Der US-amerikanische Messanger WhatsApp ist ein sehr beliebtes Mittel, um mit anderen Personen über das Smartphone in Kontakt zu bleiben.
Doch es gibt datenschutzrechtliche Probleme, weil WhatsApp in aller Regel die gespeicherten "Kontakte" zwangsläufig ausliest und an die US-amerikanische Firma sendet. Kritisch ist dies in Bezug auf jene Personen in den "Kontakten", die selbst keine WhatsApp-Nutzer sind und mit dem Konzern vielleicht bewusst nichts zu tun haben wollen. Ja, solche Menschen soll es geben!
Diese Problematik wurde spätestens am 15.05.2017 klar, wo eine Mutter verklagt wurde (AG Bad Hersfeld, 15.05.2017 - F 120/17 EASO).
Gut ein Jahr später hat nun die Landesdatenschutz-Aufsichtsbehörde in Niedersachsen im Juli 2018 ganz ausführlich Stellung genommen und begründet, warum die betriebliche WhatsApp-Nutzung gegen Artikel 25 (1) DS-GVO verstößt:
http://www.lfd.niedersachsen.de/download/132861/Merkblatt_fuer_die_Nutzung_von_WhatsApp_in_Unternehmen.pdf
Dieser Verstoß kann gemäß Artikel 83 (4a) DS-GVO ein Bußgeld nach sich ziehen. Interessanterweise weist die Aufsichtsbehörde nicht auf diese Tatsache hin.
Schlussendlich muss man die "typische" betriebliche Nutzung von WhatsApp wohl als illegal einstufen. Weil das Auslesen der Smartphone-Kontakte wiederholt stattfindet, stellt jede weitergehende Nutzung wohl einen fortlaufenden Datenschutzverstoß dar.
Analog zu den Facebook-Fanpages kann man wohl auch hier bei WhatsApp eine "gemeinsame Verantwortlichkeit" im Sinne des Artikel 26 sehen, denn jeder einzelne WhatsApp-Nutzer kann selbst bestimmen, ob er den Zugriff auf die "Kontakte" seines Smartphones erlaubt. Insofern kann die Aufsichtsbehörde auch in dieser Hinsicht gegen jeden einzelnen Nutzer vorgehen. (Auch auf diesen Aspekt hat die Aufsichtsbehörde nicht hingewiesen.)
Es wird wohl nicht lange dauern, bis die Aufsichtsbehörden offiziell mit Bußgeldern drohen. In der Zwischenzeit wäre es auch denkbar, dass Anwälte gezielt Abmahnungen schreiben, weil sich ein Unternehmen einen Wettbewerbsvorteil verschafft, indem es gegen Datenschutzbestimmungen verstößt.
Was kann man tun?
- WhatsApp deinstallieren. Auf einen anderen Messanger ausweichen (Signal, Threema, ...).
- Alle Personen, die in den "Kontakten" des Smartphones gespeichert sind um Einwilligung bitten. Dabei sind die hohen Anforderungen des Artikel 7 DS-GVO zu erfüllen sind. Wenn auch nur eine einzige Person dies verweigert oder widerruft, dann steht man wieder am Anfang.
- Ein separates Smartphone verwenden, wo nur jene Personen in den "Kontakten" gespeichert werden, die selbst auch WhatsApp-Nutzer sind. Das ist natürlich sehr umständlich. Außerdem ist fraglich, wie man reagieren soll, wenn jene Personen die Nutzung beendet haben und dies nicht vorab per WhatsApp mitteilen (damit alle anderen den Eintrag in den "Kontakten" löschen können).
- Neu im September 2018: WhatsApp den Zugriff auf die Kontakte pauschal verweigern. Dann kann man aber keine anderen Personen zum Chat einladen, sondern muss von denen eingeladen werden. Gruppen-Chats kann man generell nicht starten. Das größte Manko aber ist: Die Namen der Chat-Teilnehmer werden nicht angezeigt. Daher sieht man immer nur die Telefonnummern und die (sich ständig ändernden) Profilbilder. Das kann schnell unübersichtlich werden.
- Kontakte im verschlüsselten Container isolieren. Nicht wenige Unternehmen setzen ein "mobile device management" (MDM) ein, um die betrieblichen und privaten Daten voneinander zu trennen. Siehe Kapitel 11.5.5 im Praxishandbuch TOM-Guide®. Beispiele hierfür sind MS-Intune, SecurePIM, Android for work, Samsung Knox und viele mehr. Bei korrekter Konfiguration wäre dann gewährleistet, dass WhatsApp keine Kontaktdaten von unbeteiligten Dritten ausliest und nutzt. [Diese Option wurde am 06.07.2018 hinzugefügt.]
- Neu im September 2018: Die Android-App Whatsbox kapselt WhatsApp ab und schützt vor dem pauschalen Zugriff auf die Kontakt-Informationen. Nach der Installation kann man auswählen, auf welche Kontakte WhatsApp zugreift. Das funktioniert sehr gut. Allerdings muss man das eventuell bereits installierte WhatsApp deinstallieren; seitens WhatsBox wird dies dann wieder innerhalb des Containers installiert und bestehende Chats wiederhergestellt. Die App kostet 5,99 € und ist derzeit wohl nur für Android verfügbar.
- Neu im Juni 2019: (Zumindest) bei Android-Smartphones kann man einen neuen Benutzer einrichten, der dann auf einen eigenen Speicherbereich zugreift. In diesem neuen Benutzerprofil gibt es (noch) keine Kontakte, auf die WhatsApp zugreifen könnte. Hier kann man nun WhatsApp installieren und ganz normal nutzen. Natürlich muss man alle relevanten Kontakte hier nochmals einpflegen.
Diese Lösung hat aber auch Nachteile: (a) Man muss immer wieder den Benutzer wechseln, wenn man per WhatsApp kommunizieren will... das ist zeitaufwändig und lästig. (b) Man muss die Kontakte in beiden Benutzerprofilen parallel führen.
- Die Rechtslage ignorieren und hoffen, dass WhatsApp möglichst schnell nachbessert und den pauschalen Zugriffs-Zwang auf die "Kontakte" abschaltet. Programmiertechnisch wäre dies ein Leichtes. Die Frage ist wohl nur, ob sich WhatsApp rechtskonform verhalten möchte. Dem Aktienkurs sollte eine solche Maßnahme eigentlich zuträglich sein.
[Nachtrag m 06.08.2018: Alternativen zu WhatsApp werden hier verglichen.]
Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!
© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.
