Zum Inhalt springen Zur Navigation springen
Risiken bei der Nutzung von WeChat im Unternehmen

Risiken bei der Nutzung von WeChat im Unternehmen

Artikel von Madeleine Kümmerle·2. Juni 2022

WeChat, auch als chinesische Allround-App bekannt, findet mittlerweile bei Unternehmen in Deutschland und anderen EU-Ländern immer mehr Anklang. Trotz und gerade wegen all der Begeisterung über die vielseitigen Funktions- und Verknüpfungsmöglichkeiten sowie der unzähligen eingebundenen „Mini-Programme“ sollte der Datenschutz hier besondere Beachtung finden. Der Einsatz von WeChat auf betrieblichen Geräten zu Unternehmenszwecken ist nämlich mit hohen datenschutzrechtlichen Risiken verbunden.

Was ist WeChat?

WeChat ist eine multifunktionale App, die vom Internetkonzern Tencent Holding Ltd., mit Sitz in Shenzhen, Volksrepublik China entwickelt wurde. Neben umfangreichen Kommunikationsfunktionen, wie Nachrichten schreiben, Live-Chats und Gruppenchatfunktionen, besteht die Möglichkeit Anwendungen, wie Moments, den WeChat eigenen Social Media Bereich, Emoticons, Shake, Game Center, Facebook Connect, Google Connect und vieles mehr zu nutzen. Die Masse an personenbezogenen Daten, die WeChat verarbeitet ist folglich kaum noch überschaubar und vor allem bei der Nutzung im unternehmensbezogenen Kontext mit einem nicht einzugrenzenden Risiko für den Schutz personenbezogener Daten verbunden.

Datenabfragen durch WeChat

Die Nutzer können sich bei dem Dienst mit ihrer Mobilfunknummer registrieren. Weitere abgefragte Daten zur Anmeldung, Registrierung und Einrichtung eines WeChat Profils sind u.a. der Name, die Alias, die Apple-ID, die IP-Adresse, die Region, das Facebook-Konto, die E-Mail-Adresse, die zur Registrierung eines WeChat-Kontos verwendet wird und das Datum der Registrierung. Um weitere WeChat Kontakte zu finden und sich mit diesen zu verknüpfen, lädt WeChat die Namen, Telefonnummern und E-Mailadressen im jeweiligen Nutzertelefon auf die WeChat-Server hoch.

Hinsichtlich der Kontaktlistenabfrage gibt es je nach verwendeter Gerätenutzung zwar Unterschiede zwischen iPhones und Android-Geräten, eine zweckgerichtete und praktische Funktionsnutzung ist jedoch ohne Freigabe der Kontaktliste kaum möglich. Durch Abfrage der Kontaktliste und Durchführung eines Datenabgleichs kann die App andere WeChat Nutzer automatisch herausfiltern und eine Verknüpfung mit diesen ermöglichen. Dabei werden immer auch die Daten von Personen übermittelt, die WeChat nicht nutzen. Der Zugriff von WeChat auf alle Kontakte im Adressbuch stellt eine Datenverarbeitung dar, die als Eingriff in das allgemeine Persönlichkeitsrecht der Betroffenen einzustufen ist. Für eine Übermittlung bedarf es nach der DSGVO immer einer Rechtsgrundlage. D.h. in Frage käme hier nur eine vor Upload eingeholte Einwilligung aller Kontakte des Adressbuchs, welche in der Praxis wohl kaum umsetzbar ist.

Datenschutzrechtliche Probleme beim Einsatz von WeChat

Die Datenverarbeitung im Rahmen der Nutzung von WeChat widerspricht aufgrund mehrerer Gesichtspunkte nicht den Vorgaben und Grundsätzen der DSGVO zum Schutz personenbezogener Daten. Im Folgenden werden einige der datenschutzrechtlich relevanten Probleme dargestellt.

Intransparente Datenschutzhinweise und möglicher Datenaustausch über Server weltweit

In seiner Datenschutzrichtlinie erklärt WeChat:

„Unsere Server befinden sich in Singapur und in der Sonderverwaltungszone Hongkong („SAR Hongkong“). Auch unsere anderen, in aller Welt (einschließlich Singapur, Sonderverwaltungszone Hongkong und den Niederlanden) ansässigen Support- Engineering- und anderen Teams, die die Bereitstellung von WeChat für Sie unterstützen, haben Zugang zu Ihren Informationen.“

Konkrete Aussagen darüber, auf welchen zusätzlichen Servern bzw. an welchen zusätzlichen Standorten – neben Singapur und Hongkong – die europäischen oder außereuropäischen Nutzerdaten verarbeitet und gespeichert werden, ist unklar und wird durch WeChat nicht öffentlich bekannt gegeben.

Mangelnde Verschlüsselung und weitere Risiken

Folgende Kritikpunkte fallen im Rahmen einer datenschutzrechtlichen Bewertung besonders ins Gewicht:

  • Keine Gewährleistung der Datensicherheit:
    Nachrichten werden zwar verschlüsselt übertragen, jedoch nur zwischen den WeChat Servern und den jeweiligen Endnutzern. WeChat setzt gerade keine, wie bspw. bei WhatsApp vorhandene, Ende-zu-Ende-Verschlüsselung ein. Dritte können sich daher unbefugt Zugriff und Einsicht in Nachrichtenverläufe verschaffen. Diese sog. „Man-in-the-middle“ Angriffe stellen ein hohes Risiko für den Schutz personenbezogener Daten dar.
  • Ein Indiz für die Transparenz von Messengern wäre die Quelloffenheit, wodurch die Funktionsweise und Datenverarbeitung nachvollzogen werden könnten. WeChat gibt seinen Quellcode jedoch nicht bekannt.
  • Nach einem App-Test der APPVISORY wird WeChat ebenfalls mangelhafte und fehlende Verschlüsselung vorgeworfen:
    „Außerdem überträgt die Android Version Gerätedaten und exakte Standortdaten teilweise unverschlüsselt an Drittanbieter. Und auch die iOS Version weist Probleme auf. Denn sie sendet den Nutzernamen unverschlüsselt an einen Drittanbieter. Infolgedessen ist ein Mitschneiden dieser Informationen durch unbefugte Dritte ein Leichtes.“
  • Wird die Anwendung Facebook Connect verwendet hat das Unternehmen keinen Einfluss auf die weitere Verwendung von Daten, die durch den Einsatz von Facebook Connect durch Facebook erhoben werden. Durch Facebook Connect Nutzung können Daten in die USA übertragen werden. Hierdurch besteht das Risiko, dass Daten von US-Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden, ohne dass Betroffenen möglicherweise Rechtsbehelfsmöglichkeiten zustehen.
  • Bei der Nutzung von WeChat im Rahmen geschäftsbezogener/kundenbezogener Kommunikation gebietet es Art. 32 DSGVO, dass das jeweilige Unternehmen durch technische und organisatorische Maßnahmen, die Verfügbarkeit, den Zugang oder die Wiederherstellbarkeit von Daten auch nach einem Zwischenfall stets gewährleisten kann. Diesen Anforderungen wäre bspw. durch regelmäßige Backups nachzukommen. Eine praktische Umsetzung und Kontrolle solcher Backups durch den Arbeitgeber wäre jedoch wiederum datenschutzkonform auszugestalten und aufgrund der Vermischung von privaten und geschäftlichen Aktionen auf WeChat schwer durchführbar.
  • Es ist unklar, in welchem Rahmen personenbezogene Daten wie z.B. Metadaten für u.a. Werbezwecke von WeChat ausgewertet werden.
  • Die WeChat-App verwendet außerdem Drittanbieter Tracking, durch datenschutzrechtlich kritische und von den Aufsichtsbehörden teilweise als unzulässig betrachtete Analytic-Dienste, wie Facebook und Google.
  • Im Windows Store lassen die Angaben auf umfangreiche Berechtigungen schließen:
    „Diese App kann auf alle Dateien, Peripheriegeräte, Apps und Programme und die Registrierung zugreifen“
  • Um die Betroffenen ausreichend zu informieren, wären Unternehmen außerdem auf die Informationen von WeChat angewiesen. Von einer Herausgabe dieser Informationen von WeChat ist jedoch nicht auszugehen.
  • Auch um Betroffenenrechte durchsetzen zu können, sind Unternehmen auf die Mithilfe von WeChat angewiesen. Von einer solchen Kooperation ist jedoch nicht auszugehen, zumindest wäre die praktische Umsetzung mit erheblichen Hindernissen verbunden.
  • Es liegen schwere Vorwürfe der Inhaltsfilterung und Zensur hinsichtlich WeChat vor. So gibt es regelmäßig Schlagzeilen zu Datenschutzverstößen von WeChat u.a. wegen illegaler Übermittlung von Nutzerdaten (Vorwurf: Kontaktliste und Standortdaten der Nutzer wurden illegal übertragen und Belästigung mit Pop-up-Fenstern)
  • Die Übermittlung/Herausgabe von Daten an staatliche, öffentliche, regulatorische, gerichtliche und Strafverfolgungsbehörden oder -organe durch WeChat ist nicht auszuschließen. Mit einer vorherigen Kontaktaufnahme oder gar Einwilligungseinholung des Betroffenen vor Weitergabe seiner Daten ist nicht zu rechnen. D.h. bei der Datenübermittlung nach China besteht stets das Risiko, dass Daten von chinesischen Behörden zu Kontroll- und Überwachungszwecken verarbeitet werden, auch ohne dass Betroffenen möglicherweise Rechtsbehelfsmöglichkeiten zustehen.

Übermittlung personenbezogener Daten nach China

Es erfolgt eine Verarbeitung aller in WeChat eingepflegter Daten über chinesische Server:

„Chatdaten durchlaufen nur unsere Server, sodass sie sicher an Ihre gewünschten Empfänger verteilt werden können.“

Bei der Übertragung der Daten aus der EU an Server im Drittland werden aktuell nicht die notwendigen Voraussetzungen der DSGVO zum Drittlandtransfer eingehalten. Es heißt in der Datenschutzrichtlinie schlicht:

„Wir stützen uns auf die Musterverträge der Europäischen Kommission für die Übertragung personenbezogener Daten in Drittländer.“

Welche Musterverträge verwendet werden und welchen Inhalt diese haben ist nicht online einsehbar. Zudem gibt es keinerlei Hinweise auf die Verwendung zusätzlich notwendiger Maßnahmen zum Schutz der personenbezogenen Daten im Rahmen des Drittlandtransfers, wie spezielle Verschlüsselungsmethoden etc.. Auch eine nunmehr – nach dem EuGH-Urteil Schrems II – notwendige „Transfer Impact Analyse“ (TIA) wäre damit nicht mit positivem Ergebnis darstellbar.

Haftung der Unternehmen bei Nutzung von WeChat

Die Haftung richtet sich danach, wer nach der DSGVO als „Verantwortlicher“ anzusehen ist. Es spricht vieles dafür, dass Unternehmen, die WeChat einsetzen, zusammen mit WeChat als gemeinsame Verantwortliche i.S.d. Art. 26 DSGVO anzusehen sind, wenn man eine Parallele zu der EuGH Rechtsprechung zur Facebook-Fanpage zieht. In der Konsequenz wären die Handlungen von WeChat den Unternehmen, die WeChat nutzen zuzurechnen.

Der Einsatz von WeChat würde daher sehr wahrscheinlich einen Verstoß gegen Art. 25 Abs. 1 und Art. 32 DSGVO darstellen. Danach muss der Verantwortliche schon bei der Auswahl der Verarbeitungsmittel die Wahl dahingehend treffen, dass unter Verwendung des Verarbeitungsmittels die DSGVO eingehalten werden kann. Die Auswahl von WeChat stellt mit hoher Wahrscheinlichkeit einen Verstoß gegen diese Pflicht dar.

Datenschutzkonformität gleich Null

Die datenschutzrechtlichen Probleme und Risiken, die bei Nutzung von WeChat im Unternehmen auf die Betroffenen als auch auf die Verantwortlichen zukommen, sind immens. Zum einen widerspricht die regelmäßige Übermittlung von Daten aus dem Kontaktbuch und der Datenabgleich durch WeChat den Datenschutzgrundsätzen der DSGVO. Zum anderen wird mit WeChat ein Diensteanbieter ausgewählt, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen ist.

Demnach sprechen nicht nur der unkontrollierte Abfluss von Daten nach China und Haftungsgesichtspunkte des verantwortlichen Unternehmens für die Nutzung einer Alternative.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Beim copy-Paste von Artikel sollte man mindestens die Namen vollständig ersetzen (hier Facebook Connect durch Wechat :-) Einfach peinlich, aber man sieht durch das ganzes Artikel dass es sich allein auf Vermutungen und Behauptungen basiert. Deutsche Besserwissenheit pur

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.