Whatsapp auf dem Firmenhandy – ja oder nein?

Von Oliver Haub am 8.2.2019
Oliver Haub
Vernetzen:

Whatsapp gilt nicht zu Unrecht als Paradebeispiel disruptiver Technologien: Das Erscheinen der Messaging-App war das Todesurteil der bis dahin weit verbreiteten SMS. Mit der Durchdringung des deutschen Marktes stellt sich auch die Frage nach der Nutzung von Whatsapp auf Firmenhandys: Ist das jetzt erlaubt oder nicht?

WhatsApp-Firmenhandy-DSGVO

 

Whatsapp-Nutzerzahlen

„Wie, du hast kein Whatsapp?“ – Menschen, die ohne den zu Facebook gehörenden Messenger unterwegs sind, kommen sich manchmal vor wie Aussätzige. Denn die praktische App wird von fast allen anderen genutzt: Nicht weniger als drei von vier Menschen in Deutschland zwischen 16 und 64 Jahren haben sich die App installiert. Das entspricht 39 Millionen Nutzern.

33_Die_Aktivsten_Social_Media_Platformen_Hootsuite
Satte Durchdringung: Whatsapp wird von 75 Prozent der 16- bis 64-Jährigen in Deutschland genutzt (Grafik: Hootsuite Social-Media-Report)

 

Whatsapp im Unternehmenseinsatz

Auch im Unternehmenseinsatz ist die Funktionsvielfalt von Whatsapp natürlich sehr praktisch: Man kann Team-Chats für die interne Kommunikation einrichten, man kann Dokumente herumschicken, man kann sich von der Baustelle Fotos oder Videos schicken oder im Messeinsatz den Standort durchgeben, wenn die Kollegen mal nicht gleich hinfinden.

Zudem macht die hohe Marktdurchdringung die App besonders attraktiv, da sie eben bereits von so vielen genutzt wird.

DSGVO und Whatsapp auf dem Firmenhandy

Aber: Die Nutzung der App auf einem Firmenhandy ist rechtlich mehr als heikel. Sie verstößt nämlich eindeutig gegen die EU-DSGVO – jedenfalls, sobald Unternehmenskontakte auf dem mobilen Endgerät gespeichert werden.

Das macht insbesondere den sogenannten BYOD-Ansatz (BYOD = „Bring Your Own Device“) sehr problematisch: Erfolgt hier keine absolut saubere Trennung der privaten von den geschäftlichen (Kontakt-) Daten, liegt bereits ein Verstoß gegen die DSGVO vor. Mehr zu diesem Thema erfahren Sie in unserem Whitepaper „Bring Your Own Device  und DSGVO”, das Sie hier kostenlos herunterladen können.

Problem 1: Whatsapp überträgt personenbezogene Daten ohne Einwilligung in die USA

Warum ist das so?

Whatsapp überträgt Kontaktdaten vom Handy an einen Server außerhalb der EU. Der Abgleich auf den US-amerikanischen Servern der kalifornischen Whatsapp Inc. offenbart, welcher der auf dem Smartphone gespeicherten Kontakte die App ebenfalls nutzt.

Der Datenabgleich erleichtert zwar das Verbinden über den Messenger erheblich – genau diese Datenübertragung erfordert aber seit der im Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) die Einwilligung der betroffenen Personen.


EU-DSGVO und BYOD Apps
Beliebt, aber rechtswidrig: Im Unternehmenskontext verstößt Whatsapp gegen die DSGVO

Laut DSGVO sind Daten personenbezogen, wenn eine Person „mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann“ (EU-DSGVO Art. 4).

Da die Messenger-App die Telefonnummer zum Abgleich nutzt, liegt genau eine solche Zuordnung vor. Und die erfordert bei der Weitergabe eben die Einwilligung des betroffenen Nutzers.

„Im Sinne dieser Verordnung bezeichnet der Ausdruck ,Einwilligung' der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“ (EU-DSGVO Art. 4)

Da Whatsapp das komplette Telefonbuch ausliest und überträgt – also auch von Personen, die Whatsapp gar nicht nutzen und von denen auch keinerlei Einwilligung zur Weitergabe der personenbezogenen Daten eingeholt wird – liegt hier ein (abmahnbarer) Verstoß vor.

Das heißt, Unternehmen müssten von jedem der gespeicherten Kontakte eine schriftliche Erlaubnis (Einverständniserklärung) für die Datennutzung einholen, um Abmahnungen und DSGVO-Bußgelder zu vermeiden.

Dass ein solches Vorgehen fern jeder unternehmerischen Praktikabilität liegt, dürfte auf der Hand liegen. In Zeiten zunehmender DSGVO-Datenschutzkontrollen bedeutet dies für Unternehmen ein nicht zu unterschätzendes Risiko.

Problem 2: Whatsapp überträgt Daten an Facebook

Zudem gibt es noch ein Problem: Whatsapp übermittelt auch Daten an sein Mutterunternehmen Facebook. Der Zuckerberg-Konzern übernahm den Instant-Messenger im Jahr 2014.

Allerdings ist auch die Weitergabe der Daten durch ein Tochterunternehmen ohne Einwilligung der Nutzer laut EU-DSGVO untersagt (Art. 6). Zu den übermittelten Daten gehören zum Beispiel die Telefonnummer, technische Daten des verwendeten Geräts und des Betriebssystems und der Registrierungszeitpunkt. Lesen Sie hierzu auch: Wie gefährlich ist Whatsapp auf dem Firmenhandy?

 

Whatsapp und Firmenhandys: Lösungsvorschläge

Prinzipiell gibt es für das Whatsapp-Problem mehrere Lösungen:

  1. Unternehmen können Whatsapp verbieten.
    So geschehen etwa bei Continental, wo 35.000 Mitarbeiter die App von ihren Firmenhandys löschen mussten.
  2. Unternehmen setzen auf DSGVO-konforme Messenger wie zum Beispiel Threema.
    Eine Liste weiterer Anbieter finden Sie am Ende des Artikels bei den Weblinks.
  3. Unternehmen setzen auf Sicherheitscontainer.
    Im Rahmen eines MDMs oder Enterprise Mobility Managements erfolgt eine Trennung privater und geschäftlicher Daten auf dem Gerät. Mehr dazu erfahren Sie in unserem kostenlosen Whitepaper.
  4. Unternehmen setzen auf eine MDM-Lösung.
    Auch hierzu bieten wir ein Whitepaper an:  Hier geht’s zum kostenlosen Download.

Eines muss Unternehmern aber bewusst sein: Verwenden Angestellte ohne weitere Maßnahmen auf BYOD-Geräten oder privat genutzten Firmenhandys Whatsapp, liegt grundsätzlich ein DSGVO-Verstoß vor, sobald auch nur ein einziger Unternehmenskontakt auf dem Gerät gespeichert ist.

Datenschutz auf Firmenhandys und die DSGVO-konforme Speicherung von Unternehmensdaten auf Mobile Devices wie Smartphones, Tablets oder Laptops sollte deswegen nicht auf die leichte Schulter genommen werden. Ich empfehle Ihnen zudem, das Vergabemodell kritisch zu hinterfragen und datenschutzrechtlich sicherere Alternativen zu erwägen, zum Beispiel „Choose Your Own Device“.

Sie haben dazu Fragen? Ich freue mich auf Ihren Kommentar.

 

Weblinks: DSGVO, Whatsapp, Firmenhandys

 

 Neuer Call-to-Action


 

Themen: Mobile Device Management, EU-DSGVO, Datenschutz, Mobile Security

Phone as a Service

everphone ist die One-Stop-Lösung für Firmensmartphones und -tablets. Im Blog schreiben wir über alles rund um Enterprise Mobility.

BYOD Datenschutz

E-Mail-Abonnement

Beliebte Beiträge