Update am 14.02.2022: Beachten Sie auch unsere neueren Artikel zur WhatsApp-Nutzung im Unternehmen und zu Bußgeldern wegen WhatsApp-Nutzung.
Insbesondere seit 2012 steht WhatsApp in der Kritik, als herauskam, dass Nachrichten von Nutzern unverschlüsselt übertragen werden. Die zuständige Aufsichtsbehörde in Irland wurde seitdem vielfach kritisiert, da sie weitgehend untätig gegenüber Facebook, Apple und Co geblieben sei.
Aktuell: Vorläufige Entscheidung gegen WhatsApp
Nun gibt es endlich – wenn auch zunächst vorläufige – eine Entscheidung, die am 22.05.2020 von der Irischen Aufsichtsbehörde gegen den Messengerdienst WhatsApp vorgelegt wurde. Update vom 21.09.2021: Die irische Aufsichtsbehörde hat ein Bußgeld in dreistelliger Millionenhöhe gegen WhatsApp verhängt, mehr siehe unter https://sidit.de/blog/datenverarbeitung-durch-whatsapp-bussgeld-in-dreistelliger-millionenhoehe/
In der Entscheidung geht es um mögliche Verstöße gegen Transparenzvorgaben aus Art. 12 bis 14 DSGVO, insbesondere um die Weitergabe von Benutzerdaten an die Muttergesellschaft Facebook Inc. im Zusammenhang mit der Nutzung von WhatsApp. Dieses Vorgehen ist nichts Neues und war bereits Gegenstand einer Untersagungsverfügung des Hamburgischen Datenschutzbeauftragten, bestätigt durch das OVG im Jahr 2018.
Hintergrund: Warum ist WhatsApp nicht datenschutzkonform?
Die App greift auf Kontaktdaten zu, die auf dem Smartphone gespeichert sind. Die personenbezogenen Daten laufen also in Windeseile hinüber nach Kalifornien, wo die WhatsApp Inc. sitzt. Dabei werden alle Kontaktdaten an den Nachrichtendienst weitergeleitet und nicht etwa nur die, die selbst auch WhatsApp nutzen. Den etwaigen Transfer dieser Daten von WhatsApp an die Muttergesellschaft Facebook Inc. wollen wir gar nicht erst weiter beleuchten. Für eine solche Weitergabe bräuchte man eine Einwilligung ALLER Kontakte. Da eine solche aller Wahrscheinlichkeit nach in den meisten Fällen nicht vorliegt und auch sonst kein Grund gegeben ist, der die Weitergabe rechtfertigt, steht man mit beiden Füßen in der DSGVO-Falle und steuert einem möglichen Bußgeld entgegen. Die Verantwortlichkeit für die Übermittlung von Adressbuchdaten an WhatsApp liegt nämlich bei dem Unternehmer, wenn WhatsApp zur betrieblichen Kommunikation genutzt werden soll. Zuletzt warnte sogar der Bundesdatenschutzbeauftragte Ulrich Kelber vor der Nutzung von WhatsApp im beruflichen Umfeld.
Ernüchterung
Wer nun hofft, dass durch die Vorlage einer vorläufigen Entscheidung WhatsApp kurz davor ist, ein Bußgeld von der Aufsichtsbehörde zu erhalten, wird enttäuscht. Die Facebook-Tochter wird nun noch die Gelegenheit bekommen, zu den erhobenen Vorwürfen Stellung zu beziehen. Diese Stellungnahme wird die Irische Aufsichtsbehörde in ihrer endgültigen Entscheidung zur Vorlage beim Europäischen Datenschutzausschuss berücksichtigen. Es ist damit zu rechnen, dass es noch Jahre dauern wird, bis alle Berufungen entschieden sind und hier eine endgültige Entscheidung getroffen werden kann. Update vom 21.09.2021: Die irische Aufsichtsbehörde hat ein Bußgeld in dreistelliger Millionenhöhe gegen WhatsApp verhängt, mehr siehe unter https://sidit.de/blog/datenverarbeitung-durch-whatsapp-bussgeld-in-dreistelliger-millionenhoehe/
Datenschutzkonforme Nutzung von WhatsApp fast unmöglich
Trotz datenschutzrechtlicher Bedenken ist WhatsApp nicht mehr wegzudenken. Vor allem nicht im privaten, aber auch nicht im beruflichen Umfeld. Schon in der Vergangenheit hat die SiDIT GmbH ihren Kunden davon abgeraten, den Messengerdienst WhatsApp für die betriebliche Kommunikation zu nutzen. Eine datenschutzkonforme Nutzung von WhatsApp ist bei einer dauerhaften Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich. Allerdings wird durch diese Konfiguration die App in ihrer Funktionalität stark eingeschränkt.
Sollte sich kein anderer Weg für die betriebliche Kommunikation finden, wäre grundsätzlich auch denkbar, nach der ersten Kontaktaufnahme durch den Kunden mit einem Belehrungstext zu antworten.
Welche Alternativen zu WhatsApp gibt es?
Allerdings gibt es auch Messenger-Alternativen, die aus datenschutzrechtlicher Sicht weniger bedenklich genutzt werden können: Threema: Threema nutzt verschlüsselte Nachrichtenübermittlung und eine eigene „Threema-ID“ statt einer Handynummer. Zudem kann man Threema den Zugriff auf das Telefonbuchverweigern. Allerdings ist Threema kostenpflichtig (einmalig ab 3,71 €). Telegram: Für Handy und PC verfügbar; Konten können verbunden werden. Ende-zu-Ende-Verschlüsselung nutzbar. Zur datenschutzkonformen Nutzung müssen allerdings alle Kontakte händisch eingetragen werden, um keinen kompletten Zugriff auf das Telefonbuch zu geben. Es besteht also eine ähnliche Problematik wie bei WhatsApp. Signal: Telefonnummern werden anonymisiert (ähnlich wie bei Threema), weshalb ein Zugriff auf das Telefonbuch auch aus datenschutzrechtlichen Gesichtspunkten in Ordnung ist.
Die beste Alternative?
Die Empfehlung der SiDIT GmbH tendiert zu „Signal“. Erfahrungsgemäß ist Threema jedoch verbreiteter. Ob eine der genannten Alternativen allerdings WhatsApp ablösen kann, bleibt fraglich. Zumindest im betrieblichen Kontext sollte dies dringend in Erwägung gezogen werden.
[…] ist, haben wir schon in unseren Blogbeiträgen WhatsApp im Unternehmen: Datenschutz! und Datenschutz bei WhatsApp beleuchtet. Generell ist WhatsApp nur für den privaten Gebrauch bestimmt und nicht für die […]