DSGVO: Ist WhatsApp auf dem Firmenhandy tatsächlich verboten?

Weitergabe personenbezogener Daten

Die Applikation ist für viele Unternehmer zu einem wichtigen Kommunikations-Werkzeug geworden. Sie dient zum Versenden von Nachrichten und zur Übermittlung von Auftragsfortschritten. Unternehmen begehen durch die Nutzung von WhatsApp – ohne sich dessen bewusst zu sein - oftmals einen bußgeldbewehrten Verstoß gegen die DSGVO. Nach der Installation von WhatsApp auf den Smartphones von Mitarbeitern verarbeitet der Messenger-Service personenbezogene Daten.

Er gleicht die Kontaktdaten auf dem Smartphone mit denen seiner Server ab. Auf diese Weise erkennt der Nutzer, welcher seiner Freunde WhatsApp nutzt. Der Abgleich der Adressbücher mit der Datenbank des Servers ist ein Datenaustausch, der einer Einwilligung aller betroffenen Nutzer bedarf.

Bußgeld in Millionenhöhe möglich 

Unternehmer benötigen deshalb in der Praxis die Erlaubnis von Mitarbeitern und Kunden. Ansonsten ist die Nutzung von WhatsApp strikt untersagt. Der Bußgeldrahmen ist hoch: Es sind Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des jeweiligen Unternehmens möglich.

WhatsApp übermittelt Daten an Facebook

Das soziale Netzwerk Facebook kaufte den Messenger WhatsApp im Jahr 2014. WhatsApp übermittelt seine gesammelten Daten seitdem an Facebook. Nach Artikel 6 der DSGVO ist die Datenweitergabe zwischen den beiden Unternehmen ohne Einwilligung der jeweiligen Nutzer allerdings verboten.

Obwohl WhatsApp ein offizielles Tochterunternehmen von Facebook ist, handelt es sich dennoch um zwei getrennte Unternehmen. Eine Ausnahme von dem Einwilligungserfordernis ist gegeben, wenn Facebook ein „berechtigtes Interesse“ an der Speicherung der Daten hat. Nach einer Entscheidung des Hamburgischen Oberverwaltungsgerichts ist ein Datentransfer zwischen den Unternehmen unzulässig.

Seit dem Inkrafttreten der DSGVO ist aber nun das Land zuständig, in dem das Messenger-Unternehmen seinen Sitz hat. Dies ist im Fall von Facebook und WhatsApp der europäische Mitgliedsstaat Irland. Die Entscheidung, ob ein Datentransfer zulässig ist, liegt nun in dessen Hand.

Interne Nutzung von WhatsApp jedoch erlaubt 

Die Nutzung von WhatsApp innerhalb von Unternehmen ist zulässig. Mitarbeiter und Teams dürfen sich jederzeit über den Messenger austauschen. Sie dürfen aber keine Kundendaten auf ihren Smartphones speichern oder solche versenden. Voraussetzung für eine Nutzung von WhatsApp in Unternehmen ist, dass die jeweiligen Mitarbeiter einem solchen Vorgehen zustimmen.

Die firmeninterne Kommunikation über WhatsApp hat noch einen anderen Haken: Es ist kein ausreichender Schutz von Betriebs- und Geschäftsgeheimnissen sowie von vertraulichen Informationen gewährleistet. Von Mitarbeitern, die ihr privates Handy beruflich nutzen, darf nicht verlangt werden, WhatsApp zu löschen.

So wird WhatsApp DSGVO-konform

Die Nutzung von WhatsApp in Unternehmen ist nach einigen Anpassungen möglich. WhatsApp lässt sich DSGVO-konform für eine berufliche Nutzung anpassen. Nutzer von iPhones sollten der App den Zugriff auf ihr Adressbuch verweigern. Dazu stellen sie den Zugriff unter „Einstellungen“ > „Datenschutz“ aus. Nutzer von Android-Betriebssystemen sind auf den Download einer zusätzlichen App angewiesen.

Ein guter Lösungsansatz sind auch Exchange-Container. Diese untersagen dem Messenger den Zugriff auf bestimmte Daten im Speicher des Smartphones. Der Zeit- und Kostenaufwand für die Implementierung solcher Exchange-Container ist aber gerade für kleinere Unternehmen sehr hoch. Wer auf Nummer sicher gehen möchte, sollte auf alternative Messenger-Dienste mit Server-Standorten in Europa ausweichen.

Server, die in Europa positioniert sind, sind DSGVO-konform ausgerichtet. Die Nutzung alternativer Messenger-Dienste ist von Vorteil: Sie funktionieren ähnlich wie WhatsApp und sind zugleich wesentlich sicherer.