Die Nutzung von WhatsApp in Unternehmen ist ein heiß umstrittenes Thema. Obwohl der betriebliche Einsatz hohe datenschutzrechtlichen Risiken birgt, wollen viele Unternehmen nach wie vor nicht darauf verzichten. Auch die irische Datenschutzbehörde hat die datenschutzrechtlichen Gefahren durch die Nutzung erkannt und gegen WhatsApp ein Bußgeld von 225 Mio. EUR verhängt.
Hohe Risiken durch die Nutzung von WhatsApp
Das der Einsatz von WhatsApp aus datenschutzrechtlichen Gesichtspunkten sehr risikobehaftet ist, haben wir schon in unseren Blogbeiträgen WhatsApp im Unternehmen: Datenschutz! und Datenschutz bei WhatsApp beleuchtet. Generell ist WhatsApp nur für den privaten Gebrauch bestimmt und nicht für die Verwendung im geschäftlichen Verkehr ausgelegt.
Problematisch ist insbesondere, dass die App auf alle im Handy gespeicherten Kontakte zugreifen kann. Damit wird eine Datenübertragung an WhatsApp und somit in die USA ermöglicht. Daneben besteht auch das Risiko einer Datenweitergabe an Facebook, den Mutterkonzern von WhatsApp, sowie einer Profilbildung durch Facebook. Für eine solche Datenweitergabe Ihrer Handykontakte bräuchten Sie, als Verantwortlicher, die Einwilligung sämtlicher Kontakte, die Sie wohl kaum erhalten werden. Die gleichen Risiken bestehen im Übrigen für die Business Version von WhatsApp.
Entscheidung der irischen Datenschutzbehörde
Die irische Datenschutzbehörde (Data Protection Commission, kurz DPC), die bereits im Rahmen der Schrems-Urteile gegen Facebook Bekanntheit erlangte, untersuchte nun die Datenschutzkonformität des WhatsApp-Dienstes. Zuständig hierfür ist die irische Datenschutzbehörde, da die Konzerntochter von Facebook ihre Hauptniederlassung in Irland hat.
Besonderes Augenmerk legte die Datenschutzbehörde in ihrer Prüfung darauf, ob WhatsApp seinen Transparenzpflichten in Bezug auf die Bereitstellung von Informationen, insbesondere im Hinblick auf die Datenverarbeitung zwischen der App und anderen Facebook-Unternehmen, nachkommt.
Die Transparenzpflicht nach den Art. 12-14 DSGVO umfasst die Pflicht des Verantwortlichen, eine bestimmte Information gegenüber einer betroffenen Person bzw. gegenüber der Öffentlichkeit in präziser, leicht zugänglicher und verständlicher Form sowie in klarer und einfacher Sprache bereitzustellen. Das beinhaltet auch, dass ein Verantwortlicher transparent über eine bei ihm stattfindende Datenverarbeitung belehren muss.
Genau hiergegen hat WhatsApp nach Ansicht der irischen Datenschutzbehörde verstoßen, denn für einen Nutzer ist nicht ohne Weiteres ersichtlich, dass die durch die App verarbeiteten Daten an den Facebook-Konzern weitergeleitet werden. WhatsApp selbst stützt diese Datenweitergabe auf ihr berechtigtes Interesse. Über diese Datenverarbeitung wird nach Ansicht der Aufsichtsbehörde jedoch nicht transparent informiert. Infolgedessen veranschlagte sie ein Bußgeld i.H.v. 30 – 50 Mio. EUR.
Stellungnahmen der anderen Aufsichtsbehörden und Entschluss des EDSA
Gegen diesen Bußgeldvorschlag wandten sich die Aufsichtsbehörden anderer Länder. Denn der Beschlussvorschlag der irischen Behörde habe nicht alle Verstöße von WhatsApp ausreichend beleuchtet und das Bußgeld sei damit zu niedrig angesetzt.
Insbesondere die Aufsichtsbehörde Deutschlands kritisierte, dass die Datenweitergabe an den Facebook-Konzern auf Grund berechtigten Interesses nicht transparent und damit nicht verständlich genug dargelegt sei. Zum einen gehe aus der Datenschutzerklärung von WhatsApp nicht genau hervor, welche Unternehmenspartner Informationen erhalten, zum anderen sei das berechtige Interesse an sich nicht ausreichend dargelegt. Hierdurch sei die Geltendmachung von Betroffenenrechten maßgeblich erschwert und gleichzeitig liege ein Verstoß gegen das Transparenzgebot vor.
Ein weiterer datenschutzrechtlicher Verstoß gegen die Informationspflichten liege in der Verarbeitung sog. Hash-Werte. Denn wie bereits dargestellt, hat WhatsApp Zugriff auf sämtliche Handykontakte, soweit man das technisch nicht unterbindet.
In Zuge dessen werden sog. Hash-Werte erstellt. Sobald sich ein Nutzer bei WhatsApp registriert, erhalten seine Handykontakte, die die App ebenfalls nutzen, hierüber eine Benachrichtigung. Handykontakte, die nicht WhatsApp nutzen, werden durch eine sog. „Lossy Hashing procedure“ als Nicht-Nutzer mit einem sog. Hash-Wert klassifiziert und gespeichert. Dies stellt eine Verarbeitung personenbezogenen Daten dieser Nicht-Nutzer dar.
So sah das auch der Europäische Datenschutzausschuss, der schlussendlich einen verbindlichen Entschluss über das Bußgeld fassen musste und dieses mit 225 Mio. EUR festsetzte. Die Höhe des Bußgeldes, das nach Art. 83 Abs.6 DSGVO mit bis zu vier Prozent des Unternehmensjahresumsatzes festgelegt werden kann und dabei angemessen sowie abschreckend sein muss, wurde mit der Schwere der Verstöße gegen die Informationspflichten sowie den massiven Auswirkungen auf die Datenverarbeitungen durch WhatsApp begründet. Dabei wurde nicht nur auf den schwersten Verstoß, sondern auf die Gesamtheit der Verstöße abgestellt. Ob das Unternehmen dieses Bußgeld zahlen wird, bleibt abzuwarten. Rechtsmittel wurden von Seiten WhatsApps bereits eingelegt.
Sie sehen also, dass länderübergreifend die Datenverarbeitung durch WhatsApp von den Behörden als durchaus kritisch und intransparent bewertet werden. Wir raten Ihnen daher nach wie vor dringend von der Nutzung ab. Wenn Sie trotzdem nicht auf die App verzichten möchten, müssen Sie den Zugriff auf die Handykontakte unterbinden und eine Einwilligung der Kunden, mit denen Sie über die App kommunizieren möchten, einholen sowie diese darüber belehren.
Sie haben noch Fragen in diesem Bereich, benötigen einen Datenschutzbeauftragten oder datenschutzrechtliche Beratung, kontaktieren Sie uns gerne unter 0931-780 877-0 oder info@sidit.de.
[…] Update: Beachten Sie auch unsere neueren Artikel zur WhatsApp-Nutzung im Unternehmen und zu Bußgeldern wegen WhatsApp -Nutzung. […]
[…] WhatsApp bzw. WhatsApp Business raten wir nach wie vor dringend ab (lesen Sie dazu mehr in unserem Blogbeitrag). Diese Dienste bieten zwar eine Ende-zu-Ende-Verschlüsselung, allerdings übertragen diese […]
[…] Frau M. unterzeichnete die Nutzungsvereinbarung und erhielt ein Diensthandy von Samsung, mit dem sie nur schwer zurechtkam und bat stattdessen um ein iPhone. Herr Gründlich, der über so viel Dreistheit empört war, entgegnete ihr, dass sie doch ihr eigenes Handy nutzen solle, wenn ihr das zugewiesene Handy nicht genüge. Aus einem unserer Blogbeiträge erfuhr er, dass in einem solchen Fall eine Bring-your-own-device-Nutzungsvereinbarung geschlossen werden muss. In dieser werden Weisungs-, Kontroll- und Zugriffsrechte des Arbeitgebers geregelt. Ebenfalls ist zu beachten, dass private Apps, wie WhatsApp und Co. keinen Zugriff auf die hinterlegten Geschäftskontakte erhalten. Diesbezüglich verwiesen wir Herrn Gründlich insbesondere auf folgenden Artikel: Datenverarbeitung durch WhatsApp – Bußgeld in dreistelliger Millionenhöhe! […]