Bereits 2015 verzeichnete WhatsApp weit über 800 Mio. aktive Nutzer. Der Messenger-Dienst ist im privaten Gebrauch nahezu nicht wegzudenken. Sofern Sie selbst die Ansicht vertreten: „Es weiß schon eh jeder alles über mich!“, oder „Es ist mir egal, was mit meinen Daten passiert“, dürfen Sie jetzt gerne aufhören, weiterzulesen. Denn in diesem Fall spielt das Thema Datenschutz, also der Schutz Ihrer personenbezogenen Daten, für Sie selbst keine große Rolle. In einer Hinsicht haben Sie recht: für Privatpersonen gilt die EU-Datenschutz­grundverordnung nicht, Sie müssen nichts beachten und entscheiden selbst, was mit Ihren Daten passiert und wer diese erhält.

Doch was ist, wenn Sie WhatsApp geschäftlich nutzen?

WhatsApp

Mittlerweile bieten selbst Apotheken die Möglichkeit, die Bestellung von Rezepten über WhatsApp zu übermitteln. Hierbei werden neben den klassischen personen­bezogenen Daten auch besonders sensible Daten verarbeitet, nämlich Informationen zur Gesundheit der Person.

In unserer Tätigkeit mit den unterschiedlichsten Unternehmen stellen wir immer wieder fest: für manche Unternehmen ist der Messenger-Dienst unverzichtbar. Durch seine weltweite Verbreitung erfolgt vor allem die Kommunikation mit Geschäftspartnern außerhalb der EU schwerpunktmäßig über WhatsApp. Diverse Drittländer kommunizieren ausschließlich über den Dienst. Oftmals ist die Reaktion bei den Unternehmen folgende: „Würde ich meinem Geschäftspartner mitteilen, dass er mit mir über einen anderen Dienst oder per E-Mail oder SMS interagieren soll, ist er die längste Zeit mein Geschäftspartner gewesen. Schaffe ich WhatsApp ab, kann ich meine Firma schließen!“.

Sicherheit, Nutzungsbedingungen und Datenschutz bei WhatsApp

Der Messenger-Dienst steht bereits seit Jahren in der Kritik, sowohl Sicherheitslücken aufzuweisen als auch die Daten seiner Nutzer unberechtigt zu nutzen.

Sicherheitslücken traten schon an unterschiedlichen Stellen auf. So wurde 2015 bekannt, dass US-Behörden die jeweiligen Inhalte mitlesen konnten, daneben kursierten Berichte über geklaute Accounts und diverse weitere Sicherheitslücken. Über unterschiedliche Updates hat WhatsApp manche Lücken zwischenzeitlich behoben, andere werden immer wieder entdeckt bzw. der Dienst teilweise infrage gestellt, da seitens des Unternehmens nicht alle Quellcodes zur Prüfung von neutralen Stellen offengelegt werden.

Bei der erstmaligen Nutzung des Messenger-Dienstes benötigt WhatsApp die Handynummer des Nutzers. Wer sich hierbei wundert, dass sein Name bereits angezeigt wird, noch bevor man diesen selbst angegeben hat: WhatsApp liest standardmäßig die Telefonbuch-Einträge von Nutzern aus. Ergo: der Name wurde bereits über einen anderen Nutzer übermittelt. Zudem greift WhatsApp auf das Telefonbuch des Nutzers zu und „zieht sich“ automatisch jegliche Kontakte, auch von Personen, die den Dienst nicht nutzen. Diese Funktion lässt sich ausschließlich über das jeweilige Smartphone abstellen. Bereits 2016 mussten Nutzer in den AGB von WhatsApp bestätigen, dass sie über die Einwilligung ihrer Kontakte verfügen, ihre Daten an WhatsApp weiterzugeben – welche sicherlich niemand hat. Somit liegt ein klarer Verstoß gegen die AGB von WhatsApp vor.
Ein weiterer Verstoß gegen die Nutzungsbedingungen von WhatsApp stellt auch die nicht von WhatsApp genehmigte geschäftliche Nutzung dar. So ist den Nutzungsbedingungen von WhatsApp zu entnehmen:

„Rechtmäßige und zulässige Nutzung. Du darfst auf unsere Dienste nur für rechtmäßige, berechtigte und zulässige Zwecke zugreifen bzw. sie für solche nutzen.
Du wirst unsere Dienste nicht auf eine Art und Weise nutzen (bzw. andere bei der Nutzung unterstützen), die: (a) ... [ … Auflistung … ]

oder (f) irgendeine nicht-private Nutzung unserer Dienste beinhaltet, es sei denn, dies wurde von uns genehmigt."

Mal Hand aufs Herz: Haben Sie sich von WhatsApp die berufsmäßige Nutzung genehmigen lassen? Gerade bei der geschäftlichen Nutzung von WhatsApp zeigen sich einige Hürden, die den wenigsten Unternehmen bekannt sind.

Unter datenschutzrechtlichen Gesichtspunkten stellt sich die Problematik der unrechtmäßigen Datenübertragung in die USA. Während die Kommunikation zwischenzeitlich verschlüsselt übertragen wird, liegen sowohl alle Nutzerdaten als auch die Backup-Daten und die zwischengespeicherten Nachrichten auf US-Servern. Jedoch ist die USA durch den Fall des EU-US Privacy Shields im Sommer 2020 kein sicherer Drittstaat im Sinne des EU-Datenschutzrechts mehr. Somit wäre auch für die Datenübertragung der Kontakte ebenfalls die Einwilligung der betroffenen Personen erforderlich.

2014 wurde WhatsApp von Facebook gekauft und ist seither Teil der Unternehmensgruppe. Dass ein Datenaustausch mit Facebook erfolgt, lässt sich der Datenschutz­richtlinie von WhatsApp entnehmen, in der WhatsApp erklärt:

„Wir können mithilfe der von ihnen erhaltenen Informationen und sie können mithilfe der Informationen, die wir mit ihnen teilen, unsere Dienste bzw. ihre Angebote, einschließlich der Produkte von Facebook-Unternehmen, betreiben, bereitstellen, verbessern, verstehen, individualisieren, unterstützen und vermarkten.“

Hier steht WhatsApp seit Jahren massiv in der Kritik seitens der Datenschutzbehörden. Seit dem Frühjahr 2021 möchte WhatsApp erneut neue Nutzungsbedingungen einführen und die Nutzer werden regelmäßig via Pop-up daran erinnert. In dieser Vorgehensweise sieht die europäische Verbraucherschutzorganisation BEUC einen Verstoß gegen "die EU-Richtlinie über unlautere Geschäftspraktiken". In einer Erklärung der BEUC heißt es: Die Nutzer würden unter Druck gesetzt und gedrängt, eine "Datenschutzrichtlinie zu akzeptieren, die derzeit von den europäischen Datenschutzbehörden wegen Verstößen gegen das EU-Datenschutzrecht geprüft wird.".

Zusammenfassend lässt sich schwerpunktmäßig nachfolgende Herausforderung bei der geschäftlichen Nutzung von WhatsApp aufführen:

• Mehrfacher Verstoß gegen die Nutzungsbedingungen/AGB von WhatsApp
• Speicherung von personenbezogenen Daten auf US-Servern ohne Rechtsgrundlage
• Weitergabe von (fremden) personenbezogenen Daten an WhatsApp ohne Rechtsgrundlage
• Automatische Übermittlung von (fremden) personenbezogenen Daten an Facebook ohne Rechtsgrundlage

WhatsApp Business

2018 startete die Business-Version des Dienstes. Sie sollte die Interaktionen zwischen Unternehmen und ihren Kunden erleichtern. Hierbei besteht die Möglichkeit, Antworten auf Standardfragen, Eckdaten wie Öffnungszeiten oder die Adresse zu hinterlegen. Auch ist ein Chat- oder Videoaustausch mit Kunden möglich. Zudem erhalten die Unternehmen die Telefonnummern der Kunden und haben auch Zugriff auf die Statistiken zu den Interaktionen mit ihren Kunden. Bei Letzterem stellt sich die datenschutzrechtliche Frage, ob für die Erstellung dieser Statistiken nicht vorab die Einwilligung des Kunden erforderlich ist. Denn für Nutzeranalysen auf Webseiten gibt es sowohl seitens des EuGH als auch des BGH eindeutige Urteile, die die Einwilligung voraussetzen. Es ist davon auszugehen, dass diese Vorgabe auch für andere Dienste gilt (Informationen hierzu auch in unserem Blog-Beitrag: Abmahngefahr bei Cookies).

Im Unternehmensprofil von WhatsApp Business lassen sich die Datenschutzhinweise und die Informationspflichten hinterlegen. Auch besteht bei WhatsApp Business die Möglichkeit, mit WhatsApp einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abzuschließen.

Vertrag zur Auftragsverarbeitung mit WhatsApp Business

Einen AV-Vertrag müssen Sie als Unternehmen immer dann abschließen, sobald Sie personenbezogene Daten zur weiteren Verarbeitung an ein externes Unternehmen geben – oder umgekehrt, wenn Sie diese Daten zur Verarbeitung erhalten. Das einfachste Beispiel für eine Verarbeitung im Auftrag ist die Lohnabrechnung, die durch einen externen Dienstleister durchgeführt wird. Die Verpflichtung zum Vertragsschluss gilt immer für beide Parteien.
Schwerpunkt des Vertrages ist sicherzustellen, dass die personenbezogenen Daten nur zur Erfüllung dieser Tätigkeit, also ausschließlich weisungsgebunden, verwendet werden und zuvor Vorkehrungen getroffen werden, die Daten vor unberechtigten Zugriffen zu schützen. Alle weiteren Regelungen, die im Fall einer Auftragsverarbeitung beachtet werden müssen, gibt die EU-Datenschutzgrundverordnung (DSGVO) in Art. 28 DSGVO vor.

Im Zuge einer möglichst datenschutzkonformen Nutzung von WhatsApp hat sich die dacuro mit den Inhalten des AV-Vertrages beschäftigt. Im Ergebnis sind wir leider zu dem Schluss gekommen, dass der auf der Website von WhatsApp zur Verfügung gestellte AV-Vertrag für WhatsApp Business erhebliche Mängel aufweist und nicht den rechtlichen Voraussetzungen von Art. 28 DSGVO entspricht:

• Bereits die Basis-Angaben zur Datenverarbeitung (Gegenstand und Zweck der Verarbeitung, Art der Daten, Kategorien der betroffenen Personen) werden seitens WhatsApp nicht genannt.
• Wichtige Punkte (z. B. Weisungsgebundenheit, Vertraulichkeitsverpflichtung der Mitarbeiter) werden im Vertrag überhaupt nicht erwähnt.
• Nach Beendigung des AV-Vertrags ist nur eine Löschung der Daten vorgesehen, keine Rückgabe. Außerdem behält sich WhatsApp vor, personenbezogene Daten in bestimmten Fällen zu behalten.
• Der AV-Vertrag enthält eine Klausel mit der Erteilung einer allgemeinen Genehmigung gegenüber WhatsApp LLC, andere Facebook-Unternehmen und Dritte als Unterauftragsverarbeiter zu beauftragen.

Hinzu kommt die Datenspeicherung in den USA, auf die wir bereits hingewiesen haben.
Der AV-Vertrag wird bei der Erstellung des Unternehmensprofils automatisch mittels Akzeptanz der Nutzungsbedingungen abgeschlossen. Eine separate Zustimmungsmöglichkeit zur Auftragsverarbeitung bietet WhatsApp dem Nutzer nicht. Die eigentlichen Informationen zum AV-Vertrag muss sich der Verwender mühselig selbst zusammensuchen. Der Unternehmer weiß somit gar nicht, dass er noch nebenbei einen AV-Vertrag abschließt.

Vorteil des AV-Vertrages mit WhatsApp Business

Wie bereits erläutert, sind Sie bei der Weitergabe von personenbezogen Daten an einen Dienstleister verpflichtet, einen Vertrag zur Auftragsverarbeitung abzuschließen. Setzen Sie dies nicht um, liegt gem. Art. 83 Abs. 4 a) DSGVO ein Verstoß vor. Diesen Verstoß kann die Behörde mit einem Bußgeld von bis zu 10 Mio. Euro oder 2 % des weltweiten Vorjahresumsatzes ahnden. Es ist zwar davon auszugehen, dass die Behörde zu der Feststellung gelangen wird, dass der Einsatz von WhatsApp Business nicht datenschutzkonform möglich ist. Unabhängig davon haben Sie sich, durch den Abschluss des Vertrages, an die gesetzliche Vorgabe gehalten. Hierdurch besteht die Möglichkeit, dass die entsprechende Strafe geringer ausfällt. Da es bis zum jetzigen Zeitpunkt noch keine offiziellen Veröffentlichungen zu derartigen Prüfungen gibt, können wir die mögliche Reaktion der Behörde nicht vorhersagen.

Ist WhatsApp datenschutzkonform?

Eine tatsächlich datenschutzkonforme und rechtlich einwandfreie Nutzung ist derzeit schlichtweg nicht möglich. Hierfür müssten seitens WhatsApp mehrere Anpassungen erfolgen, die das Unternehmen sicherlich nicht freiwillig umsetzen wird. Es bleibt zu hoffen, dass die europäischen Datenschutzbehörden, die derzeit gegen WhatsApp und Facebook vorgehen, irgendwann erfolgreich sind.

Datenschutzkonforme Nutzung von WhatsApp:

Sofern Sie jedoch in Ihrem Unternehmen nicht auf den Messenger-Dienst verzichten wollen/können, empfehlen wir Ihnen, von Ihrer Seite alle erdenklichen Vorkehrungen zu treffen, um den Betrieb so datenschutzkonform wie möglich zu gestalten. So können Sie bei einer Prüfung durch die Behörde nachweisen, dass Sie von Ihrer Seite alles umgesetzt haben, das für Sie realisierbar ist.

Nachfolgende Tipps zur Umsetzung:

• Installieren Sie ein Mobile Device Management: Zwischenzeitlich gibt es technische Möglichkeiten, auf den Mobilgeräten eine Datentrennung vorzunehmen, sodass WhatsApp keinen Zugriff auf die Daten erhält. Wichtig ist: Setzen Sie es in der Praxis auch tatsächlich um und kopieren Sie die Daten nicht – sonst ist die Investition wertlos.
• Nutzen Sie WhatsApp Business – nur hier ist der (automatische) Abschluss eines AV-Vertrages möglich.
• Nutzen Sie ein separates Gerät für die WhatsApp Kommunikation:
  • Installieren Sie WhatsApp Business auf einem verschlüsselten Smartphone, das ausschließlich für die Kundenkommunikation verwendet wird.
  • Deaktivieren Sie in den Einstellungen des Smartphones den automatischen Datenabgleich zwischen WhatsApp und den Adressbüchern.
  • Wir empfehlen, dass das Telefon/Adressbuch des Smartphones zunächst leer bleibt. Stellen Sie Ihren Kunden die Nummer dieses Smartphones zur Verfügung (z. B. über die Webseite).
  • Achten Sie darauf, dass Ihre Kunden von sich aus Kontakt zu Ihnen aufnehmen und nicht umgekehrt Sie der Initiator der Kommunikation sind.
  • Konfigurieren Sie WhatsApp Business so, dass die Kunden sofort nach Kontaktaufnahme eine automatische Nachricht erhalten, in der sie gem. Art. 13 DSGVO über die vorliegende Datenverarbeitung informiert werden. Stellen Sie diese Informationen Ihren Kunden auch auf Ihrem WhatsApp Business Unternehmensprofil zur Verfügung, z. B. durch Verlinkung.

Wir empfehlen zudem dringend, dass Sie über Ihren Datenschutzbeauftragten eine Risikoanalyse für die Nutzung von WhatsApp Business erstellen lassen. Denn je nachdem wie Sie WhatsApp einsetzen und welche Daten Sie verarbeiten, ist ggf. die Vornahme einer Datenschutz­folgenabschätzung gem. Art. 35 DSGVO (DSFA) für die Nutzung von WhatsApp Business notwendig. Durch die Analyse sind Sie in der Lage, der Behörde nachzuweisen, dass Sie sich um eine datenschutzkonforme Nutzung im Rahmen Ihrer Möglichkeiten bemüht haben und kommen gleichzeitig Ihrer Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nach. Abschließend sollten Sie die Nutzung von WhatsApp in jedem Fall in Ihr Verzeichnis der Verarbeitungstätigkeit aufnehmen.

Fazit der dacuro: WhatsApp & Datenschutz

Eine datenschutzkonforme Nutzung von WhatsApp bzw. WhatsApp Business ist derzeit nicht realisierbar. Sofern Sie auf den Messenger-Dienst nicht verzichten möchten, empfehlen wir, Ihrerseits jegliche Vorkehrungen zu treffen, damit ein zu erwartendes Bußgeld geringer ausfällt. Bei der Umsetzung beinhaltet dies den Abschluss eines AV-Vertrages mit WhatsApp Business, die datenschutzkonforme Umsetzung unter Berücksichtigung der Informationspflichten und die Erfüllung Ihrer Rechenschaftspflicht in Form der Risikoanalyse.

Bei der Verwendung des Messenger-Dienstes haben Sie selbst großen Einfluss, wie Sie WhatsApp nutzen. Für die Umsetzung der Informationspflichten und der Risikoanalyse sollten Sie sich professionelle Unterstützung holen. Die dacuro als Datenschutzunternehmen betreut nicht nur Kunden dauerhaft, wenn eine verpflichtende Bestellung eines Datenschutzbeauftragten ab 20 Mitarbeitern erforderlich ist. Wir unterstützen auch kleinere Firmen dabei, da auch diese rechtlich verpflichtet sind, ihren Datenschutz nachweislich zu regeln. Zudem übernehmen wir auch Teilbereiche des Datenschutzes, zu denen uns Unternehmen hinzuziehen.

Hierunter fallen zum Beispiel Seminare und Schulungen zum Datenschutz, Online-Schulungen, Workshops für interne Datenschutzbeauftragte oder kleine Firmen, Unterstützung bei den Verzeichnissen der Verarbeitungstätigkeit oder die Prüfung von Webseiten auf Datenschutzkonformität. Das Team der dacuro GmbH besteht aus unterschiedlich spezialisierten Mitarbeitern. Wir decken mithilfe unserer technisch und juristisch versierten Kollegen den gesamten Bereich des Datenschutzes ab. Hierdurch haben wir die Möglichkeit, Kunden ganzheitlich zu betreuen. Wir unterstützen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit von Freiburg bis Hamburg. Sollten Sie Fragen haben, oder wir Sie bei einem Thema unterstützen können, nehmen Sie gerne Kontakt zu uns auf.