Gibt es eine Version von WhatsApp die man geschäftlich nutzen kann (oder darf), gibt es Bedenken seitens der Aufsichtsbehörden?

Fangen wir mal bei den deutschen Aufsichts­behörden an. Der Bundes­beauftragte für den Daten­schutz und die In­formations­freiheit hat in Ihrer Presse­mitteilung 16/2019 vom 8. Mai 2019 eine PDF-Datei als An­hang ver­öffent­licht, in diesem An­hang nimmt der BFDI Stel­lung zu WhatsApp in der Form das die Daten­über­mit­tlung an den Mutter­kon­zern Facebook kriti­siert wird und der BFDI sich dazu mit der Daten­schutz­be­hörde in Irland aus­ein­ander­setzt. Soweit so gut aber auch re­gi­onale Auf­sichts­behörden geben wichtige Hinweise.

Dass LDI in NRW z. B. verweist, wenn man auf deren Internet­­seite “WhatsApp” ein­gibt auf eine Seite die sich “Young Data” nennt (https://www.youngdata.de/#) hier gibt es dann auch direkt einen wichtigen Hinweis zu WhatsApp, nämlich zum einen, dass WhatsApp Teil des Facebook Kon­zerns ist, der in Sachen Daten­schutz nicht nur einmal negativ aufgefallen ist und dass WhatsApp mehr­fach täglich das Adress­buch seiner Nut­zers aus­liest und in die USA über­mittelt. (Auch das Privacy Shield, wodurch eine Über­mittlung in die USA gesetz­lich ge­recht­fertigt würde, ist nicht un­um­strit­ten!).

WhatsApp Business-Version enthält keine datenschutzrechtlich relevanten Unterschiede

Die Niedersächsische Aufsichtsbehörde stellt in Ihrem Internetauftritt ein Merkblatt zur Nutzung von WhatsApp zur Verfügung, darin heißt es unter anderem: “Das auch bei der WhatsApp Business-Version keine datenschutzrechtlich relevanten Unterschiede zur herkömmlichen App-Version bekannt sind”. Und, was sicher noch wichtiger ist, das LFD Niedersachsen sagt ganz klar: “Dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt.” Den Beitrag kann man sich hier komplett anschauen.

Konkret benennt die Aufsichtsbehörde folgende datenschutzrechtliche Problemstellungen:

  1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp (ohne das die Betroffenen selber bei WhatsApp angemeldet sind und insofern der Übermittlung nicht einwilligen können)
  2. Die Übermittlung von personenbezogenen Daten in die USA. (wie schon erwähnt ist auch das Privacy Shield, wodurch eine Übermittlung in die USA gesetzlich gerechtfertigt würde, nicht unumstritten!).
  3. Die Nutzung von personenbezogenen Daten durch WhatsApp.
  4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns

Besteht die Möglichkeit einer datenschutzkonformen Nutzung von WhatsApp?

Es gibt wohl eine Möglichkeit, die Weiterleitung der Kontaktdaten von seinem Mobiltelefon unter bestimmten Umständen zu unterbinden, wenn das dauerhaft funktioniert, dann besteht die Möglichkeit einer datenschutzkonformen Nutzung von WhatsApp. Wie und unter welchen Voraussetzungen das geht, wird in dem Artikel des LFD Niedersachsen auch beschrieben.

Abschließend noch ein Hinweis des LFDI BWL (Landesbeauftragte für den Datenschutz und die Informationssicherheit in Baden Württemberg) hier gibt es einen Hinweis zur Nutzung von WhatsApp in Schulen, von Lehrern um mit Schülern und Eltern zu kommunizieren, kurz gesagt ist auch das aus deren Sicht unzulässig, resultierend aus den bekannten datenschutzrechtlichen Problemen und weil man damit der Verwendung von Handys und WhatsApp einen Vorschub gibt der von seiten der Schulen nicht gewollt ist, was aber weniger mit dem Datenschutzrecht zu tun hat aber ggf. löblich sein kann.

Weitere Hinweise, was die Aufsichtsbehörden zur Nutzung von WhatsApp sagen werden hier nicht dargestellt, wir wenden uns noch mal der eigentlichen Frage zu.

Neben der Übermittlung der Kontaktdaten (ohne die Einwilligung der betroffenen Personen) in die USA und der Nutzung und Verbreitung der Daten, führen verschiedene Stellen auch an, dass die Verantwortlichen durch die Übermittlung dieser Daten gegen den Artikel 25 Abs. 1 der DSGVO verstoßen. WhatsApp garantiert nicht, dass die Daten mit geeigneten und angemessenen technischen und organisatorischen Maßnahmen gesichert werden. Ob die eingeführte Ende-zu-Ende Verschlüsselung hier ausreichend ist können wir nicht beurteilen aber insgesamt ist sie sicher nicht ausreichend.

Das heißt im Umkehrschluss das es auch darauf ankommt welche Daten ein Unternehmen per WhatsApp versendet. Eine Firma die per WhatsApp besondere personenbezogene Daten (PbD) versendet, hat also nicht nur das Problem der Kontaktübermittlung sondern auch in Bezug auf die Inhalte, die in Nachrichten verbreitet werden.

Außerdem erklärt WhatsApp in der eigenen Datenschutzrichtlinie das sie die Verarbeitung der erlangten pbD nicht nennenswert eingrenzen und untereinandern also mit Facebook austauschen, was so wohl auch gegen europäisches und deutsches Datenschutzrecht verstößt.

Ende-zu-Ende Verschlüsselung

Kommen wir zu der Ende-zu-Ende Verschlüsselung von WhatsApp, diese Verschlüsselung ist laut verschiedener Quellen nicht so sicher wie man glaubt es werden eben nur die Inhalte aber nicht die Daten der Kontaktpersonen verschlüsselt ergo sind diese Daten weiterhin in Gefahr.

Mann könnte außerdem annehmen das WhatsApp ein Auftragsdatenverarbeiter ist, wenn wir als Firma die App verwenden, aber da wir WhatsApp gar nicht beauftragt haben das zu tun, was sie alles machen ist die Verarbeitung dahingehend vorsichtig ausgedrückt n. i. O. WhatsApp handelt hier nicht im Auftrag des oder der Verantwortlichen sondern im eigenen Interesse. Ein Auftragsverarbeitungsvertrag (AVV) müsste außerdem mit der Firma abgeschlossen werden und nicht mit den Einzelpersonen, die in der Firma die App verwenden, wenn man die dienstllche Nutzung rechtskonform für ein Unternehmen ausführen möchte.

Fazit

Also nach wie vor gilt für Unternehmen Hände weg von WhatsApp und Kontrolle darüber welche App´s auf Diensttelefonen installiert werden und wurden.