Können WhatsApp und andere Dienste DS-GVO-konform genutzt werden?
Messenger-Dienste spielen auch in Unternehmen und anderen Organisationen eine immer größere Rolle bei der Kommunikation intern, wie extern. Zu den beliebten Diensten zählen neben Teams und ähnlichen Diensten, auch immer öfter Dienste wie WhatsApp.
Doch können diese Dienste zur Kommunikation bei geschäftlicher Kommunikation und vor allem, wenn es um personenbezogene Daten geht, überhaupt nach den Vorgaben des Datenschutzes genutzt werden?
Messenger-Dienste in der Unternehmenskommunikation
In der modernen Unternehmenskommunikation spielen Messenger-Dienste eine zunehmend wichtige Rolle. Plattformen wie WhatsApp bieten schnelle und effiziente Kommunikationswege, doch sind diese Dienste aus datenschutzrechtlicher Sicht oft mit erheblichen Risiken verbunden.
In diesem Artikel beleuchten wir die zentralen Gefahren und geben praktische Empfehlungen für einen datenschutzkonformen Einsatz von Messenger-Diensten in Unternehmen.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS: WAS BEDEUTET SPEICHERBEGRENZUNG?
Beispiel WhatsApp
An dieser Stelle muss man festhalten, dass es die unterschiedlichen Dienste von WhatsApp gibt: private und geschäftliche. WhatsApp hat laut Untersuchungen die SMS mit 80% Nutzer in Deutschland abgelöst.
Über den Kanal WhatsApp Business können seit wenigen Jahren auch Unternehmen eigene Konten anlegen und somit direkt mit ihren Geschäftspartnern in Kontakt treten und Profile anlegen. Besonders hierbei: die Unternehmen können z.B. automatische Antworten hinterlegen oder Angebote einstellen. Außerdem kann der Messenger entweder herkömmlich auf Smartphones genutzt werden, aber auch als Schnittstelle für CRM-Systeme.
Wann die Nutzung zum Problem für den Datenschutz werden kann
Nicht immer ist die Nutzung von solchen Diensten ein Problem für den Datenschutz. Dabei gilt es für den Verantwortlichen die Nutzung der Dienste im Einzelnen zu prüfen auf die Umsetzung des Datenschutzes.
Sobald personenbezogene Daten verarbeitet werden, muss auch bei der Nutzung von Messenger-Diensten wie WhatsApp und WhatsApp Business der Datenschutz umgesetzt werden. Beispiele sind hier die Kommunikation über Kundenprojekte oder auch Arbeitspläne o.ä.
Krankmeldungen per Messenger
Eine besondere Position nimmt bei der Kommunikation die Krankmeldung via Messenger ein. Die Aufsichtsbehörde in NRW hat diese zum Beispiel bereits als aus dem Datenschutz heraus unzulässig erklärt.
Wie und in welcher Form die Messenger-Dienste wie WhatsApp in Unternehmen und anderen Organisationen datenschutzkonform genutzt werden können, sollte im Einzelfall in jedem Fall auch mit einem Fachmann geprüft werden.
Anders sieht es aus, wenn Beschäftigte den Messenger-Dienst eigenverantwortlich für die Absprache zum Beispiel für private Termine nutzen. Dabei findet der Datenschutz keine Anwendung.
WhatsApp ist verschlüsselt – reicht das für den Datenschutz?
Auch wenn WhatsApp auf den ersten Blick den Eindruck eines verschlüsselten Messengers macht, werden immer auch unverschlüsselte sogenannte Meta-Daten über den Dienst verarbeitet. Das bedeutet, dass zum Beispiel Telefonnummern, Geräteinformationen, IP-Adressen usw. verarbeitet und weitergegeben werden. Spätestens da wird klar: Der Datenschutz muss dabei berücksichtigt, geprüft und umgesetzt werden.
Das bedeutet auch, dass die Nutzung des Messenger-Dienstes eine neue Herausforderung bei der Umsetzung des Datenschutzes darstellt und unbedingt sichergestellt werden muss. Vor allem die Übermittlung an Dritte stellt dabei eine nicht zu unterschätzende Schwierigkeit dar.
Kontaktdaten werden in den USA gespeichert
Ein wichtiger Punkt ist, dass die Kontaktdaten von WhatsApp auf einem Server in den USA gespeichert werden. Die Speicherung von Kontaktdaten im Messenger erfolgt dabei unverschlüsselt. Dabei greift das System auf das Adressbuch des Anwenders zurück.
Betrachtet man nun den Datenschutz, dann muss für jede Verarbeitung von personenbezogenen Daten, eine Rechtsgrundlage bestehen. Das bedeutet, dass eine Grundlage für jeden Kontakt im Adressbuch vorliegen muss.
Die Metadaten, werden wie schon erwähnt, unter Umständen ohne Rechtsgrundlage verarbeitet. Hier müsste eigentlich ein Vertrag für die Auftragsverarbeitung geschlossen werden – was der Messenger-Dienst nicht anbietet. Die Verarbeitung wäre also ebenfalls nicht zulässig.
Ein weiteres Problem stellen unverschlüsselte Backups beim Messenger-Dienst dar. Hierbei werden Inhaltsdaten unverschlüsselt gespeichert, weil das Backup beispielsweise über ein Google- oder Apple-Konto erfolgt.
Ist WhatsApp Business eine DS-GVO-konforme Lösung?
Im Gegenzug zum privaten Messenger ist der für Unternehmen mit einigen Extras im Datenschutz ausgestattet. Dazu gehört zum Beispiel ein Vertrag zur Auftragsverarbeitung für Unternehmen. Ob dieser für den Datenschutz der DS-GVO ausreichend ist, muss noch geprüft werden.
Auch bei der Nutzung von WhatsApp müssen Unternehmen ein Impressum führen, was bei der Businessanwendung möglich ist, indem man dies in der Unternehmensbeschreibung einfügt.
Dies gilt auch für die Informationspflichten im Datenschutz, die in dieser Messenger-Version als automatisierte Nachricht bei der ersten Kontaktaufnahme zum Beispiel abgedeckt werden können.
Messenger-Dienste auch in IT-Sicherheit einbinden
Um den Umgang mit solchen Diensten ausreichend sicher zu gestalten, sollten Dienste wie WhatsApp Business auch in die IT-Infrastruktur der Organisation eingebunden werden. Bei der ersten Kontaktaufnahme sollten die Informationspflichten eingehalten werden. Dabei können die Messenger für die Kommunikation und Support genutzt werden. Unterbinden sollten die Anwender auch den Zugriff auf Adressbücher.
Für komplexere Absprachen etc. sollten andere Messenger genutzt werden, welche die Vorgaben der DS-GVO unter Umständen klarer umsetzen, diese sollten aber vorher auf den Datenschutz hin geprüft werden.
Wichtig: Nutzen Sie Ihr privates WhatsApp nicht für geschäftliche Kommunikation
Von der Kommunikation mit dem privaten WhatsApp in der geschäftlichen Kommunikation ist in den meisten Fällen abzuraten. Die Verarbeitung der personenbezogenen Daten ist in diesem Rahmen nicht mit den Vorgaben aus DS-GVO und BDSG vereinbar. Darüber hinaus kann dies auch gegen die Nutzungsbedingungen von WhatsApp verstoßen.
Die WhatsApp Business Plattformen
Die Plattformen sind für größere Unternehmen konzipiert worden und versenden Nachrichten nicht direkt über den Messenger-Anbieter, sondern über eine Software. Dazu können das bestehende CRM-System oder andere Unternehmensanwendungen genutzt werden, indem man dort eine BSP-Software integriert.
Sowohl WhatsApp Business und die genannte Plattform können dabei eher für externe Kommunikation genutzt werden.
Achten Sie immer darauf, dass eine Einwilligung vom Betroffenen zur Nutzung von WhatsApp vorliegt. Bei der Nutzung einer Plattform, achten Sie immer auf die DS-GVO-konforme Nutzung und eine Verschlüsselung.
Ratsam ist bei Plattformen auch, eine Desktop-Lösung, damit kein Datenabgleich erfolgen kann. Unterbinden Sie den Abgleich der Daten auch bei der Nutzung des Messengers. Achten Sie auf die Verwendung eines AV-Vertrages. Binden Sie die Nutzung auch in die Datenschutzerklärung ein und umgedreht.
Nutzen Sie keine privaten Smartphones für geschäftliche Kontakte.
Fazit: Datenschutz und WhatsApp, geht das?
In jedem Fall sollten Unternehmen die Nutzung von WhatsApp im Sinne des Datenschutzes ausreichend prüfen und am besten über den Datenschutzbeauftragten noch einmal bewerten lassen.
Eine Nutzung ist möglich, muss aber in jedem Fall genau geprüft werden und entsprechend aller Vorgaben im Datenschutz bewertet, festgelegt und dokumentiert werden. Gerade auch im Bereich von Vereinen, Schulen usw. sollte die Nutzung noch einmal gesondert geprüft werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten, ein Datenschutz-Audit und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.