WhatsApp ist in manchen Unternehmen noch immer Alltag – ob zur schnellen Abstimmung mit Mitarbeitenden, zur Organisation von Touren oder für den Kundenservice. Eine aktuelle Entscheidung der Landesdatenschutzaufsicht in Nordrhein-Westfalen zeigt jedoch sehr deutlich: Bequemlichkeit schützt nicht vor Bußgeldern.

Der konkrete Fall: WhatsApp-Gruppen mit hochsensiblen Daten

Ein Taxiunternehmen aus NRW nutzte zwei WhatsApp-Gruppen, um Fahrten zu organisieren und abzurechnen. In diesen Gruppen wurden unter anderem Fotos von Personal- und Schwerbehindertenausweisen, ärztlichen Verordnungen, Rezepten, Kliniknamen, Terminen sowie Namen und Adressen der Kunden geteilt – für alle Fahrer sichtbar.

Die Landesbeauftragte für Datenschutz NRW hat diese Praxis untersagt und prüft nun ein Bußgeld. Besonders kritisch ist hierbei zu beachten, dass es sich teilweise um Gesundheitsdaten im Sinne von Art. 9 DSGVO handelte. Jedoch lag keine ausdrückliche Einwilligung der Betroffenen vor, Transparenzinformationen fehlten – und die Kontrolle darüber, was mit den Bildern nach dem Versand geschah, hatte das Unternehmen faktisch verloren.  

Warum WhatsApp im Unternehmen datenschutzrechtlich so problematisch ist

Die grundsätzlichen Probleme von WhatsApp und DSGVO haben wir in unseren älteren Beiträgen „Datenschutz bei WhatsApp“ und „WhatsApp im Unternehmen: Datenschutz!“ ausführlich erläutert. Kurz zusammengefasst:

  • WhatsApp synchronisiert typischerweise das gesamte Adressbuch – inklusive Kontakte, die den Dienst gar nicht nutzen.
  • Personenbezogene Daten werden an Unternehmen der Metagruppe in Drittländer übermittelt.
  • Metadaten (wer mit wem, wann und wie oft kommuniziert) ermöglichen umfangreiche Profile.

Für Unternehmen bedeutet das: Sie müssen nachweisen, dass sie Grundsätze wie Datenminimierung und Zweckbindung einhalten und die eingesetzte Technik datenschutzfreundlich ist (Art. 25 DSGVO). Bei klassischer Nutzung gelingt dieser Nachweis in der Praxis nicht – erst recht nicht, wenn sensible Daten oder ganze Kundendossiers in Gruppen geteilt werden.

Ein weiteres Problem besteht, sobald Mitarbeiter die App zwar auf ihren privaten Handys nutzen, aber dort geschäftliche Kontakte speichern. Unternehmen müssen klare Regeln zum Umgang mit privaten Endgeräten in der dienstlichen Kommunikation treffen (sog. Bring Your Own Device), damit es nicht zu Datenschutzvorfällen kommt.

Betroffen sind fast alle Branchen – ein paar typische Szenarien

Der NRW-Fall betrifft ein Taxiunternehmen, aber die Risiken sind in vielen Bereichen identisch:

  • Handwerk / Bau: Monteur schickt aus der Wohnung des Kunden Fotos von Schaden, Rechnung und Telefonnummer in die WhatsApp-Teamgruppe – inklusive vollständiger Kontaktdaten.
  • Einzelhandel, Gastronomie, Hotellerie: Reservierungslisten, Allergiehinweise oder Beschwerde-Screenshots in WhatsApp-Chats können schnell sensible Informationen offenlegen.
  • Gesundheitswesen & soziale Dienste (Arztpraxis, Physiotherapie, Pflegedienst): Diagnose, Befunde oder Bilder von Wunden per WhatsApp mit Kolleg*innen oder externen Dienstleistern zu teilen, ist regelmäßig unzulässig.

Kurz gesagt: Immer wenn Sie Kundendaten, Mitarbeitendendaten oder Fotos über WhatsApp teilen, bewegen Sie sich datenschutzrechtlich auf sehr dünnem Eis und sollten diese Praxis einstellen.

WhatsApp Business und Business API – die richtige Lösung?

Weder dir „normale“ WhatsApp- noch die WhatsApp-Business-App sind nach unserer Einschätzung im Unternehmenskontext grundsätzlich nicht datenschutzkonform nutzbar – daran hat auch die aktuelle Entscheidung nichts geändert. Spannender ist die Frage nach der WhatsApp Business API.

Hier wird nicht die App selbst genutzt, sondern eine technische Schnittstelle über einen (idealerweise EU-basierten) Dienstleister. Diese Nutzung kann datenschutzkonform ausgestaltet werden – wenn u.a. folgende Punkte erfüllt sind:

  • Auftragsverarbeitungsvertrag und sorgfältig geprüfte technische und organisatorische Maßnahmen
  • klare Rechtsgrundlage für jede Kontaktaufnahme (z.B. Einwilligung, Vertragsbezug)
  • strikte Trennung von Privat- und Geschäftskommunikation
  • keine unkontrollierten Gruppen, sondern gesteuerte 1:1- oder Kampagnenkommunikation

Ohne dieses „Rundum-Paket“ bleibt auch die Business API datenschutzrechtlich riskant.

Was Unternehmen jetzt konkret tun sollten

Die Entscheidung der Aufsichtsbehörde aus NRW ist ein Warnschuss für alle, die WhatsApp im Unternehmen „mal eben“ einsetzen. Jetzt ist der richtige Zeitpunkt, die eigene Messenger-Strategie zu überprüfen – bevor die Aufsicht bei Ihnen anklopft.

Benötigen Sie Unterstützung bei der Auswahl von Messenger Tools? Melden Sie sich gerne bei uns! Wir sind bundesweit als externe Datenschutzbeauftragte tätig. E-Mail: info@sidit.de

Melden Sie sich an, um regelmäßig tolle Inhalte in Ihrem Postfach zu erhalten!

ArbeitnehmerBußgeldDatensicherheitDatenverarbeitungWhatsApp

FacebookXPinterestDeliciousLinkedinEmail

Verwandte Beiträge ...

Comments are disabled