Was ist im betrieblichen Einsatz von WhatsApp zu beachten?
Will ein Unternehmen WhatsApp zur Kundenkommunikation nutzen, ist einiges im Sinne des Datenschutzes zu beachten. WhatsApp verbietet eine „nicht-private Nutzung“ innerhalb der eigenen Dienstbedingungen (AGB). Damit ist lediglich eine private Nutzung möglich.
Für eine betriebliche Nutzung hat Meta WhatsApp Business vorgesehen. Die Business Variante richtet sich an Kleinunternehmen, die den Messenger nutzen wollen. Dafür muss das Unternehmen einen Account einrichten und anschließend die WhatsApp-Desktop-Anwendung oder die mobile App herunterladen. Wichtig ist jedoch, die Synchronisation des Adressbuchs auf jeden Fall zu deaktivieren. Ansonsten liegt eine Datenübertragung ohne Rechtsgrundlage in die USA vor. Auch das automatische Backup sollte deaktiviert werden, denn es speichert Chatverläufe unverschlüsselt beispielsweise in der Google oder Apple Cloud.
Die Kommunikation von WhatsApp ist mittlerweile verschlüsselt. Da jedoch weiterhin Metadaten unverschlüsselt verarbeitet werden, ist trotz der Verschlüsselung der Datenschutz zu beachten. Zu den Metadaten gehören neben der Telefonnummer auch Geräteinformationen, IP-Adresse sowie Art und Häufigkeit der Nutzung. Damit kann WhatsApp jederzeit nachvollziehen, wer mit wem wann kommuniziert hat. Diese Metadaten sind personenbezogen und somit auch unter den Gesichtspunkten der DSGVO zu betrachten.
Kontaktdaten
WhatsApp hat grundsätzlich Zugriff auf Adressbuchdaten des jeweiligen Benutzers. Dabei werden die Kontaktdaten auf Server von WhatsApp in den USA gespeichert und mit den Daten anderer WhatsApp Nutzer abgeglichen. Diese Kontaktdaten werden unverschlüsselt gespeichert. Zur rechtssicheren Verwendung der Kontaktdaten durch das jeweilige Unternehmen muss hierfür zwingend eine Einwilligung, als Rechtsgrundlage vom Kommunikationspartner eingeholt werden. Ansonsten wäre die Übermittlung der Kontaktdaten an WhatsApp in die USA rechtswidrig.
Metadaten
Auch für die Nutzung der Metadaten durch WhatsApp fehlt aktuell eine Rechtsgrundlage. Eine Regelung hierzu findet sich normalerweise im Auftragsverarbeitungsvertrag. Da WhatsApp jedoch für den privaten Gebrauch vorgesehen ist, gibt es diesen Vertrag leider nicht. Damit ist die Verarbeitung von Metadaten durch WhatsApp aktuell nicht zulässig.
Vertragliche Regelungen
Eine vertragliche Regelung zur Nutzung im Sinne der DSGVO wird von WhatsApp nur für die Business Variante angeboten. Der Vertrag zur Auftragsverarbeitung für Unternehmen muss bereits während der Installation abgeschlossen werden. Im Vertrag fehlen jedoch wesentliche Inhalte. So gibt es beispielsweise keine konkreten Angaben zu Unterauftragnehmern. Auch Angaben zu TOM oder Sicherheitsvorkehrungen sucht man im Vertrag vergebens.
Backup
Leider werden Backups der Inhaltsdaten von WhatsApp in bestimmten Situationen unverschlüsselt an Dritte übermittelt. Werden beispielsweise WhatsApp Daten auf einem privaten Smartphone eines Mitarbeiters verarbeitet, so werden durch ein automatisches Backup auch Gesprächsdaten unverschlüsselt bei Google oder Apple gespeichert. Auch hierfür fehlt eine datenschutzrechtliche Grundlage.
Transparenzpflichten
Das Telemediengesetz (TMG) gibt vor, dass die Pflichtangaben zum Impressum Betroffenen mitgeteilt werden müssen. WhatsApp hat diese Möglichkeit jedoch nicht vorgesehen. Hier empfiehlt sich also eine Verlinkung auf das bestehende Impressum der Webseite einzubinden. Auch die Datenschutzerklärung der Webseite sollte zur Verwendung von WhatsApp transparent Auskunft geben. Die Angaben zur Datenschutzerklärung sollten bei der ersten Kontaktaufnahme mit Betroffenen automatisch versendet werden.
Einwilligung einholen
Wir empfehlen beim Einsatz von WhatsApp Business, von neuen Kontakte zu Beginn eine Einwilligung einzuholen.
Fazit
Wenn Sie WhatsApp für die Kundenkommunikation nutzen wollen, sollten Sie auf jeden Fall auf die Business Variante setzen. Wir empfehlen grundsätzlich auch, keine Interessenten über WhatsApp anzuschreiben, sondern lediglich Kontaktaufnahmen durch den Kunden oder Partner über WhatsApp zu beantworten.
Die App sollte auf jeden Fall nur auf dienstlichen Geräten ausgeführt werden. Auf privat genutzte Smartphones von Mitarbeitern sollten Sie in diesem Fall verzichten. Ansonsten verliert das Unternehmen die Datenhoheit und personenbezogene Daten von Dritten landen auf privaten Geräten von Beschäftigten. Auf jeden Fall empfehlen wir den Zugriff auf das bestehende Adressbuch zu verhindern.
Weisen Sie die Kommunikationsteilnehmer auf andere bevorzugte Kommunikationskanäle, wie zum Beispiel E-Mail hin.
Es sollte auf jeden Fall eine technische Regelung zu regelmäßigen Updates der App geben. Jedes Update schließt in der Regel auch Sicherheitslücken.
Verzichten Sie auf jeden Fall darauf, sensible Inhalte wie personenbezogene Daten oder geschäftskritische Inhalte über WhatsApp zu teilen.
Im Übrigen empfehlen wir grundsätzlich anstatt WhatsApp auf alternative Messenger wie Signal oder Threema auszuweichen.
Autor: Markus Vatter, Head of Privacy & IT-Security
