Seit Anfang 2018 gibt es WhatsApp Business, das speziell für Unternehmen gedacht ist. Doch die Version weist keine datenschutzrechtlich relevanten Unterschiede zur herkömmlichen App auf – und das kann zum Problem werden, denn die Nutzung von WhatsApp verstößt eklatant gegen die geltende Datenschutzgrundverordnung.
Darauf weißt die niedersächsische Landesbeauftragte für Datenschutz (LfD) hin und hat ein Merkblatt für die Nutzung von WhatsApp in Unternehmen veröffentlicht.
WhatsApp liest Kontakte alle Kontakte aus
Bei WhatsApp registrieren sich Nutzer mit ihrer Mobilfunknummer. Anschließend wird regelmäßig das Adressbuch der Nutzer ausgelesen und es werden Namen und Mobilfunknummern an die Server von WhatsApp in die USA übermittelt.
Dieser Adressbuchabgleich wird unter anderem dazu genutzt, den Nutzern anzuzeigen, welche ihrer Kontakte ebenfalls per WhatsApp erreichbar sind. Allerdings werden bei diesem Kontakte-Scan immer auch die Daten von Personen an WhatsApp übermittelt, die den Dienst überhaupt nicht nutzen.
Gleichzeitig verlangt WhatsApp von seinen Nutzern aber, dass sie für die Rechtmäßigkeit der Übermittlung an WhatsApp garantieren.
WhatsApp gibt Daten konzernintern weiter
Ausweislich seiner Datenschutzrichtlinie behält sich WhatsApp eine umfassende Verwendung von ihnen vorliegenden Informationen vor, zum Beispiel für „Messungen, Analysen und sonstige Unternehmens-Dienste“.
Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen. Zwar liest WhatsApp keine Inhalte aus, erfasst jedoch, wer mit wem und wie oft kommuniziert.
Datenschutzprobleme bei WhatsApp-Nutzung
Es ergeben sich im Wesentlichen vier datenschutzrechtliche Problemstellungen:
- Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
- Die Übermittlung von personenbezogenen Daten in die USA.
- Die Nutzung von personenbezogenen Daten durch WhatsApp.
- Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns
Die Rechtmäßigkeit des Einsatzes von WhatsApp durch Unternehmen richtet sich nach der DSGVO.
WhatsApp in Unternehmen verstößt gegen DSGVO
Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp ist regelmäßig unzulässig. Die Verantwortlichkeit für die Übermittlung von Adressbuchdaten an WhatsApp liegt bei dem jeweiligen Unternehmen, welches WhatsApp zur Kommunikation nutzt. Nach Art. 6 Abs. 1 DSGVO bedarf es für eine solche Übermittlung einer Rechtsgrundlage oder Einwilligung der betroffenen Kontakte.
So benutzen viele Betroffene gar keinen oder einen anderen Instant-Messenger-Dienst. Die Kontaktdaten dieser Personen können daher nur mit einer wirksamen Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a in Verbindung mit Art. 7 und 8 DSGVO übermittelt werden. Diese wird regelmäßig für die Übermittlung von Daten aus dem Adressbuch des Smartphones nicht vorliegen.
Die Einholung einer Einwilligung von den betroffenen Personen ist zwar denkbar, wird aber regelmäßig praktisch nicht durchführbar sein.
Fazit: Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern ist daher nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich.
Zugriff auf Kontakte ausschließen?
Für die Funktionsfähigkeit sind diese Übermittlung an WhatsApp und der vollständige Datenabgleich aller im Adressbuch gespeicherten Kontaktdaten nicht zwingend.
Zwar bietet WhatsApp keine Möglichkeit, den Zugriff auf die Kontakte einzuschränken oder nur bestimmte Kontaktgruppen zu erlauben. Es ist allerdings möglich, durch Einstellungen zum Beispiel in dem Android-Betriebssystem von Smartphones ab der Version 6.0, den Zugriff auf die Kontakte durch WhatsApp auszuschließen.
Eine solche Konfiguration schränkt jedoch die Funktionalität von WhatsApp ein:
- Wird WhatsApp die Berechtigung zum Zugriff auf die Kontakte nach der Installation, vor der ersten Anwendung, nicht erteilt, so kann der Nutzer von sich aus keine Kommunikation starten, er kann nur selbst angeschrieben werden.
- Eine manuelle Eingabe einer Telefonnummer, die für eine Kommunikation verwendet werden soll, ist nicht möglich.