WhatsApp im Unternehmen
Wie sieht die rechtskonforme Nutzung aus?
Messenger-Dienste erfreuen sich größter Beliebtheit. So nutzten bereits im Juli 2017 weltweit 1,3 Milliarden Nutzer täglich WhatsApp. Sie verschickten dabei pro Tag 55 Milliarden Nachrichten, 4,5 Milliarden Fotos und eine Milliarde Videos[1]. Die unkomplizierte Nutzung dieser Mitteilungsdienste wie auch die Möglichkeit, Medieninhalte nahezu jeder Größe und Art schnell an Kontakte übertragen und dabei möglicherweise sogar noch verfolgen zu können, ob die jeweilige Nachricht gelesen wurde, verleitet natürlich dazu, solche einfachen Kommunikationswege auch im geschäftlichen Umfeld einzusetzen.
Doch ist das rechtlich überhaupt zulässig?
Um diese Frage zu beantworten, muss man zunächst den grundlegenden technischen Hintergrund solcher Anwendungen kennen. Hierüber klärt beispielsweise WhatsApp in seinen Datenschutzbestimmungen[2] auf. Dort heißt es vielsagend:
„Um einen WhatsApp Account zu erstellen, gibst du deine Mobiltelefonnummer und grundlegende Informationen (einschließlich eines Profilnamens) an. Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten“.
Um also WhatsApp überhaupt nutzen zu können, ist es notwendig, nicht nur die eigene Handynummer an WhatsApp – das ja seit dem Jahr 2014 zum Facebook-Konzern gehört – zu übermitteln, sondern sämtliche Telefonnummern, die im Adressbuch des jeweiligen Nutzers gespeichert sind. Da es sich aber auch bei einer Telefonnummer um ein personenbezogenes Datum handelt, wird klar, dass hier das Datenschutzrecht greift und somit vor allem die Datenschutzgrundverordnung, Art. 4 Nr. 1 DSGVO.
Nach Art. 2 Abs. 2 lit. c) findet die DSGVO nur dann keine Anwendung, wenn es zur Nutzung durch natürliche Personen zur Ausübung ausschließlich (!) persönlicher oder familiärer Tätigkeiten kommt. Umgekehrt bedeutet dies, dass bei einem betrieblichen Einsatz die Vorschriften der DSGVO vollumfänglich zu berücksichtigen sind. Dies gilt übrigens auch bei einer gemischten Nutzung, wenn also das Privathandy – und sei es nur gelegentlich – auch für berufliche Zwecke zur Anwendung kommt.
Dies wiederum hat zur Folge, dass eine Weitergabe jeder einzelnen Telefonnummer im Adressbuch des WhatsApp-Nutzers nur nach der vorherigen Einwilligung des gespeicherten Kontakts zulässig ist, Art. 6 Abs. II lit. a) DSGVO, wobei sich diese Einwilligung dann auch noch konkret auf den jeweiligen Zweck zu erstrecken hat; kurz: jeder einzelne Kontakt im Adressbuch des (auch) betrieblich genutzten Handys muss vorher ausdrücklich der Weitergabe seiner Telefonnummer an WhatsApp zustimmen. Die Voraussetzungen, unter denen eine Einwilligung nicht erforderlich bzw. zu vermuten ist, liegen bei dieser Weitergabe von personenbezogenen Daten an WhatsApp nicht vor.
Und selbst wenn man davon ausgehen würde, dass diejenigen Kontakte, die bereits Kunde bei WhatsApp sind, eine solche Einwilligung durch die Zustimmung zu den Datenschutzbestimmungen von WhatsApp erteilt haben, bleiben immer noch die restlichen Kontakte übrig, die WhatsApp nicht nutzen. Und nachdem WhatsApp eben nicht danach unterscheidet, ob ein Kontakt im Adressbuch des Nutzers selbst bereits WhatsApp nutzt bzw. diese Prüfung erst nach einer Übermittlung der Telefonnummer an WhatsApp erfolgen kann, führt kein Weg daran vorbei, im Falle einer (auch) betrieblichen Nutzung von WhatsApp die vorherige Einwilligung sämtlicher Kontakte im Adressbuch einzuholen.
Sollte darüber hinaus auch noch ein Zugriff auf Kundendaten erfolgen und diese über WhatsApp an Dritte übertragen werden – etwa für die Bearbeitung einer Serviceanfrage – liegt eine sogenannte Auftragsdatenverarbeitung vor. Diese wiederum ist rechtlich nur zulässig, wenn dazu ein gesonderter Vertrag mit dem Dritten geschlossen wird, Art. 28 DSGVO. Hierdurch soll sichergestellt werden, dass das hohe Datenschutzniveau auch dann erhalten bleibt, wenn dritte Personen solche personenbezogenen Daten erhalten oder auch nur die Möglichkeit besteht, dass sie auf diese Zugriff erhalten.
Zusammenfassend lässt sich also festhalten, dass die Nutzung von Messenger-Diensten im beruflichen Umfeld nur dann zulässig ist, wenn die vorherige Einwilligung sämtlicher Kontakte im Adressbuch des jeweiligen Nutzers speziell zu diesem Zweck vorliegt und gegebenenfalls darüber hinaus auch noch ein Vertrag zur Auftragsdatenverarbeitung geschlossen wurde.
Solange diese Voraussetzungen nicht erfüllt sind, muss von einem Einsatz derartiger Messenger-Dienste aus rechtlicher Sicht abgeraten werden.
1. Quelle: https://www.heise.de/newsticker/meldung/WhatsApp-hat-eine-Milliarde-Nutzer- taeglich-3784578.html
2. Zu finden unter: https://www.whatsapp.com/legal/#privacy-policy
Die Nutzungsrechte wurden The Property Post zur Verfügung gestellt von Wiedorfer Rechtsanwälte
Erstveröffentlichung: IT&I, Oktober 2019
