Messenger Dienste im Unternehmen WhatsApp und Co
Wir möchten an dieser Stelle nochmals auf das Thema WhatsApp und die Auswahl DSGVO-konformer Messenger-Dienste eingehen:
Kann ich WhatsApp im Unternehmen verwenden und zur Kommunikation mit meinen Kunden?
Wir raten hiervon ab. Die Landesbeauftragte für den Datenschutz in Niedersachen (Datenschutzbehörde Niedersachsen) hält die geschäftliche Nutzung (Nutzung im geschäftlichen Zusammenhang) von WhatsApp (bei Anwendbarkeit der Datenschutzgrundverordnung (DSGVO)) für rechtswidrig.
Nach Aussage LfD Niedersachsenergeben sich im Wesentlichen vier datenschutzrechtliche Problemstellungen:
Die Behörde begründet dies wie folgt – weitere Ausführungen und das entsprechende Merkblatt finden Sie hier:
1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp sei regelmäßig unzulässig. Das Unternehmen verwende die Metadaten, also wer mit wem wie oft kommuniziert für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen. Im Hinblick auf Nutzer, die selbst WhatsApp nutzen, könne man sich ggf. noch auf die „berechtigten Interessen nach Art.6 Abs. 1 f) DSGVO stützen. Eine Übermittlung gespeicherter Nummern, die nicht bei dem Dienst angemeldet sind, sei ohne informierte Einwilligung hingegen unzulässig. Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern sei nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich. Dies führt aber dazu, dass man den Dienst nicht richtig nutzen kann.
2. Die Übermittlung von personenbezogenen Daten in die USA.
WhatsApp nimmt am sogenannten Privacy Shield teil, sodass die Übermittlung von personenbezogenen Daten in die USA bei WhatsApp grundsätzlich gerechtfertigt ist. Derzeit ist das Privacy Shield-Abkommen mit den USA auch noch in Kraft. Es bestünden jedoch erhebliche Bedenken gegen die Rechtmäßigkeit des Privacy Shield. Es bestehe daher das Risiko, dass das Privacy Shield-Abkommen gerichtlich angegriffen und durch den EuGH unmittelbar für unwirksam erklärt wird.
3. Die Nutzung von personenbezogenen Daten durch WhatsApp.
Personenbezogene Daten werden in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen seien. WhatsApp lege selbst in seiner Datenschutzrichtlinie dar, dass sie ihnen vorliegende Informationen zu nahezu unbegrenzten Zwecken verwenden.
4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns
Facebook und WhatsApp informieren zwischenzeitlich zwar in ihren Datenschutzerklärungen, darüber, dass Daten zwischen den Unternehmen geteilt werden. Das ändert jedoch nichts an der Rechtswidrigkeit dieses Austauschs. Damit wenden sich die Unternehmen des Konzerns sowohl gegen Entscheidungen deutscher Gerichte als auch die klare Kritik der Europäischen Aufsichtsbehörden.
Einsatz von DSGVO-konformen Messenger-Diensten im Unternehmen - Checkliste:
Wir empfehlen u.a. die Beachtung der folgenden Punkte bei der Auswahl des Messenger-Dienste-Anbieters:
☐ Der Anbieter bietet vollständige Transparenz im Hinblick auf die Verarbeitung personenbezogenen Daten (Datenschutzrichtlinien / AGB etc.)
☐ Der Anbieter stellt einen DSGVO-konformen Auftragsdatenverarbeitungsvertrag zur Verfügung (i.S.d. Art. 28 DSGVO)
☐ Der angebotene Dienst verfügt über ein vollständig durchsuchbares Messaging-Archiv (Zugriff aber nur durch autorisierte Personen)?
☐ Der Messenger-Dienst verfügt über Audit-Logs und protokolliert alle wesentlichen Vorgänge?
☐ Der Messenger für Unternehmen bietet volle Kontrolle von Integrationen, Chat-Bots und anderen API-Anwendungen?
☐ Der Messenger-Dienst speichert das Adressbuch des Benutzers nicht ab und synchronisiert dieses auch nicht?
☐ Es werden keine Daten außerhalb der Europäischen Union gespeichert? (Im besten Fall nur im Land des den Messenger-Dienst nutzenden Unternehmens)
☐ Es werden ausschließlich Daten verarbeitet und gespeichert, die für die Bereitstellung des Messaging-Dienstes benötigt werden (Prinzip der Datensparsamkeit und Datenreduktion)?
☐ Personenbezogene Daten werden weitestgehend pseudonymisiert und verschlüsselt?
☐ Es werden keine Metadaten analysiert?
☐ Der Anbieter des Messenger-Dienstes hat einen Datenschutzbeauftragten benannt?
☐ Der Messenger-Dienst bietet umfassende Einstellungen und Richtlinien zum Schutz von personenbezogenen Daten sowie von Unternehmensdaten?
☐ Der Messenger-Dienst ermöglicht das komplette Löschen von Benutzern und allen damit verbundenen personenbezogenen Daten?
Hinweis: Wir haben die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema.