Kommunikation muss schnell und einfach gehen. Viele Menschen nutzen daher im Privatleben den Messenger WhatsApp. Doch können wir etwas, das sich privat bewährt hat, einfach für unser Business übernehmen? Gerade bei WhatsApp im Unternehmen und dem dahinterstehenden Konzern Meta stellen sich datenschutzrechtlich einige wichtige Fragen. Denn sobald personenbezogene Daten von Kunden, Geschäftspartnern, Mitarbeitern oder Bewerbern ins Spiel kommen, sind die Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) einzuhalten.
Inhaltsverzeichnis
WhatsApp erleichtert die direkte Kommunikation
Die Nutzung von digitalen Medien im Geschäftsleben ist inzwischen nicht mehr wegzudenken. So bietet der Messengerdienst WhatsApp nicht nur für die private Nutzung Vorteile, auch Unternehmen können von den echten Mehrwerten profitieren. Der Dienst ist kostenlos und kann unbeschränkt über Ländergrenzen hinweg genutzt werden. Er bietet darüber hinaus attraktive Funktionen zur Strukturierung von Nachrichten, Inhalten und Empfängern.
Vor allem aber hat WhatsApp einen sehr hohen Verbreitungsgrad bei Nutzern von mobilen Endgeräten (Smartphones). Daher ist der Einsatz der App für Unternehmen aller Branchen attraktiv. Die Nutzungsfälle sind mannigfaltig:
- Handwerksbetriebe lassen sich vorab Aufnahmen oder Pläne zuschicken, um Kostenvoranschläge zu machen oder Ferndiagnosen durchzuführen.
- Personalabteilungen treten unkompliziert mit Bewerbern in Kontakt.
- Versicherungen lassen sich fotodokumentierte Schadensmeldungen zusenden.
Die Kommunikation wird in jedem Fall erleichtert. Ansprechpartner im Unternehmen können wesentlich besser erreicht werden. Das ist auch für Verbraucher ein großer Vorteil in der Kommunikation mit Unternehmen.
Im Falle von Mitarbeitern kann diese Erreichbarkeit allerdings auch Nachteile haben. So können Arbeitgeber die hohe private Kommunikations-Aktivität ausnutzen, um ihre Beschäftigten Tag und Nacht für betriebliche Belange zu kontaktieren.
Private oder geschäftliche Nutzung von WhatsApp?
Ein erstes datenschutzrechtliches Problem tritt bei der Trennung von privater und beruflicher Nutzung von WhatsApp auf. Die rein private Nutzung von WhatsApp unter Freunden bzw. in der Familie fällt nicht unter den Anwendungsbereich der DSGVO. Wenn der Zweck der Kontaktierung allerdings überwiegend geschäftlich ist, finden die europäischen Datenschutzregeln Anwendung. Kompliziert wird es zudem, wenn WhatsApp auf einem dienstlichen Smarthone oder anderen Endgerät installiert bzw. genutzt wird.
So sind etwa WhatsApp-Gruppen bei vielen Mitarbeitern beliebt und werden oft genutzt, um sich in einer Abteilung auszutauschen. Das steigert die Produktivität und ist bequem für alle Beteiligten. Irrigerweise wird hierbei die private mit der geschäftlichen Kommunikation verschmolzen. Findet das Ganze dann auch noch auf Dienstgeräten statt, wird es problematisch:
- Einige große Konzerne (Deutsche Bank, BMW, Continental) haben die Nutzung von WhatsApp auf dienstlichen Handys in ihren Organisationen verboten.
- Der Landesbeauftragte für Datenschutz Baden-Württemberg hat ein WhatsApp-Verbot für die dienstliche Kommunikation von Lehrern mit Schülern sowie Erziehungsberechtigten ausgesprochen.
- Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) rät vom Einsatz der App zur geschäftlichen Mitarbeiterkommunikation grundsätzlich ab, da es in WhatsApp ein Sicherheitsrisiko für die Organisationen sieht.
Diese Beispiele zeigen, dass das Thema auch von den Aufsichtsbehörden ernst genommen wird. Für Unternehmen steht viel auf dem Spiel. Denn unter der DSGVO können für Verstöße gegen Maßnahmen zum Schutz personenbezogener Daten Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes – je nachdem, was höher ist – verhängt werden.
Datenschutzwidrige Praktiken von WhatsApp
Unter anderem sind die folgenden momentanen Praktiken von WhatsApp nicht mit dem europäischen Datenschutzrecht vereinbar:
- Alle lokal gespeicherten Kontakte des WhatsApp-Nutzers werden zum Abgleich auf Server in den USA geschickt. Eine erforderliche rechtswirksame Einwilligung jeder Kontaktperson fehlt.
- Das BayLDA beanstandet, dass Metadaten von WhatsApp in den USA verarbeitet werden. Metadaten sind alle Daten, außer dem eigentlichen Inhalt der Nachricht. Die USA sind aus Perspektive der DSGVO ein sogenannter Drittstaat, für den besondere Datenschutzgarantien erbracht werden müssen, wenn dorthin personenbezogene Daten transferiert werden sollen.
- Informationen wie Telefonnummer, Informationen zu den genutzten Geräten sowie Art und Häufigkeit der Nutzung werden an Facebook weitergegeben. Dies wird von den Datenschutzbehörden als kritisch eingestuft.
- Wer WhatsApp geschäftlich nutzen will, muss vorher eine Einwilligung einholen. WhatsApp hat kürzlich sein neues Produkt WhatsApp Business veröffentlicht, welches allerdings keine datenschutzrechtlichen Verbesserungen bringt.
Wie und wo kann WhatsApp im Unternehmen eingesetzt werden?
Dennoch kann WhatsApp unter bestimmten Voraussetzungen zumindest zur Kommunikation mit externen Geschäftspartnern genutzt werden. Auch kann Mitarbeitern der Einsatz auf Diensthandys unter Umständen erlaubt werden. In jedem Falle sollte man aber Änderungen der DSGVO, aktuelle Gerichtsurteile dazu sowie die schon länger erwartete ePrivacy Verordnung im Auge behalten. Von allem erhofft man sich für die Zukunft mehr Rechtssicherheit, Urteile wie das Aus des EU-U.S. Privacy Shields können jedoch auch Datentransfers oder -verarbeitungen von heute auf morgen unrechtmäßig machen.
WhatsApp auf Diensthandys zur privaten Nutzung
- Mitarbeiter müssen zu den jeweils ergriffenen Maßnahmen im Rahmen des Direktionsrechts dokumentiert angewiesen werden.
- Ein Mobile Device Management (MDM) kann den privaten Bereich des Handys vom geschäftlichen abgrenzen. So kann WhatsApp nicht auf geschäftliche Kontakte zugreifen und der Arbeitgeber hat keine Fehlhandlungen zu verantworten.
- Alternativ schützen zusätzliche Apps, wie Securecontact, die geschäftlichen Kontakte vor dem Zugriff von WhatsApp. Wichtig ist hierbei, dass wiederum diese Apps keine Kontakte verschicken.
- Sie können auch WhatsApp den Zugriff auf das Adressbuch untersagen, darunter leidet aber deutlich der Komfort.
WhatsApp zur Kundenkommunikation
- Wenn Kunden vorab auf Datenschutzbedenken hingewiesen werden und ihnen gleichzeitig ein alternatives sicheres Kommunikationsmedium angeboten wurde, ist eine Nutzung von WhatsApp denkbar. Das BayLDA gibt an, in diesem Fall die Nutzung von WhatsApp nicht zu beanstanden. Diese Aussage ist – besonders natürlich außerhalb Bayerns – allerdings mit Vorsicht zu genießen.
- Die Landesbeauftragte für den Datenschutz Niedersachsen bietet eine allgemein gültige Alternative an. Hierbei wird der Kunde zuerst ebenfalls über Datenschutzbedenken informiert und ein sicherer Kommunikationsweg angeboten. Weiterhin wird WhatsApp der Zugriff auf das Adressbuch verweigert (z.B. durch zusätzliche App oder Systemeinstellung).
- Wenn besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Rezepte für eine Apotheke oder Fotos von körperlichen Leiden an eine Arztpraxis) verschickt werden sollen, wird von WhatsApp gänzlich abgeraten. Da WhatsApp mehr Daten verarbeitet als für die reine Basisfunktionalität notwendig wäre, (kein Privacy by Design) und es keinerlei Zweckbeschränkungen gibt, ist dies mit dem geltenden Datenschutzrecht nicht vereinbar.
WhatsApp und Facebook bzw. Meta
WhatsApp hat in 2021 seine Datenschutzrichtlinie aktualisiert. WhatsApp gehört zum Konzern Meta (ehemals Facebook). Der Dienst Facebook existiert weiterhin, gehört aber nun, wie auch WhatsApp zu Meta. Die neuen Richtlinien müssen mit dem Update von WhatsApp auf eine neue Version aktualisiert werden.
Aus datenschutzrechtlicher Sicht hat sich damit nichts absolut Grundlegendes geändert. Man willigt nicht in neue Verarbeitungen ein. Es werden nur Geräteinformationen über die Berechtigungssteuerung abgefragt. WhatsApp begründet die sonstigen Verarbeitungen mit der Notwendigkeit der Erfüllung des Vertrags mit dem Nutzer, bestehenden rechtlichen Verpflichtungen und einem überwiegenden berechtigten Interesse.
Unter der Rechtsgrundlage des berechtigten Interesses läuft auch die Marketingkommunikation und Datenweitergabe an andere Meta-Unternehmen. Für europäische Nutzer ändert sich dabei wenig. Für diese gelten die eigenen EU-Datenschutzbedingungen (nicht die globalen). Hier heißt es:
„Keine der Informationen, die WhatsApp […] weitergibt, dürfen für die eigenen Zwecke der Facebook-Unternehmen (inzwischen „Meta“) verwendet werden.“
Im Grunde wird hier eine Auftragsverarbeitungssituation beschrieben, bei der in diesem Fall Meta auf Weisung von WhatsApp Daten verarbeitet, ohne Zweck oder Mittel selbst zu bestimmen.
Das heißt zwar nicht, dass es ausgeschlossen ist, dass Meta Daten zu eigenen Zwecken nutzt, aber zumindest bekommt es diese Daten nicht direkt. Unternehmen, die WhatsApp nutzen, können für die Kommunikation auf Drittanbietertools zurückgreifen. Unter anderem auch auf Meta. Die Verantwortung sieht WhatsApp in dem Fall allerdings beim jeweiligen Unternehmen. Dieses muss dafür Sorge tragen, die Betroffenen zu informieren und es muss eine Rechtsgrundlage für die Verarbeitung haben.
Die Business Version von WhatsApp ermöglicht es Unternehmen, einen für die Verwendung des Messengers notwendigen Auftragsverarbeitungsvertrag mit WhatsApp zu schließen. Datenschutzrechtliche Verbesserungen gegenüber der privaten Version bestehen sonst aber nicht.
Fazit: Alternative Messenger sind sinnvoller
Die Diskussionen um die Änderungen der Datenschutzrichtlinien bei WhatsApp haben bei vielen Nutzern ein bewussteres Verhalten ausgelöst. Man interessiert sich nun verstärkt für die Nutzung der Daten durch den Anbieter und schaut sich Alternativen zu WhatsApp an. Konkurrierende Messenger, die bisher nicht so weit verbreitet waren, sind inzwischen sehr in den Fokus der Aufmerksamkeit gerutscht. Einige kommen mit viel weniger personenbezogenen Daten aus, um ebenfalls eine gute Performance zu bieten.
Im Zweifelsfall sollten Unternehmen auf eben eine solche Alternative ausweichen, um mit Kunden, Geschäftspartnern, Mitarbeitern und Bewerbern zu kommunizieren. Auch die bewusste Entscheidung gegen ein datenschutztechnisch eher fragwürdiges Tool, kann Vertrauen bei denjenigen schaffen, mit denen man kommuniziert.
Auch im chinesischen Raum läuft viel über Messenger und Social Media Kanäle, insbesondere über die eigene Plattform WeChat. Lesen Sie mehr über de Strategien und Besonderheiten dieses Marktes in dem B2B-Practice-Guide und Glossarbeitrag zum Thema.
Wenn alle Datenschutzrichtlinien gewahrt sind, kann Social Media im B2B vielseitig eingesetzt werden, wie oben beschrieben. Lesen Sie sich tiefer in die Mehrwerte der schnellen Social Media Kommunikation mit Kunden und weitere Möglichkeiten der neuen Medien im neuen Whitepaper!