Whatsapp-Nutzerzahlen
„Wie, du hast kein Whatsapp?“ – Menschen, die ohne den zu Facebook gehörenden Messenger unterwegs sind, kommen sich manchmal vor wie Aussätzige.
Denn die praktische App wird von fast allen anderen genutzt: Nicht weniger als drei von vier Menschen in Deutschland zwischen 16 und 64 Jahren haben sich die App installiert. Das entspricht sagenhaften 39 Millionen Nutzern.
Satte Durchdringung: Whatsapp wurde 2019 von 75 Prozent der 16- bis 64-Jährigen in Deutschland genutzt.
(Grafik: Hootsuite Social-Media-Report)
Whatsapp im Unternehmenseinsatz
Auch im Unternehmenseinsatz ist die Funktionsvielfalt von Whatsapp natürlich sehr praktisch: Man kann Team-Chats für die interne Kommunikation einrichten, man kann Dokumente herumschicken, man kann sich von der Baustelle Fotos oder Videos schicken oder im Messeeinsatz den Standort durchgeben, wenn die Kolleg*innen mal nicht gleich zum Messestand hinfinden.
Zudem macht die hohe Marktdurchdringung die App besonders attraktiv, da sie eben bereits von so vielen genutzt wird.
DSGVO und Whatsapp auf dem Firmenhandy
Aber: Die Nutzung der App auf einem Firmenhandy ist rechtlich mehr als heikel. Sie verstößt nämlich eindeutig gegen die DSGVO – jedenfalls, sobald Unternehmenskontakte auf dem mobilen Endgerät gespeichert werden.
Das macht insbesondere den sogenannten BYOD-Ansatz (BYOD = „Bring your own Device“) sehr problematisch: Erfolgt hier keine absolut saubere Trennung der privaten von den geschäftlichen (Kontakt-) Daten, liegt bereits ein Verstoß vor. Das ist natürlich schlecht, wenn sich Unternehmen nach Kräften bemühen, die Herausforderungen der DSGVO in Bezug auf Firmenhandys zu meistern.
Problem 1: WhatsApp überträgt personenbezogene Daten ohne Einwilligung in die USA
Warum ist das so?
Whatsapp überträgt Kontaktdaten vom Handy an einen Server außerhalb der EU. Der Abgleich auf den US-amerikanischen Servern der kalifornischen Whatsapp Inc. offenbart, welcher der auf dem Smartphone gespeicherten Kontakte die App ebenfalls nutzt.
Der Datenabgleich erleichtert zwar das Verbinden über den Messenger erheblich – genau diese Datenübertragung erfordert aber seit der im Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) die Einwilligung der betroffenen Personen.
Laut DSGVO sind Daten personenbezogen, wenn eine Person „mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann“ (EU-DSGVO Art. 4).
Da die Messenger-App die Telefonnummer zum Abgleich nutzt, liegt genau eine solche Zuordnung vor. Und die erfordert bei der Weitergabe eben die Einwilligung der betroffenen Nutzer*innen.
„Im Sinne dieser Verordnung bezeichnet der Ausdruck ,Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“ (EU-DSGVO Art. 4)
Da Whatsapp das komplette Telefonbuch ausliest und überträgt – also auch von Personen, die Whatsapp gar nicht nutzen und von denen auch keinerlei Einwilligung zur Weitergabe der personenbezogenen Daten eingeholt wird – liegt hier ein (abmahnbarer) Verstoß vor.
Das heißt, Unternehmen müssten von jedem der gespeicherten Kontakte eine schriftliche Erlaubnis (Einverständniserklärung) für die Datennutzung einholen, um Abmahnungen und DSGVO-Bußgelder zu vermeiden.
Dass ein solches Vorgehen fern jeder unternehmerischen Praktikabilität liegt, dürfte auf der Hand liegen. In Zeiten zunehmender DSGVO-Datenschutzkontrollen bedeutet dies für Unternehmen ein nicht zu unterschätzendes Risiko.
Problem 2: Whatsapp überträgt Daten an Facebook
Zudem gibt es noch ein Problem: Whatsapp übermittelt auch Daten an sein Mutterunternehmen Facebook. Der Zuckerberg-Konzern übernahm den Instant-Messenger im Jahr 2014.
Allerdings ist auch die Weitergabe der Daten durch ein Tochterunternehmen ohne Einwilligung der Nutzer*innen laut EU-DSGVO untersagt (Art. 6). Zu den übermittelten Daten gehören zum Beispiel die Telefonnummer, technische Daten des verwendeten Geräts und des Betriebssystems und der Registrierungszeitpunkt.
Whatsapp und Firmenhandys: Lösungsvorschläge
Prinzipiell gibt es für das Whatsapp-Problem mehrere Lösungen:
- Unternehmen können Whatsapp verbieten.
So geschehen etwa bei Continental, wo 35.000 Mitarbeiter*innen die App von ihren Firmenhandys löschen mussten. - Unternehmen setzen auf DSGVO-konforme Messenger wie zum Beispiel Threema.
Eine Liste weiterer Anbieter findest du am Ende des Artikels bei den Weblinks. - Unternehmen setzen auf Sicherheitscontainer.
Im Rahmen eines MDMs (Mobile-Device-Management) oder Enterprise-Mobility-Managements erfolgt eine Trennung privater und geschäftlicher Daten auf dem Gerät. Mehr dazu erfährst du in unserem Mobile-Security-Whitepaper. - Unternehmen setzen auf eine MDM-Lösung.
Auch hierzu bieten wir ein Whitepaper an.
Eines muss Unternehmer*innen aber bewusst sein: Verwenden Angestellte ohne weitere Maßnahmen oder Kenntnis der rechtlichen Aspekte bei BYOD-Geräten oder privat genutzten Firmenhandys Whatsapp, liegt grundsätzlich ein DSGVO-Verstoß vor, sobald auch nur ein einziger Unternehmenskontakt auf dem Gerät gespeichert ist.
Datenschutz auf Firmenhandys und die DSGVO-konforme Speicherung von Unternehmensdaten auf Mobile Devices wie Smartphones, Tablets oder Laptops sollte deswegen nicht auf die leichte Schulter genommen werden. Wir empfehlen dir zudem, das Vergabemodell kritisch zu hinterfragen und datenschutzrechtlich sicherere Alternativen zu erwägen – zum Beispiel „Choose Your Own Device“.
Weblinks: DSGVO, Whatsapp, Firmenhandys
- Liste der DSGVO-Strafen (everphone)
- EU-DSGVO: Bayern prescht mit Datenschutzkontrollen vor (everphone)
- Whatsapp und die DSGVO: Darf der Messenger auf dem Firmenhandy bleiben? (e-recht24.de)
- Liste DSGVO-konformer Messenger-Dienste (impulse.de)
- Trotz DSGVO: Whatsapp ignoriert Widersprüche zu Datenweitergabe (golem.de)
- Virenschutz fürs Handy (everphone)