WhatsApp – nicht grundsätzlich unzulässig

466
Mit den Tipps aus diesem Beitrag der Aufsichtsbehörde können Sie WhatsApp privat und im Unternehmen datenschutzkonform betreiben.

Ca. 70% aller deutschen Bürgerinnen und Bürger nutzen WhatsApp. Der Facebook Dienst ist damit der meistgenutzte Messengerdienst in Deutschland. Bei der seinerzeitigen Übernahme von WhatsApp durch Facebook hatte der Konzern zugesichert, dass WhatsApp auch künftig selbstständig bleibe und kein Datenaustausch zwischen den beiden Unternehmen stattfinde. Im Rahmen einer Änderung der Nutzungsbedingungen ist nunmehr jedoch vorgesehen, dass WhatsApp Daten seiner Nutzer mit anderen Facebook-Unternehmen teilt. In diesem Zusammenhang hat die EU-Kommission Facebook mit einer Strafzahlung von mehr als 100 Mio. Euro belegt.

Neben der Frage des Datenaustauschs war eine WhatsApp-Nutzung insbesondere hinsichtlich dreier Aspekte problematisch:

  • der Tatsache, dass WhatsApp als Anbieter außerhalb des Geltungsbereichs europäischer Datenschutzvorschriften fungiert;
  • der Vertraulichkeit der Kommunikation sowie
  • der regelmäßigen Übertragung von Kontaktdaten aus dem Adressbuch des Smartphones.

Nach dem Angemessenheitsbeschluss der Europäischen Kommission ist bei einer Datenverarbeitung durch Unternehmen, die sich den Regelungen des EU-US Datenschutz-Abkommens („EU-US Privacy Shield“) unterwerfen, ein angemessenes Datenschutz-Niveau gewährleistet. WhatsApp ist dem Abkommen im Januar 2018 beigetreten, so dass, auch wenn das Privacy Shield aus Sicht der Datenschutzaufsichtsbehörden und des Europäischen Parlaments mit gravierenden Mängeln behaftet ist, formal ein angemessenes Datenschutzniveau gegeben ist.

Seit April 2016 hat WhatsApp eine Ende-Zu-Ende-Verschlüsselung implementiert, die eine vertrauliche Kommunikation gewährleistet und verhindert, dass WhatsApp oder Dritte auf Chat-Inhalte zugreifen können. Diese entspricht dem Stand der Technik, so dass, solange keine Schwachstellen der Implementierung oder anderweitige Zugriffsmöglichkeiten Dritter bekannt werden, von einer ausreichenden Vertraulichkeit der Kommunikation auszugehen ist.

Unabhängig von den Kommunikationsinhalten hat WhatsApp jedoch weiterhin Zugriff auf die Metadaten der Kommunikation (Absender, Empfänger, Zeitpunkt, Größe etc.). Weitere, aus Sicht des LfDI problematische Punkte sind die unverschlüsselte Speicherung von WhatsApp-Daten im Rahmen von Cloud-Backups, die unverschlüsselte Speicherung der Daten auf dem jeweiligen Endgerät sowie die Speicherung von Chat-Anhängen (Fotos, Videos) in der jeweiligen Smartphone Mediathek. Letzteres insbesondere deshalb, da im Rahmen der erteilten Berechtigungen gegebenenfalls andere Apps Zugriff erhalten.

Den größten Kritikpunkt stellt jedoch weiterhin die regelmäßige Übertragung der Telefonnummern aus dem Adressbuch des Nutzers an WhatsApp da, da diese automatisch und ohne Differenzierung nach dem Status der Telefonbucheinträge erfolgt.

Betroffen sind damit nicht nur die Telefonnummern von WhatsApp-Nutzern sondern auch diejenigen der sonstigen Kontakte, d.h. von Personen, die mit WhatsApp in keinerlei Verbindung stehen. WhatsApp verlagert die Verantwortung hierfür auf die Nutzer, indem diese mit der Anerkennung der Nutzungsbedingung bestätigen, zur Weitergabe der Daten autorisiert zu sein. Die dabei unterstellte Abstimmung eines Nutzers mit den in seinem Adressbuch genannten Personen über deren Einverständnis in die Weitergabe ihrer Daten an WhatsApp bzw. die Löschung der Kontakte, die ihre Einwilligung hierzu nicht erteilen, dürfte nach Einschätzung des LfDI in der Praxis nicht erfolgen. Damit würden in den allermeisten Fällen Daten ohne Kenntnis und Zustimmung betroffener Personen an WhatsApp übermittelt. Deswegen ist eine rechtskonforme WhatsApp-Nutzung nur möglich, wenn sichergestellt ist, dass eine entsprechende Datenübermittlung nicht erfolgt bzw. alle betroffenen Personen eine wirksame Einwilligung erteilt haben. Ersterem kann dadurch entsprochen werden, dass für entsprechende WhatsApp-Szenarien dienstliche/geschäftliche Mobiltelefone zum Einsatz kommen, die eine Vermischung privater und dienstlicher/geschäftlicher Kontakte vermeiden und deren Adressbücher ausschließlich Telefonnummern der WhatsApp-Kontakte enthalten bzw. allein die Telefonnummer des jeweiligen Diensteanbieters.

Als problematisch erweist sich in diesem Zusammenhang zumeist die Nutzung privater Mobiltelefone für dienstliche/geschäftliche Zwecke, da es hierbei zu einer Vermischung privater mit dienstlichen/geschäftlichen Daten kommt. Weiterhin hat der Arbeitgeber nur bedingt Einflussmöglichkeiten auf die Konfiguration der privaten Geräte und deren Nutzung.

Fazit:

WhatsApp als Messenger-Dienst ist nicht a priori datenschutzwidrig, aktuelle Probleme resultieren weniger aus der Gestaltung des Dienstes, sondern aus dessen Einsatzbedingungen in der Praxis. Unabhängig von weiter bestehenden Bedenken hinsichtlich des Privacy Shields ist ein datenschutzkonformer WhatsApp-Einsatz unter bestimmten Voraussetzungen möglich. Hierzu zählen:

  • der Einsatz aktueller Software-Versionen, um eine Verschlüsselung der Kommunikationsinhalte zu gewährleisten
  • der Einsatz dienstlicher/geschäftlicher Mobiltelefone; eine Nutzung privater Endgeräte kommt nur ausnahmsweise und verbunden mit tragfähigen Container-Lösungen in Betracht
  • die Nutzung eines „one-record-Adressbuchs“ mit ausschließlich der Telefonnummer des Diensteanbieters, eines Telefonbuchs mit ausschließlich WhatsApp-Kontakten oder eine Sperre des Adressbuchzugriffs durch WhatsApp
  • die Deaktivierung von Cloud-Backups
  • die Sicherstellung, Chat-Anhänge nicht in der Mediathek des Mobiltelefons gespeichert werden bzw. Dritt-Applikationen keine Zugriff darauf haben
  • eine ausreichende Absicherung der Endgeräte (Zugriffssperre, Verschlüsselung)

Quelle: LfDI

Weitere unterstützende Hinweis zum Datenschutz finden Sie in diesen Beiträgen: