WhatsApp ist trotz wachsender Konkurrenz immer noch der weitverbreitetste Messenger. Viele Privatpersonen nutzen die App auch im Job. Aber darf ich das überhaupt? Auf diese überaus beliebte Frage gibt es leider keine einfache Antwort. Wir versuchen, etwas Aufklärung zu bringen.

Disclaimer: Zur thematischen Klärung beschreiben wir im Folgenden gesetzliche Regelungen. Wir müssen darauf hinweisen, dass wir keine Juristen sind und unsere Ausführungen daher nicht den Status einer Rechtsberatung haben. Wir tragen lediglich recherchierte Informationen zusammen und weisen auf Zusammenhänge hin. Da wir zur Verständlichkeit ebenfalls Sachverhalte stark simplifizieren, können bestimmte Details unpräzise formuliert sein.

 WhatsApp – Welches von wem für was genutzt?

Die Frage, ob man WhatsApp im Job nutzen darf, hängt davon ab, wie ich den Messenger nutze? Schreibe ich mit einem Kollegen? Tausche ich mich mit einem Kunden aus? Dient WhatsApp vielleicht sogar im Unternehmen als Kommunikationskanal? Mit einem klaren Ja oder Nein können wir daher leider nicht dienen.

Die relevanten Fragen beziehen sich jedoch in fast jedem Szenario auf den Datenschutz und die Konformität mit der Datenschutz Grundverordnung (DSGVO). Exklusiv darum soll es in diesem Blog auch gehen.

Um das Thema so einfach wie möglich herunter zu brechen, bewegen wir uns in kleinen Schritten mit stark simplifizierten Erklärungen Richtung klärender Antwort. Auch hier noch einmal der Hinweis: Für eine sachkundig-verlässliche Antwort in Ihrem individuellen Fall müssten Sie definitiv Ihren Rechtsbeistand konsultieren.

Das Telefonbuch-Dilemma

Starten wir direkt mit dem prominentesten Problem: Jede WhatsApp-App hat die schlechte Angewohnheit, die Kontaktdaten des Smartphones auf die Server der App hochzuladen. Und zwar nicht nur einmal, sondern täglich. Und dabei kommt erschwerend hinzu, dass dabei natürlich auch Kontakte hochgeladen werden, die möglicherweise WhatsApp gar nicht nutzen.

Wenn wir DSGVO-konform sein wollten, müssten wir streng genommen vorher erst jeden dieser Kontakte aus dem Telefonbuch unseres Smartphones um Erlaubnis fragen oder wir bräuchten eine spezielle Rechtsgrundlage. Im Privaten können wir das vernachlässigen – gleich mehr. Im Beruflichen ist dies ein absolutes Ausschlusskriterium für die Konformität. Bevor wir hier weitermachen, müssen wir jedoch erst einmal die Frage klären, warum wir denn überhaupt „DSGVO-konform“ sein wollen bzw. müssen.

Warum DSGVO-konform?

Die Frage nach der Konformität mit der Datenschutz-Grundverordnung ist nur von Belang, wenn diese Verordnung eben auch zur Anwendung kommen. Logisch. Wenn es sich also um Angelegenheiten des Unternehmens handelt, gilt die DSGVO. Das können interne Abstimmungen, Dienstpläne, Projektarbeit oder der Austausch mit Kunden sein.

Wenn es freiwillig um persönliche und private Angelegenheiten geht, ist die DSGVO laut Art. 2, Abs. 2(3) nicht von Belang. Den Unterschied macht hier der „personenbezoge“ Charakter der Kontaktdaten.

Personenbezogen Daten und Ende-zu-Ende-Verschlüsselung

Wenn wir WhatsApp für Berufliches verwenden, nutzen wir gespeicherte Kontakte ja aus geschäftlichen Gründen. Und geschäftliche Kontaktdaten unterliegen den datenschutzrechtlichen Bestimmungen, wenn es sich um personenbezogene Daten handelt. Also alle Daten, die sich auf eine  identifizierbare,  lebende und natürliche Person beziehen.

Es hält sich hartnäckig die Meinung, dass durch die Ende-zu-Ende-Verschlüsselung des Messengers die Daten ja nicht mehr personenbezogen seien. Dieser Irrglaube übersieht, dass der Dienst ja auch IP-Adressen, Geo-Daten, Nutzungsprofile oder auch die Messenger-ID überträgt. Diese Daten fallen laut Art. 4, Abs.1  auch in die Kategorie der personenbezogenen Daten. Die Ende-zu-Ende-Verschlüsselung ist also kein Argument gegen den personenbezogenen Charakter der Daten.

Hochladen von Kontaktdaten

Einige werden sich jetzt vielleicht schon gefragt haben: Wieso hindere ich WhatsApp nicht daran, Kontaktdaten hochzuladen. Nun, während Facebook bereits eine Einstellungsmöglichkeit kennt, das Hochladen von Kontaktdaten zu verhindern (s. hier), ist WhatsApp in dem Punkt noch gänzlich uneinsichtig.

Der Messenger beteuert zwar, dass die Kontaktdaten mit keiner anderen Meta-Plattform geteilt werden, spielt aber bei der Erlaubnis den Ball zurück an den Nutzer. In den „Informationen zum Hochladen von Kontaktdaten“ erläutert WhatsApp, dass der Nutzer selber einstellen kann, ob er/sie das Hochladen zulässt. Liest sich wie eine Funktion der App, gemeint sind jedoch die Einstellungsmöglichkeiten des individuellen Gerätes.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Trennung von Privat und Geschäft

Nach diesen stark vereinfachten Vorbemerkungen sollte klar sein, dass die Nutzung der privaten WhatsApp-App im Job nicht DSGVO-konform sein kann. Es sollte daher auf jeden Fall zunächst eine Trennung von Privat und Job stattfinden. Genau genommen verbietet WhatsApp selber eine berufliche Nutzung des Basis-Messengers: Unter „Rechtmäßige und zulässige Nutzung (f)“ der AGB schließt der Dienst „nicht private Nutzungen“, soweit nicht ausdrücklich erlaubt, aus.

Die einfachste Lösung für die Trennung wäre eine eigenes Device, also ein eigenes Smartphone oder Tablett, für die geschäftliche Kommunikation zu nutzen. Auf jeden Fall wäre eine geschäftliche SIM-Karte ratsam, auf der dann ausschließlich die Kontakte aus dem beruflichen Umfeld gespeichert sind.

Um hier einer datenschutzrechtlichen Konformität so nahe wie möglich zu kommen, sollten diese Kontakte natürlich auch bereits bei WhatsApp sein. Denn laut DSGVO Art. 6, Abs. 1-f kann die beidseitige Nutzung des Messengers als stillschweigendes Einverständnis aus Gründen des gemeinsamen Interesses gewertet werden. Trotzdem sollte der Erstkontakt seitens des Kunden stattfinden.

Greifen wir noch einmal einen vorherigen Hinweis auf: In der Kontaktliste des privaten Smartphones wird es zweifelsohne Kontakte geben, die gar nicht bei WhatsApp registriert sind. Diese Kontakte hätten ein legitimes Klagerecht, wenn der private Messenger im Job genutzt würde.

WhatsApp-Business: Die unbedenkliche Lösung?

Seit 2018 bietet die Meta-Tochter auch eine Business-Lösung an, welche vorgibt, datenschutzrechtlich einwandfrei zu sein. Was der Dienst faktisch anbietet, sind zwei Optionen: Eine Business-App und eine Business-API.

Die Business-App richtet sich eher an kleine und lokale Unternehmen und verfügt über verschiedene nützliche Features, die im Kundenaustausch hilfreich sein können. Die App ermöglicht es Kleinunternehmern vor allem, sich auf WhatsApp zu präsentieren. Beispielsweise mit der Katalogfunktion.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Sie unterscheidet sich aber in der Handhabung der Datenverwaltung nicht von der „normalen“ WhatsApp-App. Ergo ändert die Business-App nichts an der DSGVO-Konformität, an welche wir uns nur durch eine eigene SIM oder ein separates Gerät mit ausschließlich Kunden- und anderen Berufskontakten weitestgehend annähern können (s.o.). Schauen wir uns also die Business-API an.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

WhatsApp-Business-API – Sicherheit aus der Cloud?

Mit der Business-API bietet der Messenger-Dienst eine Lösung, die durchaus DSGVO-Konformität ermöglicht. Dafür benötigt die API-Lösung allerdings einen Unternehmens-Account, welchen der Kunde bei einem Drittanbieter (WhatsApp Business Solution Provider) erstellen muss. Später ist es noch erforderlich, diesen durch Facebook bzw. WhatsApp zwecks Inbetriebnahme zu verifiziert. Mit der im Mai veröffentlichten Cloud API ermöglicht der Messenger-Dienst noch leichter die Integration in die Backend-Systeme der Kunden und geht damit noch weiter auf große Kunden ein.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Im Gegensatz zur Business-App ist die API kein kostenfreier Service. Für große Kunden wie beispielsweise BMW eröffnet diese Lösung aber wirklich einen Weg, der datenschutzrechtlich unbedenklich die Nutzung von WhatsApp ermöglicht. Die API-Lösung ist jedoch auf den Austausch mit Kunden ausgelegt, also für den Customer-Service. Für die interne Mitarbeiterkommunikation wird diese Lösung auch nicht empfohlen.

Juristische Informationen und die ganze Weite des Komplexes

Die Recherche umfasste viele Verordnungen und zahlreiche Fachbeiträge von Juristen, welche sich oftmals gegenseitig widersprochen haben. Wenn es aber einen Punkt gab, in dem sich alle einig waren, dann war es die Ansicht, dass WhatsApp nicht endgültig datenrechtskonform verwendet werden kann. Eine Ausnahme bildet die Business API, aber hier haben wir es auch mit einem komplett anderen System zu tun.

Mit diesem Beitrag haben wir auch nur an der Oberfläche gekratzt, denn der Komplex geht viel tiefer: WhatsApp sendet Kontaktdaten auf Server in die USA, sie verlassen also den EU-Raum, was eigentlich an weitere Bedingungen geknüpft ist.

Der IT-Rechtsanwalt und Vorsitzende der Arbeitsgemeinschaft IT-Recht, Karsten Bartels, weist zudem darauf hin, dass wir in der Regel eben nur über die datenschutzrechtliche Warte sprechen. Dabei gibt es bei der Nutzung auch noch weitere rechtliche Ansatzpunkte, wie beispielsweise das Arbeitsrecht oder das Vertragsrecht, welche die Thematik abermals komplexer machen würden.

Zudem muss jedes Unternehmen selber abwägen, ob es geschäftliche Informationen über diesen Messenger teilen möchte: Mit den laufenden Back-ups werden auch Geschäftsinterna, Listen oder Dateien, die eigentlich vertraulich sein sollten, an WhatsApp hochgeladen.

Fazit

Auch wenn die datenschutzrechtliche Konformität von WhatsApp selbst im geschäftlichen Bereich auf tönernen Füßen steht, heißt das nicht den unmittelbaren Ausschluss oder eine zwingende rechtliche Konsequenz. Beim Kontakt mit einem einzelnen B2B-Kunden oder einem formlosen Austausch mit einem Kollegen oder einer Kollegin ist es unwahrscheinlich, dass diese Grauzonen-Kommunikation über den Messenger zu ernsten Konsequenzen führt.

Kleinunternehmen, welche die Business-App im B2C-Bereich nutzen möchten, müssen sich zwingend mit den Tricks und Kniffen auseinandersetzen, um datenschutzrechtlich sauber zu bleiben. Arbeitgeber, die ihre Mitarbeiter zur Nutzung zwingen möchten, müssen nach § 26 BDSG sehr überzeugend darlegen, wieso dieser Messenger alternativlos ist – meistens gelingt das nicht.

Die einzige Empfehlung, die wir geben können: Wenn Sie beabsichtigen, abseits der API WhatsApp für die geschäftliche Kommunikation zu nutzen, sollten Sie sich dringend juristische Expertise in Ihrem individuellen Fall holen. Und selbst dann wird nicht jeder schattige Winkel endgültig geklärt sein.

Artikelbild: LoboStudioHamburg / pixabay

Blog Business Rechtliches

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht.