Merkblatt für die Nutzung von «WhatsApp» in Unternehmen

Hannover. (lfd) Die Kommunikation über WhatsApp ist nicht nur bei Privatpersonen sehr weit verbreitet. Auch die Nutzung durch Unternehmen zur internen Kommunikation sowie zur externen Kommunikation mit Kunden und Geschäftspartnern nimmt zu. Seit Anfang des Jahres 2018 wird in Deutschland auch die Version WhatsApp Business in den App-Stores angeboten. Diese weist gegenüber den herkömmlichen App zusätzliche Funktionen auf, es sind allerdings keine datenschutzrechtlich relevanten Unterschiede zur herkömmlichen App-Version bekannt, erklärt Barbara Thiel, Landesbeauftragte für den Datenschutz Niedersachsen (LfD).

Vermehrt bieten zum Beispiel niedersächsische Apotheken einen Service an, bei dem Kunden rezeptpflichtige Arzneimittel über WhatsApp bestellen können. Die Apotheken bieten ihren Kunden die Möglichkeit, eine Fotografie eines Rezeptes über WhatsApp an eine Mobilfunknummer der Apotheke zu versenden.

Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz- Grundverordnung (DSGVO) verstößt.

WhatsApp ist ein Messenger, der von der WhatsApp Inc. mit Sitz in Kalifornien betrieben wird. Die Nutzer registrieren sich bei dem Dienst mit ihrer Mobilfunknummer. Anschließend wird regelmäßig das Adressbuch der Nutzer ausgelesen und es werden mindestens Namen und Mobilfunknummern an die Server von WhatsApp übermittelt. Dieser Adressbuchabgleich wird unter anderem dazu genutzt, den Nutzern anzuzeigen, welche ihrer Kontakte ebenfalls WhatsApp nutzen. Der Abgleich wird in regelmäßigen Abständen wiederholt, so das auch bei neu aufgenommenen Kontakten geprüft wird, ob sie bereits WhatsApp-Kunden sind. Dabei werden immer auch die Daten von Personen an WhatsApp übermittelt, die WhatsApp nicht nutzen. WhatsApp verlangt von seinen Nutzern, dass sie für die Rechtmäßigkeit der Übermittlung an WhatsApp garantieren. Zugleich legt WhatsApp in seiner Datenschutzrichtlinie dar, dass sie Daten nutzen, um Unternehmen zu helfen,

«die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu messen und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren» und «Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern, unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.»

Ausweislich seiner Datenschutzrichtlinie behält sich WhatsApp eine umfassende Verwendung von ihnen vorliegenden Informationen vor, zum Beispiel für «Messungen, Analysen und sonstige Unternehmens-Dienste». Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit Facebook-Unternehmen.

WhatsApp verfügt über eine Ende-zu-Ende-Verschlüsselung, sodass eine Kenntnisnahme der übermittelten Inhalte während des Übermittlungsvorgangs nur durch die Kommunikationspartner möglich ist. Es ist WhatsApp aber weiterhin möglich, zu erfassen, wer mit wem und wie oft (sogenannten Metadaten) kommuniziert.

Es ergeben sich im Wesentlichen drei datenschutzrechtliche Problemstellungen:

1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
2. Die Übermittlung von personenbezogenen Daten in die USA.
3. Die Nutzung von personenbezogenen Daten durch WhatsApp.

Die Rechtmäßigkeit des Einsatzes von WhatsApp durch Unternehmen richtet sich nach der DSGVO.

Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp ist regelmäßig unzulässig. Die Verantwortlichkeit für die Übermittlung von Adressbuchdaten an WhatsApp liegt bei dem jeweiligen Unternehmen, welches WhatsApp zur Kommunikation nutzt. Nach Art. 6 Abs. 1 DSGVO bedarf es für eine solche Übermittlung einer Rechtsgrundlage oder Einwilligung. Bezogen auf die Kontaktdaten von Personen, die bereits Nutzer des WhatsApp-Dienstes sind, kommt für nicht öffentliche Stellen Art. 6 Abs. 1 Buchstabe f DSGVO in Betracht. Ein berechtigtes Interesse des Nutzers von WhatsApp für die Übermittlung der Kontaktdaten kann allenfalls in Bezug auf die bereits registrierten Nutzer des Messenger-Dienstes unterstellt werden. Selbst wenn man ein berechtigtes Interesse für die Übermittlung von Kontaktdaten an WhatsApp bejaht, wird eine Interessenabwägung zumindest dann nicht zugunsten einer Übermittlung ausgehen, wenn auch Kontaktdaten von solchen betroffenen Personen übermittelt werden, die nicht WhatsApp nutzen. So benutzen viele Betroffene gar keinen oder einen anderen Instant-Messenger-Dienst. Die Kontaktdaten dieser Personen können daher nur mit einer wirksamen Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a in Verbindung mit Art. 7 und 8 DSGVO übermittelt werden. Diese wird regelmäßig für die Übermittlung von Daten aus dem Adressbuch des Smartphones nicht vorliegen. Die Einholung einer Einwilligung von den betroffenen Personen ist zwar denkbar, wird aber regelmäßig praktisch nicht durchführbar sein. Verweigert nur eine Person, deren Daten im Adressbuch gespeichert sind, die Einwilligung, ist eine Übermittlung des Adressbuchs zudem nicht mehr auf der Grundlage von Einwilligungen möglich, es sei denn, der nicht einwilligende Kontakt wird zuvor aus dem Adressbuch gelöscht.

Für die Funktionsfähigkeit sind diese Übermittlung an WhatsApp und der vollständige Datenabgleich aller im Adressbuch gespeicherten Kontaktdaten nicht zwingend. Dies belegen zahlreiche andere Messenger-Dienste mit alternativen Möglichkeiten der Kontaktaufnahme mit anderen Nutzern desselben Messenger-Dienstes, wie zum Beispiel über einen QR-Code. Sofern andere Messenger-Dienste das gleiche Abgleichverfahren wie WhatsApp vornehmen, löschen zumindest einige nach eigenen Angaben die nicht registrierten Kontakte unmittelbar nach dem Negativabgleich.

Es ist aber erstens denkbar, dass ein Smartphone mit einem leeren Adressbuch verwendet wird. Zweitens ist es möglich, durch Einstellungen zum Beispiel in dem Android-Betriebssystem von Smartphones ab der Version 6.0 den Zugriff auf die Kontakte durch die WhatsApp-Anwendung auszuschließen.

Insbesondere bei dieser Konfiguration des Smartphones ist allerdings die Funktionalität der Anwendung wie folgt eingeschränkt:

• Wird WhatsApp die Berechtigung zum Zugriff auf die Kontakte nach der Installation, aber vor der ersten Anwendung, nicht erteilt, so kann der Nutzer von sich aus keine Kommunikation starten, er kann nur selbst angeschrieben werden.
• Eine manuelle Eingabe einer Telefonnummer, die für eine Kommunikation verwendet werden soll, ist nicht möglich.
• Sobald WhatsApp zu einem späteren Zeitpunkt die Berechtigung zum Zugriff auf die Kontakte erteilt wird, werden wiederum die Telefonnummern aus den Kontakten an WhatsApp übertragen.

Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern ist also nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich.

Die Übermittlung von personenbezogenen Daten in die USA ist bei WhatsApp grundsätzlich gerechtfertigt, da WhatsApp am sogenannten Privacy Shield teilnimmt. Das Privacy Shield-Abkommen ist aktuell in Kraft und damit eine gültige Rechtsgrundlage. Auf der Grundlage von Privacy Shield hat die EU-Kommission beschlossen, dass personenbezogene Daten in die USA übermittelt werden dürfen, wenn das empfangende Unternehmen sich zertifiziert hat, das heißt vereinfacht gesagt auf die Einhaltung der Privacy Shield-Grundsätze verpflichtet hat, und auf der Webseite des U.S. Department of Commerce als aktiver Teilnehmer geführt wird. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäß Art. 45 Abs. 3 DSGVO übermittelt werden. Daher bestehen gegen die Übermittlung von personenbezogenen Daten in die USA bei der Nutzung derzeit keine Bedenken.

Die LfD Niedersachsen weist dennoch darauf hin, dass gegen die Rechtmäßigkeit des Privacy Shields erhebliche Bedenken bestehen. Es besteht daher das Risiko, dass das Privacy Shield-Abkommen gerichtlich angegriffen und durch den EuGH unmittelbar für unwirksam erklärt wird. Dies ist bereits beim Vorgänger, dem sogenannten Safe-Harbor-Abkommen, passiert.

Der Einsatz von WhatsApp stellt in jedem Fall einen Verstoß gegen Art. 25 Abs. 1 DSGVO dar. Danach muss der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel der Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete und angemessene technische und organisatorische Maßnahmen ergreifen, um die Datenschutzgrundsätze wirksam umzusetzen. Das bedeutet, schon bei der Auswahl der Verarbeitungsmittel muss die Wahl dahingehend getroffen werden, dass unter Verwendung des Verarbeitungsmittels die Datenschutz-Grundverordnung eingehalten werden kann. Die Auswahl von WhatsApp stellt einen Verstoß gegen diese Pflicht dar. Zum einen widerspricht die regelmäßige Übermittlung von Daten aus dem Kontaktbuch dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 Buchstabe c DSGVO.

WhatsApp stellt keine Möglichkeit bereit, diese Übermittlung zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren. Zum anderen wird mit WhatsApp ein Diensteanbieter ausgewählt, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen ist. WhatsApp legt selbst in seiner Datenschutzrichtlinie dar, dass sie ihnen vorliegende Informationen zu kaum eingegrenzten Zwecken verwenden.

Im oben beschriebenen Beispiel des Einsatzes von WhatsApp durch Apotheken ist darüber hinaus zu berücksichtigen, dass bei der Übersendung der Fotografie des Rezepts Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO übermittelt werden. Zwar erfolgt die Übermittlung dieser Daten durch den Betroffenen selbst, so dass insofern keine Rechtsgrundlage gemäß Art. 9 Abs. 2 DSGVO erforderlich ist. Allerdings ist die besondere Schutzbedürftigkeit der Gesundheitsdaten Art. 25 Abs. 1 DSGVO zu berücksichtigen. An die technischen und organisatorischen Maßnahmen des in dieses Verfahren eingebundenen Instant-Messenger-Services sind entsprechend höhere Anforderungen zu stellen.