Die Datenschutzaufsichtsbehörde von Niedersachsen (LfD Niedersachsen) hat bereits mehrfach und zuletzt im Juli 2018 öffentlich betont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt. Dies nehmen wir zum Anlass, Ihnen unsere diesbezügliche Einschätzung zukommen zu lassen.

WhatsApp ist ein Instant-Messaging-Dienst, der seit 2014 Teil der Facebook Inc. ist. Benutzer können über WhatsApp, das meist auf Smartphones installiert wird, Textnachrichten, Bild-, Video- und Ton-Dateien sowie Standortinformationen, Dokumente und Kontaktdaten zwischen zwei Personen oder in Gruppen austauschen. Hierfür benötigt WhatsApp zwingend Zugang zu den auf dem Smartphone hinterlegten Kontakten, aber auch zu weiteren Angaben. Denn WhatsApp sammelt generell alle Daten, die von den Nutzern innerhalb der Kontakte selbst angegeben werden, wie etwa den Anzeigenamen, das Geburtsdatum, die Telefonnummer, den sich ändernden Status, das Profilbild u. v. m. Der Einsatz von WhatsApp ist somit nicht unkritisch zu sehen, da man hierfür von jeder Person eine schriftliche Einverständniserklärung bräuchte, die man innerhalb seiner Kontaktliste gespeichert hat.

Normalerweise werden Nachrichten nicht auf den Servern der WhatsApp Inc. gespeichert. Nur wenn eine Nachricht noch nicht empfangen wurde, wird sie für bis zu 30 Tage zwischengespeichert und danach automatisch gelöscht. Werden Nachrichten aus Versehen gelöscht und wiederhergestellt, wird ein Backup benutzt, das lokal auf dem Smartphone und nicht auf den WhatsApp-Servern gespeichert wird. Sobald das Backup jedoch in der Cloud gespeichert wird, sind die Daten extern gespeichert und somit angreifbar, einsehbar und auch veränderbar. Aufgrund der weitreichenden rechtlichen Zugriffsmöglichkeiten US-amerikanischer Behörden und Einrichtungen kann hierbei ein Datenschutz nach unserer Rechtslage nicht gewährleistet werden.

WhatsApp schreibt dazu innerhalb seiner eigenen AGB (Stand: 17.08.2018):

„Adressbuch. Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und anderen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten.“

„Informationen Dritter. Von anderen über dich bereitgestellte Informationen. Wir erhalten Informationen über dich von anderen Nutzern und Unternehmen. Wenn beispielsweise andere dir bekannte Nutzer oder Unternehmen unsere Dienste nutzen, stellen sie möglicherweise deine Telefonnummer, deinen Namen und andere Informationen zur Verfügung (z. B. Informationen aus dem Adressbuch ihres Mobilgeräts oder im Falle von Unternehmen, zusätzliche Informationen über dich wie eindeutige Kennungen), genauso wie du möglicherweise ihre zur Verfügung stellst, oder sie senden eine Nachricht an dich oder Nachrichten an Gruppen, denen du angehörst, oder sie rufen dich an. Wir verlangen von jedem dieser Nutzer und Unternehmen, dass sie die rechtmäßigen Rechte besitzen, um deine Informationen zu erfassen, zu verwenden und zu teilen, bevor sie uns irgendwelche Informationen bereitstellen.“

Es ergeben sich im Wesentlichen drei datenschutzrechtliche Problemstellungen:

1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
2. Die Übermittlung von personenbezogenen Daten in die USA.
3. Die Nutzung von personenbezogenen Daten durch WhatsApp.

Daher ist das eigentliche Problem nicht die Funktionalität von WhatsApp selbst, sondern die „Zusatzfunktionen“ die bedingen, dass auch alle Kontaktdaten (hierbei i. d. R. wirklich alle gespeicherten Kontaktangaben im Handy wie z. B. auch Geburtsdatum, Notizen in Kontakten, …) und auch Bewegungsdaten bzw. -profile an WhatsApp übermittelt, dort verarbeitet und in der Folge auch an Facebook weitergegeben und somit außerhalb der EU verarbeitet werden. Dies neben den zuvor genannten Zugriffsmöglichkeiten US-amerikanischer Behörden und Einrichtungen.

Auch wenn wir also weniger die Übertragung von Inhalten über WhatsApp, als vielmehr die benannten „Zusatzfunktionen“ als Problem sehen, empfehlen wir den Einsatz von WhatsApp im dienstlichen Kontext bzw. im Kontext Ihres Unternehmens zu untersagen. Denn der Einsatz von WhatsApp stellt in jedem Fall einen Verstoß gegen Art. 25 Abs. 1 DS-GVO dar. Danach muss der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel der Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete und angemessene technische und organisatorische Maßnahmen ergreifen, um die Datenschutzgrundsätze wirksam umzusetzen. Das bedeutet, schon bei der Auswahl der Verarbeitungsmittel muss die Wahl dahingehend getroffen werden, dass unter Verwendung des Verarbeitungsmittels die Datenschutz-Grundverordnung eingehalten werden kann. Die Auswahl von WhatsApp stellt einen Verstoß gegen diese Pflicht dar. Zum anderen widerspricht die regelmäßige Übermittlung von Daten aus dem Kontaktbuch dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 lit. c DS-GVO.

Es gibt rechtssichere Instant-Messaging-Dienste, die Sie alternativ nutzen können, wie z.B. Telegram und Threema. Dies sind die beiden bekanntesten Alternativen und haben in den vergangenen Jahren zahlreiche Überarbeitungen erfahren. Auch wenn Telegram bekannter ist, empfehlen wir daher aufgrund der Einführung der cloudbasierten Speicherung bei Telegram (welche mehr auf Benutzerfreundlichkeit als auf Datenschutz ausgerichtet ist) die App Threema. Diese ist besser verschlüsselt, bietet Trennung zwischen privater und geschäftlicher Kommunikation, hat eine Administration und Nutzerverwaltung, hat den Firmensitz und IT-Infrastruktur in der Schweiz und bietet eine PIN-Sperrfunktion.

Alternativ gibt es noch die theoretische Möglichkeit, auf den Smartphones sogenannte Sandboxes einzurichten, d. h. einen isolierten Bereich, innerhalb dessen jede Maßnahme keine Auswirkung auf die äußere Umgebung hat. Sie können hierdurch WhatsApp wie gewohnt nutzen, es wäre aber (bei korrekter Konfiguration) von den hinterlegten Daten und Kontakten getrennt. Da Sie zur korrekten Nutzbarkeit von WhatsApp Kontakte hinterlegen müssen, konnten wir noch keine praktikable Umsetzung feststellen. Wir bleiben aber auch an diesem Thema weiter dran.

Fazit:
Von einer betrieblichen Nutzung von WhatsApp bzw. einer Duldung der privaten Nutzung auf dienstlichen Geräten raten wir Ihnen ab.

Bad Homburg, August 2018