WhatsApp-Nutzung im Unternehmen

Dr. Hauke Hansen, Fachanwalt für IT-Recht und Urheber- und Medienrecht im Frankfurter Büro der Kanzlei FPS

Dass der Gebrauch von Diensten wie WhatsApp datenschutzrechtlich problematisch ist, steht schon länger im Raum. Der Hamburger Datenschutzbeauftragte Johannes Caspar hatte Facebook den Zugriff auf die Daten deutscher WhatsApp-Nutzer schon zu Beginn des Jahres in einer viel beachteten Entscheidung gerichtlich untersagen lassen. Seit das Amtsgericht Bad Hersfeld (Az. F 111/17 EASO) Ende Juni entschieden hat, dass allein die Nutzung von WhatsApp gegen das deutsche Datenschutzrecht verstößt, drohen auch Unternehmen Bußgelder. Zumindest jenen, die den Messenger-Dienst für ihre interne und externe Kommunikation nutzen. Begründet wurde das Urteil unter anderem damit, dass sämtliche Kontaktdaten aus den Smartphones der WhatsApp-Nutzer an die WhatsApp Inc. ohne die ausdrückliche Zustimmung der Betroffenen weitergeleitet würden.

Worum geht es?

Weder von WhatsApp noch von seinem Mutterkonzern Facebook wird die vermeintlich kostenlose App ohne Gegenleistung zur Verfügung gestellt. Fakt ist, dass die von den jeweiligen Nutzern übermittelten Daten ausgelesen und diese dann in die USA übertragen werden, wo eine genaue Auswertung erfolgt. Zu dieser Auswertung gehört etwa das Auslesen der Daten aus den Kontaktverzeichnissen des jeweiligen Smartphones. Auch jene Nummern und Kontakte, die nicht auf WhatsApp zugreifen, zählen dazu. Vor dem Hintergrund der zunehmenden Nutzung von WhatsApp und Co. in immer mehr Unternehmen – sowohl zwischen Mitarbeitern als auch mit Kunden oder Lieferanten – wird das Thema Datenschutz immer drängender.

Umfassender Datenzugriff

Ungewöhnlicher Ausgangspunkt der Entscheidung des Amtsgerichts Bad Hersfeld mit umfänglichen Ausführungen zum Datenschutzrecht war eine familienrechtliche Streitigkeit. Mutter und Vater stritten um den Umgang mit dem gemeinsamen Kind. Dabei kam auch die Benutzung des WhatsApp-Messengers durch das zehnjährige Kind zur Sprache. Nach dessen Nutzungsbedingungen erklärt jeder Nutzer, er sei autorisiert, die Telefonnummern von Kontakten aus dem eigenen Adressbuch an die WhatsApp Inc. in die USA zu übermitteln. Außerdem lässt sich WhatsApp den Zugriff auf zahlreiche weitere Daten einräumen: Standortdaten, Informationen zum Handy-Modell, Betriebssystem und Mobilfunknetz. Schließlich muss der Nutzer sogar das im Vergleich zu Deutschland niedrigere Datenschutzniveau in den Vereinigten Staaten akzeptieren. So heißt es dort: „Du erkennst an, dass die Gesetze, Vorschriften und Standards des Landes, in dem deine Informationen gespeichert oder verarbeitet werden, von denen deines eigenen Landes abweichen können.“

Strenge Anforderungen

Unternehmensmitarbeiter, aber auch die WhatsApp Inc selbst benötigen die Zustimmung der in den Kontaktverzeichnissen abgelegten Personen zur Verarbeitung und Weitergabe ihrer Daten. Das besagen die deutschen Datenschutzregeln. Das Gesetz und die Datenschutzbehörden machen klare Vorgaben für eine wirksame Einwilligung. Dass hier das Drücken des „Akzeptieren“-Buttons der WhatsApp-Datenschutzbestimmungen ausreicht, bezweifeln Datenschützer. Weder hält sich WhatsApp an den gesetzlich festgelegten Grundsatz der Datensparsamkeit noch wird, nach Einschätzung der Datenschützer, der Zweck der Datenverarbeitung konkret genug benannt. Das Ausmaß des Datenzugriffs ist den wenigsten Nutzern bewusst. Und das betrifft auch die Mitglieder von Geschäftsleitungen. Wenn sich auf den Smartphones sogar sensible geschäftliche Daten befinden, dürfte nicht nur Compliance-Abteilung der Unternehmen nervös werden.

Fazit für Unternehmen

Es hat sich gezeigt, dass eine rechtswirksame Einwilligung in die Datennutzung- und Weitergabe bei Nutzung von Messengern wie WhatsApp nur in Ausnahmefällen vorliegt. Daher empfiehlt sich für Unternehmen eine sorgsame Prüfung, ob geschäftliche Kontakte in die Datenweitergabe wirksam eingewilligt haben. Verletzt die WhatsApp-Nutzung Datenschutzvorschriften, drohen sonst unangenehme Verfahren vor den Datenschutzbehörden. Aber auch mit Blick auf die Weitergabe sonstiger Daten sollte ein Einsatz dieser Dienste genau überdacht werden. Hinzu kommt, dass ab dem 25. Mai 2018 die europäische Datenschutz­grundverordnung (DS-GVO) in Kraft tritt. Damit wird das Datenschutzrecht eine EU-weite Vereinheitlichung erfahren. Dies zieht u.a. eine Erweiterung der Haftung der Geschäftsleitung nach sich. Darüber hinaus erhöhen sich die Bußgelder für Datenschutzverstöße von bisher 300.000 Euro auf bis zu 20 Mio. Euro bzw. 4% des Jahresumsatzes, was einem dramatischen Anstieg gleichkommt. Zur Beruhigung sei jedoch gesagt, dass bei einem erstmaligen Verstoß der Bußgeldrahmen sicher nicht ausgenutzt werden wird.

Wie kann man Unannehmlichkeiten aus dem Weg gehen?

Der externe Zugriff von Apps auf Smartphones, die geschäftlich genutzt werden und auf denen entsprechende Kontakte hinterlegt worden sind, sollte so gering wie möglich gehalten werden, um datenschutzrechtliche Probleme von vornherein zu vermeiden. Daher empfiehlt es sich in diesem Zusammenhang, Messenger-Dienste wie WhatsApp und andere nicht ungeprüft auf Diensthandys zu installieren. Eine Risikoanalyse sollte immer dann durchgeführt werden, sofern ein generelles Verbot nicht durchsetzbar oder gewollt ist. So kann im Anschluss eine Entscheidung getroffen werden, die für das Unternehmen von Vorteil ist und es nicht in Schwierigkeiten bringt.

Ähnliche Beiträge

Kommentare sind geschlossen.