Keine Selfies mit Datenkraken

Die Nutzung von sogenannten Instant-Messangern (hauptsächlich WhatsApp) ist nun seit längerem in den Fokus der Behörden gelangt und wir möchten mit dem folgenden Text etwas Licht ins Dunkel der Hintergründe von Aussagen wie „WhatsApp darf von Firmen nicht mehr verwendet werden“ bringen. Das datenschutzrechtliche Problem ist nicht die eigentliche Kommunikation über den Dienst, sondern die Tatsache, dass WhatsApp bei der Installation auf den Geräten die gesamte Adressdatenbank an den in der USA ansässigen Dienst überträgt. Für diese Übertragung ist die Einwilligung der betroffenen Personen erforderlich. Allenfalls könnte man noch eine mutmaßliche Einwilligung annehmen, wenn der oder die Betroffene selbst WhatsApp installiert hat. Die AGBs von WhatsApp schreiben sogar vor, dass jeder Nutzer mit der Installation von WhatsApp bestätigt, die Einwilligung von seinen Kontakten eingeholt zu haben.
In den Fällen, in denen somit im Adressbuch auch Kontakte gespeichert sind, die selbst kein WhatsApp installiert haben, verstößt die Nutzung sicherlich gegen den Datenschutz (und auch gegen die AGB von WhatsApp, es sei denn, Sie haben tatsächlich von jedem betroffenen Nutzer eine Einwilligungserklärung). Dieser Punkt wird nun von deutschen Behörden und Gerichten auch immer mehr strikt vertreten.

Was können Sie tun?

Als Datenschutzbeauftragter muss ich Ihnen grundsätzlich dazu raten:

• Die Nutzung von WhatsApp im Unternehmen zu untersagt und auf eine
  datenfreundlichere Alternative ausweicht (beispielsweise Threema).
• Alternativ für WhatsApp nur Geräte zu verwendet, auf denen nur die Kontaktdaten gespeichert werden, von denen man Kenntnis hat, dass Sie selbst bei WhatsApp sind.
  Es ist jedoch klar, dass dies in vielen Fällen mit großen Nachteilen verbunden sein wird,
  da WhatsApp sehr weit verbreitet ist und teilweise auch von Kunden und Lieferanten als
  Kommunikationsmedium gewünscht wird. Man muss bedenken, dass die Reichweite der
  bisherigen behördlichen Aussagen zudem kaum abzusehen ist:
• Es gibt noch keine verlässlichen Aussagen von europäischen Instanzen
• WhatsApp könnte direkt eine Rechtskonformität herstellen, wenn man die Kontakte vor dem Upload in die USA einzeln anwählen könnte. Damit wäre es möglich bekannte „Nicht-WhatsApp-Nutzer“ vor einer Übertragung ihrer Daten zu schützen.

Wie geht es weiter?

Mit dem Problem steht jedoch nicht nur WhatsApp da. Viele Apps nutzen alle vorhandenen Kontaktdaten, um die Verbindung der Nutzer bereitstellen zu können. Angesichts der mittlerweile großen Verbreitung von WhatsApp bleibt es zu hoffen, dass der Hersteller bald eine bessere Steuerungsmöglichkeit der Übertragung der Kontaktdaten einführt und andererseits die Behörden einheitliche Leitlinien schaffen. Diese sollten gegenüber den Softwareherstellern und nicht gegenüber den Nutzern durchgesetzt werden.
In letzter Zeit bekam WhatsApp noch eine weitere Problematik hinzu: Wie bekannt wurde, kann die Muttergesellschaft Facebook die Nachrichten des Messenagers trotz der angegeben Verschlüsselung mitlesen.
(WhatsApp Business, Telekom)
Bei Rückfragen zu diesem Thema stehe ich natürlich gerne zur Verfügung.

Mit freundlichen Grüßen
Dominic Broy