendung von WhatsApp stellt nach Auffassung der Aufsichtsbehörde einen Verstoß gegen Art. 25 Absatz 1 DS-GVO dar. Nach dieser Regelung muss das Unternehmen, welches WhatsApp nutzt, sowohl zum Zeitpunkt der Entscheidung WhatsApp zu nutzen, sowie zum Zeitpunkt der Verwendung (Verarbeitung) geeignete und angemessene technische und organisatorische Maßnahmen ergreifen, um die Datenschutzgrundsätze umzusetzen. Das bedeutet, dass schon bei der Auswahl des Messengers sichergestellt werden muss, dass die Datenschutz-Grundverordnung eingehalten werden kann. Die Auswahl von WhatsApp stellt einen Verstoß gegen diese Pflicht dar, da die regelmäßige Übermittlung von Daten aus dem Adressbuch zu dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 lit. c DS-GVO im Widerspruch steht.
Es gibt gute Alternativen wie Threema, Telegram, oder Signal. Hier sind keine unzulässigen Übermittlungen von personenbezogenen Daten bekannt oder in Planung. Gerne beraten wir Sie hinsichtlich der datenschutzkonformen Kommunikation in Ihrem Unternehmen.