WhatsApp ist noch immer der beliebteste Messenger in Deutschland. Mit seinem Platz Nummer 1 als Marktführer steigt die Tendenz die Messenger-App auch in Unternehmen einzusetzen. Dass ein solcher Einsatz mit erheblichen datenschutzrechtlichen Sicherheitsrisiken verbunden ist, dürfte aufgrund der negativen Schlagzeigen um WhatsApp nicht überraschend kommen. Die größten Risiken für den Einsatz von WhatsApp in Unternehmen werden in diesem Artikel aufgezeigt.
Der Inhalt im Überblick
Nutzung des Messengers im Unternehmen
WhatsApp ist noch immer der deutliche Marktführer unter den Onlinemessenger-Diensten. Laut einer Veröffentlichung der Bundesnetzagentur vom Dezember 2021 nutzen 88% der deutschen Bevölkerung regelmäßig Onlinemessenger zur Kommunikation, von ihnen insgesamt 93% den Messenger-Dienst WhatsApp. Die beinahe schon lückenlose Verbreitung von WhatsApp machen sich mittlerweile auch viele Unternehmen zunutze: Ob für die unternehmensinterne Kommunikation zwischen Angestellten oder für die Kommunikation mit Kunden und anderen Geschäftspartnern. Mittlerweile vertreibt der Messenger-Dienst sogar eine Business Variante der App, die für den Einsatz in Unternehmen entwickelt wurde. Ob in der Standardversion oder Business-Version: Ist ein datenschutzkonformer Einsatz in Unternehmen überhaupt möglich?
WhatsApp und Datenschutz: War da nicht etwas?
Vielen dürfte das kalifornische Unternehmen WhatsApp Inc. als Tochtergesellschaft des ehemaligen Mutterkonzerns Facebook (jetzt Meta) bekannt sein. In Erinnerung dürfte auch geblieben sein, dass das Unternehmen in der Vergangenheit das zweithöchste Bußgeld in der Geschichte der DSGVO kassiert hat. Was den Datenschutz angeht hat sich das Unternehmen nicht gerade mit Ruhm bekleckert. Im 25. Datenschutzbericht der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW 2020 (S. 51 f.) wird empfohlen
„von einer Kommunikation über WhatsApp für dienstliche Zwecke generell abzusehen.“
Das sollte Unternehmer erst einmal zum Nachdenken bringen, wenn es um den dienstlichen Einsatz des Messenger-Dienstes geht. Ohnehin richtet sich WhatsApp in erster Linie an private Nutzer, zumindest in seiner Standardversion. Mittlerweile gibt es die App aber auch in einer Business Version, die wir auch noch kurz unter die Lupe nehmen werden.
WhatsApp in seiner Standardversion: datenschutzrechtliches Sicherheitsrisiko?
Die meisten der Nutzer verwenden WhatsApp zur Kommunikation mit Freunden oder der Familie. Diese rein private Nutzung fällt schon nicht in den sachlichen Anwendungsbereich der DSGVO (Art. 2 Abs. 2 lit. c DSGVO).
Anders sieht es aus, wenn in einem Unternehmen Angestellte untereinander oder mit Kunden über den Messenger-Dienst kommunizieren. Zwar können sich Kolleginnen und Kollegen über WhatsApp zur privaten Grillfeier einladen oder Bilder von ihren Sommerurlauben austauschen. Aber bei betrieblichen Angelegenheiten, wie einer morgendlichen Krankmeldung oder dem Austausch von Dienstplänen ist schnell der sachliche Anwendungsbereich der DSGVO eröffnet. Für Arbeitgeber hat dies weitreichende Konsequenzen – nicht nur dann, wenn der Einsatz von WhatsApp betrieblich angeordnet wird. Das bloße Billigen von WhatsApp als betrieblicher Kommunikationskanal kann den Arbeitgeber schnell in die Rolle des Verantwortlichen rücken lassen – mitsamt all den dazugehörigen Pflichten. Zeit, sich einige der damit verbundenen Fragen genauer anzusehen.
Weshalb benötigt WhatsApp Zugriff auf das Telefonbuch?
Beim Installieren der App müssen Nutzer nicht nur den Datenschutzeinstellungen zustimmen. Sie müssen auch sämtliche Zugriffsberechtigungen erteilen, u.a. auf das abgespeicherte Telefonbuch. Wird der Zugriff genehmigt, beginnt WhatsApp mit der Synchronisation des gesamten Adressbuchs. Der Abgleich mit den dort gespeicherten Daten dient dazu den Nutzern anzeigen zu können, welche ihrer gespeicherten Kontakte ebenfalls WhatsApp nutzen.
Dabei werden aber nicht nur Telefonnummern von WhatsApp-Nutzern an die Server übermittelt, sondern auch Telefonnummern und Namen solcher Kontakte, die selbst gar kein WhatsApp nutzen. Jegliche private und geschäftliche Kontakte wären davon betroffen, je nachdem, wie die (Dienst-)Handy-Regelung in einem Unternehmen aussieht. In welchen Intervallen diese Synchronisation erfolgt verrät das Unternehmen nicht; in der Privacy Policy wird sie nur „Regelmäßiges Identifizieren“ genannt. Das heikle an der ganzen Sache: die Kontakte haben in aller Regel keine Einwilligung zur Übermittlung ihrer Telefonnummer an WhatsApp erteilt.
In einem Beschluss aus dem Jahre 2017 (Az. F 120/17 EASO) entschied das AG Bad Hersfeld:
„Wer durch seine Nutzung von „WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“
Zwar lässt sich der Zugriff auf das Adressbuch auch wieder entziehen. Nutzer können WhatsApp dann aber nur noch eingeschränkt, faktisch eigentlich gar nicht mehr nutzen, da es ihn nicht möglich ist, von selbst eine Konversation zu beginnen.
Wohin gehen die Daten?
WhatsApp Inc. ist ein US-amerikanisches Unternehmen mit Hauptsitz in Kalifornien. Die Server des Unternehmens befinden sich ebenfalls in den USA, dort werden die Daten der Nutzer verarbeitet. Bei den USA handelt es sich um ein Drittland ohne erforderlichen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO). Jedweder Drittlandtransfer stellt zunächst einmal ein Risiko dar.
Zwar verwendet WhatsApp eine Ende-zu-Ende-Verschlüsselung. Dass diese nicht so sicher ist, wie ihr Name vermuten lässt, haben wir bereits in einem weiteren Artikel ausführlich dargestellt. Außerdem bezieht sich die Verschlüsselung nur auf die versendeten Nachrichten und Inhalte. Alle weiteren Daten, die WhatsApp sammelt, wie Metadaten werden nicht verschlüsselt an den Mutterkonzern Meta Platforms Inc. weitergegeben. Diese wertet die Daten zu Profilbildungszwecke aus.
Zu welchem Zweck werden die Daten verarbeitet?
WhatsApp verarbeitet die Daten, um sie an weitere Meta-Unternehmen weiterzugeben. Darüber schweigt das Unternehmen nicht in seiner Privacy Policy. Der Mutterkonzern Meta möchte wiederum an die Daten, um sie zu Profilbildungszwecken zu nutzen. Diese sollen unter anderem zu Werbezwecken weiterverarbeitet werden. In welchem Umfang eine Datenauswertung stattfinden und welche konkreten Zwecke das Unternehmen tatsächlich verfolgt bleibt bei der ganzen Sache jedoch offen. WhatsApp liefert keine genaueren Informationen. Eine „Eingrenzung“ der Verarbeitungszwecke findet nur oberflächlich statt.
Sollte sich ein Unternehmen entscheiden WhatsApp in seiner Standardversion einzusetzen, wird es schwierig, wenn nicht sogar unmöglich die jeweils Betroffenen transparent und präzise i.S.d. Art. 13 und 14 DSGVO zu informieren.
Fazit: WhatsApp in seiner Standardversion
Die aufgeführten Punkte ließen sich noch zahlreich erweitern, sprengen jedoch den Umfang dieses Artikels. Die mit dem Einsatz der Standardversion einhergehenden Risiken und Bedenken sollten einen Einsatz von WhatsApp zur unternehmensinternen und -externen Kommunikation im Ergebnis ausschließen. Darüber hinaus ist eine „nicht-private Nutzung“ der Standardversion in den Nutzungsbedingungen von WhatsApp ohnehin unzulässig. Ob WhatsApp Business eine datenschutzkonforme Lösung bietet?
WhatsApp Business: Die Lösung?
Seit 2018 bietet WhatsApp eine zusätzliche Version für Kleinunternehmen an, WhatsApp Business. Damit soll der geschäftliche Kontakt zu Kunden über den Messenger-Dienst ganz einfach verlaufen. Wie auch die Standard-Version des Messengers ist WhatsApp Business für Kleinunternehmen kostenlos. Die WhatsApp Business Cloud API, die sich an mittelständische und Großunternehmen richtet, ist hingegen kostenpflichtig. Als Cloud-Lösung kann dieses Tool u.a. in ein bestehendes CRM-System integriert werden und wird aufgrund seiner vielfältigen Funktionen hier nicht näher erläutert.
Vorweg sei zu sagen, dass WhatsApp Business sich von seinen Funktionen her wohl weniger für die unternehmensinterne Kommunikation eignet. In ihrer Business Version ist die App vielmehr zum (automatisierten) Kundenkontakt entwickelt worden. Lieferstatusmeldungen, begleitetes Online-Shopping und Supportnachrichten an Kunden sind einige der wesentlichen Funktionen der App. Wozu nun aber eine Business-Version der App? Werden die damit bereits aufgeführten datenschutzrechtlichen Bedenken beim Unternehmenseinsatz etwa beseitigt?
Vermeintliche Vorteile der Business App?
WhatsApp Business bietet das Erstellen eines Unternehmensaccounts an. Anders, als bei der Standardversion wird mit dem Herunterladen und Installieren ein Auftragsverarbeitungsvertrag (AVV) i.S.d. Art. 28 Abs. 3 DSGVO seitens WhatsApp zur Verfügung gestellt. Zunächst einmal etwas Erfreuliches, gerade, weil ein über die Weisungen hinausgehende Verarbeitung durch WhatsApp ausgeschlossen wird. Zumindest auf dem „Papier“…
Wirft man einen genaueren Blick auf den AVV, fällt auf, dass er sehr überschaubar gehalten ist. Zu vielen erforderlichen Inhalten des Art. 28 Abs. 3 DSGVO schweigen die „Datenverarbeitungsbedingungen“. Ob eine rein weisungsgebundene Verarbeitung auch tatsächlich stattfindet, wozu sich WhatsApp in seinem AVV verpflichtet, kann nicht sicher beantwortet werden.
Ebenso wie bei der Standard-Version synchronisiert WhatsApp Business das vorhandene Adressbuch des Nutzers mit den Daten der Server in den USA. Intern abgespeicherte Kundenkontakte werden damit ohne erforderliche Einwilligung an WhatsApp übermittelt, was zumindest bei den Kontakten ein Problem darstellen kann, welche selbst kein WhatsApp nutzen. Besser wäre es, die Möglichkeit der Kontaktaufnahme über WhatsApp frei zur Verfügung zu stellen, bspw. als eine Angabe von mehreren Kontaktmöglichkeiten auf der eigenen Webseite. Hier sollte der Kunde selbst den Kontakt zum Unternehmen via WhatsApp anstoßen müssen, um eine mutmaßliche Einwilligung annehmen zu können.
Kann WhatsApp nun also zumindest in der Business-Variante datenschutzkonform eingesetzt werden?
Wohl eher nicht… Zumindest wäre ein Einsatz mit vielen Risiken verbunden, denen sich das Unternehmen bewusst sein sollte. Noch immer handhabt WhatsApp das Thema Datenschutz intransparent und auch die Business-Variante scheint (derzeit) keine echte Lösung zu versprechen.
Zur unternehmensinternen Kommunikation sollte auf den Messenger-Dienst verzichtet werden. Dulden allein kann ggf. ausreichen, als Arbeitgeber in die Rolle des Verantwortlichen zu rutschen. Bei Betriebshandys empfiehlt sich daher durch technische Voreinstellungen die Installation des Messenger-Dienstes zu verhindern und stattdessen auf alternative, sichere Kommunikationsmöglichkeiten zurückzugreifen.
Demgegenüber lässt sich eine Nutzung durch Angestellte auf ihrem privaten Telefon nicht verhindern. Damit zwischen einem privaten Austausch keine betrieblichen Angelegenheiten diskutiert werden, sollten Angestellte auf das Datengeheimnis verpflichtet und auf das Thema hingewiesen werden. Anweisungen, die explizite Regelungen zum Umgang mit Messengern enthalten, können ebenfalls ein probates Mittel sein, Unachtsamkeiten im Arbeitsalltag zu vermeiden.
Ich würde sogar noch weiter gehen und selbst aus der Nutzung von WhatsApp keine Berechtigung ableiten, Daten derjenigen Nutzer*innen zu übermitteln. Nach meinem Verständnis gilt ganz oder gar nicht beim Adressbuchzugriff und mir fehlt ein wenig das Vertrauen, dass Meta sich hier über Gebühr beschränkt. Nur weil jemand WhatsApp nutzt, erlaubt er*sie damit nicht mir, den Klarnamen, die Adresse, das Geburtsdatum usw. Facebook und Co. zu offenbaren.
An einer Stelle muss ich jedoch korrigieren: Es ist sehr wohl möglich, ohne Adressbuchzugriff oder – als Brückenlösung naheliegender – dediziertem Gerät mit leerem Adressbuch, Unterhaltungen via WhatsApp zu beginnen. WhatsApp registriert einen App-Handle mit wa.me, d.h. wer auf einem Gerät mit WhatsApp (und ohne an den Berechtigungen herumgepfuscht zu haben) im Browser diese Adresse gefolgt von den Ziffern der internationalen Telefonnummer aufruft (also z.B. wa.me/4917012345678), der beginnt eine Unterhaltung mit der Nummer, ohne den Umweg über das Adressbuch zu nehmen. Es gibt auch kleine Tools (z.B. „Click to Chat“), die sich das zu nutze machen und ohne Browser Chats starten oder über Addons auch ermöglichen, z.B. verpasste Anrufe via WhatsApp zu kontaktieren.
So kann man auch testen, ob WhatsApp eine Nummer kennt, ohne schon deren Adressbuchdaten zu übermitteln, aber wie gesagt, das „rettet“ m.E. auch nicht sicher (s.o.).
Die Kommunikation bleibt dann schwierig, da man nur die Telefonnummern sieht. man kann sich mit den Kategorien-Tags der Business-Version behelfen, aber auf Dauer wird sicher niemand der penetranten Erinnerung von WhatsApp an die Synchronisation der Kontakte widerstehen können.
Was ohne Adressbuchzugriff wohl wirklich nicht funktioniert, ist neben der granularen Zugriffssteuerung (also z.B. Statusfreigabe nur für Kontakte oder dedizierte Accounts) das Erstellen von Gruppen oder Hinzufügen von Nutzern zu solchen.
Hallo, mich würde interessieren, wie es beim Einsatz in Unternehmen über die Whatsapp Business Cloud API aussieht. Einige BSP (Business Solution Provider) bieten diesen Service bereits an. Kann ich DSGVO-konform auch als Unternehmen direkt über die Whatsapp Business Cloud AP mit dem Kunden kommunizieren? Was muss hier beachtet werden?
Welche Vorkehrungen ein Unternehmen beachten muss, bevor es mit seinen Kunden über WhatsApp Business kommuniziert, hängt stark von Umständen des Einzelfalls ab, bspw. ob es sich um Verbraucher handelt, wer die erstmalige Kommunikation per WhatsApp anstößt, etc.
Bitte haben Sie Verständnis dafür, dass wir im Rahmen der Blogbeiträge keine Einzelberatung vornehmen können.
Sofern Sie bspw. die Lösung zur Versendung eines Newsletters verwenden möchten, haben wir bereits in einem weiteren Beitrag aus diesem Jahr über die Möglichkeiten berichtet: https://www.dr-datenschutz.de/newsletter-versand-per-whatsapp-ist-zu-beachten/