19. Januar 2019

Sind WhatsApp und Messenger DSGVO Konform? Das sollten Sie wissen!

Auf immer mehr Firmenhandys werden Messenger wie WhatsApp mit großer SelbstverstĂ€ndlichkeit genutzt. Die Vorteile fĂŒr viele GeschĂ€ftsmodelle liegen auf der Hand: So lĂ€sst sich beispielsweise der Kundenservice digitalisieren und die Reaktionsgeschwindigkeit deutlich erhöhen. Angesichts der neuen und strengeren Datenschutz Grundverordnung stellt sich aber die Frage: DĂŒrfen die genannten Programme ĂŒberhaupt auf einem Firmenhandy installiert sein? Welche datenschutzrechtlichen Problemfelder sind zu beachten?

Die Möglichkeiten der Digitalisierung vor dem Hintergrund des verschÀrften Datenschutzes

Zweifelsohne stellt die professionelle Digitalisierung hohe Anforderungen an Unternehmen. Kundendaten und Informationssicherheit sind wichtige GĂŒter geworden, die einen unmittelbaren Einfluss auf Image und Reputation eines Unternehmens haben. Mehr noch: Wer sich nicht an den verschĂ€rften Datenschutz hĂ€lt, riskiert teils sehr empfindliche Bußgelder. Übrigens sind von potenziellen VerstĂ¶ĂŸen gegen den geltenden Datenschutz alle Messengerdienste betroffen. Neben den genannten Diensten rĂŒcken ferner Skype, iMessage und Ă€hnliche Programme in den Fokus. Unternehmen sollten prĂŒfen, welche Programme auf dem Mitarbeitersmartphone installiert sind. Dieser Beitrag wird zeigen, welche Problemfelder es mit Blick auf verschĂ€rfte Datenschutzrichtlinien gibt.

Das Kernproblem betrifft die Übermittlung von personenbezogenen Daten

Seit der EinfĂŒhrung der DSGVO herrschen strengere Regeln in Bezug auf die Übermittlung personenbezogener Daten. Sofern von Unternehmensseite aus der Zugriff auf Kundendaten möglich ist, muss Artikel 28 der Datenschutzverordnung beachtet werden. Dort wird die so genannte Auftragsdatenverarbeitung (AV) geregelt. Die Nutzung von Messengerdiensten fĂŒr eine berufliche TĂ€tigkeit muss konform mit den Regelung der Verordnung sein. Dies wird in den meisten geschĂ€ftlichen FĂ€llen aber nicht gesetzeskonform geschehen können. Es zeigen sich folgende Probleme bei der Übermittlung von personenbezogenen Daten:

1. Zugriff auf Kontaktdaten

Aus Sicht des Datenschutzes ist WhatsApp angreifbar, da das Programm den Zugriff auf Kontaktdaten nutzt. Dies betrifft alle Daten aus dem Adressbuch eines Smartphones und geht so weit, dass diese Daten auch an andere Partner im Unternehmensverbund von Facebook ĂŒbermittelt werden.

2. Grenzenlose Übermittlung von Daten ohne Zustimmung

In der Datenschutzrichtlinie wird offen darĂŒber gesprochen, dass Daten auch in die USA oder andere LĂ€nder ĂŒbermittelt werden können. Somit ist keinesfalls klar, was wo mit Daten nach dem Zugriff auf das Adressbuch geschieht. Dies ist mit den neuen Datenschutzrichtlinien keinesfalls vereinbar. In einem solchen Fall mĂŒssen geeingete Garantien, z.B. eine Privacy-Shield-Zertifizierung nachgewiesen werden.

3. Inhalt der gesendeten Nachrichten

Datenschutzrechtlich sehr heikel fĂŒr Unternehmen sind die Inhalte der Nachrichten selbst. Neben Standortdaten und Texten rĂŒcken Fotos in den Fokus. Da WhatsApp solche Daten nutzt, mĂŒsste jeder Unternehmer in der Praxis dafĂŒr sorgen, bei allen Kontakten von Mitarbeitern auf dem Firmen Smartphone eine Einwilligung fĂŒr die Datenverarbeitung einzuholen. Dies erscheint rein organisatorisch, aber auch technisch, nur sehr schwer umsetzbar. Denn abgesehen von geschĂ€ftlichen werden sich auch private Kontakte auf dem Smartphone von Mitarbeitern befinden.

4. Auftragsverarbeitung

Es handelt sich bereits um eine Auftragsverarbeitung, wenn Daten via Messenger an den Server des Anbieters geschickt werden. Sofern es sich um personenbezogene Daten handelt, liegt eine Auftragsverarbeitung vor. GemĂ€ĂŸ Artikel 28 DSGVO ist hierfĂŒr ein Vertrag fĂŒr die Auftragsverarbeitung notwendig. Rechtlich problematisch ist, dass Facebook einen solchen Vertrag ĂŒberhaupt nicht fĂŒr die Auftragsverarbeitung anbietet. Wie sollen Unternehmen dann in Bezug auf Datenschutzrichtlinien allen Verpflichtungen nachkommen können?

5. Problemfeld der fehlenden ‚Ende zu Ende VerschlĂŒsselung

Aus datenschutzrechtlicher Sicht sind die genannten Programme schon deshalb nicht geeignet, weil sie keine verlĂ€ssliche Ende zu Ende VerschlĂŒsselung ermöglichen. Nötig wĂ€re es aber, zu jeder Zeit fĂŒr die Sicherheit von personenbezogenen Daten zu sorgen. Bei der Nutzung dieser populĂ€ren Kommunikationsdienste gibt es also Variablen, die sich der eigentlich notwendigen Kontrolle entziehen. Das macht die geschĂ€ftliche Nutzung von Messengerdiensten aus Sicht des Datenschutzes sehr angreifbar.

Fazit und mögliche Lösungen fĂŒr eine zeitgemĂ€ĂŸe Unternehmenskommunikation

Es lĂ€sst sich festhalten, dass die Nutzung der genannten Dienste im geschĂ€ftlichen Kontext mit Blick auf geltende Datenschutzrichtlinien nur sehr eingeschrĂ€nkt ist bzw. an hohe Anforderungen gekoppelt ist. Insofern ist eine rechtskonforme Nutzung momentan fast nicht möglich. Konkret fehlt es in der Praxis an Möglichkeiten, einen Auftragsverarbeitungsvertrag abschließen zu können. Allein aus organisatorischen GrĂŒnden scheint es unmöglich zu sein, von sĂ€mtlichen gespeicherten Kontakten eine EinverstĂ€ndniserklĂ€rung einzuholen.

In vielen Unternehmen besteht akuter Handlungsbedarf

Unternehmen, die alle datenschutzrechtlichen Anforderungen erfĂŒllen wollen, mĂŒssen sich detailliert um die Konfiguration von Firmenhandys kĂŒmmern. Alternativ können funktionale Sicherheits-Apps wie Sandboxes oder auch DSGVO-konforme Dienste wie Threema Work eingesetzt werden. Zudem gibt es Anbieter, die die Form eines Newsletters fĂŒr die Kommunikation mit einem Messengerdienst als datenschutzrechtlich konform zugĂ€nglich machen. Hierbei wird mit der expliziten Einwilligung von Betroffenen geworben. In jedem Fall sollten Unternehmen es nicht bei der aktuellen IST-Situation belassen. Im schlimmsten Fall drohen hohe Bußgelder und ein irreparabler Imageschaden. Eine Ausgangsanalyse muss zeigen, welche Dienste im welchem Umfang geschĂ€ftlich von Mitarbeitern genutzt werden. Erst danach wird Handlungsbedarf konkret sichtbar.