Kurzfassung
WhatsApp ist praktisch, genügt aber nicht den Forderungen der europäischen Datenschutzvorgaben. Unternehmer sollten sich daher gut überlegen, ob sie das Risiko einer möglichen Abmahnung eingehen möchten.
Seit Inkrafttreten der Europäischen Datenschutzgrundverordnung (DS-GVO) ist das Thema Datenschutz in aller Munde und zu einem festen Bestandteil des unternehmerischen Lebens geworden. Seien es die Anpassung einer Homepage an die neuesten datenschutzrechtlichen Standards, die Unterzeichnung einer Einwilligung zur Datenverarbeitung, der Umgang mit Mitarbeiter- und Kundendaten oder dass Unternehmen wegen DSGVO-Verstößen abgemahnt werden.
Vorgaben zum Datenschutz
Diese Grundsätze für den Datenschutz gelten nach der DSGVO:
- Rechtmäßigkeit der Datenerhebung: Grundsätzlich dürfen personenbezogene Daten nur nach freiwillig und ausdrücklich abgegebener Einwilligung des Betroffenen erhoben werden. Ausnahmsweise ist die Datenerhebung auch ohne Einwilligung möglich, wenn die Daten zu Vertragszwecken verarbeitet werden oder der Unternehmer ein berechtigtes Interesse an der Datenerhebung hat.
- Verarbeitung nach Treu und Glauben: Der Umgang mit den personenbezogenen Daten muss vernünftig, transparent und einfach nachvollziehbar sein.
- Datensparsamkeit und Zweckbindung: Es dürfen nur so viele Daten erhoben werden, wie für den Vorgang tatsächlich gebraucht werden werden, und sie müssen diesem Zweck dienen.
- Datenrichtigkeit: Die verarbeiteten Daten müssen inhaltlich und sachlich richtig und aktuell gehalten werden. Unrichtige Daten müssen sofort gelöscht oder korrigiert werden.
- Recht auf Vergessen: Der Kunde hat ein Recht darauf, dass seine personenbezogenen Daten gelöscht oder gesperrt werden. Personenbezogene Daten dürfen also nur so lange gespeichert werden, wie es für die Verwendung und den Zweck erforderlich ist.
- Datensicherheit: Alle Unternehmen müssen geeignete technische und organisatorische Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit treffen.
- Informationsrechte des Nutzers: Kunden, deren personenbezogene Daten verarbeitet werden, haben zu jedem Zeitpunkt ein Recht darauf, zu erfahren, welche personenbezogenen Daten wofür und wo gespeichert sind.
- Rechenschaftspflicht: Die Einhaltung der vorgenannten Grundsätze muss jederzeit durch das Unternehmen nachgewiesen werden können.
Messengerdienste
Ein besonders heikles datenschutzrechtliches Thema für viele Unternehmer ist die geschäftliche Nutzung von WhatsApp und anderen Messengerdiensten. Insbesondere Kfz-Werkstätten und Autohäuser nehmen häufig Kontakt zu ihren Kunden über WhatsApp auf, um beispielsweise Fotos von Schäden am Pkw oder Bilder von Ersatzteilen zu verschicken. Was vielen dabei nicht bewusst ist: Die geschäftliche Nutzung von WhatsApp stellt eine Datenverarbeitung im Sinne der DSGVO dar, und deshalb sind auch die Vorgaben der DSGVO zu beachten.
Unternehmerische Entscheidung
Die Frage, ob eine datenschutzkonforme Nutzung von WhatsApp für Unternehmer unter Geltung der DSGVO überhaupt möglich ist, lässt sich nicht eindeutig beantworten, wobei vieles gegen eine Verwendung spricht.
Die DSGVO sieht einige Maßnahmen zum Schutz personenbezogener Daten von Nutzern vor, die von WhatsApp momentan nicht eingehalten werden. Die mit europäischem Datenschutzrecht unvereinbaren Praktiken sind u. a.:
- Alle lokal gespeicherten Kontakte des WhatsApp-Nutzers werden zum Abgleich auf Server in den USA geschickt. Die Übermittlung dieser personenbezogenen Daten erfordert eine rechtswirksame Einwilligung jeder Kontaktperson, welche schlichtweg fehlt und den Datentransfer damit verbietet.
- Obwohl die Kommunikationsinhalte Ende-zu-Ende verschlüsselt sind, beanstandet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), dass Metadaten von WhatsApp in den USA verarbeitet werden. Metadaten sind alle Daten, außer dem eigentlichen Inhalt der Nachricht, d. h. auch Informationen zu Sender und Empfänger der Whats-App-Nachricht.
- In seinen FAQ zum Datenschutz bestätigt WhatsApp, dass Informationen wie Telefonnummer, Informationen zu den genutzten Geräten sowie Art und Häufigkeit der Nutzung an Facebook weitergegeben werden. Dieser Austausch wird von den Datenschutzbehörden als kritisch eingestuft.
- Die Nutzungsbedingungen erlauben den geschäftlichen Einsatz der App nur mit voriger Einwilligung von Whats-App. WhatsApp hat kürzlich sein neues Produkt "WhatsApp Business" veröffentlicht, welches allerdings nicht wirklich datenschutzrechtlichen Verbesserungen bringt.
Das Hauptproblem bei der betrieblichen Nutzung von WhatsApp ist, dass der Messengerdienst sämtliche Kontaktdaten im Telefonbuch des Smartphones ausliest. Wer den Messenger auf dem Mobiltelefon installiert, stimmt zu, dass die Tochterfirma von Facebook Zugriff auf das gespeicherte Adressbuch erhält. Sämtliche Kontaktdaten werden an den US-Konzern übermittelt. Dieser erhält somit auch Telefonnummern von Kontakten, die WhatsApp selbst überhaupt nicht nutzt. Was mit den Daten in den USA geschieht, ist nicht bekannt. Einigkeit besteht jedoch darüber, dass die Telefonnummern ohne Berechtigung an WhatsApp übermittelt werden und dies nach den Bestimmungen der DSGVO einen Datenschutzverstoß darstellt.
Auch die Landesbeauftragte für Datenschutz in Niedersachsen hat wie viele weitere Datenschutzbeauftragte schon mehrmals betont, dass der Einsatz von Whats-App durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutzgrundverordnung (DSGVO) verstößt.
Aufgrund dieser erheblichen datenschutzrechtlichen Bedenken untersagen einige große Konzerne ihren Mitarbeitern die geschäftliche Nutzung von Messengerdiensten wie WhatsApp vollständig. In Hinblick auf den Datenschutz wäre das die sicherste Methode. Ob sie auch praktikabel ist, muss jeder Unternehmer für sich entscheiden.
- Ausgabe 10/2021 S.40 (171.5 KB, PDF)
Kommentar
Viele Kunden kennen WhatsApp und andere Messengerdienste aus ihrem Alltag. Entsprechend gering ist die Hemmschwelle, damit auch mit der Werkstatt zu kommunizieren. Manche Betriebe forcieren diesen Kommunikationskanal ihrerseits mit einem Hinweis auf der eigenen Webseite. Aus datenschutzrechtlichen Aspekten muss aber eher davor gewarnt werden, WhatsApp in der Kfz-Werkstatt zur Kommunikation u. a. mit den Kunden zu verwenden. Wenn Unternehmen dieses Medium aber doch verwenden, ist dies dann eine unternehmerische Entscheidung. Insgesamt ist festzuhalten, dass das Thema Datenschutz im Lichte der DSGVO nicht auf die leichte Schulter genommen werden sollte, das zeigen vor allem auch die vielen Abmahnungsverfahren gegen Unternehmen aufgrund von wirklichen oder vermeintlichen Datenschutzverstößen.
Maximilian Appelt
Rechtsanwalt Steuerberater
www.raw-partner.de