DSGVO und Whatsapp
Wie gefährlich ist Whatsapp auf dem Firmenhandy?

Whatsapp ist praktisch, aber rechtlich heikel: Der Messenger verstößt gegen die Datenschutzgrundverordnung (DSGVO). Was heißt das konkret - und was kann passieren, wenn Unternehmen Whatsapp trotzdem nutzen?

, von
Datenschutz-Grundverordnung
Kommentieren
Whatsapp beruflich zu nutzen, ist riskant: Der amerikanische Messenger-Dienst hält sich nicht an die DSGVO der EU und greift automatisch auf alle im Handy gespeicherten Daten zu.
Whatsapp beruflich zu nutzen, ist riskant: Der amerikanische Messenger-Dienst hält sich nicht an die DSGVO der EU und greift automatisch auf alle im Handy gespeicherten Daten zu.
© Marie Maerz / photocase.de

Kein Whatsapp im Job, das gilt seit 5. Juni beim Autozulieferer Continental. Rund 36.000 Mitarbeiter mussten den Messenger vom Diensthandy löschen – aus Datenschutzgründen. Denn seit 25. Mai gilt in der EU die Datenschutzgrundverordnung (DSGVO) und somit strengere Richtlinien in der Nutzung und Verarbeitung von Kontakten – an die sich das amerikanische Unternehmen Whatsapp nicht hält.

„Unternehmen sollten deswegen genau prüfen, ob und wofür sie den Messenger nutzen“, sagt Tobias Neufeld, Rechtsanwalt bei Allen & Overy Deutschland. „Whatsapp ist eigentlich für den privaten Gebrauch gedacht; wer es beruflich nutzt, geht ein großes Risiko sein.“

Aber wieso eigentlich?

Inwiefern verstößt WhatsApp gegen die DSGVO?

Problem 1: Whatsapp verarbeitet unerlaubt Daten

„Whatsapp greift automatisch auf alle Kontakte zu, die im Smartphone gespeichert sind“, erklärt Philip Keller, Rechtsanwalt aus Köln. „Darunter sind in der Regel auch immer Daten von Leuten, die den Messenger-Dienst gar nicht nutzen.“

Und genau das ist das Problem: Laut DSGVO braucht ein Unternehmen die schriftliche Einwilligung aller Personen, deren Daten genutzt und verarbeitet werden. Der Messenger aber greift auf Informationen von Personen zu, die das nie erlaubt haben – und noch nicht einmal wissen, dass ihre Daten auf einem amerikanischen Server gespeichert sind. „Wer Whatsapp beruflich nutzt, ohne diese Erlaubnis von jedem Einzelnen Kontakt eingeholt zu haben, verstößt somit gegen die Datenschutzgrundverordnung“, sagt Rechtsanwalt Keller.

Grundsätzlich gilt zudem, dass für die Verarbeitung und Speicherung von Daten ein Rechtsgrund bestehen muss. Ein Rechtsgrund kann aber niemals darin liegen, dass Facebook und Whatsapp sämtliche Daten aus dem Adressbuch kopieren und auf eigenen Servern lagern. Dasselbe gilt übrigens auch für Whatsapp Business, den Messenger-Dienst für Unternehmen.

Problem 2: Whatsapp gibt Daten an Facebook weiter

Ein weiteres Problem: Whatsapp gibt die gesammelten Daten an Facebook weiter. Zwar ist Whatsapp seit 2014 ein Facebook-Tochterunternehmen, trotzdem ist die Datenweitergabe zwischen den Firmen ohne Einwilligung der Nutzer verboten (Artikel 6 der DSGVO). Es sei denn, Facebook hat ein berechtigtes Interesse an den Informationen. Wann aber ein Interesse berechtigt ist, ist im Gesetz nicht erklärt.

Zu den Personen
Tobias Neufeld ist Rechtsanwalt für Arbeitsrecht bei Allen & Overy in Düsseldorf und Spezialist im Bereich Datenschutzrecht. Philip Keller ist Rechtsanwalt für Arbeitsrecht in Köln und setzt sich ebenfalls mit dem Thema Datenschutz auseinander.

In Deutschland durfte Whatsapp bisher keine Daten an Facebook weitergeben – das hatte das Hamburgische Oberverwaltungsgericht entschieden. Seit Inkrafttreten der DSGVO ist nun die Datenschutzbehörde zuständig, in deren Land das Unternehmen sitzt – und die europäische Niederlassung von Facebook und Whatsapp sitzt in Irland. Das heißt in diesem Fall: Die irischen Datenschützer müssen entscheiden, ob Facebook Daten von Whatsapp nutzen darf oder nicht.

Im Moment teilt Whatsapp nach eigenen Angaben zwar keine Nachrichten und Bilder mit Facebook, dafür aber zum Beispiel:

  • die Telefonnummer des Nutzers
  • Geräteinformationen (zum Beispiel: Gerätekennung und Betriebssystem)
  • wann sich der Nutzer registriert hat
  • wann Whatsapp zuletzt benutzt wurde
  • welche Funktionen häufig genutzt werden

Können Mitarbeiter den Messenger intern nutzen?

„Teams können nach Ansicht der Datenschutzbehörden über Whatsapp kommunizieren, solange keine Kundendaten auf dem Handy gespeichert sind oder andere personenbezogene Daten hin- und hergeschickt werden“, sagt Rechtsanwalt Tobias Neufeld. Man dürfte in diesem Fall aber nur Kontaktdaten derjenigen Teammitglieder auf dem Handy speichern, die damit einverstanden sind, über Whatsapp zu kommunizieren.

Unabhängig von personenbezogenen Daten sieht Anwalt Neufeld noch ein weiteres Risiko in der firmeninternen Kommunikation via Whatsapp: „Es stellt sich die Frage, ob der Austausch vertraulicher Informationen oder sogar von Betriebs- und Geschäftsgeheimnissen ausreichend geschützt ist“, sagt er.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaft - Rückenwind für Unternehmerinnen und Unternehmer
Jetzt Mitglied werden

Sollten Unternehmen Whatsapp auf dem Firmenhandy verbieten?

„Die einzige legale Möglichkeit, Whatsapp auf den Firmenhandys zu nutzen, ist, nur Daten von Kunden einzuspeichern, die zuvor auf die Datenpolitik von Facebook und Whatsapp hingewiesen wurden und die der Speicherung ihrer Daten im Adressbuch und der Nutzung des Messengers ausdrücklich zugestimmt haben“, sagt Keller. Wer sichergehen will, keine Datenschutzverstöße zu begehen, sollte seinen Mitarbeitern verbieten, Whatsapp oder andere Messenger auf dem Firmenhandy zu installieren.

Wenn die Mitarbeiter allerdings ihr privates Handy beruflich nutzen („Bring your own device“) und Whatsapp heruntergeladen haben, können Arbeitgeber nicht von ihnen verlangen, die App zu löschen. Sind auf dem privaten Mitarbeiter-Handy Daten von Kunden oder Geschäftspartnern gespeichert, hat die Firma ein Problem: „Whatsapp greift auf Kontakte und Daten zu, die auf dem Handy sind“, sagt Philip Keller, „völlig egal, ob das Gerät ein Firmenhandy ist oder nicht.“

Welche Strafen drohen bei beruflicher Nutzung von Whatsapp?

„Im Grunde war die berufliche Nutzung von Whatsapp nach Ansicht von Datenschutzbehörden und Gerichten auch schon vor der DSGVO riskant“, sagt Neufeld. „Jetzt allerdings haben Unternehmen eine erweiterte Informations- und Dokumentationspflicht und müssen nachweisen, über welchen Weg und an wen sie Daten übermittelt haben.“

Außerdem drohen seit der DSGVO sehr viel höhere Strafen bei Datenschutzverstößen: „Wenn der Schutz personenbezogener Daten unzureichend ist, drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes“, sagt Neufeld.

Allerdings hätten Vertreter der deutschen Datenschutzbehörden in den letzten Wochen mehrfach gesagt, dass Deutschland in der Höhe der Bußgelder keine Vorreiterrolle einnehmen werde und auch nicht vorhabe, in den nächsten Monaten hohe Strafen zu verhängen. „Stattdessen wollen die Datenschützer erst mal versuchen, die Einhaltung der DSGVO durch Prüfungen und Weisungen voranzutreiben“, so Neufeld. „Hohe Bußgelder sind also erst mal unwahrscheinlich, sofern es keine bewussten beziehungsweise gewollten Verstöße von Unternehmen gegen die DSGVO gibt.“

Datenschutz trotz Messenger: Welche Lösungen gibt es?

Wer ein iPhone nutzt, kann Whatsapp unter dem Menüpunkt „Einstellungen, Datenschutz“ den Zugriff auf das Adressbuch verweigern. Android-Nutzer haben es nicht so leicht: Sie müssen eine zusätzliche App herunterladen, damit Whatsapp nicht mehr auf Kontakte zugreift.

Eine andere Möglichkeit bieten sogenannte Exchange-Container. Diese Programme sorgen dafür, dass Whatsapp nicht auf andere Daten im Smartphone zugreifen kann. Nachteil: Die Kontakte muss der Nutzer dann einzeln im Messenger speichern. „Für kleine Unternehmen ist das ein zu großer Zeit- und auch Kostenaufwand“, meint Neufeld. Das lohne sich in der Regel nicht.

Stattdessen könnten Unternehmen andere Messenger-Dienste nutzen: „Am besten Programme, deren Server in Europa stehen und damit datenschutzkonform sind.“ Mögliche Alternativen sind laut Neufeld zum Beispiel Threema, Signal oder Wire. „Diese Dienste sind sicherer als Whatsapp und dabei gleichzeitig ähnlich schnell und unkompliziert.“

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Jetzt buchen
Kein Whatsapp im Job, das gilt seit 5. Juni beim Autozulieferer Continental. Rund 36.000 Mitarbeiter mussten den Messenger vom Diensthandy löschen – aus Datenschutzgründen. Denn seit 25. Mai gilt in der EU die Datenschutzgrundverordnung (DSGVO) und somit strengere Richtlinien in der Nutzung und Verarbeitung von Kontakten – an die sich das amerikanische Unternehmen Whatsapp nicht hält. „Unternehmen sollten deswegen genau prüfen, ob und wofür sie den Messenger nutzen“, sagt Tobias Neufeld, Rechtsanwalt bei Allen & Overy Deutschland. „Whatsapp ist eigentlich für den privaten Gebrauch gedacht; wer es beruflich nutzt, geht ein großes Risiko sein.“ Aber wieso eigentlich? Inwiefern verstößt WhatsApp gegen die DSGVO? Problem 1: Whatsapp verarbeitet unerlaubt Daten „Whatsapp greift automatisch auf alle Kontakte zu, die im Smartphone gespeichert sind“, erklärt Philip Keller, Rechtsanwalt aus Köln. „Darunter sind in der Regel auch immer Daten von Leuten, die den Messenger-Dienst gar nicht nutzen.“ Und genau das ist das Problem: Laut DSGVO braucht ein Unternehmen die schriftliche Einwilligung aller Personen, deren Daten genutzt und verarbeitet werden. Der Messenger aber greift auf Informationen von Personen zu, die das nie erlaubt haben - und noch nicht einmal wissen, dass ihre Daten auf einem amerikanischen Server gespeichert sind. „Wer Whatsapp beruflich nutzt, ohne diese Erlaubnis von jedem Einzelnen Kontakt eingeholt zu haben, verstößt somit gegen die Datenschutzgrundverordnung“, sagt Rechtsanwalt Keller. Grundsätzlich gilt zudem, dass für die Verarbeitung und Speicherung von Daten ein Rechtsgrund bestehen muss. Ein Rechtsgrund kann aber niemals darin liegen, dass Facebook und Whatsapp sämtliche Daten aus dem Adressbuch kopieren und auf eigenen Servern lagern. Dasselbe gilt übrigens auch für Whatsapp Business, den Messenger-Dienst für Unternehmen. Problem 2: Whatsapp gibt Daten an Facebook weiter Ein weiteres Problem: Whatsapp gibt die gesammelten Daten an Facebook weiter. Zwar ist Whatsapp seit 2014 ein Facebook-Tochterunternehmen, trotzdem ist die Datenweitergabe zwischen den Firmen ohne Einwilligung der Nutzer verboten (Artikel 6 der DSGVO). Es sei denn, Facebook hat ein berechtigtes Interesse an den Informationen. Wann aber ein Interesse berechtigt ist, ist im Gesetz nicht erklärt. In Deutschland durfte Whatsapp bisher keine Daten an Facebook weitergeben – das hatte das Hamburgische Oberverwaltungsgericht entschieden. Seit Inkrafttreten der DSGVO ist nun die Datenschutzbehörde zuständig, in deren Land das Unternehmen sitzt – und die europäische Niederlassung von Facebook und Whatsapp sitzt in Irland. Das heißt in diesem Fall: Die irischen Datenschützer müssen entscheiden, ob Facebook Daten von Whatsapp nutzen darf oder nicht. Im Moment teilt Whatsapp nach eigenen Angaben zwar keine Nachrichten und Bilder mit Facebook, dafür aber zum Beispiel: die Telefonnummer des Nutzers Geräteinformationen (zum Beispiel: Gerätekennung und Betriebssystem) wann sich der Nutzer registriert hat wann Whatsapp zuletzt benutzt wurde welche Funktionen häufig genutzt werden Können Mitarbeiter den Messenger intern nutzen? „Teams können nach Ansicht der Datenschutzbehörden über Whatsapp kommunizieren, solange keine Kundendaten auf dem Handy gespeichert sind oder andere personenbezogene Daten hin- und hergeschickt werden“, sagt Rechtsanwalt Tobias Neufeld. Man dürfte in diesem Fall aber nur Kontaktdaten derjenigen Teammitglieder auf dem Handy speichern, die damit einverstanden sind, über Whatsapp zu kommunizieren. Unabhängig von personenbezogenen Daten sieht Anwalt Neufeld noch ein weiteres Risiko in der firmeninternen Kommunikation via Whatsapp: „Es stellt sich die Frage, ob der Austausch vertraulicher Informationen oder sogar von Betriebs- und Geschäftsgeheimnissen ausreichend geschützt ist“, sagt er. Sollten Unternehmen Whatsapp auf dem Firmenhandy verbieten? „Die einzige legale Möglichkeit, Whatsapp auf den Firmenhandys zu nutzen, ist, nur Daten von Kunden einzuspeichern, die zuvor auf die Datenpolitik von Facebook und Whatsapp hingewiesen wurden und die der Speicherung ihrer Daten im Adressbuch und der Nutzung des Messengers ausdrücklich zugestimmt haben", sagt Keller. Wer sichergehen will, keine Datenschutzverstöße zu begehen, sollte seinen Mitarbeitern verbieten, Whatsapp oder andere Messenger auf dem Firmenhandy zu installieren. Wenn die Mitarbeiter allerdings ihr privates Handy beruflich nutzen ("Bring your own device") und Whatsapp heruntergeladen haben, können Arbeitgeber nicht von ihnen verlangen, die App zu löschen. Sind auf dem privaten Mitarbeiter-Handy Daten von Kunden oder Geschäftspartnern gespeichert, hat die Firma ein Problem: „Whatsapp greift auf Kontakte und Daten zu, die auf dem Handy sind", sagt Philip Keller, „völlig egal, ob das Gerät ein Firmenhandy ist oder nicht.“ Welche Strafen drohen bei beruflicher Nutzung von Whatsapp? „Im Grunde war die berufliche Nutzung von Whatsapp nach Ansicht von Datenschutzbehörden und Gerichten auch schon vor der DSGVO riskant“, sagt Neufeld. „Jetzt allerdings haben Unternehmen eine erweiterte Informations- und Dokumentationspflicht und müssen nachweisen, über welchen Weg und an wen sie Daten übermittelt haben.“ Außerdem drohen seit der DSGVO sehr viel höhere Strafen bei Datenschutzverstößen: „Wenn der Schutz personenbezogener Daten unzureichend ist, drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes“, sagt Neufeld. Allerdings hätten Vertreter der deutschen Datenschutzbehörden in den letzten Wochen mehrfach gesagt, dass Deutschland in der Höhe der Bußgelder keine Vorreiterrolle einnehmen werde und auch nicht vorhabe, in den nächsten Monaten hohe Strafen zu verhängen. „Stattdessen wollen die Datenschützer erst mal versuchen, die Einhaltung der DSGVO durch Prüfungen und Weisungen voranzutreiben“, so Neufeld. „Hohe Bußgelder sind also erst mal unwahrscheinlich, sofern es keine bewussten beziehungsweise gewollten Verstöße von Unternehmen gegen die DSGVO gibt.“ Datenschutz trotz Messenger: Welche Lösungen gibt es? Wer ein iPhone nutzt, kann Whatsapp unter dem Menüpunkt „Einstellungen, Datenschutz“ den Zugriff auf das Adressbuch verweigern. Android-Nutzer haben es nicht so leicht: Sie müssen eine zusätzliche App herunterladen, damit Whatsapp nicht mehr auf Kontakte zugreift. Eine andere Möglichkeit bieten sogenannte Exchange-Container. Diese Programme sorgen dafür, dass Whatsapp nicht auf andere Daten im Smartphone zugreifen kann. Nachteil: Die Kontakte muss der Nutzer dann einzeln im Messenger speichern. „Für kleine Unternehmen ist das ein zu großer Zeit- und auch Kostenaufwand“, meint Neufeld. Das lohne sich in der Regel nicht. Stattdessen könnten Unternehmen andere Messenger-Dienste nutzen: „Am besten Programme, deren Server in Europa stehen und damit datenschutzkonform sind.“ Mögliche Alternativen sind laut Neufeld zum Beispiel Threema, Signal oder Wire. „Diese Dienste sind sicherer als Whatsapp und dabei gleichzeitig ähnlich schnell und unkompliziert.“
Mehr lesen über
Datenschutz-Grundverordnung
Datenschutz Bewerbungen
Datenschutz bei Bewerbungen
Umgang mit Bewerberdaten? Das müssen Unternehmen beachten
Auch bei Bewerbungen greift die DSGVO: Wie Arbeitgeber Bewerberdaten nutzen dürfen, welche Aufbewahrungsfristen gelten und wann sie Lebenslauf und Anschreiben löschen müssen. Ein Überblick.
Beschäftigtendatenschutz
Beschäftigtendatenschutz
Speichern oder Löschen? Diese Regeln gelten für Mitarbeiterdaten
Unternehmen brauchen Daten ihrer Beschäftigten. Doch wer Daten über das Team unerlaubt sammelt, für andere Zwecke nutzt oder gar verliert, muss mit hohen Bußgeldern rechnen. Das sollten Sie wissen.
KI und Recht
KI und Recht
Diese Haftungsrisiken lauern bei der Arbeit mit ChatGPT und anderen KI-Tools
Auch für künstliche Intelligenz gelten echte Gesetze. Diese rechtlichen Fallstricke sollten Sie kennen, wenn Sie die neuen KI-Tools im Firmenalltag nutzen.
Beliebte FAQs und Anleitungen aus den 6 Feldern unternehmerischer Herausforderungen