Datenschutz: WhatsApp als Messenger-Dienst im betrieblichen Umfeld
Der Messenger-Dienstanbieter WhatsApp war, neben Google, Facebook und Instagram, eines der ersten Unternehmen, gegen das nach dem 25. Mai 2018 Beschwerde bei einer Aufsichtsbehörde eingelegt wurde.
Spätestens seit damals ist der Messenger-Dienst in die Kritik der Datenschützer und der Medien gerückt. Das verwundert immerhin soweit, als die häufigsten Kritikpunkte wie der Datentransfer an die Unternehmenszentrale der WhatsApp Inc. in den USA wie auch die automatische und systematische Synchronisation aller im Mobildevice des Nutzers gespeicherten Kontakte mit dem Messenger-Dienst nicht erst unter der DSGVO kritisch zu beurteilen sind.
So hat etwa die Konferenz der Diözesandatenschutzbeauftragen der Katholischen Kirche Deutschlands bereits Anfang Mai 2017, also mehr als 12 Monate bevor die Europäische Datenschutz-Grundverordnung zur Anwendung kam, beschlossen, dass die Verwendung von Messenger-Diensten zu dienstlichen Zwecken untersagt sei, soweit durch diese eine physikalische Datenspeicherung außerhalb des Gebiets des EWR und der Schweiz stattfände oder keine Punkt-zu-Punkt-Verschlüsselung genutzt werde.
Ist damit die Nutzung des wohl verbreitetsten Messenger-Diensts für den betrieblichen Einsatz ausgeschlossen?
Datenübermittlung an WhatsApp
Artikel 45 Abs. 1 S. 1 DSGVO regelt, dass eine Übermittlung personenbezogener Daten an ein Drittland vorgenommen werden darf, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Für den EU-US Privacy Shield hat die Kommission die Angemessenheit des Datenschutzniveaus bereits am 12. Juli 2016 festgestellt. Da die WhatsApp Inc. seit dem 3. August 2018 über eine entsprechende Privacy Shield verfügt, steht soweit einem Datentransfer an die WhatsApp Inc. in den USA nichts entgegen. Und in dem Umfang, in dem die Dienste des Messengers von der WhatsApp Ireland Limited bereitgestellt werden, unterliegt die Datenübermittlung ohnehin den Anforderungen der EU-DSGVO.
Ende-zu-Ende-Verschlüsselung bei der Nutzung von WhatsApp
Im Weiteren setzt WhatsApp bereits seit Mitte 2016 eine Ende-zu-Ende-Verschlüsselung auf Basis des Krypto-Protokolls des Open-Source-Messengers Signal ein (quelloffenes Protokoll von Open Whisper Systems), das international als sicher eingestuft wird und neben Man-in-the-Middle-Attacken auch vor einem „Mitlesen“ des Messenger-Dienstanbieters selber schützt. Zumindest wenn in der Praxis beide Kommunikationspartner aktuelle Versionen des Messenger-Dienstes nutzen, sollte soweit die Gewährleistung eines dem Risiko angemessenen Schutzniveaus durch den Einsatz entsprechender Verschlüsselungstechnologien i.S.d. Art. 32 Abs. 1 lit. a DSGVO gegeben sein.
Speicherung von versandter und empfangener Dateien im internen Speicher des Device
Die Speicherung versandter und empfangener Videos und Bildern im internen Speicher des Gerätes (meist in der Bildergalerie) ist bei der Nutzung des Dienstes grundsätzlich aktiviert und kann dazu führen, dass auf über den Messenger-Dienst kommunizierten Dateien aus anderen Applikationen (Apps) aus zugegriffen werden kann, wenn diese Zugriff auf den internen Speicher haben. Obwohl der Messenger-Dienst an dieser Stelle gegen den Grundsatz des Datenschutzes durch datenschutzfreundliche Voreinstellungen aus Art. 25 Abs. 2 DSGVO verstößt (privacy by default), lässt sich das Thema in der betrieblichen Praxis durch eine entsprechende Auswahl in der Applikation selber oder im eingesetzten Betriebssystem des Devices in den Griff bekommen, zum Teil jedoch unter Einschränkung der Usability der Applikation. Werden die mobilen Endgeräte im Unternehmen über ein Mobile-Device-Management (MDM) administriert, kann die automatische Ablage von Anhängen bereits einheitlich durch die IT-Abteilung erfolgen.
Übermittlung der Kontaktdaten aus dem Adressbuch an WhatsApp
Ein zentrales Problem bei der Verwendung von WhatsApp liegt in der automatischen Synchronisation aller in den Kontaktdaten des Gerätes gespeicherten Informationen mit dem Messenger-Dienst und der in diesem Zusammenhang erfolgenden Übermittlung der dort gespeicherten Namen und Rufnummern (sowohl von WhatsApp-Nutzern wie auch von Nicht-WhatsApp-Nutzern). Da eine solche Übermittlug auf keine Rechtsgrundlage zu stützen ist, bleibt nur der in der Praxis nicht umsetzbare Weg der Einwilligung aller betroffenen Kontakte i.S.d. Art. 7 DSGVO. Bei Betroffenen, die das sechzehnte Lebensjahr noch nicht vollendet haben, ist hier sogar die Einwilligung der Eltern gemäß Art. 8 DSGVO notwendig. In seiner Datenschutzrichtlinie (letzter Abruf am 03.12.2018) setzt WhatsApp genau dies voraus: „Wir verlangen von jedem [..] Nutzer und Unternehmen, dass sie die rechtmäßigen Rechte besitzen, um [..] Informationen zu erfassen, zu verwenden und zu teilen, bevor sie uns irgendwelche Informationen bereitstellen.“.
Die von einigen Datenschützern empfohlene Möglichkeit, das Adressbuch über eine Container-Lösung oder ein Mobile Device Management (MDM) in einem Bereich zu betreiben, auf den WhatsApp keinen Zugriff hat erscheint zumindest für kleinere und mittelständige Unternehmen sowohl wegen des nicht unerheblichen Administrationsaufwands wie auch wegen den damit verbundenen Kosten für eine Lösung des Themas häufig nicht zielführend.
Ein weiterer Lösungsweg könnte in der Sperrung des Zugriffs des Messenger-Dienstanbieters auf die Kontakte des Gerätes sein. Während sich diese Einstellung in allen iOS- und zumindest den neueren Android-Versionen vornehmen lässt, verfügen ältere Android-Versionen über keine betriebssystemseitige Möglichkeit den Zugriff auf die im Gerät gespeicherten Kontaktdaten zu verwehren und müssen hier durch zusätzliche Applikationen unterstützt werden. Problematisch ist zudem, dass der Arbeitgeber außerhalb des Einsatzes von MDM-Lösungen kaum Möglichkeiten hat, die spätere Aktivierung der Funktion durch den Gerätenutzer (Arbeitnehmer) dauerhaft zu verhindern und im Weiteren die Sperrmöglichkeit erst nach Installation der WhatsApp-Applikation möglich ist. Zu diesem Zeitpunkt hat die erste Synchronisation der Kontaktdaten jedoch bereits stattgefunden.
Ein Möglichkeit, die zumindest in einigen Geschäftsmodellen umsetzbar sein wird, ist der völlige Verzicht auf die Nutzung des Adress- / Kontaktbuches des Smartphones, sodass eine Datenübermittlung an den Dienstanbieter mangels dort gespeicherter Daten ausscheidet.
Denkbar ist auch eine ausschließliche Begrenzung auf die Speicherung von Kontakten, bei denen der Erstkontakt von der Gegenseite über WhatsApp erfolgt ist und soweit alle personenbezogenen Daten beim Anbieter bereits verarbeitet werden.
WhatsApp als Teil des Facebook-Unternehmen
Obwohl WhatsApp inzwischen die Weitergabe personenbezogener Daten ihrer Nutzer an Facebook-Unternehmen offen benennt (unter anderem die Weitergabe der Telefonnummer, der Geräteinformationen sowie die Art und Häufigkeit der Nutzung von Features), zeigt sich in den sehr offenen Formulierungen der Datenschutzrichtlinie des Anbieters wie etwa „Derzeit teilt WhatsApp nur wenige Informationskategorien mit den Facebook-Unternehmen“ ein weites Feld an Risiken, welche die verantwortliche Stelle (i.d.R. der Arbeitgeber) zukünftig regelmäßig überwachen und beobachten muss.
Fazit
Eine Nutzung des WhatsApp Messenger-Dienstes ist unter der Datenschutz-Grundverordnung, auch nach der EU-US Privacy Shield-Zertifizierung des Anbieters, jedenfalls kritisch zu beurteilen. Soll der Messenger betrieblich genutzt werden, muss die Nutzung und Administration des Dienstes gut geplant und systematisch überwacht werden. Insbesondere mit Blick auf die Synchronisation aller Adresskontakte kommt kein Unternehmen um eine entsprechende Planung der „Rahmenbedingungen und Restriktionen“ herum. Hier ist eine enge Abstimmung zwischen den Verantwortlichen, dem Datenschutzbeauftragten und der IT-Sicherheit für den (rechtlichen) Erfolg zentral entscheidend.
Unabhängig von der Lösung der datenschutzrechtlichen Themen sei, gleichermaßen abschließend wie beiläufig, aus der Nutzungsbedingungen der WhatsApp Inc. das Verbot der gewerblichen Nutzung des Dienstes zitiert (letzter Abruf am 03.12.2018): „Du wirst unsere Dienste nicht auf eine Art und Weise nutzen (bzw. anderen bei der Nutzung helfen), die […] eine nicht-private Nutzung unserer Dienste beinhaltet, es sei denn, dies wurde von uns genehmigt.“.
Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter