Mitglied im Bundesverband der Datenschutzbeauftragten (BvD) e. V.
Mitglied in der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD)
Mitglied in der Deutschen Vereinigung für Datenschutz e. V. (DVD)

Datenschutzblog aktuell

"WhatsApp" im Unternehmen

app
Nach längerer Pause starten wir wieder unseren Blog. Aufgrund der enormen Arbeitsbelastung in den letzten Monaten mussten wir die Pflege leider aussetzen.

Derzeit erhalten unsere Berater wieder gehäuft Anfragen zur Nutzung von "WhatsApp" im Unternehmen oder auf Unternehmens-Geräten.

Vorweggenommen muss klar gesagt werden, dass Unternehmen, Vereine, Behörden etc. WhatsApp nicht datenschutzkonform und damit nicht gesetzeskonform einsetzen können. Ebenso ist der private Einsatz auf Geräten des Unternehmens oder auf für die Tätigkeit im Unternehmen genutzten privaten Geräte (BYOD) problematisch.

Wir raten vom Einsatz ab. Es existieren Alternativen, die bei vergleichbarem Funktionsumfang datenschutzkonform betrieben werden können.

Die massive Verbreitung von WhatsApp macht die Nutzung auch für Unternehmen interessant. Kommunikation mit Mitarbeitern oder Kunden und Lieferanten ist einfach und die Funktionen zur Übertragung von Text, Bildern, Videos und anderen Mediendaten passt zu den modernen Anforderungen der Unternehmen an die einfache Kommunikation.

Jedoch scheint das datenschutzrechtliche Ausmaß des Einsatzes von WhatsApp vielen Unternehmen nicht bewusst zu sein.

Jegliche Kommunikation und damit der Datentransfer läuft über Systeme des Anbieters, der Whatsapp Inc. aus Kalifornien, USA und somit einem Anbieter aus einem Drittland.

Das BayLDA wurde von der Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD Erfa-Kreis Würzburg) zum Thema befragt1. Die Ausführungen der Behörde legen nahe, dass die Unternehmen über die weitere Verwendung von WhatsApp sorgfältig nachdenken sollten.

Ebenso hat auch die Landesbeauftragte für den Datenschutz Niedersachsen im Juli 2018 ein Merkblatt für die Nutzung von "WhatsApp" in Unternehmen veröffentlicht in dem dem Einsatz durch das Unternehmen eine klare Absage erteilt wird.
Im wesentlichen bestünden drei datenschutzrechtliche Problemstellungen:
  1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
  2. Die Übermittlung von personenbezogenen Daten in die USA.
  3. Die Nutzung von personenbezogenen Daten durch WhatsApp.
 
Die Übermittlung von Kontaktdaten aus dem Adressbuch ist regelmäßig unzulässig. Ein Unternehmen, dass Kontaktdaten von Mitarbeitern, Kunden etc. an einen Dritten übermittelt muss dafür einen Rechtsgrund haben oder es muss die Einwilligung jeder einzelnen Person vorliegen. Da ein berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO bestenfalls für bereits bei WhatsApp registrierte Benutzer unterstellt werden könnte, dürfte das für Personen, die keine oder andere Dienste verwenden keinesfalls gelten.

Darüber hinaus behält sich der Anbieter vor, die Daten nahezu zweckungebunden nutzen zu dürfen.

Gem. Art. 83 Abs. 5 DSGVO drohen für Verstöße gegen die Rechtmäßigkeit der Übermittlung Bußgelder bis 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes, je nach dem welcher Betrag höher liegt.

Auch unter dem Gesichtspunkt der möglichen Leistungs- und Verhaltenskontrolle der Beschäftigten ist der Einsatz nicht zu empfehlen.

Ebenso kam bereits 2017 das Amtsgericht Bad Hersfeld zu dem Urteil, dass der Einsatz von WhatsApp durch die ungefragte Übertragung von Kontaktdaten an den Anbeiter ein Rechtsverstoß und somit auch abmahnfähig sei.

Für den privaten Einsatz auf Unternehmensgeräten oder auf privaten Geräten, die auch für das Unternehmen genutzt werden lassen sich technische und organisatorische Lösungen finden. Sprechen Sie hier Ihren rechtlichen Berater und Ihren betrieblichen Datenschutzbeauftragten an.

1 RDV Online vom 23.03.2018: Nutzung von WhatsApp aus der Perspektive der Aufsichtsbehörde

Quellen:
Hessenrecht / Landesrechtsprechungsdatenbank: Beschluss vom 20.03.2017 Az.: F 111/17 EASO
Die Landesbeauftragte für den Datenschutz Niedersachsen: Merkblatt für die Nutzung von "WhatsApp" in Untrenehmen
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)
Gesetze im Internet (Projekt des Bundesministerium der Justiz und für Verbraucherschutz und der juris GmbH)
Wikipedia

Bild: © Евгения Мухитова - Fotolia.com

Boris Koppenhöfer
26.07.2018
Redaktionelle Anmerkung: Aus Gründen der Lesbarkeit wird auf die Trennung von weiblicher und männlicher Form verzichtet.