WhatsApp datenschutzkonform nutzen

WhatsApp ist heute ein unverzichtbares Kommunikationsmittel für viele – nicht nur im privaten Bereich, sondern auch zunehmend im geschäftlichen Umfeld. Unternehmen stehen jedoch vor erheblichen datenschutzrechtlichen Herausforderungen, wenn sie WhatsApp geschäftlich nutzen möchten. Dieser Blogbeitrag beleuchtet die rechtlichen Risiken, die durch den Einsatz von WhatsApp entstehen können, und bietet konkrete Empfehlungen, wie Unternehmen diese Risiken minimieren und die Plattform datenschutzkonform in ihren Geschäftsprozessen integrieren können.

WhatsApp bietet zweifellos eine bequeme Möglichkeit zur Kommunikation, doch die datenschutzrechtlichen Implikationen sind beträchtlich. Einige der Hauptbedenken umfassen:

• Synchronisierung von Kontakten: Beim Installieren von WhatsApp erfolgt eine automatische Synchronisierung der Kontakte aus dem Adressbuch. Dies führt zur Weitergabe von personenbezogenen Daten an WhatsApp.
• Metadaten-Erfassung: Während der Inhalt der Nachrichten durch Ende-zu-Ende-Verschlüsselung geschützt ist, werden Metadaten (z.B. wer mit wem und wie oft kommuniziert) von WhatsApp gesammelt und an andere Unternehmen der Meta-Gruppe, auch in Nicht-EU-Länder, weitergegeben.
• Mangelnde Transparenz: Meta bietet nur begrenzte Transparenz über die Verarbeitung dieser Daten und gibt den Nutzern kaum Möglichkeiten, die Bedingungen zu verhandeln.

Wenn WhatsApp im geschäftlichen Kontext genutzt wird, stellt die Wahl dieses Dienstes eine Festlegung der Zwecke (spezifische geschäftliche Nutzung) und Mittel (WhatsApp) der Datenverarbeitung dar. Damit ist das Unternehmen für die Verarbeitungstätigkeiten, die im Zusammenhang mit der Nutzung von WhatsApp erfolgen, verantwortlich.

Bei der datenschutzrechtlichen Betrachtung von WhatsApp muss zwischen einer „unkontrollierten“ Nutzung durch Mitarbeitende und einer „kontrollierten“ Nutzung als festgelegtem Bestandteil eines Geschäftsprozesses unterschieden werden.

Mitarbeitende dürfen WhatsApp nicht unkontrolliert für geschäftliche Zwecke verwenden. Interne Richtlinien legen fest, dass dienstliche Kommunikation auf Firmengeräten ausschließlich über „verwaltete Apps“ erfolgen darf, zu denen WhatsApp nicht zählt. WhatsApp darf nur für die Verarbeitung und den Austausch öffentlicher Daten im Zusammenhang mit dienstlichen Tätigkeiten genutzt werden.

Mitarbeitende, die ihre Geräte nicht ausdrücklich privat nutzen dürfen, dürfen Kontakte nur in Ausnahmefällen weitergeben.

Die unkontrollierte Nutzung von WhatsApp birgt aus datenschutzrechtlicher Sicht verschiedene Risiken. Neben der Weitergabe von Kontakten und Metadaten an WhatsApp ist es nicht möglich, die Einhaltung der Datenschutzgrundsätze für verarbeitete personenbezogene Daten zu gewährleisten.

In Unternehmensbereichen, in denen die Gefahr besteht, dass Mitarbeitende WhatsApp unkontrolliert für geschäftliche Zwecke nutzen, ist es ratsam, klar und unmissverständlich zu kommunizieren, dass dies nicht zulässig ist. Die Kommunikation über WhatsApp auf privaten Geräten mit Kolleginnen und Kollegen muss auf nicht geschäftsbezogene Inhalte oder auf öffentliche Daten gemäß dem Datenklassifizierungsschema beschränkt bleiben.

Kann das Datenschutzrisiko für eine bestimmte Verarbeitungstätigkeit angemessen gemindert werden, ist die Nutzung von WhatsApp für geschäftliche Zwecke grundsätzlich nicht ausgeschlossen, so dass Sie WhatsApp datenschutzkonform nutzen könnten.

WhatsApp hat im Zusammenhang mit seiner Business-Plattform einige Bedenken ausgeräumt. So bietet WhatsApp einen Auftragsverarbeitungsvertrag (AVV) an, der die Verarbeitung von Kontaktinformationen der Kundinnen und Kunden regelt (Abs. 3.b.ii.) und deren Verarbeitung auf die „Anweisungen, die in den Business-Bedingungen und den Datenverarbeitungsbedingungen festgelegt sind“, beschränkt (Abs. 3.a.). WhatsApp LLC und Data Privacy Framework | Privacy Center | Facebook Privacy sind, als die wichtigsten Drittland-Empfänger der Daten, gemäß dem EU-U.S. Data Privacy Framework zertifiziert.

Zum aktuellen Stand (Juli 2024) enthalten die Nutzungsbedingungen nach wie vor eine weit gefasste Definition darüber, welche Metadaten von WhatsApp und anderen Meta-Unternehmen verarbeitet werden und zu welchen Zwecken dies erfolgt (siehe WhatsApp Business Nutzungsbedingungen, Abschnitt 7). Diese Daten beziehen sich auf interne Geschäftsprozesse, wie den Kundenservice über die WhatsApp-Business-Plattform, und es besteht die Möglichkeit, dass sie Kundendaten enthalten. In diesem Fall wäre WhatsApp als Datenverantwortlicher zu betrachten, da sie nicht unter den Anwendungsbereich des AVV fallen. Die Bereitstellung solcher Daten im Rahmen der Geschäftstätigkeit an WhatsApp erfordert eine rechtliche Grundlage, deren Erlangung durch die unzureichende Transparenz hinsichtlich der betroffenen Kundendaten erschwert wird. Neben den datenschutzrechtlichen Auswirkungen muss das Unternehmen auch die Folgen der Weitergabe geschäftsrelevanter Informationen an Meta berücksichtigen.

Risiken minimieren

Aus datenschutzrechtlicher Sicht können die Risiken nicht vollständig ausgeschlossen, aber auf ein angemessenes Niveau reduziert werden. Um dies zu erreichen, sind folgende Maßnahmen zu empfehlen:

1. Die Nutzung der Chat-Funktionalität von WhatsApp sollte nicht auf einzelnen Telefonen oder mobilen Geräten erfolgen, sondern ausschließlich über eine API-Anbindung an die IT-Systemlandschaft. Dies ist aus mehreren Gründen sinnvoll:

a) Die Implementierung von Data-Governance-Prozessen, die für die Einhaltung der Datenschutzgrundsätze entwickelt wurden, ist auf personenbezogene Daten, die auf einzelnen Geräten gespeichert sind, schwierig umzusetzen. Dazu zählen insbesondere die regelmäßige Löschung der Daten, die Ausübung der Betroffenenrechte und das Berechtigungsmanagement. Um die DSGVO-Vorgaben zu erfüllen, müssten auf jedem Gerät, auf dem Kundendaten gespeichert sind, entweder passende Konfigurationen (sofern möglich) oder manuelle Maßnahmen durchgeführt werden. Werden die Daten jedoch nur in regulären IT-Systemen (z.B. CRM-Systemen) gespeichert, können die bestehenden Prozesse auch auf die Daten aus der WhatsApp-Kommunikation angewendet werden.

b) Verarbeitungen auf dezentralen Geräten sind schwerer zu protokollieren und zu überwachen, was es schwierig macht, Prozessfehler, Fahrlässigkeit oder sogar vorsätzliche Verstöße durch Mitarbeitende zu erkennen und zu verhindern.

c) Es besteht das Risiko eines Datenverlusts durch verlorene oder gestohlene Geräte, wenn personenbezogene Daten auf Geräten außerhalb der Unternehmensräumlichkeiten verarbeitet werden.

d) Bei gesetzlich vorgeschriebenen Aufbewahrungspflichten könnte die Speicherung von Daten lediglich in WhatsApp-Chats unzureichend sein, um diese Anforderungen zu erfüllen. Da Chats gelöscht werden können, ist die Speicherung nicht revisionssicher. Beispielsweise wurden 2022 US-Banken mit Geldstrafen von bis zu 200 Millionen Dollar belegt, weil sie gegen Aufbewahrungspflichten verstoßen hatten, als Mitarbeitende über WhatsApp kommunizierten. Solche Aufbewahrungspflichten können auch für geschäftliche Kommunikation gelten (siehe z.B. in Deutschland § 147 Abs. 1 Nr. 2 und 3 AO, § 257 Abs. 1 Nr. 2 und 3 HGB).

Diese Probleme treten nicht auf, wenn WhatsApp nur für Anrufe genutzt wird und keine personenbezogenen Daten auf den Geräten gespeichert werden. Es sind jedoch die Richtlinien des Unternehmens zu beachten. Die Nutzung von WhatsApp auf diesen Geräten sollte daher mit den zuständigen IT- und Cybersecurity-Abteilungen abgestimmt werden.

2. Die WhatsApp-Nutzungsbedingungen sowie die öffentlich verfügbaren Informationen von Meta sollten zunächst und anschließend regelmäßig geprüft werden, um sicherzustellen, dass sie den rechtlichen Anforderungen, insbesondere den Artikeln 26, 28 und 44 der DSGVO, entsprechen. Stand Juli 2024 enthalten sie:

a) WhatsApp Business Nutzungsbedingungen

b) WhatsApp Datenverarbeitungsbedingungen

c) Ergänzung für WhatsApp Business Datenübermittlungen

d) Datenschutzrichtlinie – EWR (whatsapp.com)

e) Data Privacy & Security – Cloud API (facebook.com)

3. Es sollte eine umfassende Risikobewertung durchgeführt und dokumentiert werden, die die Risiken der Nutzung von WhatsApp für den spezifischen Anwendungsfall berücksichtigt. Beachten Sie, dass Aufsichtsbehörden in der Vergangenheit häufig Maßnahmen nicht wegen der Nutzung von WhatsApp selbst, sondern aufgrund der fehlenden Risikobewertung ergriffen haben. Ob eine vollständige Datenschutzfolgenabschätzung nach Art. 35 DSGVO erforderlich ist, hängt von dem Geschäftsprozess ab, den WhatsApp unterstützen soll.

Risikobewertung

Die Risikobewertung sollte mindestens folgende Punkte umfassen:

a) Verfügbarkeit ausreichender Informationen von Meta, um die Kontrolle über Mittel und Zwecke der Verarbeitung auszuüben und die Rechenschaftspflicht sicherzustellen (Art. 5 Abs. 2 DSGVO).

b) Einhaltung der Datenschutzgrundsätze und der Betroffenenrechte (siehe Punkt 1.)

c) Anforderungen an die Einbindung von Auftragsverarbeitern und Unterauftragsverarbeitern sowie an die Datenübermittlung in Drittstaaten (siehe Punkt 2.)

d) Risiken, die sich aus den spezifischen Datenarten ergeben, die im Rahmen des Anwendungsfalls über WhatsApp ausgetauscht werden (z.B. besondere Kategorien nach Art. 9 Abs. 1 DSGVO, Finanzdaten).

e) Anforderungen an die Datensicherheit (Einbeziehung der Cybersecurity-Teams).

4. Es sollte in Erwägung gezogen werden, eine Einwilligung für die Nutzung von WhatsApp und die damit verbundene Übermittlung von Metadaten an WhatsApp einzuholen. Auch wenn die spezifische Verarbeitungstätigkeit, für die WhatsApp verwendet wird (z.B. Kundendienst oder Austausch vertragsrelevanter Informationen), keine Einwilligung erfordert, könnte die Bereitstellung von Metadaten an WhatsApp möglicherweise nicht als „erforderlich“ im Sinne von Art. 6 Abs. 1 lit. b oder f DSGVO angesehen werden. Eine Einwilligung wäre daher die sicherere rechtliche Grundlage. Sollte ohnehin eine Einwilligung eingeholt werden müssen und WhatsApp ein wesentlicher Bestandteil der Verarbeitungstätigkeit ist (z.B. bei Anmeldung zu einem WhatsApp-Newsletter), können die verschiedenen Verarbeitungstätigkeiten in einer einzigen Einwilligung zusammengefasst werden.

Bei der Einholung der Einwilligung sind die folgenden Anforderungen der DSGVO zu beachten:

a) Freiwilligkeit: Die betroffene Person muss auch einen alternativen Kommunikationsweg haben.

b) Informiertheit und Bestimmtheit: Die betroffene Person muss klar verstehen, welche Daten an wen und zu welchem Zweck übermittelt werden.

c) Unmissverständlich, durch eine Erklärung oder eine andere eindeutige bestätigende Handlung: Eine Opt-out-Option ist nicht ausreichend. Falls die betroffene Person und über WhatsApp kontaktiert, kann dies als bestätigende Handlung gewertet werden, sofern die Folgen vorher klar und deutlich erklärt wurden.

d) Dokumentation: Dokumentieren Sie die Einwilligungen sowie die Informationen, die der betroffenen Person vorab gegeben wurden, um die Bedeutung und den Umfang der Einwilligung angemessen festzuhalten.

e) Widerruflichkeit: Der Widerruf der Einwilligung muss ebenso einfach wie die Erteilung der Einwilligung sein. Legen Sie ein Verfahren für den Widerruf fest und informieren Sie die betroffenen Personen darüber, bevor sie Ihre Einwilligung geben.

5. Zusätzlich müssen die betroffenen Personen angemessen über die Datenverarbeitung informiert werden. Diese Informationen sollten sowohl den zugrunde liegenden Geschäftsprozess als auch die Besonderheiten der Kommunikation über WhatsApp umfassen. Stellen Sie gegebenenfalls klar, wer die für die Verarbeitung Verantwortlichen sind (Unternehmen vs. WhatsApp) und welche Rechtsgrundlagen für die Verarbeitung gelten (Hauptprozess vs. WhatsApp-Nutzung). Wenn Sie auf die Datenschutzrichtlinie von WhatsApp verweisen, machen Sie deutlich, dass diese für die Datenverarbeitung unter der Aufsicht von Meta gilt und nicht für die von Ihnen festgelegten Verarbeitungszwecke und -mittel.

Die geschäftliche Nutzung von WhatsApp kann erhebliche datenschutzrechtliche Herausforderungen mit sich bringen. Unternehmen müssen sorgfältig abwägen, ob und wie sie die Plattform nutzen, um die Risiken für den Datenschutz zu minimieren. Durch klare Richtlinien, die Einbindung der IT- und Cybersecurity-Teams und eine kontinuierliche Überwachung der rechtlichen Rahmenbedingungen können Unternehmen jedoch WhatsApp datenschutzkonform nutzen.

Der Schlüssel zum Erfolg liegt darin, Datenschutz und Geschäftsprozesse in Einklang zu bringen und die richtigen Maßnahmen zu ergreifen, um sensible Daten zu schützen und den gesetzlichen Anforderungen gerecht zu werden. Indem Sie die hier beschriebenen Empfehlungen umsetzen, können Sie sicherstellen, dass Ihre geschäftliche Kommunikation über WhatsApp datenschutzkonform und sicher erfolgt.