Nach dem Inkrafttreten der Datenschutzgrundverordnung und des neuen deutschen Datenschutzgesetzes am 25.05.2018 haben eine Reihe größerer Unternehmen entschieden, die dienstliche Nutzung von Messenger-Diensten wie WhatsApp und SnapChat zu untersagen. Insbesondere die Entscheidung des Dax-Konzerns Continental, der am 05.06.2018 insgesamt 36.000 Arbeitnehmern die dienstliche Nutzung der genannten Anbieter verbot, erregte Aufsehen.
Hintergrund sind einige Gerichtsentscheidungen und die veröffentliche Auffassung der Datenschutzbehörden in Schleswig-Holstein, Thüringen und Niedersachen zur datenschutzrechtlichen Nutzung von WhatsApp.
Worum geht es?
Aus datenschutzrechtlicher Sicht bestehen zahlreiche Probleme beim Einsatz des weltgrößten Messenger-Dienstes.
Unlimitierter Zugang zu Kontaktdaten
Das Hauptproblem besteht darin, dass der Nutzer mit der Installation bzw. mit dem Start von WhatsApp regelmäßig allein durch die Nutzung alle Einträge aus dem internen Adressbuch des Smartphones an WhatsApp überträgt. Es werden somit Telefonnummern, Vor- und Nachname und alle zusätzlich eingetragenen Daten auf die Server des Unternehmens aus den USA transferiert. Nicht ganz klar ist, ob nicht sogar noch weitere, nicht offen sichtbare Daten (Metadaten) ebenfalls betroffen sind.
Da eine Rechtsgrundlage für diese Art der Datenverarbeitung ansonsten nicht vorhanden ist wäre eine Einwilligung jedes einzelnen Betroffenen erforderlich. Eine solche Einwilligung wird allerdings in aller Regel fehlen. Alle Personen aus dem Adressbuch müssten vorab über den Datentransfer an WhatsApp transparent aufgeklärt werden und um Ihr Einverständnis gebeten werden. Nicht nur im Privatbereich, sondern insbesondere auch bei Geschäftsdaten (z.B. Kontaktdaten eines Vertragspartners, Interessenten, Mitarbeiter oder Kunden) wäre das Vorliegen einer informierten Einwilligung nach Maßgabe der Datenschutzgrundverordnung mehr als ungewöhnlich.
Die WhatsApp AGB gehen aber sogar noch weiter. Die maßgebliche Klausel unter der Überschrift „Über unsere Dienste“ lautet wie folgt:
„Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobilephoneadressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“
WhatsApp lässt sich somit von den Nutzern ausdrücklich bestätigen, dass eine Einwilligung vorliegt. Damit versucht sich der Dienst datenschutzrechtlich abzusichern und verlagert die Verantwortlichkeit auf jeden einzelnen Nutzer.
Geschäftliche Nutzung nur mit Genehmigung erlaubt
Eine weitere Klausel der AGB, die kaum ein Nutzer kennen wird, findet sich unter „Zulässige Nutzung unserer Dienste“, diese lautet wie folgt:
„Du darfst auf unsere Dienste nur für rechtmäßige, berechtigte und zulässige Zwecke zugreifen bzw. sie für solche nutzen. Du wirst unsere Dienste nicht auf eine Art und Weise nutzen (bzw. anderen bei der Nutzung helfen), die … irgendeine nichtprivate Nutzung unserer Dienste beinhaltet, es sei denn, dies wurde von uns genehmigt.
Kaum ein Nutzern wird allerdings eine vertragliche Vereinbarung mit der WhatsApp Inc. in den USA abgeschlossen haben, der zufolge eine geschäftliche Nutzung (und hierunter fällt auch die Weiterleitung von geschäftlichen personenbezogenen Daten) erlaubt ist. Tatsächlich handelt es sich bei der geschäftlichen Nutzung von WhatsApp ohne Genehmigung um eine Urheberrechtsverletzung, die WhatsApp (da an den Daten interessiert) allerdings kaum geltend machen wird.
Datentransfer zu Facebook
Nachdem WhatsApp im Jahre 2014 von Facebook gekauft wurde versicherte man der Öffentlichkeit, dass hiermit selbstverständlich kein Datenaustausch verbunden sei. Nunmehr lauten die AGB von WhatsApp wie folgt:
„Durch die Zusammenarbeit mit Facebook haben wir mehr Möglichkeiten, z.B. können wir grundlegende Kennzahlen über die Häufigkeit, mit der Benutzer unsere Dienste verwenden, verfolgen, und besser gegen Spam auf WhatsApp vorgehen. In dem wir eine Telefonnummer mit den Facebook Systemen verbinden kann Facebook dir besser Freunde vorschlagen und dir passendere Werbung anzeigen, falls du einen Account dort haben solltest. …“
Unter der alten Rechtslage vor Inkrafttreten der Datenschutzgrundverordnung konnte zwar eine einstweilige Verfügung gegen WhatsApp erwirkt und so verboten werden Daten an Facebook weiterzuleiten, unter der Geltung der DSGVO gilt diese Entscheidung jedoch nicht fort. Vielmehr müsste vor dem nunmehr zuständigen Gericht in Irland, da sich dort das europäische Hauptquartier von WhatsApp befindet, eine neue Entscheidung erwirkt werden. Bis dies der Fall ist erfolgt der Datentransfer uneingeschränkt.
Auftragsdatenverarbeitung?
Die Datenschutzbehörden der genannten Bundesländer sehen überdies bei der geschäftlichen Nutzung von WhatsApp, insbesondere in der Kommunikation mit Kunden, einen Verstoß gegen die §§88, 191 Telekommunikationsgesetz, überdies handele es sich bei der Verarbeitung personenbezogener Daten in diesem Kontext um eine Auftragsdatenverarbeitung, für die eine entsprechende Vereinbarung zwischen dem Unternehmen und WhatsApp erforderlich wäre. Eine solche Auftragsdatenvereinbarung wäre allerdings letztlich gar nicht möglich, da ein Datensicherheitskonzept der WhatsApp Inc. gar nicht existiere und aufgrund der restriktiven Informationspolitik des Unternehmens es einem Verantwortlichen in Deutschland auch nicht möglich wäre seiner Prüfpflicht gemäß §28 DSGVO nachzukommen.
Sichere Verschlüsselung
Einem Bericht der englischen Tageszeitung The Guardian ließ sich entnehmen, dass die Verschlüsselungsmechanismen von WhatsApp bzw. Facebook keinesfalls sicher sind, wie dies von den Unternehmen behauptet wird. Vielmehr sollen im Hintergrund eine Reihe von zusätzlichen Daten, welche spätestens in den USA für alle Interessierten einsehbar sind, übertragen bzw. gespeichert werden. Denkt man einmal an heute durchaus übliche Vorgehensweisen im Arbeitsalltag wie z.B. die Übermittlung von Arbeitsunfähigkeitsbescheinigungen per WhatsApp-Foto an den Arbeitgeber zeigt sich, welche Probleme hiermit verbunden sind.
Aufbewahrungspflichten
Im geschäftlichen Verkehr bestehen auf der Basis des Handelsgesetzbuches und der Abgabenordnung zahlreiche Aufbewahrungspflichten soweit die Kommunikation vertragsrelevanten Informationen wie Bestellungen, Auftragsbestätigungen, Vertragsabschlüsse und Bezahlungsvorgänge erfasst. Sollte solche Kommunikation über Messenger-Services wie WhatsApp erfolgen wäre eine hinreichende Dokumentation nicht gesichert, da die Nachrichten allenfalls kurze Zeit auf den Servern gespeichert werden und danach auch im Mobilfunkgerät nicht mehr ohne weiteres abrufbar sind. Eine ordnungsgemäße Erfüllung der Aufbewahrungspflichten wäre hiermit nicht gegeben.
Hinzu kommen gerade auch im Bereich des Arbeitsrechts Beweisthemen, man denke nur an eine Absprache unter Kollegen zum Tausch von Schichten, wie könnte hier der Arbeitgeber bei sich später wiedersprechenden Mitarbeiteraussagen einen Nachweis führen, wer welche Zusage gegeben hat?
Sowohl die Erfüllung von Aufbewahrungspflichten als auch der Nachweis von Vorgängen wäre nur bei einer gesonderten Speicherung der Chat-Verläufe möglich, hierfür gelten jedoch ähnlich wie bei der privaten E-Mail und Internetnutzung enge rechtliche Grenzen.
Was sind die Risiken?
Im Hinblick auf die bekannten Bußgeldvorschriften der Datenschutzgrundverordnung dürfte bereits die Datennutzung ohne Einwilligung einen klaren Verstoß gegen das Datenschutzrecht darstellen, der grundsätzlich bußgeldbewehrt ist. Hinzu kommen mögliche Ansprüche Dritter, deren Daten ohne deren Einwilligung übertragen werden. Auch im Bereich der Aufbewahrungspflichten sind, von sonstigen Nachteilen abgesehen, Bußgeldvorschriften vorhanden. Hinzu kommen die beschriebenen möglichen Nachteile bei der Rechtsverfolgung.
Was kann getan werden?
Für Unternehmen steht in der gegenwärtigen Situation eine Reihe von Möglichkeiten zur Verfügung. Wie eingangs dargestellt optieren eine Reihe großer Unternehmen dazu die Nutzung von WhatsApp zu dienstlichen Zwecken und auf dienstlichen Gerätschaften vollends zu untersagen. Sofern auf Dienstgeräten vorhanden, könnte WhatsApp von der Unternehmenseigenen IT gelöscht werden, wobei dies im Hinblick auf schon übertragene Kontaktdaten nur begrenzte Auswirkungen hätte. Bei der Nutzung von Privatgeräten für dienstliche Zwecke (Bring Your Own Device) müsste darauf geachtet werden, dass auf den privaten Gerätschaften sämtliche unternehmensbezogene Personaldaten zu löschen wären, eine derartige Löschung sollte dann von der IT durchgeführt oder bestätigt werden.
Technisch kommen weitere Lösungen in Betracht, wie z.B. die Nutzung von Containerdateien, die technisch abgegrenzt werden von anderen (privaten) Daten, dies erschwert allerdings die Handhabung, da in einem solchen Fall in der Containerdatei sämtliche Kontaktdaten händisch einzutragen bzw. zu löschen wären.
Das Blockieren der Übertragung von Kontaktdaten, das inzwischen in allen Betriebssystemen möglich ist, hilft nur bei der kompletten Neuinstallation eines Geräts, eine nachträgliche Sperrung von Kontakten führt nämlich nicht dazu, dass schon übertragene personenbezogene Daten, die sich auf den WhatsApp bzw. Facebook-Servern befinden, ebenfalls gelöscht werden. Überdies führt eine Sperrung der Weitergabe von Kontaktdaten dazu, dass über WhatsApp nur noch eingeschränkt kommuniziert werden kann, z.B. lassen sich andere Nutzer nur mehr über ihre Telefonnummern und nicht per Namen identifizieren.
Die Nutzung alternativer Messenger-Services kommt regelmäßig nicht in Betracht (auch wenn diese u.U. sicherer sind) da diese wesentlich weniger Nutzer haben und somit zur Fortführung vorhandener Kommunikationswege nicht geeignet sind.
Unternehmensrichtlinie oder Betriebsvereinbarung dringend erforderlich
Vor diesem Hintergrund ist es dringend ratsam über eine Unternehmensrichtlinie, die dienstliche Nutzung von WhatsApp soweit wie möglich einzuschränken, darüber hinaus müssen Mitbestimmungsrechte gewahrt werden, da es u.U. um die Steuerung des Ordnungsverhaltens der Arbeitnehmer und technische Überwachungseinrichtungen geht. Ohnehin kann eine Betriebsvereinbarung in gewissen Grenzen auch als Rechtfertigungstatbestand bei der Datennutzung helfen.