Fachnews Datenschutz: WhatsApp als Messenger-Dienst im betrieblichen Umfeld Montag, 10. Dezember 2018
Der Messenger-Dienstanbieter WhatsApp war, neben Google, Facebook und Instagram, eines der ersten Unternehmen, gegen das nach dem 25. Mai 2018 Beschwerde bei einer Aufsichtsbehörde eingelegt wurde. Spätestens seit damals ist der Messenger-Dienst in die Kritik der Datenschützer und der Medien gerückt. Das verwundert immerhin soweit, als die häufigsten Kritikpunkte wie der Datentransfer an die Unternehmenszentrale der WhatsApp Inc. in den USA wie auch die automatische und systematische Synchronisation aller im Mobildevice des Nutzers gespeicherten Kontakte mit dem Messenger-Dienst nicht erst unter der DSGVO kritisch zu beurteilen sind. So hat etwa die Konferenz der Diözesandatenschutzbeauftragen der Katholischen Kirche Deutschlands bereits Anfang Mai 2017, also mehr als 12 Monate bevor die Europäische Datenschutz-Grundverordnung zur Anwendung kam, beschlossen, dass die Verwendung von Messenger-Diensten zu dienstlichen Zwecken untersagt sei, soweit durch diese eine physikalische Datenspeicherung außerhalb des Gebiets des EWR und der Schweiz stattfände oder keine Punkt-zu-Punkt-Verschlüsselung genutzt werde. Ist damit die Nutzung des wohl verbreitetsten Messenger-Diensts für den betrieblichen Einsatz ausgeschlossen? Datenübermittlung an WhatsApp Artikel 45 Abs. 1 S. 1 DSGVO regelt, dass eine Übermittlung personenbezogener Daten an ein Drittland vorgenommen werden darf, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Für den EU-US Privacy Shield hat die Kommission die Angemessenheit des Datenschutzniveaus bereits am 12. Juli 2016 festgestellt. Da die WhatsApp Inc. seit dem 3. August 2018 über eine entsprechende Privacy Shield verfügt, steht soweit einem Datentransfer an die WhatsApp Inc. in den USA nichts entgegen. Und in dem Umfang, in dem die Dienste des Messengers von der WhatsApp Ireland Limited bereitgestellt werden, unterliegt die Datenübermittlung ohnehin den Anforderungen der EU-DSGVO. Ende-zu-Ende-Verschlüsselung bei der Nutzung von WhatsApp Im Weiteren setzt WhatsApp bereits seit Mitte 2016 eine Ende-zu-Ende-Verschlüsselung auf Basis des Krypto-Protokolls des Open-Source-Messengers Signal ein (quelloffenes Protokoll von Open Whisper Systems), das international als sicher eingestuft wird und neben Man-in-the-Middle-Attacken auch vor einem „Mitlesen“ des Messenger-Dienstanbieters selber schützt. Zumindest wenn in der Praxis beide Kommunikationspartner aktuelle Versionen des Messenger-Dienstes nutzen, sollte soweit die Gewährleistung eines dem Risiko angemessenen Schutzniveaus durch den Einsatz entsprechender Verschlüsselungstechnologien i.S.d. Art. 32 Abs. 1 lit. a DSGVO gegeben sein. Speicherung von versandter und empfangener Dateien im internen Speicher des Device Die Speicherung versandter und empfangener Videos und Bildern im internen Speicher des Gerätes (meist in der Bildergalerie) ist bei der Nutzung des Dienstes grundsätzlich aktiviert und kann dazu führen, dass auf über den Messenger-Dienst kommunizierten Dateien aus anderen Applikationen (Apps) aus zugegriffen werden kann, wenn diese Zugriff auf den internen Speicher haben. Obwohl der Messenger-Dienst an dieser Stelle gegen den Grundsatz des Datenschutzes durch datenschutzfreundliche Voreinstellungen aus Art. 25 Abs. 2 DSGVO verstößt (privacy by default), lässt sich das Thema in der betrieblichen Praxis durch eine entsprechende Auswahl in der Applikation selber oder im eingesetzten Betriebssystem des Devices in den Griff bekommen, zum Teil jedoch unter Einschränkung der Usability der Applikation. Werden die mobilen Endgeräte im Unternehmen über ein Mobile-Device-Management (MDM) administriert, kann die automatische Ablage von Anhängen bereits einheitlich durch die IT-Abteilung erfolgen. Übermittlung der Kontaktdaten aus dem Adressbuch an WhatsApp Ein zentrales Problem bei der Verwendung von WhatsApp liegt in der automatischen Synchronisation aller in den Kontaktdaten des Gerätes gespeicherten Informationen mit dem Messenger-Dienst und der in diesem Zusammenhang erfolgenden Übermittlung der dort gespeicherten Namen und Rufnummern (sowohl von WhatsApp-Nutzern wie auch von Nicht-WhatsApp-Nutzern). Da eine solche Übermittlug auf keine Rechtsgrundlage zu stützen ist, bleibt nur der in der Praxis nicht umsetzbare Weg der Einwilligung aller betroffenen Kontakte i.S.d. Art. 7 DSGVO. Bei Betroffenen, die das sechzehnte Lebensjahr noch nicht vollendet haben, ist hier sogar die Einwilligung der Eltern gemäß Art. 8 DSGVO notwendig. In seiner Datenschutzrichtlinie (letzter Abruf am 03.12.2018) setzt WhatsApp genau dies voraus: „Wir verlangen von jedem [..] Nutzer und Unternehmen, dass sie die rechtmäßigen Rechte besitzen, um [..] Informationen zu erfassen, zu verwenden und zu teilen, bevor sie uns irgendwelche Informationen bereitstellen.“. Die von einigen Datenschützern empfohlene Möglichkeit, das Adressbuch über eine Container-Lösung oder ein Mobile Device Management (MDM) in einem Bereich zu betreiben, auf den WhatsApp keinen Zugriff hat erscheint zumindest für kleinere und mittelständige Unternehmen sowohl wegen des nicht unerheblichen Administrationsaufwands wie auch wegen den damit verbundenen Kosten für eine Lösung des Themas häufig nicht zielführend. Ein weiterer Lösungsweg könnte in der Sperrung des Zugriffs des Messenger-Dienstanbieters auf die Kontakte des Gerätes sein. Während sich diese Einstellung in allen iOS- und zumindest den neueren Android-Versionen vornehmen lässt, verfügen ältere Android-Versionen über keine betriebssystemseitige Möglichkeit den Zugriff auf die im Gerät gespeicherten Kontaktdaten zu verwehren und müssen hier durch zusätzliche Applikationen unterstützt werden. Problematisch ist zudem, dass der Arbeitgeber außerhalb des Einsatzes von MDM-Lösungen kaum Möglichkeiten hat, die spätere Aktivierung der Funktion durch den Gerätenutzer (Arbeitnehmer) dauerhaft zu verhindern und im Weiteren die Sperrmöglichkeit erst nach Installation der WhatsApp-Applikation möglich ist. Zu diesem Zeitpunkt hat die erste Synchronisation der Kontaktdaten jedoch bereits stattgefunden. Ein Möglichkeit, die zumindest in einigen Geschäftsmodellen umsetzbar sein wird, ist der völlige Verzicht auf die Nutzung des Adress- / Kontaktbuches des Smartphones, sodass eine Datenübermittlung an den Dienstanbieter mangels dort gespeicherter Daten ausscheidet. Denkbar ist auch eine ausschließliche Begrenzung auf die Speicherung von Kontakten, bei denen der Erstkontakt von der Gegenseite über WhatsApp erfolgt ist und soweit alle personenbezogenen Daten beim Anbieter bereits verarbeitet werden. WhatsApp als Teil des Facebook-Unternehmen Obwohl WhatsApp inzwischen die Weitergabe personenbezogener Daten ihrer Nutzer an Facebook-Unternehmen offen benennt (unter anderem die Weitergabe der Telefonnummer, der Geräteinformationen sowie die Art und Häufigkeit der Nutzung von Features), zeigt sich in den sehr offenen Formulierungen der Datenschutzrichtlinie des Anbieters wie etwa „Derzeit teilt WhatsApp nur wenige Informationskategorien mit den Facebook-Unternehmen“ ein weites Feld an Risiken, welche die verantwortliche Stelle (i.d.R. der Arbeitgeber) zukünftig regelmäßig überwachen und beobachten muss. Fazit Eine Nutzung des WhatsApp Messenger-Dienstes ist unter der Datenschutz-Grundverordnung, auch nach der EU-US Privacy Shield-Zertifizierung des Anbieters, jedenfalls kritisch zu beurteilen. Soll der Messenger betrieblich genutzt werden, muss die Nutzung und Administration des Dienstes gut geplant und systematisch überwacht werden. Insbesondere mit Blick auf die Synchronisation aller Adresskontakte kommt kein Unternehmen um eine entsprechende Planung der „Rahmenbedingungen und Restriktionen“ herum. Hier ist eine enge Abstimmung zwischen den Verantwortlichen, dem Datenschutzbeauftragten und der IT-Sicherheit für den (rechtlichen) Erfolg zentral entscheidend. Unabhängig von der Lösung der datenschutzrechtlichen Themen sei, gleichermaßen abschließend wie beiläufig, aus der Nutzungsbedingungen der WhatsApp Inc. das Verbot der gewerblichen Nutzung des Dienstes zitiert (letzter Abruf am 03.12.2018): „Du wirst unsere Dienste nicht auf eine Art und Weise nutzen (bzw. anderen bei der Nutzung helfen), die […] eine nicht-private Nutzung unserer Dienste beinhaltet, es sei denn, dies wurde von uns genehmigt.“. Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 30. Oktober 2024 Datenschutz Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz von zentraler Bedeutung. Primär steht zwar der Verantwortliche in der Haftung, doch auch die anderen Akteure unterliegen strengen … Weiterlesen … Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Fachnews vom 30. August 2024 Datenschutz Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in Art. 17 DSGVO oder der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Jedoch fällt es viele Unternehmen schwer, einen Überblick darüber … Weiterlesen … Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! Fachnews vom 30. Juli 2024 Datenschutz Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten aut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder aber auch zur Entscheidungsfindung. Ein klares Bild: KI-Systeme haben Einzug in die Strukturen von Unternehmen gefunden. Weiterlesen … Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA < >