Einsatz von WhatsApp im Unternehmen

WhatsApp-Einsatz in Kürze

  • Der Einsatz von WhatsApp im betrieblichen Umfeld ist grundsätzlich nicht DSGVO-konform zu gewährleisten.
  • Mit folgenden Fakten, Hinweisen und Richtlinien können Sie die datenschutzrechtlichen Risiken beim Einsatz von WhatsApp kennenlernen und minimieren.
  • Die Verantwortung zum Einsatz obliegt Ihnen als verantwortlicher Stelle.
  • Prüfen Sie die Möglichkeiten für Ihr Unternehmen und klären Sie in jedem Fall Ihre Mitarbeiter auf.
  • Bedenken Sie auch die Dokumentations- und Haftungsrisiken.

WhatsApp ist ein Unternehmen der Facebook-Gruppe und hat seinen Stammsitz in den USA. Aufgrund des Geschäftsmodells von Facebook ist davon auszugehen, dass jegliche Kommunikation über dessen Kanäle zu werblichen Zwecken und zur Profilbildung genutzt wird.

Grundsätzlich wird – vorab gesagt – die Ansicht vertreten, dass ein datenschutzkonformer Einsatz von WhatsApp im täglichen Geschäftsbetrieb nicht möglich ist.

Die Fakten

Rein technisch gesehen liegt bei der WhatsApp-Kommunikation zwar eine sogenannte „Ende-zu-Ende-Verschlüsselung“ vor, die es nur dem sendenden und dem (den) empfangenden Endgerät(en) ermöglicht, die Kommunikation mitzulesen. Die Nachrichten werden dabei sicher verschlüsselt über Server von WhatsApp (Facebook) zur Verfügung gestellt und übertragen.

Harald Müller-Delius, MBA, Dipl.-Ing. (FH), Datenschutzbeauftragter (IHK), HM[D]ATA Ing.-Büro für Daten- und Medientechnik

Somit ist es vereinfacht gesagt nicht möglich, außer den zwei (oder bei Gruppen mehreren) Geräten, auf irgendwelchen bei der Übertragung beteiligten Servern, Netzwerken und Diensten mitzulesen, da nur den Endgeräten die verwendete Verschlüsselung bekannt ist. Aufgrund der rechtlichen Situation (US CLOUD Act) in den USA, die es Behörden unter anderem bei beispielsweise Straftaten allerdings ermöglichen soll, Zugriff auf die Kommunikation zu erlangen, ist davon auszugehen, dass WhatsApp ( Facebook) eine Art Generalschlüssel besitzt. Richterlich vor Zugriff geschützt wären nur US-Bürger, nicht jedoch US-„ausländische“ Nutzer.

WhatsApp (Facebook) ist zwar Mitglied im sogenannten „Privacy- Shield-Abkommen“, eine Art Selbstverpflichtung für Unternehmen zwischen EU und dem US-Handelsministerium zum Einhalt eines Datenschutzstandards nach Art. 45 Abs. 1 DSGVO.

Somit wäre formal eine datenschutzrechtliche Vereinbarung im Raum der Gültigkeit der EU-DSGVO möglich, ist jedoch eher als fragil anzusehen, da das US CLOUD Act aufgrund einer möglichen Datenübertragung an US-Behörden nicht vereinbar mit der EU-DSGVO ist.

Und das eigentliche Problem der Datenschutzverletzung ist damit in keinem Fall gelöst: der automatisierte Zugriff auf das Kontakte-Verzeichnis des Nutzers. In der Theorie wird die Ansicht vertreten, dass dies nur zulässig wäre, wenn von allen im Kontaktebuch vorhandenen Personen eine Einwilligung nach Art. 7 DSGVO vorliegt. Das wird in der Praxis weder der Fall noch überhaupt möglich sein.

WhatsApp regelt dies in seinen Nutzungsbedingungen wie folgt: „Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“

Das entspricht einer enthaftenden Regelung für WhatsApp (Facebook) und lässt den Nutzer im Trockenen stehen, da davon auszugehen ist, dass diese „Autorisierung“ aus datenschutzrechtlicher Sicht in Form einer gültigen Einwilligung der Kontakte nach DSGVO in den allerseltensten Fällen vorliegt.

Aufgrund dieser Überlegungen ist in vielen – auch DAX-notierten – Unternehmen der geschäftliche Einsatz von WhatsApp verboten. Dem Autor liegt es allerdings nicht nahe, praxistaugliche Lösungen per Verbotskultur zu verhindern, allerdings unterliegt die folgende Entscheidung für den Einsatz oder Duldung von WhatsApp der Verantwortung der verarbeitenden Stelle.

Fakt ist aber auch: WhatsApp ist ein mittlerweile gleichwertiger Endkunden-Kommunikationskanal wie Telefon oder E-Mail und daher in der breiten Masse bereits vorhanden/installiert und aus dem Alltag der Smartphones nicht mehr „wegzudenken“.

Unternehmen haben das Problem, bei Verbot gegenüber „ignoranten“ Mitbewerbern Kundengruppen zu verlieren. Alternative Messenger sind unbeliebt, da diese erst beim jeweiligen Nutzerkreis installiert werden müssten (beispielsweise Threema) und daher keine durchgehende Verbreitung bei Endkunden wie WhatsApp besitzen.

Bitte beachten Sie beim Einsatz von WhatsApp zudem, dass die Nachrichten nur vom Inhaber des WhatsApp-Accounts gelesen werden können. Das heißt, im Urlaubs-, Vertretungs-, Krankheitsfall oder nach Beendigung des Arbeitsverhältnisses

haben Sie in keinem Fall mehr Zugriff auf die geführten Chats und die Kommunikation. Das gilt ebenso für Ihre Beweispflichten aus der Beratungsdokumentation. Zudem erfolgt die Kundenkommunikation in der Regel außerhalb der offiziellen Kanäle, in denen Sie Ihre Services anbieten wie etwa Reaktionszeiten, Zustellungsgarantie, Vertreterregelungen und so weiter. Ein Kunde könnte beispielsweise an einem Samstag einen dringenden Schaden mit Foto an einen Mitarbeiter melden und  davon ausgehen, dass dieser umgehend bearbeitet würde. Ist der entsprechende Mitarbeiter im Krankenstand oder im Urlaub, bleibt diese Meldung außerhalb Ihrer geregelten Kommunikation liegen.

Und wenn WhatsApp trotzdem eingesetzt wird?

Sollte sich also trotz oben aufgeführter Ausführungen in Kenntnis der datenschutzrechtlichen Problematik eine verantwortliche Stelle für den Einsatz von WhatsApp entscheiden, so dienen folgende Hinweise sicherlich der Minimierung des datenschutzrechtlichen Risikos:

  • Die DSGVO bezieht sich ausschließlich auf die automatisierte Verarbeitung personenbezogener Daten. Automatisiert wäre die Verarbeitung, sollten aber demzufolge keine entsprechenden personenbezogenen Daten versandt werden, trifft die Verordnung auch nicht zu.
  • Sollte WhatsApp in der Form installiert sein, dass ein technischer Zugriff auf das Kontaktebuch/Foto-, Kamera-, Mikrofon-Funktion nicht möglich ist (beispielsweise per Einstellung unter IOS), oder enthält das Kontaktebuch keine Einträge, erfolgt keine automatische Datenschutzverletzung.
  • Sollte sichergestellt sein, dass sich im gesamten Kontaktebuch des WhatsApp-Nutzers ausschließlich bereits bei WhatsApp registrierte Nutzer befinden, so läge bereits durch die Akzeptanz der Nutzungsbedingungen solcher Nutzer die Einwilligung vor.
  • Keine Weiterleitung von personenbezogenen Daten von Kunden oder Mitarbeitern per WhatsApp. Sonst hat man selbst die Datenpanne generiert.

Was heißt das nun in der Praxis?

  • Mögliche Maßnahmen beim Einsatz von WhatsApp im Unternehmen:
  • Sensibilisierung: Richtlinien für Mitarbeiter und Kunden
  • Keine Synchronisierung des Kontaktebuches mit dem Unternehmensaccount
  • Einrichtung eines zentralen Unternehmensaccounts für eingehende Nachrichten (beispielsweise Anschaffung eines fabrikneuen Handys mit ausschließlicher alleiniger WhatsApp-Installation ohne Zugriff auf das Unternehmensnetzwerk oder Firmenkommunikations-Accounts, Hinterlegung beim Sekretariat). Dies hätte zudem den Vorteil, dass sowohl der langfristige Zugriff auf die Kommunikation durch das Unternehmen gewährt als auch eine Vertreterregelung ermöglicht wäre.
  • Nutzung sogenannter „Container-Lösungen“ (beispielsweise SecurePIM Telekom), die die Unternehmenskommunikation (Mail, Termine, Kontakte, Dokumente, Fotos, …) vor dem Zugriff von WhatsApp abschotten. Ein entsprechender Dienstleister müsste per AVV vertraglich verpflichtet werden.
  • Nur für eingehende Nachrichten: Hinweis auf ausgehenden Versand – personenbezogene Daten werden nicht aktiv vom Unternehmen per WhatsApp versandt, sondern nur auf anderem Wege der Kommunikation. Eingangsbestätigungen (sofern ohne Hinweis auf Person und Inhalt), Terminvereinbarungen, Versandbestätigung wären – da keine personenbezogenen Daten verarbeitet – nach DSGVO kein Problem.
  • Administrative Rechte auf dem Mobilgerät: Verbot des Zugriffs von WhatsApp auf Kontakt-, Foto-, Bilder-, Kameraund Mikrofon-Funktion.
  • Selbstverständlich können Sie aber – solange Sie keinerlei personenbezogene Daten übertragen – eine Whats-App- News-Gruppe über einen WhatsApp-Firmenaccount für Ihre Kunden anbieten, da nur bereits registrierte Benutzer bei WhatsApp diese abonnieren können.

Wie so oft im Datenschutz schließen sich Bequemlichkeit und Sicherheit reziprok aus. Jede der oben aufgeführten Maßnahmen stellt einen Einschnitt in die gewohnte bequeme Nutzung von WhatsApp dar. Es bleibt daher jedem Unternehmen als verantwortlicher Stelle selbst überlassen, in welcher Form der grundsätzlich datenschutzrechtlich nicht konforme Einsatz von WhatsApp im Unternehmen gestattet oder unter Nutzung entsprechender Maßnahmen legitimiert wird. Sensibilisieren Sie hierbei bitte unbedingt Ihre Mitarbeiter und Kunden mit unten aufgeführten Richtlinien.

Richtlinien für Mitarbeiter bei der Nutzung von WhatsApp

Folgende Regelungen sind nicht abschließend, dienen aber einem Überblick über mögliche zu ergreifende Maßnahmen:

  • Keine ausgehende Übertragung personenbezogener Daten
  • Prüfen des Kontaktebuches auf nicht bei WhatsApp registrierte Benutzer
  • Allgemeine Kundeninformation:
    • Keine Gewähr für unverlangt eingesandte Nachrichten
    • Keine Service-Reaktion im Gegensatz zu „offiziellen“ Unternehmenskanälen
    • Bei dringenden Fällen, wichtigen Dokumenten oder Ähnlichem ist in jedem Fall ein „offizieller“ Kommunikationskanal zu verwenden
  • Sollten personenbezogene Daten vom Kunden per WhatsApp eingereicht werden:
    • Hinweis, dass personenbezogene Daten nur auf sicheren Kanälen eingesandt werden sollten
    • Rückantwort ohne Bezug auf die personenbezogenen Daten („Ihre Nachricht habe ich erhalten.“)
    • Keine Weiterleitung der personenbezogenen Daten an einen anderen WhatsApp-Account
    • Extraktion der eingesandten Kundendaten in sicheren Transportkanal zur Weiterverarbeitung (beispielsweise E-Mail)
    • Löschen der Daten nach Verarbeitung
  • Netiquette und Stil wahren (dem Geschäftsverkehr gemäß, siehe beispielsweise Social Media Guidelines), keine Nachrichten versenden, die „später bereut würden“
  • Haftung beachten bei beispielsweise nicht zugestellten Nachrichten, beziehungsweise Dokumentationspflichten prüfen
  • Sofortige Weiterleitung (auf anderen, gesicherten Kanälen) relevanter Kunden- und Vertragsdaten an die jeweilige Sachbearbeitung

HM[D]ATA Ing.-Büro für Daten- und Medientechnik, Mail: hmd@hmdata.de

Mehr Infos in der März-Ausgabe des experten Report

 

Bilder: (1) © motortion – stock.adobe.com (2) © HM[D]ATA Ing.-Büro für Daten- und Medientechnik (3) © experten-netzwerk GmbH

Themen: