DSGVO und Whatsapp – wo ist das Problem?

Von Sabina Migdal am 22.2.2019
Sabina Migdal
Vernetzen:

Vielleicht haben Sie die ja auch schon mal gehört: die Unkenrufe, Whatsapp sei im Unternehmenseinsatz nicht erlaubt. Whatsapp verstoße gegen die DSGVO. Aber ist das wirklich so? Und wenn ja, welche Optionen haben Sie als Unternehmer?

Verstößt Whatsapp gegen die EU-Datenschutz-Grundverordnung?

Mit einem Wort?

Ja – wenn berufliche Kontakte auf dem Smartphone gespeichert sind und Sie keine weiteren Maßnahmen treffen.

Whatsapp-DSGVO

Die EU-Datenschutz-Grundverordnung soll ja genau das machen, was sie auch im Namen trägt: nämlich die Daten der EU-Bürger schützen. Und hier gehen aus Sicht deutscher Unternehmer die Probleme schon los – und zwar unabhängig davon, ob man „Whatsapp Business“ oder das „normale“ Whatsapp nutzt. Und ebenfalls unabhängig davon, ob es sich um firmeneigene Geräte oder „Bring Your Own Device“-Smartphones (BYOD) handelt.

 

Mehr über die Sicherheit von BYOD erfahren Sie in unserem Whitepaper „Bring Your Own Device und DSGVO”, das Sie hier kostenlos herunterladen können.

 

Das grundlegende Problem: Whatsapp gleicht das Smartphone-Adressbuch seiner Nutzer mit Datenbanken auf den Whatsapp-eigenen Servern ab. Und diese Server stehen außerhalb der EU in den Vereinigten Staaten.

Whatsapp verwendet dabei als diskriminierendes Unterscheidungsmerkmal („Unique Identifier“) seiner Nutzer die Telefonnummer – logisch. So lässt sich sofort abgleichen, ob ein Kontakt den Messaging-Dienst ebenfalls nutzt, was das Verbinden natürlich erheblich erleichtert, die Nutzererfahrung verbessert und die Verbreitung der App vorantreibt.

 

Whatsapp, DSGVO und personenbezogene Daten

Die Telefonnummer ist allerdings im Verständnis der DSGVO ein „personenbezogenes“ Datum, dessen Verarbeitung die Einwilligung des Betroffenen voraussetzt. Und da diese nicht vorliegt – es genügt ja, dass jemand ohne sein Wissen zum Adressbuch hinzugefügt wird und schon werden seine Kontaktdaten abgeglichen – handelt es sich dann eben um einen Verstoß nach Artikel 4 der DSGVO.

Lesen Sie mehr über die Hintergründe hier: Whatsapp auf dem Firmenhandy – ja oder nein?

 

Berufliche Kontakte müssen einwilligen

Kritisch sind in diesem Zusammenhang also alle Telefonnummern, die im beruflichen Zusammenhang auf einem Gerät gespeichert werden, auf dem Whatsapp installiert ist. Dürfte es bei den eigenen Kollegen noch möglich sein, eine Einwilligung zu organisieren, ist es indes nur schwer vorstellbar, dass Unternehmen ihre Kunden, Dienstleister und Lieferanten in diesem Zusammenhang ansprechen.

Im schlimmsten Fall läuft es dann auf die „stillschweigende“ Nutzung hinaus: also auf den Verstoß. Im Falle einer Datenschutzkontrolle kann das nicht vorteilhaft sein, denn es drohen durchaus auch DSGVO-Strafen.

 

 

Whatsapp, Facebook und DSGVO

Es gibt noch ein zweites Problem: Whatsapp wurde ja 2014 von Facebook gekauft. Obwohl in Deutschland die Weitergabe personenbezogener Daten an den Mutterkonzern Facebook gerichtlich untersagt wurde, geschieht dies trotzdem, wie Whatsapp selbst auf seiner Homepage in den FAQs mitteilt.

Zitat:

„WhatsApp arbeitet mit den anderen Facebook-Unternehmen zusammen und teilt Informationen mit ihnen, damit diese für WhatsApp Leistungen in den Bereichen Infrastruktur, Technologie und Systeme erbringen können.“

Hier operiert der Messenger in einer rechtlichen Grauzone, die genau durch den Übergang zur neuen DSGVO erst ermöglicht wurde. Aber auch hier gibt es Stimmen, die einen DSGVO-Verstoß in dieser Praxis sehen.

Mehr dazu hier: Trotz DSGVO: WhatsApp gibt Daten ab sofort an Facebook weiter.

 

Whatsapp und DSGVO – und jetzt?

Falls Sie in einem Unternehmen Verantwortung tragen, sollten Sie jetzt handeln. Denn Nichtstun ist von allen die schlechteste Vorgehensweise.

Prinzipiell können Sie

  • Ihren Angestellten die Nutzung von Whatsapp aufgrund der DSGVO im Unternehmen verbieten,
  • einen anderen, DSGVO-konformen Messenger-Dienst wählen (zum Beispiel Threema),
  • mit einer sogenannten Container-App die beruflichen von den privaten Kontakten trennen oder
  • ein sogenanntes Mobile Device Management einsetzen. Was das genau ist, erfahren Sie unserem MDM-Whitepaper: Hier geht’s zum kostenlosen Download.

 

Neuer Call-to-Action

 

DSGVO & Whatsapp: Leseempfehlungen

Was halten Sie von unserem Artikel?

 

Themen: Mobile Device Management, EU-DSGVO, Bring Your Own Device, Datenschutz

Phone as a Service

everphone ist die One-Stop-Lösung für Firmensmartphones und -tablets. Im Blog schreiben wir über alles rund um Enterprise Mobility.

BYOD Datenschutz

E-Mail-Abonnement

Beliebte Beiträge