DSGVO: Data Breaches oder "Verletzungen des Schutzes personenbezogener Daten" – Vorbeugen ist besser als Heilen

Merkblatt für die Nutzung von "WhatsApp" in Unternehmen


03/2019

DSGVO-relevant, sehr vermutlich auch für das kommende DSG

 

Die Kommunikation über WhatsApp ist nicht nur bei Privatpersonen sehr weit verbreitet. Auch die Nutzung durch Unternehmen zur internen Kommunikation sowie zur externen Kommunikation mit Kunden und Geschäftspartnern nimmt zu. Seit Anfang des Jahres 2018 wird in Deutschland auch die Version WhatsApp Business in den App-Stores angeboten.

Diese weist gegenüber der herkömmlichen App zusätzliche Funktionen auf, es sind allerdings keine datenschutzrechtlich relevanten Unterschiede zur herkömmlichen App-Version bekannt. Vermehrt bieten zum Beispiel niedersächsische Apotheken einen Service an, bei dem Kunden rezeptpflichtige Arzneimittel über WhatsApp bestellen können. Die Apotheken bieten ihren Kunden die Möglichkeit, eine Fotografie eines Rezeptes über WhatsApp an eine Mobilfunknummer der Apotheke zu versenden. Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DSGVO) verstösst. WhatsApp ist ein Messenger, der von der WhatsApp Inc. mit Sitz in Kalifornien betrieben wird. Die Nutzer registrieren sich bei dem Dienst mit ihrer Mobilfunknummer. Anschliessend wird regelmässig das Adressbuch der Nutzer ausgelesen und es werden mindestens Namen und Mobilfunknummern an die Server von WhatsApp übermittelt. Dieser Adressbuchabgleich wird unter anderem dazu genutzt, den Nutzern anzuzeigen, welche ihrer Kontakte ebenfalls WhatsApp nutzen.

Der Abgleich wird in regelmässigen Abständen wiederholt, so das auch bei neu aufgenommenen Kontakten geprüft wird, ob sie bereits WhatsApp-Kunden sind. Dabei werden immer auch die Daten von Personen an WhatsApp übermittelt, die WhatsApp nicht nutzen. WhatsApp verlangt von seinen Nutzern, dass sie für die Rechtmässigkeit der Übermittlung an WhatsApp garantieren. Zugleich legt WhatsApp in seiner Datenschutzrichtlinie dar, dass sie Daten nutzen, um Unternehmen zu helfen, „die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu messen und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren“ und „Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern, unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.“ Ausweislich seiner Datenschutzrichtlinie behält sich WhatsApp eine umfassende Verwendung von ihnen vorliegenden Informationen vor, zum Beispiel für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen.

WhatsApp verfügt über eine Ende-zu-Ende-Verschlüsselung, sodass eine Kenntnisnahme der übermittelten Inhalte während des Übermittlungsvorgangs nur durch die Kommunikationspartner möglich ist. Es ist WhatsApp aber weiterhin möglich, zu erfassen, wer mit wem und wie oft (sogenannten Metadaten) kommuniziert.

Es ergeben sich im Wesentlichen vier datenschutzrechtliche Problemstellungen:

  1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.

  2. Die Übermittlung von personenbezogenen Daten in die USA.

  3. Die Nutzung von personenbezogenen Daten durch WhatsApp.

  4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns. Die Rechtmässigkeit des Einsatzes von WhatsApp durch Unternehmen richtet sich nach der DSGVO. Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp ist regelmässig unzulässig. Die Verantwortlichkeit für die Übermittlung von Adressbuchdaten an WhatsApp liegt bei dem jeweiligen Unternehmen, welches WhatsApp zur Kommunikation nutzt. Nach Art. 6 Abs. 1 DSGVO bedarf es für eine solche Übermittlung einer Rechtsgrundlage oder Einwilligung. Bezogen auf die Kontaktdaten von Personen, die bereits Nutzer des WhatsApp-Dienstes sind, kommt für nicht öffentliche Stellen Art. 6 Abs. 1 Buchstabe f DSGVO in Betracht.

Ein berechtigtes Interesse des Nutzers von WhatsApp für die Übermittlung der Kontaktdaten kann allenfalls in Bezug auf die bereits registrierten Nutzer des Messenger-Dienstes unterstellt werden. Selbst wenn man ein berechtigtes Interesse für die Übermittlung von Kontaktdaten an WhatsApp bejaht, wird eine Interessenabwägung zumindest dann nicht zugunsten einer Übermittlung ausgehen, wenn auch Kontaktdaten von solchen betroffenen Personen übermittelt werden, die nicht WhatsApp nutzen. So benutzen viele Betroffene gar keinen oder einen anderen Instant-Messenger-Dienst. Die Kontaktdaten dieser Personen können daher nur mit einer wirksamen Einwilligung gemäss Art. 6 Abs. 1 Buchstabe a in Verbindung mit Art. 7 und 8 DSGVO übermittelt werden. Diese wird regelmässig für die Übermittlung von Daten aus dem Adressbuch des Smartphones nicht vorliegen. Die Einholung einer Einwilligung von den betroffenen Personen ist zwar denkbar, wird aber regelmässig praktisch nicht durchführbar sein.

Verweigert nur eine Person, deren Daten im Adressbuch gespeichert sind, die Einwilligung, ist eine Übermittlung des Adressbuchs zudem nicht mehr auf der Grundlage von Einwilligungen möglich, es sei denn, der nicht einwilligende Kontakt wird zuvor aus dem Adressbuch gelöscht. Für die Funktionsfähigkeit sind diese Übermittlung an WhatsApp und der vollständige Datenabgleich aller im Adressbuch gespeicherten Kontaktdaten nicht zwingend. Dies belegen zahlreiche andere Messenger-Dienste mit alternativen Möglichkeiten der Kontaktaufnahme mit anderen Nutzern desselben Messenger-Dienstes, wie zum Beispiel über einen QR-Code. Sofern andere Messenger-Dienste das gleiche Abgleichverfahren wie WhatsApp vornehmen, löschen zumindest einige nach eigenen Angaben die nicht registrierten Kontakte unmittelbar nach dem Negativabgleich. Es ist aber erstens denkbar, dass ein Smartphone mit einem leeren Adressbuch verwendet wird. Zweitens ist es möglich, durch Einstellungen zum Beispiel in dem Android-Betriebssystem von Smartphones ab der Version 6.0 den Zugriff auf die Kontakte durch die WhatsApp-Anwendung auszuschliessen.

Insbesondere bei dieser Konfiguration des Smartphones ist allerdings die Funktionalität der Anwendung wie folgt eingeschränkt:

  • Wird WhatsApp die Berechtigung zum Zugriff auf die Kontakte nach der Installation, aber vor der ersten Anwendung, nicht erteilt, so kann der Nutzer von sich aus keine Kommunikation starten, er kann nur selbst angeschrieben werden.

  • Eine manuelle Eingabe einer Telefonnummer, die für eine Kommunikation verwendet werden soll, ist nicht möglich.

  • Sobald WhatsApp zu einem späteren Zeitpunkt die Berechtigung zum Zugriff auf die Kontakte erteilt wird, werden wiederum die Telefonnummern aus den Kontakten an WhatsApp übertragen.

Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern ist also nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich. Die Übermittlung von personenbezogenen Daten in die USA ist bei WhatsApp grundsätzlich gerechtfertigt, da WhatsApp am sogenannten Privacy Shield teilnimmt. Das Privacy Shield-Abkommen ist aktuell in Kraft und damit eine gültige Rechtsgrundlage. Auf der Grundlage von Privacy Shield hat die EU-Kommission beschlossen, dass personenbezogene Daten in die USA übermittelt werden dürfen, wenn das empfangende Unternehmen sich zertifiziert hat, d.h. vereinfacht gesagt auf die Einhaltung der Privacy Shield-Grundsätze verpflichtet hat, und auf der Webseite des U.S. Department of Commerce als aktiver Teilnehmer geführt wird. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäss Art. 45 Abs. 3 DSGVO übermittelt werden. Daher bestehen gegen die Übermittlung von personenbezogenen Daten in die USA bei der Nutzung derzeit keine Bedenken.

Die LfD Niedersachsen weist dennoch darauf hin, dass gegen die Rechtmässigkeit des Privacy Shields erhebliche Bedenken bestehen. Es besteht daher das Risiko, dass das Privacy Shield-Abkommen gerichtlich angegriffen und durch den EuGH unmittelbar für unwirksam erklärt wird. Dies ist bereits beim Vorgänger, dem sogenannten Safe-Harbor-Abkommen, passiert. Der Einsatz von WhatsApp stellt in jedem Fall einen Verstoss gegen Art. 25 Abs. 1 DSGVO dar. Danach muss der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel der Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete und angemessene technische und organisatorische Massnahmen ergreifen, um die Datenschutzgrundsätze wirksam umzusetzen.

Das bedeutet, schon bei der Auswahl der Verarbeitungsmittel muss die Wahl dahingehend getroffen werden, dass unter Verwendung des Verarbeitungsmittels die Datenschutz-Grundverordnung eingehalten werden kann. Die Auswahl von WhatsApp stellt einen Verstoss gegen diese Pflicht dar. Zum einen widerspricht die regelmässige Übermittlung von Daten aus dem Kontaktbuch dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 Buchstabe c DSGVO. WhatsApp stellt keine Möglichkeit bereit, diese Übermittlung zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren.

Zum anderen wird mit WhatsApp ein Diensteanbieter ausgewählt, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen ist. WhatsApp legt selbst in seiner Datenschutzrichtlinie dar, dass sie ihnen vorliegende Informationen zu kaum eingegrenzten Zwecken verwenden. WhatsApp und Facebook haben die Geltung der DSGVO und die damit veränderte aufsichtsbehördliche Struktur zum Anlass genommen, die Nutzungsbedingungen für den WhatsApp-Dienst zu ändern und die Übermittlung von Daten von WhatsApp an Facebook (erneut) aufzunehmen. In der Vergangenheit konnte diese Weitergabe von Daten von WhatsApp an Facebook durch eine für sofort vollziehbar erklärte Anordnung des HambBfDI, die durch Entscheidungen deutscher Gerichte bestätigt wurde, zum Schutz nationaler Nutzer unterbunden werden.

Gleichzeitig hatten auch die Europäischen Aufsichtsbehörden mit ihrer klaren Kritik dazu beigetragen, dass diese Pläne gestoppt wurden. WhatsApp und Facebook erkennen diese Untersagungsverfügung nicht mehr an, da seit der Geltung der DSGVO die irische Aufsichtsbehörde federführend für Anordnungen gegenüber diesen Unternehmen zuständig ist. Bislang ist die irische Aufsichtsbehörde trotz der Aufforderung durch den Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit (HambBfDI) nicht tätig geworden. Es ist daher davon auszugehen, dass der Datenaustausch wie in den Nutzungsbedingungen beschrieben erfolgt.

Im oben beschriebenen Beispiel des Einsatzes von WhatsApp durch Apotheken ist darüber hinaus zu berücksichtigen, dass bei der Übersendung der Fotografie des Rezepts Gesundheitsdaten und damit besondere Kategorien personenbezogener Daten gemäss Art. 9 Abs. 1 DSGVO übermittelt werden. Zwar erfolgt die Übermittlung dieser Daten durch den Betroffenen selbst, so dass insofern keine Rechtsgrundlage gemäss Art. 9 Abs. 2 DSGVO erforderlich ist. Allerdings ist die besondere Schutzbedürftigkeit der Gesundheitsdaten Art. 25 Abs. 1 DSGVO zu berücksichtigen. An die technischen und organisatorischen Massnahmen des in dieses Verfahren eingebundenen Instant-Messenger-Services sind entsprechend höhere Anforderungen zu stellen.

 

Lfd.niedersachsen.de; bow; 11.2018, 21.02.2019

https://www.lfd.niedersachsen.de/startseite/themen/wirtschaft/nutzung_von_whatsapp_im_unternehmen/merkblatt-fuer-die-nutzung-von-whatsapp-in-unternehmen-166297.html

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung
OK