Augen auf bei WhatsApp-Nutzung im Unternehmen

In einer Ende Juni veröffentlichten Entscheidung hat mit dem Amtsgericht Hersfeld erstmals ein deutsches Gericht festgestellt, dass die bloße Nutzung von WhatsApp einen Verstoß gegen deutsches Datenschutzrecht darstellt. Denn die Daten der im Smartphone gespeicherten Kontakte würden ohne deren Zustimmung an die WhatsApp Inc. in den USA weitergeleitet. Auch Unternehmen, deren Mitarbeiter WhatsApp nutzen, könnten nun ins Visier der Datenschutzbehörden rücken, warnen Hauke Hansen und Markus Dinnes von FPS Rechtsanwälte.

In immer mehr Unternehmen wird zur Kommunikation zwischen Mitarbeitern und mit Kunden oder Lieferanten inzwischen gerne auf WhatsApp und andere Messenger-Dienste zurückgegriffen. Doch WhatsApp und die Konzernmutter Facebook stellen ihre kostenlose App nicht ohne Gegenleistung zur Verfügung. Der WhatsApp-Messenger finanziert sich nicht durch Nutzergebühren oder direkte Werbeeinnahmen, sondern durch die Auswertung der von den Nutzern übermittelten Daten. WhatsApp liest verschiedene Daten aus und überträgt sie zur weiteren Auswertung in die USA. Es werden u. a. Daten aus dem Kontaktverzeichnis des Mobiltelefons ausgelesen, auch Nummern von Kontakten, die WhatsApp gar nicht nutzen. Dieser Vorgang kann vom Endnutzer, also auch von Unternehmen, nicht beeinflusst werden.

Fragwürdige Zustimmungspraxis
Mit der Zustimmung zu den Nutzungs- und Datenschutzbedingungen von WhatsApp bestätigt jeder Nutzer etwas, was offensichtlich nicht der Wahrheit entspricht. Denn dort heißt es: „Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“

Der Nutzer willigt sogar in unterschiedliche Datenschutzniveaus in Deutschland und den USA ein: „Du erkennst an, dass die Gesetze, Vorschriften und Standards des Landes, in dem deine Informationen gespeichert oder verarbeitet werden, von denen deines eigenen Landes abweichen können.“ Und schließlich erlaubt der Nutzer dem Messenger-Dienst sogar, sämtliche Daten auszuwerten, die sich in Zeiten von Big Data in irgendeiner Form kommerzialisieren lassen: „Wenn du unsere Dienste installierst, nutzt oder auf sie zugreifst, sammeln wir gerätespezifische Informationen. Dazu gehören auch Informationen wie das Hardware-Modell, die Informationen zum Betriebssystem, Browser-Informationen, die IP-Adresse, Angaben zum Mobilfunknetz, einschließlich der Telefonnummer, sowie Gerätekennungen.“

Nach deutschen Datenschutzregeln müssen Betroffene in die Weitergabe und Verarbeitung ihrer Daten einwilligen. Sowohl der Mitarbeiter, der WhatsApp nutzt und den Zugriff durch WhatsApp ermöglicht, als auch die WhatsApp Inc. benötigen also die Zustimmung der im Adressbuch des Smartphones gespeicherten Kontaktpersonen. An eine aus datenschutzrechtlicher Sicht wirksame Einwilligung stellen das Gesetz und die Datenschutzbehörden strenge Anforderungen. Ob diese allein durch das Anklicken der Datenschutzbestimmungen von WhatsApp erfüllt werden, ist zumindest fragwürdig. Denn diese nennen den Zweck der Datenverarbeitung nicht konkret und halten sich nicht an den gesetzlich festgelegten Grundsatz der Datensparsamkeit. Auch dürfte die im Bundesdatenschutzgesetz vorgesehene „Wahrung berechtigter Interessen“ als Rechtfertigungsgrund nicht gegeben sein.

Viele Nutzer von WhatsApp, seien sie Mitglieder der Geschäftsleitung oder andere Mitarbeiter, sind sich nicht bewusst, in welchem Ausmaß auf Daten zugegriffen wird – womöglich auch auf sensible geschäftliche Daten.

Bußgelder drohen
Unternehmen sollten prüfen, ob geschäftliche Kontakte in die Datenweitergabe wirksam eingewilligt haben – oftmals wird dies nicht der Fall sein. Denn ohne wirksame Einwilligungen könnten die Unternehmen Datenschutzverstöße begehen. Ihnen drohen dann Verfahren vor den Datenschutzbehörden. Zudem gilt ab dem 25. Mai 2018 die europäische Datenschutzgrundverordnung (DS-GVO), mit der das Datenschutzrecht EU-weit vereinheitlicht und das Bundesdatenschutzgesetz abgelöst wird. Die Haftung der Geschäftsleitung wird erweitert, die Bußgelder für Verstöße steigen drastisch auf bis zu 20 Mio. Euro bzw. 4% des Jahresumsatzes. Auch sollten sich Unternehmen fragen, ob sie akzeptieren können, dass sensible Daten unkontrolliert an Dritte im Ausland weitergegeben werden.

Konsequenzen für Unternehmen
Aus datenschutzrechtlicher Sicht empfiehlt sich, den Zugriff von Apps auf Smartphones, auf denen Daten geschäftlicher Kontakte gespeichert sind, so gering wie möglich zu halten. WhatsApp und vergleichbare Dienste sollten daher nicht ungeprüft auf Diensthandys installiert werden. Zudem ist Unternehmen generell zu raten, die Nutzung der eigenen
IT-Infrastruktur durch die Mitarbeiter in einer Richtlinie oder einer Betriebsvereinbarung zu regeln. Wenn ein generelles Verbot nicht gewollt oder durchsetzbar ist, sollte zumindest eine Risikoanalyse erfolgen, um anschließend eine Entscheidung im Sinne des Unternehmens treffen zu können.