08.10.2022

WhatsApp in Behörden und Unternehmen

Verschiedene Behörden und Unternehmen informieren sich regelmäßig bei den Aufsichtsbehörden, ob sie den Dienst WhatsApp für ihre jeweiligen Zwecke datenschutzgerecht einsetzen können. Zum Teil erhielten diese auch Beschwerden betroffener Personen, die die Verarbeitung ihrer Daten mittels dieses Dienstes rügten.

WhatsApp ist ein Instant-Messaging-Dienst des Unternehmens WhatsApp Inc. mit Sitz in Kalifornien (USA) und gehört zu META (Facebook-Gruppe). Nutzerinnen und Nutzer können über diesen Dienst nicht nur Textnachrichten, sondern auch Bilder, Videos, Sprachdateien und andere Dokumente austauschen. Seit 2014 gehört WhatsApp zum Unternehmen Facebook Inc. Personen, die den Dienst nutzen möchten, müssen sich mit ihrer Mobilfunknummer registrieren. WhatsApp liest daraufhin regelmäßig das Telefonbuch der Nutzerinnen und Nutzer aus und speichert dessen Inhalt (mindestens die Namen und Telefonnummern der Kontakte) auf den eigenen Servern. Der Abgleich der Kontaktdaten dient in erster Linie dazu, den Nutzerinnen und Nutzern mitzuteilen, wer ebenfalls bei diesem Dienst angemeldet ist. Der vollständige Zugriff auf das Telefonbuch erfolgt zunächst unabhängig davon, ob der jeweilige Kontakt selbst WhatsApp verwendet oder nicht.

Sobald also jemand WhatsApp auf dem Mobiltelefon nutzt, werden damit immer auch Daten Dritter aus der Liste aller Kontakte an das US-Unternehmen preisgegeben. Das Auslesen und Übertragen des Telefonbuchs an WhatsApp stellt eine Übermittlung von Daten dar. Regelmäßig dürfte hierfür keine Einwilligung aller betroffenen Personen vorliegen, sodass es bei behördlicher oder geschäftlicher Nutzung keine Rechtsgrundlage für die Verarbeitung gibt. Zugleich handelt es sich hier um eine Zweckänderung, da die Daten ursprünglich nicht zum Zwecke der Übermittlung an WhatsApp erhoben wurden. Auch die Zulässigkeit dieser Zweckänderung ist zweifelhaft. Wollte sich eine Anwenderin oder ein Anwender datenschutzgerecht verhalten, wäre sie oder er dazu verpflichtet, einem Löschanspruch betroffener Personen nachzukommen. Die Erfüllung dieses Anspruchs ist insbesondere im Hinblick auf die Durchsetzung gegenüber WhatsApp äußerst fraglich.

Mit Wirksamwerden der Datenschutz-Grundverordnung hat WhatsApp seine Nutzungsbedingungen und Datenschutzrichtlinien geändert. Wer den Dienst weiter nutzen möchte, muss diesen Änderungen zustimmen. Die Bedingungen und Richtlinien beinhalten auch das „Teilen“ von Informationen mit Facebook – es steht somit eine Datenübermittlung von WhatsApp an die Konzernmutter Facebook im Raum. Zweck dieser Übermittlung soll z.B. die kontinuierliche Verbesserung des Dienstes sowie die Gewährleistung des Schutzes und der Sicherheit der Nutzenden, aber auch das Einblenden personalisierter Werbung sein. Nach eigenen Angaben werden die Telefonnummer, Gerätekennung, Betriebssysteminformation, App-Version, Plattforminformation, Ländervorwahl der Mobilnummer, Netzwerkcode und Nutzungsinformationen (letzte Nutzung, Anmeldung, Art und Häufigkeit der Nutzung von Features) an Facebook übertragen. Auch hier bestehen erhebliche Bedenken hinsichtlich der Wirksamkeit der Einwilligung in die Weitergabe der Daten. Da eine datenschutzkonforme Nutzung des WhatsApp-Dienstes aus derzeit nicht möglich ist, hält die Datenschutzaufsicht dessen Verwendung durch öffentliche sowie nicht öffentliche Stellen grundsätzlich für unzulässig. Beispielhaft werden im Folgenden drei Fälle beschrieben, mit denen sich die Datenschutzaufsicht im Berichtsjahr befasst hat: So wurde uns angezeigt, dass eine Apotheke WhatsApp zur Kommunikation im Unternehmensverbund sowie mit den Kundinnen und Kunden nutze. Nach Anhörung und Beratung der Geschäftsführung stellte diese die aktive Nutzung und Bewerbung des Messenger-Dienstes für den gesamten Unternehmensverbund ein. Die Umstellung der Kommunikation mit den Kundinnen und Kunden erfolgte kurze Zeit später, da diese vorab informiert werden mussten und die zum Teil lebenswichtige medikamentöse Versorgung umzuorganisieren war. Auch im kommunalen Umfeld gab es Bestrebungen, WhatsApp zu nutzen. Ein Jugendamt hielt WhatsApp für die mittlerweile einzige Möglichkeit der Kontaktaufnahme mit den betroffenen Jugendlichen. In einer anderen Verwaltung war geplant, die Kommunikation zwischen Beschäftigten im Außendienst (z.B. des Ordnungsamtes) per WhatsApp zu ermöglichen, etwa um schnell Informationen auszutauschen oder Unterstützung herbeizurufen. Im Fall eines Kindergartens hielt es die Datenschutzaufsicht für unzulässig, dass deren Leiterin die bei ihr lediglich für Notfälle hinterlegten Telefonnummern der Eltern ohne deren Einwilligung im Rahmen einer WhatsApp-Gruppe an alle Eltern weitergegeben hat, um zweckwidrig über kitainterne personelle Angelegenheiten ihrer Erzieherinnen zu informieren. Hierfür hätte es allerdings auch auf analogem Wege bereits keine Rechtsgrundlage gegeben.

Zwar mag das Ansinnen öffentlicher Stellen nachvollziehbar sein, auch moderne Kommunikationsmittel zu nutzen. Allerdings stehen einer Verwendung des Dienstes WhatsApp rechtliche Vorgaben aus der Datenschutz-Grundverordnung sowie zum Teil spezialgesetzliche Regelungen entgegen. Grundsätzlich empfehlen die Aufsichtsbehörde stattdessen Kommunikationskanäle zu nutzen, die unter Kontrolle und Administration der Verwaltung stehen und eine sichere, vertrauliche Kommunikation gewährleisten. Für die Kommunikation zwischen Außendienstmitarbeiterinnen und -mitarbeitern wären bspw. auch ein E-Mail-Austausch über gesicherte Verbindungen und der Einsatz von PushDiensten möglich. Auch im Falle des Jugendamtes, das zusätzlich Sozialdaten verarbeitet, sollte auf den Einsatz von WhatsApp verzichtet werden, da neben der fehlenden administrativen Kontrolle durch die Verwaltung auch keine Rechtsgrundlage für die Datenübermittlung in die USA in den Sozialgesetzbüchern erkennbar ist.

Quelle: LDA.BB

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks