Whatsapp und die DSGVO: Darf der Messenger auf dem Firmenhandy bleiben?

(65 Bewertungen, 3.31 von 5)

Worum geht's?

Die DSGVO brachte für Unternehmen viel Arbeit und neue Abläufe mit sich. Während die Umsetzung auf Webseiten und Online-Shops mittlerweile auf die DSGVO-Konformität hin ausgerichtet sein sollte, ist der Umgang mit anderen Instrumenten der Digitalisierung oft noch unklar. Sehr häufig Gegenstand von Diskussionen ist zum Beispiel die Nutzung von Whatsapp (oder auch anderen Messengerdiensten) auf dem Firmen- bzw. Diensthandy: Hier stellt sich die Frage, ob ein Messengerdienst nicht aufgrund der hohen Anforderungen durch die Datenschutzgrundverordnung zu einem rechtlichen Problem wird – gerade auch dann, wenn das Handy sowohl für dienstliche als auch für private Zwecke genutzt wird.

1. Datenverarbeitung und die DSGVO

Wenn es um die Nutzung von Messengerdiensten im Rahmen der beruflichen Tätigkeit geht, dann betrifft dies in erster Linie die Regeln zur Datenverarbeitung. Diese ist durch die DSGVO nun strengeren Regelungen unterworfen und hat insbesondere bei den personenbezogenen Daten eine deutliche Verschärfung der gesetzlichen Bestimmungen erfahren.

Wenn Sie als Unternehmer Zugriff auf die Daten Ihrer Kunden oder User haben, sind die Vorschriften aus Art. 28 DSGVO einschlägig und ein gesonderter Vertrag nötig: Nur so ist rechtlich gewährleistet, dass eine Weitergabe bzw. Verarbeitung der Daten datenschutzrechtlichen Anforderungen genügt. Art. 28 DSGVOregelt die sogenannte Auftragsdatenverarbeitung (kurz: AV) und ersetzt damit den bis zur DSGVO gültigen § 11 des Bundesdatenschutzgesetzes (kurz: BDSG).

ÜBRIGENS

Die Auftragsdatenverarbeitung gem. Art. 28 DSGVO ist gerade dann wichtig, wenn Sie die personenbezogenen Daten Ihrer Kunden weitergeben und ein Zugriff durch externe Dienstleister bzw. andere Dritte möglich wird. Ein entsprechender Vertrag muss dann zwischen Ihnen und den externen Unternehmen geschlossen werden. Zusätzlich ist zudem die Einwilligung der Betroffenen erforderlich: Diese ist vor der Weitergabe einzuholen und sollte entweder schriftlich oder in einem elektronischen Format vorliegen.

2. Auf welche personenbezogenen Daten greift Whatsapp zu?

Die Regeln zur AV gelten nicht nur für die typischen Beispiele im Outsourcing wie zum Beispiel Gehalts- und Arbeitszeitabrechnungen, Wartung und Instandhaltung oder Marketing und Werbung: Die gesetzlichen Vorschriften gelten vielmehr auch dort, wo eine AV nicht sofort erkennbar ist.

Problematisch erscheint in diesem Zusammenhang die Nutzung von Anwendungen wie zum Beispiel Whatsapp. Der Messengerdienst erstellt als Anwendung eine Kontaktliste, indem er die auf dem Smartphone gespeicherten Nummern mit den Nummern abgleicht, die auf den Servern von Whatsapp abgelegt sind. Dabei werden aber ohne Ausnahme alle Nummern aus dem Adressbuch abgeglichen: Die App erhält somit Zugriff auf alle Nummern, die auf dem Smartphone gespeichert sind – und damit auch auf diejenigen Nummern von Personen, die die App nicht nutzen und nur als reine Kontakte geführt werden.

Aus datenschutzrechtlicher Sicht liegt dadurch bereits ein Zugriff auf personenbezogene Daten vor, denn: Art. 4 DSGVO definiert personenbezogene Daten als konkrete Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Ganz ohne Zweifel gehört die Telefonnummer (mobil oder als Festnetzanschluss) zu diesen Daten.

Die Anforderungen der DSGVO verlangen, dass Sie als Unternehmer einen entsprechenden Vertrag schließen – und zwar vor der Auftragsverarbeitung. Zusätzlich müssen Sie von Ihren Kontakten die Einwilligung zur Weitergabe der Daten an Whatsapp Inc. einholen. Nur, wenn diese Voraussetzungen erfüllt sind, ist die berufliche Nutzung von Whatsapp als DSGVO-konform einzustufen.

Sören Siebert
Sören SiebertRechtsanwalt

3. Welche personenbezogenen Daten gibt Whatsapp weiter?

Whatsapp greift nicht nur selbst auf Daten zu, sondern gibt diese auch weiter. In den Datenschutzbestimmungen des Unternehmens heißt es in Bezug auf die Weitergabe der durch Whatsapp erhobenen personenbezogenen Daten explizit:

„WhatsApp Inc. teilt Informationen weltweit, sowohl intern mit den Facebook-Unternehmen als auch extern mit Unternehmen, Dienstleistern und Partnern und außerdem mit jenen, mit denen du weltweit kommunizierst. Deine Informationen können für die in dieser Datenschutzrichtlinie beschriebenen Zwecke beispielsweise in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet werden.“

Die Datenschutzbestimmung beschränkt sich dabei nicht nur auf die Weitergabe der Daten an den Mutterkonzern Facebook Inc., sondern lässt durch die Formulierung offen, ob und in welchem Maß auch weitere Unternehmen an die Daten gelangen.

Auf europäischer Ebene ist aber durch Art. 6 DSGVO eine derartige Weitergabe von Daten ohne Einwilligung verboten. Auch hier besteht also bei der Nutzung von Facebook ein Konflikt mit den datenschutzrechtlichen Vorschriften aus der Datenschutzgrundverordnung – es sei denn, es liegt eine Einwilligung vor und ein entsprechender Vertrag zur Auftragsdatenverarbeitung.

4. Ist der Einsatz von Whatsapp in Unternehmen erlaubt?

Kommt Whatsapp im wirtschaftlichen Alltag zum Einsatz, ist ohne Zustimmung der Kontakte und einem Vertrag zwischen Whatsapp Inc. und dem Unternehmen der Einsatz des Messengerdienstes rechtlich nicht zulässig und verstößt gegen die Bestimmungen der Datenschutzgrundverordnung.

Die Problematik besteht übrigens nicht erst seit der DSGVO: Schon im Mai 2017 hatte das Amtsgericht Bad Hersfeld (AZ F 120/17 EASO) festgestellt, dass die Übertragung der Daten aus der Kontaktliste im Smartphone an Whatsapp gegen datenschutzrechtliche Vorschriften aus dem Bundesdatenschutzgesetz verstößt und Abmahnungen begründen kann.

5. Ist der Einsatz von Whatsapp durch Privatpersonen erlaubt?

Wer als Privatperson Whatsapp auf dem privaten Handy nutzt, ist auch weiterhin von den datenschutzrechtlichen Vorschriften der DSGVO befreit, denn: Die Datenverarbeitung für rein persönliche und familiäre Zwecke wird gem. Art. 2 II c) DSGVO nicht erfasst.

ACHTUNG 

Wer das Privathandy nicht nur für persönliche und familiäre Zwecke nutzt, sondern hierüber auch geschäftliche Interessen wahrnimmt, für den sind die Vorschriften der DSGVO uneingeschränkt bindend. Besonderes Augenmerk gilt hierbei Smartphones, die die Möglichkeit bieten, zwei oder sogar mehrere SIM-Karten parallel zu benutzen: Da Whatsapp die gesamte Kontaktliste mit den eigenen Servern abgleicht, werden hierbei automatisch auch die auf dem Telefon gespeicherten privaten Kontakte erfasst. Eine „gemischte“ Nutzung ist damit aus datenschutzrechtlichen Überlegungen heraus konsequent abzulehnen!

6. Alternativen: Einsatz von anderen Messengerdiensten in Unternehmen

Nicht nur Whatsapp, sondern auch andere Messengerdienste kommen bei der Kommunikation im Geschäftsalltag immer häufiger zum Einsatz. Sie haben sich als effizient erwiesen, verkürzen Entscheidungswege deutlich und ermöglichen den unkomplizierten Austausch von Daten und Bildern. Datenschutzrechtlich gibt es aber oft Probleme.

Problem 1: Zugriff auf Telefonbuchdaten

Viele kostenlose Messenger-Apps greifen ebenfalls ungefragt auf alle Telefonbuchdaten des Smartphones zu und scheidet damit als DSGVO-konforme Alternative oft aus.

Problem 2: Keine Ende zu Ende Verschlüsselung

Viele Messenger wie etwa der von Facebook bieten keine echte Ende zu Ende Verschlüsselung und sind damit datenschutzrechtlich ebenfalls ungeeignet.

Problem 3: Anonyme Nutzung oft nicht möglich

Die meisten Messenger erlauben keine Anonyme Nutzung, es werden stets automatisch viele personenbezogene Daten, Standortdaten usw. Gespeichert, obwohl diese für die eigentliche Funktion oft gar nicht notwendig wären.

Wer Messengerdienste datenschutzkonform für das eigene Unternehmen einsetzen möchte, der sollte diese unter Datenschutzaspekten genau analysieren: Alternativen wie zum Beispiel der kostenpflichtige Instant-Messenger Threema erfüllen die Anforderungen der DSGVO und kommt ohne den Zugriff auf die Kontaktdaten aus. Alternative Messenger sind auch Alternative Messenger sind auch wie Signal oder Telegram.

7. So lassen sich Messengerdienste datenschutzkonform auf dem Firmenhandy nutzen

Wer auf Messengerdienste wie Whatsapp & Co. im Unternehmen nicht verzichten möchte oder kann, der muss sicherstellen, dass die Nutzung datenschutzkonform erfolgt. Konkret heißt das, dass Sie zumindest die Einwilligung Ihrer Kontakte einholen müssen – und zwar ohne Ausnahme. Liegt diese schriftliche Einwilligung vor, brauchen Sie aber zudem noch einen Vertrag gem. Art. 28 DSGVO mit Whatsapp Inc. als Anbieter zur Datenverarbeitung. Erst dann ist gewährleistet, dass Sie nicht gegen die Vorschriften der DSGVO verstoßen.

Empfehlenswert ist ein Umstieg auf DSGVO-konforme Instant-Messenger. Nur so sind Sie auch langfristig gegen Abmahnungen geschützt und gewährleisten die durch die DSGVO normierten Standards.

ACHTUNG 

Nehmen Sie das Thema Whatsapp & Co. nicht auf die leichte Schulter! Verstöße gegen die DSGVO können empfindliche Sanktionen nach sich ziehen!

8. Fazit

Die Nutzung von Whatsapp zu geschäftlichen Zwecken ist aus datenschutzrechtlicher Sicht „legal“ aktuell kaum möglich. Praktisch lässt sich eine DSGVO-Konformität eben nur schwer umsetzen.

Zum einen fehlt es an der Möglichkeiten, einen AV abzuschließen. Zum anderen wird es im geschäftlichen Alltag aus praktischen Gründen fast unmöglich sein, sich von sämtlichen geschäftlichen Kontakten eine entsprechende schriftliche Einwilligung einzuholen. Noch kompliziert wird es auch dann, wenn nicht alle Kontakte eine Zustimmung erteilen, denn: Konsequenterweise müssten Sie dann für alle Kontakte ohne Zustimmung ein Smartphone ohne Whatsapp betreiben.

Whatsapp und Messengerdienste, die auf ähnliche Art und Weise funktionieren, sollten Sie als Unternehmer aus Datenschutzgründen besser nicht installieren bzw. dringend deinstallieren, sofern Sie dies nicht schon im Rahmen der DSGVO-Compliance getan haben. 

 

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
M. H.
Punkt 5 stimmt so nicht! Datenverarbeitu ng zwecks privater/familiärer Angelegenheiten ist nur von der DSGVO ausgenommen im Falle einer Verarbeitung durch natürliche Personen - was Facebook/WhatsApp selbstverständlich nicht ist!
6
Stefan Timm
Ich glaube, WhatsApp hat schon längst alle Handynummern der Welt und den dazugehörigen Namen und die Adressdaten.Mal sehen, wie lange die deutschen bzw. europäischen "Alternativen" überleben. Der unten genannte "Brabbler" ist jedenfalls schon mal weg.Ist es eigentlich erwiesen, dass WhatsApp den Inhalt des Telefonbuchs überträgt und nicht, wie einige genannte (nicht-Europäische) Alternativen nur einen Hash-Wert?Die EU und ihre Mitglieder können treiben was sie wollen, der einzige, der die Macht hat, das Problem zu lösen, ist Apple. Einfach die Daumenschrauben für die Apps anziehen, wie sie es ja immer wieder mit Erfolg getan haben.
2
Andy
Hi,ich bin kein Rechtsexperte, habe mich aber etwas damit beschäftigt und komme zu folgendem Schluss.(Bitte korrigieren wenn ich falsch liege)zu 1:Ich kann mir nicht vorstellen, dass eine Kommunikation ohne Speicherung stattfinden kann. Jedes mal zum Telefonieren die Nummer manuell eintippen ist ja sehr umständlich. Und WhatsApp ohne Kontakte, da verliert man den Überblick. zu 2:In diesem Fall begeht der Kunde bereits einen DSGVO Verstoß. Es ist dennoch notwendig, dass die Firma einen Vertrag mit WhatsApp und den zu kontaktierenden Kunden abschließt.
6
S.Vormweg
Ein Kunde kann niemals gegen die DS-GVO verstoßen, da Privatpersonen, keine Verantwortliche n im Sinne der DS-GVO darstellen.
4
Jürgen
Es gibt bei uns (und ich gehe davon aus, dass jeder Datenschutzbeau ftragte sowas ausgearbeitet hat) strenge Regeln für die Messengernutzun g. Whatsapp verbietet sich von selbst. Alternativen sind Telegram, Threema und Signal. Wir haben uns für Telegram entschieden und strenge Richtlinien innerhalb des Unternehmens erlassen. Jeder freie Mitarbeiter muss einen DS-Vertrag unterschreiben, in dem der Messenger genannt ist. Alle 800 freien Mitarbeiter haben mittlerweile Telegram installiert.
7
Signaler
Telegram ist aber die schlechteste aller Alternativen!
Telegram bietet nicht mal eine automatische E2EE!

6
CCO
Sehr Interessante Fragen die Trifft auch auf mich zu gibt es hier auch Antworten zu ?
7
Yves
"Alternative Messenger" ist lustig. Da erreicht man halt niemanden. Da kann ich missionieren so viel ich will, irgendwann gebe ich auf und hake die technische Innovation "Instant Messaging" ab – gescheitert an destruktiver Überregulie rung (die sowas nur verbietet, aber gleichzeitig nicht zu akzeptablen Lösungen führt) und der Dummheit der Mehrheit (der das egal ist, selbst wenn man versucht, es ihr zu erklären, und die deshalb weiterhin nur WhatsApp nutzt).
21
fischxicht
beim Abgleich der Telefonnummern zwischen Signal Client und Server wird schon auf den Clients ein Hash errechnet und erst dieser am Server verglichen. Die echte Telefonnummern sind daher auch nicht für die Signal Server sichtbar bzw. errechenbar. Das ist ein riesiger Unterschied zu WhatsApp.
8
piet
Ist telegram wirklich sicher? Soll das morgen aufs Phone laden. Welche Daten kann der Arbeitgeber da eventuell abgreifen? Für leicht verständliche Antwort wäre ich sehr dankbar
10

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details