Aus der privaten Kommunikation ist WhatsApp l\u00e4ngst kaum mehr wegzudenken. Auch viele Unternehmen nutzen den Messenger-Dienst f\u00fcr ihre allt\u00e4gliche Kommunikation mit Kunden. Datenschutzrechtlich unbedenklich ist dies aber nicht \u2013 denn die DSGVO stellt hohe Anforderungen an die Nutzung von WhatsApp im Unternehmenskontext.<\/p>\n
M\u00f6chten Sie im Unternehmen WhatsApp f\u00fcr die gesch\u00e4ftliche Kommunikation nutzen, liegt der Datenschutz nicht nur in der Verantwortung des Messengers, sondern auch in Ihrer \u2013 denn im Sinne der DSGVO verarbeitet WhatsApp die Daten Ihrer Kunden in Ihrem Auftrag.<\/p>\n
WhatsApp ist aufgrund seiner Nutzerzahl \u00e4u\u00dferst attraktiv, bringt aber erhebliche datenschutzrechtliche Herausforderungen mit sich.<\/p>\n
Auf Firmenhandys l\u00e4sst sich WhatsApp derzeit oft nicht datenschutzkonform einsetzen:<\/p>\n
Ein zentrales Problem ist die Adressbuchabfrage: Bei der Installation fordert die App die Zustimmung zur Weitergabe der Telefonnummern an WhatsApp. Dabei werden Daten der Kontakte \u00fcbertragen, auch wenn diese noch keinen WhatsApp-Account haben. Die Kontaktdaten werden dabei auf Servern von WhatsApp in den USA unverschl\u00fcsselt gespeichert und mit den Daten anderer Nutzer abgeglichen. Da zudem nicht ausgeschlossen werden kann, dass Kontakte im Adressbuch keinen WhatsApp-Account besitzen, bietet dieser automatisierte Upload eine gewisse datenschutzrechtliche Brisanz. Als Unternehmen m\u00fcssen Sie n\u00e4mlich f\u00fcr jeden einzelnen Kontakt eine Rechtsgrundlage f\u00fcr die \u00dcbermittlung der Daten vorweisen k\u00f6nnen. Es w\u00e4re daher erforderlich, von allen Kontakten im Vorfeld eine Einwilligung zur Weitergabe der Telefonnummer einzuholen.<\/p>\n
Bei jeder Kommunikation \u00fcber WhatsApp werden sogenannte Metadaten verarbeitet und unverschl\u00fcsselt an WhatsApp \u00fcbermittelt: Hierzu z\u00e4hlen neben der Telefonnummer auch diverse weitere Informationen wie Ger\u00e4teinformationen, Art und H\u00e4ufigkeit der Nutzung sowie IP-Adresse. WhatsApp kann somit jederzeit nachvollziehen, wer mit wem von welchem Standort \u00fcber welches Endger\u00e4t wie lange kommuniziert hat. Diese Metadaten sind dabei unstrittig von der DSGVO erfasst, da zumindest mittelbar mittels Zuordnung zu einer Kennung ein R\u00fcckschluss zu einer nat\u00fcrlichen Person m\u00f6glich ist (vgl. Art. 4 Nr. 1 DSGVO).<\/p>\n
Auch wenn die Inhalte der eigentlichen Nachricht verschl\u00fcsselt (Ende-zu-Ende-Verschl\u00fcsselung) \u00fcbertragen werden, sind die Backups regelm\u00e4\u00dfig nicht gesondert gesch\u00fctzt.<\/p>\n
F\u00fcr die Nutzung von WhatsApp auf Firmenhandys gilt: Ohne ausdr\u00fcckliche Einwilligung aller Kontakte ist eine datenschutzkonforme Nutzung schwierig.<\/p>\n
Eine m\u00f6gliche L\u00f6sung ist die Containerl\u00f6sung<\/b>:\u00a0 Hier werden dienstliche Daten in einem separaten Bereich gespeichert, sodass WhatsApp keinen Zugriff auf sensible Unternehmens- oder Kontaktdaten hat. Weiterhin kann bei Android und iOS die Weitergabe der Kontakte im Betriebssystem eingeschr\u00e4nkt werden. Das bedeutet, die Adressbuchabfrage kann deaktiviert werden, sodass keine Daten an WhatsApp \u00fcbertragen werden.<\/p>\n
M\u00f6glich ist auch, die automatische Kontakt-Synchronisation zu deaktivieren<\/b><\/p>\n
Weitere Ma\u00dfnahmen:<\/p>\n
Wenn sich Unternehmen bewusst f\u00fcr den Einsatz von WhatsApp als Kommunikationskanal entscheiden, dann ist allerdings eine Differenzierung n\u00f6tig.<\/p>\n
F\u00fcr den kommerziellen Gebrauch bietet WhatsApp eine L\u00f6sung: \u201eWhatsApp Business\u201c oder auch die \u201eWhatsApp Business Platform\u201c (ehemals Business API).<\/p>\n
\u201eWhatsApp Business\u201c ist Metas Angebot f\u00fcr kleine Unternehmen oder Einzelunternehmen. Zu beachten: die Metadaten der Nutzer (Telefonnummer, Standort, Ger\u00e4teinformationen, etc.) k\u00f6nnen hier durch WhatsApp eingesehen und f\u00fcr eigene Zwecke verwendet werden.<\/p>\n
Bei der WhatsApp Business Platform handelt es sich um eine Schnittstelle, die \u00fcber sogenannte \u201eWhatsApp Business Solution Provider\u201c (Anbieter von Unternehmensl\u00f6sungen) abgewickelt wird. \u00dcber die Nutzung solcher Drittanbieter \u2013 dem Business Solution Provider \u2013 k\u00f6nnen sodann Nachrichten versendet werden, die Speicherung der Kundendaten erfolgt ebenfalls beim Anbieter und nicht bei WhatsApp. Dies stellt die datenschutzrechtlich bessere L\u00f6sung dar.<\/p>\n
Die tats\u00e4chliche Datenschutzkonformit\u00e4t ist hier im Ergebnis abh\u00e4ngig von der Vertragsgestaltung mit dem Drittanbieter sowie der Implementierung der L\u00f6sung im eigenen Unternehmen.<\/p>\n
WhatsApp Channels oder Kan\u00e4le werden als \u201eBusiness Service\u201c von WhatsApp zur Verf\u00fcgung gestellt. Die Kan\u00e4le sind ein One-to-Many- Broadcast- Service, mit dem Unternehmen relevante und aktuelle Statusmeldungen teilen und somit von anderen Benutzern entdeckt und weiterverfolgt werden k\u00f6nnen. Der Vorteil dabei: die Nutzer bleiben anonym und teilen selbst keine Inhalte, bei denen u.a. auf Verschl\u00fcsselung geachtet werden muss.<\/p>\n