Der Messenger-Dienst WhatsApp wird nach eigenen Angaben täglich von durchschnittlich ca. 60 Millionen Menschen in Deutschland genutzt. Unter den 16- bis 24-Jährigen liegt der Nutzeranteil unter den verschiedenen Messengern sogar bei 98 %. So verwundert es nicht, dass WhatsApp auch beruflich von vielen Angestellten und Selbständigen gerne und häufig verwendet wird. So lassen sich über WhatsApp schnell und kostenlos Nachrichten, Fotos und Dateien übertragen und Sprachanrufe führen. Zudem bietet die Gruppen-Funktion Vorteile bei der Organisation von Veranstaltungen.
Nicht erst mit dem Beginn der Geltung der EU-Datenschutzgrundverordnung (DSGVO) zum 31.05.2018 wirft die Nutzung des Messengers des zu Facebook gehörenden kalifornischen Unternehmens datenschutzrechtlich gewisse Fragen auf. Daher stellt sich für alle, die WhatsApp beruflich nutzen wollen die Frage, ob der Messenger-Dienst überhaupt in Einklang mit der DSGVO genutzt werden kann oder ob die Gefahr besteht, zur Zahlung der potenziell erheblichen Bußgelder verpflichtet werden zu können.
Den Stein des Anstoßes der datenrechtlichen Kontroverse bietet eine bestimmte Funktion des Messenger-Dienstes. WhatsApp synchronisiert sein eigenes Kontaktverzeichnis automatisch mit den im Telefonbuch des Smartphones gespeicherten Kontaktdaten und überträgt diese dabei auch auf die WhatsApp Server in den USA. Auf diese Weise erspart sich der Nutzer zwar die langwierige manuelle Eingabe aller Kontaktdaten. Dabei liest und speichert WhatsApp allerdings die betroffenen Kontaktdaten wie Name, Telefonnummer und Adressen der Kontakte, selbst wenn diese WhatsApp nicht selbst auf ihrem Smartphone installiert haben. Die seit Anfang 2018 verfügbare Business Version weist aus datenschutzrechtlicher Perspektive keine Unterschiede zur Version für Privatkunden auf.
Aber genau darin liegt das datenschutzrechtliche Problem. Die Regelung der DSGVO geht in Art. 6 DSGVO von einem Regel-Ausnahme-Verhältnis der Verarbeitung personenbezogener Daten (Art. 4 Nr. 1 DSGVO) aus. Die Verarbeitung ist stets rechtswidrig, solange kein Rechtfertigungsgrund für die Datenverarbeitung vorliegt. Als Rechtfertigungsgrund kommt dabei neben der Einwilligung auch die Notwendigkeit der betroffenen Daten zur Vertragserfüllung in Frage gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO. Der Begriff der Personenbezogenheit der Daten ist dabei weit auszulegen, weshalb auch eine einzelne Telefonnummer oder Adresse unter den Begriff fallen.
Durch die Synchronisierung werden die im Adressbuch des Smartphones gespeicherten personenbezogenen Daten in Form der Kontaktdaten somit verarbeitet im Sinne des Art. 4 Nr. 2 DSGVO, weshalb ein Rechtfertigungsgrund vorliegen muss.
Eine Rechtfertigung über die Notwendigkeit der Nutzung von WhatsApp zur Vertragserfüllung dürfte indes dabei regelmäßig ausscheiden, da häufig nicht ersichtlich ist, warum dieser Vorgang erforderlich ist.
In der Literatur wird teilweise von einer Entbehrlichkeit der Einwilligung in die beschriebene Datenverarbeitung ausgegangen. So weist WhatsApp selbst in seiner Datenschutzrichtlinie auf das Verfahren hin. Wer die App dennoch installiert, weiß also um ihre Wirkungsweise und stimmt daher – zumindest konkludent, also durch schlüssiges Verhalten – auch der gleichen Verwendung der eigenen Daten durch andere zu. Dies stellt allerdings dann ohnehin keine vollkommene Lösung dar, da nur die Kontakte erfasst werden, die selbst auch WhatsApp nutzen.
Ebenso diskutiert wird die Rechtfertigung über die Anwendung von Art. 6 Abs. 1 S. 1 lit. f DSGVO, der sog. Wahrnehmung berechtigter Interessen. Dabei ist eine Interessenabwägung zwischen den Beteiligten vorzunehmen.
Die Übertragung von Daten auf die in den USA befindlichen Server sollte durch das sog. Privacy Shield Abkommen zwischen den USA und der EU gerechtfertigt werden. Allerdings hat der EuGH dieses am 16.07.2020 in der Sache „Schrems II“ (Az.: C-311/18) für ungültig erklärt, was die Übertragung von Daten auf amerikanische Server nicht mehr mit der DSGVO vereinbar werden lässt.
Weiterhin erfüllt WhatsApp die Voraussetzungen als sogenannter Auftragsdatenverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, weshalb mit der WhatsApp Inc. ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden muss nach Art. 28 Abs. 2 DSGVO. Ein Verstoß gegen diese Vorschrift kann wiederum empfindliche Bußgelder gem. Art. 83 DSGVO nach sich ziehen.
Um sich rechtlich nicht angreifbar zu machen, ist es daher empfehlenswert, zunächst von allen Kunden eine schriftliche Einwilligung für die Nutzung von WhatsApp einzuholen und mit WhatsApp einen Vertrag über die Auftragsdatenverarbeitung abzuschließen.
Wer dies nicht tun will, dem bleibt noch die Alternative, WhatsApp auf dem Betriebshandy nicht zu installieren bzw. zu löschen und ggf. gegenüber seinen angestellten Mitarbeitern eine entsprechende Weisung auszusprechen.
Eine datenschutzkonforme Alternative bieten die Messenger von Signal, Slack und Threema.
Zusammengefasst gibt es durchaus Möglichkeiten trotz einiger rechtlicher Grauzonen - die berufliche Nutzung von WhatsApp datenschutzkonform zu gestalten. Am sichersten ist es allerdings, ganz auf die App zu verzichten oder auf einen anderen Messenger-Dienst umzusteigen.
Update
WhatsApp verschiebt geplante änderung der Nutzungsbedingungen>>>
Kontaktieren Sie uns für eine unverbindliche Anfrage