Die Nutzung von WhatsApp in Unternehmen ist immer wieder ein kritischer Punkt aus datenschutzrechtlicher Betrachtung. Das eigentliche Problem liegt hier in der Synchronisation der Kontaktbücher durch die amerikanische App.
Die Zustimmung in die Datenverarbeitung
Doch beginnen wir am Anfang. WhatsApp ist ein Telekommunikationsdienst, der von der WhatsApp Inc. betrieben wird. Die WhatsApp Inc. ist ein Tochterunternehmen von Facebook. Zwischen diesen beiden Firmen findet ein Datenaustausch statt.
Als Nutzer von WhatsApp werde ich darüber aufgeklärt und stimme dem zu. Aus Sicht der EU-DSGVO ist zumindest diese Hürde genommen.
Ich kann also davon ausgehen, dass jemand der diesen Dienst nutzt, auch der Datenverarbeitung durch WhatsApp zugestimmt hat (nachzulesen in den Nutzungsbedingungen von WhatsApp).
WhatsApp datenschutzkonform nutzen:
Stellt die Nutzung von WhatsApp eine Auftragsverarbeitung dar?
Man kann sich die Frage stellen, ob die Nutzung von WhatsApp eine Auftragsverarbeitung darstellt. Die Auftragsverarbeitung ist dadurch gekennzeichnet, dass der Auftraggeber personenbezogene Daten zu eigenem Zweck und nach eigener Weisung verarbeiten lässt. Dies ist bei der Nutzung von WhatsApp nicht der Fall. Zum einen verarbeitet WhatsApp die Daten auch zu eigenen Zwecken, zum anderen arbeitet das Unternehmen nicht auf Weisung des Auftraggebers. Dies wird deutlich, wenn man sich vorstellt, dass ein Kunde die Löschung der personenbezogenen Daten verlangt und das Unternehmen sich nun an WhatsApp richtet um dort die Löschung des Kunden zu erwirken. In dieser Situation undenkbar - im Bereich Lettershop und Marketing gang und gäbe.
WhatsApp ist also als eigene verantwortliche Stelle zu betrachten - erfüllt diese denn das angemessene Datenschutzniveau. Zumindest ist die WhatsApp Inc. Teilnehmerin im Privacy Shield und hat dementsprechend gültige Garantien.
Zusammenfassend: Ist ein Kunde bereits bei WhatsApp hat er der Datenübertragung zugestimmt und wenn er per WhatsApp kontaktiert werden möchte, kann ich dies als Unternehmen auch tun.
Der Datenschutzsuper-GAU:
Personen, die kein WhatsApp nutzen
Kommen wir also zum eigentlichen Problem: Personen, die WhatsApp nicht nutzen.
Von diesen haben wir keine Einwilligung der Datenübertragung an WhatsApp. WhatsApp greift aber alle Kontakte aus dem Adressbuch ab und synchronisiert diese mit dem eigenen Service. Es ist also sicherzustellen, dass im Unternehmen nur Kontakte im Adressbuch gespeichert werden, die einer Nutzung Ihrer Daten durch WhatsApp zustimmen. Alternativ - ich kann verhindern, dass WhatsApp mein Adressbuch liest.
Zweiteres erreiche ich bei Android Geräten dadurch, dass ich die geforderten Berechtigungen nicht gebe. Dann kann ich WhatsApp aber auch nur für eingehende Chats nutzen.
Natürlich bieten hier auch Mobil Device Managementsysteme Lösungen um Kontakte zu trennen und einen sicheren Firmenbereich einzurichten.
Eine weitere Alternative gerade im Firmenumfeld ist, Microsoft Outlook zu nutzen. Hier kann die Funktion der Synchronisierung der Kontakte in das Adressbuch abgeschaltet bzw. einfach nicht eingeschaltet werden. Die Kontakte werden so nur adhoc vom Exchange Server abgerufen und gelangen nicht auf das Telefon. Neben Microsoft Outlook gibt es noch mehr datenschutzfreundlichere WhatsApp-Alternativen. 7 weitere WhatsApp-Alternativen finden Sie hier.
Maximilian Kindshofer
