Der Einsatz des Messenger-Dienstes WhatsApp im Unternehmen wird immer beliebter, ist es doch ein bequemes und günstiges Kommunikationsmittel.
Jedes Unternehmen (= Verantwortlicher), das veranlasst oder zulässt, dass seine Mitarbeiter mittels WhatsApp personenbezogene Daten verarbeiten, für die das Unternehmen verantwortlich ist (z.B. Beschäftigtendaten, Kontaktdaten von Geschäftspartnern), muss sicherstellen, dass dabei die Vorgaben aus der Datenschutzgrundverordnung (DSGVO) eingehalten werden.
Wenn die Mitarbeiter den Messenger-Dienst WhatsApp über ihre dienstlichen Smartphones nutzen, wird „automatisch das lokal hinterlegte Adressbuch des [Mitarbeiters] mit ausgelesen und alle diese Kontaktdaten ungefragt“ an die WhatsApp Inc. (= Anbieter des Messenger-Dienstes) übermittelt und auf deren Servern, die sich u.a. in den USA befinden, gespeichert (vgl. Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz: Nicht-öffentlicher Bereich, 2016/2017, S. 375, abrufbar unter https://tlfdi.de/mam/tlfdi/presse/3._tb_nicht-oeff._webversion_tlfdi.pdf). Zusätzlich werden „Meta-Daten (IP-Adresse, Geräte-ID, Zeitpunkt usw.)“, die anfallen, wenn der Mitarbeiter mit seinen Kommunikationspartnern chattet, an die WhatsApp Inc. übermittelt, wobei „deren weitere Nutzung völlig unklar“ sei (vgl. Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz, a.a.O., S. 376). Auch die ausgetauschten Textnachrichten und Bilder werden vom Anbieter erhoben und gespeichert, sofern die Ende-zu-Ende-Verschlüsselung nicht genutzt wird oder werden kann.
Darüber hinaus konnte nur durch eine Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit verhindert werden, dass diese Daten an die Facebook Inc. übermittelt wurden, nachdem diese 2014 die WhatsApp Inc. übernahm (vgl. https://www.datenschutz-hamburg.de/news/detail/article/oberverwaltungsgericht-bestaetigt-verbot-des-datenaustauschs-zwischen-whatsapp-und-facebook.html?tx_ttnews%5BbackPid%5D=1&cHash=d9c26b0f5befd174c7b50a4870037136).
Möchte ein Unternehmen also den Messenger-Dienst WhatsApp einsetzen, müsste es die damit verbundenen Datenübermittlungen an Dritte (u.a. WhatsApp Inc.) sowie in Drittstaaten ohne angemessenes Datenschutzniveau (u.a. USA) absichern und die betroffenen Personen, d.h. die Mitarbeiter, die WhatsApp nutzen (müssen), deren Kommunikationspartner sowie diejenigen Personen, deren Kontaktdaten sich im Adressbuch des Smartphones des Mitarbeiters befinden, vollständig i.S.v. Art. 13, 14 DSGVO informieren.
Und das dürfte dem Unternehmen nach derzeitigem Kenntnisstand kaum möglich sein.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.