Aus aktuellem Anlass – und vor allem im Hinblick auf ein nicht unerhebliches Abmahnrisiko – möchte ich Sie heute zum Thema „WhatsApp und das Datenschutzrecht“ informieren:
Sicherlich ist den meisten von Ihnen bekannt, dass WhatsApp auf alle bei dem Nutzer gespeicherten Kontaktdaten zugreift und sie zum Datenabgleich auf eigenen Servern speichert.
Das erfolgt unabhängig davon, ob der jeweilige Kontakt selbst WhatsApp nutzt/installiert hat.
Sofern WhatsApp geschäftlich genutzt wird, verstößt die Nutzung gleich in mehrfacher Hinsicht gegen die DSGVO.
Ich empfehle daher dringend, die Nutzung von WhatsApp im geschäftlichen Bereich zu unterlassen.
Und zwar aus folgenden Erwägungen:
1. Unerlaubte Weitergabe von Kontaktdaten
Die Daten werden ohne Zustimmung der unter den Kontakten befindlichen Nicht-WhatsApp-Nutzer weitergegeben.
Es reicht daher für die datenschutzkonforme Nutzung von WhatsApp NICHT aus, sich von den Personen, mit denen man per WhatsApp geschäftlich kommunizieren möchte, eine Einwilligung zu holen.
Vielmehr bräuchte man die Einwilligung aller Personen, die im Smartphone als Kontakte enthalten sind.
Hierbei ist zu beachten, dass jede einzelne Einwilligung jederzeit widerrufen werden könnte. Mit der Folge, dass dann auch die gesamte Nutzung von WhatsApp sofort wieder einzustellen wäre.
Schon aus diesem Grund ist eine Nutzung von WhatsApp im geschäftlichen Bereich nicht zu empfehlen.
2. Betroffenenrechte der DSGVO können nicht gewahrt werden
Es besteht ungeachtet dessen das folgende, deutlich gravierendere Problem:
Die Person/das Unternehmen, dem die Weitergabe der Daten an WhatsApp zuzurechnen ist, kann das von der DSGVO geforderte Recht auf Information (insbes. auf Auskunft über Art und Zweck der Verarbeitung Art. 15 DSGVO) und erst recht das Recht auf Löschung (Art. 17 DSGVO) nicht erfüllen.
Denn es fehlt die notwendige Zugriffsmöglichkeit.
Eine datenschutzkonforme Nutzung von WhatsApp im geschäftlichen Bereich ist daher nicht möglich.
Hier liegt ein erhebliches Abmahnrisiko. Und sicherlich werden die Aufsichtsbehörden auch irgendwann auf dieses Problem aufmerksam.
3. WhatsApp ausschließlich zur privaten Nutzung zulässig – ggf. mit Kontaktsicherung
WhatsApp darf daher ausschließlich für die rein private/familiäre Kommunikation genutzt werden.
Auf Firmenhandys ist die App also zu deinstallieren (und entsprechend nicht zu nutzen!). Hier werden in nächster Zeit sicherlich Messenger wie Threema u.ä., die eine DSGVO-konforme Nutzung gewährleisten, vermehrt genutzt werden.
AKTUALISIERUNG; 14. Juni 2018:
Sofern das private Smartphone auch geschäftlich genutzt wird, ist der Zugriff von WhatsApp auf sämtliche Kontakte zu sperren, damit beim privaten Chatten nicht auch geschäftliche Kontakte weitergegeben werden.
Wie das Sperren funktioniert, können Sie z.B. hier lesen:
https://praxistipps.chip.de/whatsapp-zugriff-auf-kontakte-verhindern-so-gehts_93842
Das Sperren der Kontakte hat sich in der Praxis als wenig geeignet gezeigt.
Ungeachtet dessen kann wohl – jedenfalls nach aktuellem Stand – eine WhatsApp-Nutzung auf einem auch geschäftlich genutzten Smartphone dann als zulässig angesehen werden, wenn über WhatsApp AUSSCHLIESSLICH privat kommuniziert wird. Denn in diesem Fall erfolgt die Verarbeitung der auf dem Smartphone gespeicherten Daten (Kontakte) nicht DSGVO-relevant. Denn die DSGVO nimmt in Art. 2 Abs. 2 lit. c) die Datenverarbeitung zur Ausübung rein persönlicher oder familiärer Tätigkeiten von der Geltung der Vorschriften aus.
Ich möchte noch darauf hinweisen, dass die obigen Ausführungen für alle Messenger gilt, die ausweislich ihrer Nutzungsbedingungen Zugriff auf die Kontakte nehmen.
Für weitere Fragen stehe ich Ihnen gern zur Verfügung.