SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de
SDS / Unser Unternehmen / News / News-Details

Betriebliche Nutzung von WhatsApp ist illegal

von Nicholas Vollmer (Kommentare: 0)

Der US-amerikanische Messanger WhatsApp ist ein sehr beliebtes Mittel, um mit anderen Personen über das Smartphone in Kontakt zu bleiben.

Doch es gibt datenschutzrechtliche Probleme, weil WhatsApp in aller Regel die gespeicherten "Kontakte" zwangsläufig ausliest und an die US-amerikanische Firma sendet. Kritisch ist dies in Bezug auf jene Personen in den "Kontakten", die selbst keine WhatsApp-Nutzer sind und mit dem Konzern vielleicht bewusst nichts zu tun haben wollen. Ja, solche Menschen soll es geben!

Diese Problematik wurde spätestens am 15.05.2017 klar, wo eine Mutter verklagt wurde (AG Bad Hersfeld, 15.05.2017 - F 120/17 EASO).

Gut ein Jahr später hat nun die Landesdatenschutz-Aufsichtsbehörde in Niedersachsen im Juli 2018 ganz ausführlich Stellung genommen und begründet, warum die betriebliche WhatsApp-Nutzung gegen Artikel 25 (1) DS-GVO verstößt:

http://www.lfd.niedersachsen.de/download/132861/Merkblatt_fuer_die_Nutzung_von_WhatsApp_in_Unternehmen.pdf

Dieser Verstoß kann gemäß Artikel 83 (4a) DS-GVO ein Bußgeld nach sich ziehen. Interessanterweise weist die Aufsichtsbehörde nicht auf diese Tatsache hin.

Schlussendlich muss man die "typische" betriebliche Nutzung von WhatsApp wohl als illegal einstufen. Weil das Auslesen der Smartphone-Kontakte wiederholt stattfindet, stellt jede weitergehende Nutzung wohl einen fortlaufenden Datenschutzverstoß dar.

Analog zu den Facebook-Fanpages kann man wohl auch hier bei WhatsApp eine "gemeinsame Verantwortlichkeit" im Sinne des Artikel 26 sehen, denn jeder einzelne WhatsApp-Nutzer kann selbst bestimmen, ob er den Zugriff auf die "Kontakte" seines Smartphones erlaubt. Insofern kann die Aufsichtsbehörde auch in dieser Hinsicht gegen jeden einzelnen Nutzer vorgehen. (Auch auf diesen Aspekt hat die Aufsichtsbehörde nicht hingewiesen.)

Es wird wohl nicht lange dauern, bis die Aufsichtsbehörden offiziell mit Bußgeldern drohen. In der Zwischenzeit wäre es auch denkbar, dass Anwälte gezielt Abmahnungen schreiben, weil sich ein Unternehmen einen Wettbewerbsvorteil verschafft, indem es gegen Datenschutzbestimmungen verstößt.

Was kann man tun?

  1. WhatsApp deinstallieren. Auf einen anderen Messanger ausweichen (Signal, Threema, ...).

  2. Alle Personen, die in den "Kontakten" des Smartphones gespeichert sind um Einwilligung bitten. Dabei sind die hohen Anforderungen des Artikel 7 DS-GVO zu erfüllen sind. Wenn auch nur eine einzige Person dies verweigert oder widerruft, dann steht man wieder am Anfang.

  3. Ein separates Smartphone verwenden, wo nur jene Personen in den "Kontakten" gespeichert werden, die selbst auch WhatsApp-Nutzer sind. Das ist natürlich sehr umständlich. Außerdem ist fraglich, wie man reagieren soll, wenn jene Personen die Nutzung beendet haben und dies nicht vorab per WhatsApp mitteilen (damit alle anderen den Eintrag in den "Kontakten" löschen können).

  4. Kontakte im verschlüsselten Container isolieren. Nicht wenige Unternehmen setzen ein "mobile device management" (MDM) ein, um die betrieblichen und privaten Daten voneinander zu trennen. Siehe Kapitel 11.5.5 im Praxishandbuch TOM-Guide®. Beispiele hierfür sind MS-Intune, SecurePIM, Android for work, Samsung Knox und viele mehr. Bei korrekter Konfiguration wäre dann gewährleistet, dass WhatsApp keine Kontaktdaten von unbeteiligten Dritten ausliest und nutzt. [Diese Option wurde am 06.07.2018 hinzugefügt.]

  5. Die Rechtslage ignorieren und hoffen, dass WhatsApp möglichst schnell nachbessert und den pauschalen Zugriffs-Zwang auf die "Kontakte" abschaltet. Programmiertechnisch wäre dies ein Leichtes. Die Frage ist wohl nur, ob sich WhatsApp rechtskonform verhalten möchte. Dem Aktienkurs sollte eine solche Maßnahme eigentlich zuträglich sein.

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Zurück