WhatsApp nutzen – DSGVO-konform
Die DSGVO-konforme Nutzung von Messenger-Diensten (z.B. WhatsApp) ist möglich. Das Video hierzu ist unter https://www.youtube.com/watch?v=mq2mJTRLa-s aufrufbar.
Nicht nur privat, sondern auch im Geschäftsleben haben sich Messenger-Dienste wie beispielsweise WhatsApp als ziemlich praktisch erwiesen: Besonders handwerkliche Betriebe oder Freiberufler nutzen die App gern, um mit Kunden zu kommunizieren oder beispielsweise Bilder vom Baufortschritt an die Kollegen zu schicken.
Aus datenschutzrechtlicher Sicht lauern bei der Nutzung von WhatsApp im Arbeitsalltag gleich mehrere Fallstricke: Zum einen synchronisiert die App bereits bei der Installation das komplette Adressbuch, um zu prüfen, welcher der gespeicherten Kontakte bereits WhatsApp nutzt und schickt diese Daten an Server in den USA. Dabei werden alle Daten übermittelt, also auch von Menschen, die kein WhatsApp nutzen. Nach der DSGVO ist dies als Weitergabe von personenbezogenen Daten ohne Rechtsgrundlage oder Einwilligung zu verstehen und somit ein Verstoß gegen die Verordnung.
Seit April 2016 setzt WhatsApp zwar eine Ende-zu-Ende-Verschlüsselung ein, dennoch ist nicht sicher, ob und in wieweit dadurch die Daten tatsächlich geschützt sind.
Des Weiteren gibt WhatsApp Daten an das Mutter-Unternehmen Facebook weiter. Nach eigenen Angaben trifft dies zwar nicht auf Fotos und Nachrichten zu, dafür aber beispielsweise die Telefonnummer des Nutzers, diverse Geräteinformationen und den Zeitpunkt der Registration und der letzten Nutzung des Dienstes.
Um sich aus der Zwickmühle zwischen „GEHT NICHT“ und „BRAUCHT MAN“ zu befreien ist eine Kombination aus Dokumenten, Anweisungen und IT nötig.
Kern des Vorgehens ist die Aufnahme der Verarbeitung von WhatsApp in das Verarbeitungsverzeichnis, die Ergänzung in den Richtlinien und Vereinbarungen mit den jeweiligen Kontakten.
Ergänzend sind Arbeitsanweisungen für Mitarbeiter notwendig, die den Umgang mit WhatsApp regeln. Hier ist entscheidend, dass die Anweisungen nicht nur erstellt und geschult werden, sondern durch eine strukturierte Kontrolle die langfristige Umsetzung sichergestellt wird. Die Kontrolle kann in interne Audits integriert werden, was den Vorteil einer „sauberen“ Dokumentation hat.
Inhalt der Anweisungen ist die Art der Einstellung an den Geräten, bzw. die Nutzung von ergänzenden Apps. So kann verhindert werden, dass Kontakte Dritter an WhatsApp übermittelt werden.
Da jeder Nutzer, der sich aktiv bei WhatsApp anmeldet, ein Einverständnis der Verarbeitung aktiv abgibt, hat die Kontaktperson dieser Verarbeitung zugestimmt. Dazu gehört auch die Weitergabe seiner Daten z.B. an Facebook, die Art der Verschlüsselung und der Speicherung. In der Zwischenzeit hat sich WhatsApp auch dem Privacy Shield unterworfen und damit die Bedingungen der DSGVO anerkannt.
Wichtige Daten sollten sowieso grundsätzlich nur verschlüsselt übertragen werden. Um Missbrauch zu unterbinden empfiehlt sich hier eine Ende-zu-Ende-Verschlüsselung. Diese kann die Daten sowohl auf dem Weg zwischen den Geräten als auch auf den mobilen Geräten schützen.
Fazit: Das Problem bei der Nutzung von WhatsApp ist weniger die DSGVO-konforme Nutzung als die Überwachung und dauerhafte Sicherstellung der hierfür notwendigen Voraussetzungen.