Verstößt WhatsApp gegen die EU-Datenschutz-Grundverordnung?
Mit einem Wort? Ja.
Jedenfalls, wenn berufliche Kontakte auf dem Smartphone gespeichert sind und du keine weiteren Maßnahmen triffst.
Die EU-Datenschutz-Grundverordnung soll ja genau das machen, was sie auch im Namen trägt: nämlich die Daten der EU-Bürger*innen schützen. Und hier gehen aus Sicht deutscher Unternehmer*innen die Probleme schon los – und zwar unabhängig davon, ob man „WhatsApp Business“ oder das „normale“ WhatsApp nutzt. Und ebenfalls unabhängig davon, ob es sich um firmeneigene Geräte oder „Bring Your Own Device“-Smartphones (BYOD) handelt.
Das grundlegende Problem: WhatsApp gleicht das Smartphone-Adressbuch seiner Nutzer*innen mit Datenbanken auf den WhatsApp-eigenen Servern ab. Und diese Server stehen außerhalb der EU in den Vereinigten Staaten.
WhatsApp verwendet dabei als diskriminierendes Unterscheidungsmerkmal („Unique Identifier“) seiner Nutzer*innen die Telefonnummer – logisch. So lässt sich sofort abgleichen, ob ein Kontakt den Messaging-Dienst ebenfalls nutzt, was das Verbinden natürlich erheblich erleichtert, die Nutzererfahrung verbessert und die Verbreitung der App vorantreibt.
WhatsApp, DSGVO und personenbezogene Daten
Die Telefonnummer ist allerdings im Verständnis der DSGVO ein „personenbezogenes“ Datum, dessen Verarbeitung die Einwilligung der oder des Betroffenen voraussetzt. Und da diese nicht vorliegt – es genügt ja, dass jemand ohne eigenes Wissen zum Adressbuch hinzugefügt wird und schon werden die Kontaktdaten abgeglichen –, handelt es sich dann eben um einen Verstoß nach Artikel 4 der DSGVO.
Lies mehr über die Hintergründe hier: WhatsApp auf dem Firmenhandy – ja oder nein?
Berufliche Kontakte müssen einwilligen
Kritisch sind in diesem Zusammenhang also alle Telefonnummern, die im beruflichen Zusammenhang auf einem Gerät gespeichert werden, auf dem WhatsApp installiert ist. Dürfte es bei den eigenen Kolleg*innen noch möglich sein, eine Einwilligung zu organisieren, ist es indes nur schwer vorstellbar, dass Unternehmen ihre Kundschaft, Dienstleister und Lieferanten in diesem Zusammenhang ansprechen.
Im schlimmsten Fall läuft es dann auf die „stillschweigende“ Nutzung hinaus: also auf den Verstoß. Im Falle einer Datenschutzkontrolle kann das nicht vorteilhaft sein, denn es drohen durchaus auch DSGVO-Strafen.
Klicken Sie auf den unteren Button, um den Inhalt von www.linkedin.com zu laden.
WhatsApp, Facebook und DSGVO
Es gibt noch ein zweites Problem: WhatsApp wurde ja 2014 von Facebook gekauft.
Obwohl in Deutschland die Weitergabe personenbezogener Daten an den Mutterkonzern Facebook (heute: „Meta“) gerichtlich untersagt wurde, geschieht dies trotzdem, wie WhatsApp selbst auf seiner Homepage in den FAQs mitteilt (das war 2019).
Zitat:
„WhatsApp arbeitet mit den anderen Facebook-Unternehmen zusammen und teilt Informationen mit ihnen, damit diese für WhatsApp Leistungen in den Bereichen Infrastruktur, Technologie und Systeme erbringen können.“
Hier operiert der Messenger in einer rechtlichen Grauzone, die genau durch den Übergang zur DSGVO erst ermöglicht wurde. Aber auch hier gibt es Stimmen, die einen DSGVO-Verstoß in dieser Praxis sehen.
Mehr dazu hier: Trotz DSGVO: WhatsApp gibt Daten ab sofort an Facebook weiter.
Update 2021: Mittlerweile hat sich die Übertragung der WhatsApp-Daten an Facebook auch in den Allgemeinen Geschäftsbedingungen niedergeschlagen. In einer Änderung der AGB aus dem Januar heißt es lapidar:
„Wir können mithilfe der von ihnen [sic!] erhaltenen Informationen (…) unsere Dienste (…) betreiben, bereitstellen, verbessern, verstehen, individualisieren, unterstützen und vermarkten.“
Anders gesagt: WhatsApp erlaubt sich zukünftig selbst, im Grunde sämtliche Daten aus der App-Verwendung an Facebook zu übermitteln. Bestand bislang noch die Möglichkeit, dem Teilen der eigenen Account-Informationen mit Facebook zu widersprechen, gibt es diese Möglichkeit nun nicht mehr.
Wer nicht mitmacht, kann den Messenger halt einfach nicht mehr nutzen. Lies hierzu: Datenaustausch mit Facebook: WhatsApp erzwingt neue AGB (t3n.de).
Die Ankündigung hatte im Januar 2021 einen Aufschrei der Entrüstung in der Netzgemeinde und einen Run auf alternative Messenger-Programme wie Telegram und Signal ausgelöst. Der als sicher und datensparsam geltende Messenger Signal beispielsweise konnte innerhalb weniger Tage eine Verfünffachung der Nutzerregistrierungen verzeichnen (golem.de).
WhatsApp und DSGVO – und jetzt? Lösungen
Zurück zu WhatsApp: Falls du in einem Unternehmen Verantwortung trägst, solltest du jetzt handeln. Denn Nichtstun ist von allen die schlechteste Vorgehensweise, und das ist aktueller denn je.
Prinzipiell kannst du
- deinen Angestellten die Nutzung von WhatsApp aufgrund der DSGVO im Unternehmen verbieten,
- einen anderen, DSGVO-konformen Messenger-Dienst wählen (zum Beispiel Threema),
- mit einer sogenannten Container-App die beruflichen von den privaten Kontakten trennen oder
- ein sogenanntes Mobile-Device-Management einsetzen. Was das genau ist, erfährst du in unserem Whitepaper. Klicke hier für den Download.
DSGVO & WhatsApp: Leseempfehlungen
- BYOD ist tot. Ein Nachruf
- „Die DSGVO ist mir scheißegal“
- ESET – das MDM für Apple-Geräte
- Datensicherheit und Huawei-Geräte
