WhatsApp und der Datenschutz

Die aktuelle Entwicklung und der Einsatz von WhatsApp im Unternehmen

Inhaltsverzeichnis

Aktuelle Schlagzeilen um WhatsApp und Facebook

WhatsApp ist der beliebteste Messaging-Dienst weltweit und ermöglicht es, 24 Stunden am Tag, sieben Tage die Woche, Momente mit Freunden, Familie oder Bekannten zu teilen – und das in Echtzeit. Doch die Ankündigung der vergangenen Wochen und die Nachrichten vom Hamburger Datenschutzbeauftragten Johannes Caspar schmälern die Freude am Chat-Spaß – oder doch nicht?

Was ist passiert?

Anfang 2014 wurde WhatsApp für 19 Millionen Euro von Facebook gekauft und gehört seither neben dem Social Network Instagram zur Facebook-Familie. Im August 2016 verkündete WhatsApp nun, dass die Nutzerdaten zukünftig an die Konzernmutter Facebook weitergegeben werden. Weltweit nutzen mittlerweile über eine Milliarde Menschen den Messaging-Dienst.

Die Einführung neuer Features (zum Beispiel die Anrufbeantworter- und Zitat-Funktion sowie die WhatsApp Calls --> weitere Infos dazu hier)) und vor allem die stärkere Zusammenarbeit von WhatsApp und Facebook wurde zum Anlass genommen, die WhatsApp-Nutzungsbedingungen zu überarbeiten. Kaum hatte WhatsApp die neuen AGB und Datenschutzbestimmungen bekannt gegeben, erhitzen sich die Gemüter. Insbesondere die Klauseln, die zur Weitergabe von Nutzerdaten an Facebook berechtigen, zogen den Zorn von Nutzern und Datenschützern auf sich.

WhatsApp im Unternehmen mit Blick auf den Datenschutz
WhatsApp und die Unternehmenskommunikation: Wenn da, der Datenschutz nicht wäre...

Dabei ist es noch gar nicht so lange her, dass der WhatsApp-Chef Jan Koum auf der Digital-Life-Design Konferenz (DLD conference) in München versicherte, dass WhatsApp nicht an der Kommerzialisierung des Dienstes durch Werbeschaltungen beim Nutzer interessiert ist. Das war im Januar 2015. Nun aber kommt – quasi durch die Hintertür – die Kehrtwende: So erklärt WhatsApp in seinen neuen AGB „WhatsApp ist jetzt ein Teil der Facebook-Unternehmensgruppe“ und hält die Option bereit, dass „WhatsApp-Account-Informationen mit Facebook geteilt werden, um Erlebnisse der Nutzer mit Werbung und Produkten auf Facebook zu verbessern.“

Von August bis Ende September 2016 hatte WhatsApp seinen Nutzern die Möglichkeit eingeräumt, der Weitergaben der Nutzer-Account-Informationen an Facebook zu widersprechen. Entweder konnte das über das Entfernen eines Häkchens erfolgen oder – wenn den AGB bereits zugestimmt wurde, ohne das Häkchen zu entfernen – konnten die WhatsApp-Einstellungen noch bis zum 25. September 2016 dahingehen verändert werden, dass der Werbenutzung durch Facebook widersprochen wurde. Alle, die weder das Häkchen noch die Einstellungen bis zum 25. September 2016 geändert hatten oder sich nach dem 25. September 2016 mit einer neuen Handynummer oder Account bei WhatsApp anmelden, können sich der Weitergabe an Facebook zu Werbezwecken nicht widersetzen. In diesen Fällen ist es laut WhatsApp-AGB Facebook gestattet, die Nutzerdaten zur Werbeschaltung zu verwenden.

Aber für alle WhatsApp-Nutzer gilt gleichermaßen: Egal, ob das Häkchen zur Werbeansprache auf Facebook gesetzt wurde oder nicht, die WhatsApp-Account-Informationen eines jeden Nutzers werden dennoch für „andere Zwecke“ an Facebook gesendet. Was sich hinter „anderen Zwecken“ verbirgt, bleibt dabei nebulös. Laut WhatsApp sei beabsichtigt, Dienste und Angebote zu verbessern, insbesondere Spam und Missbrauch bekämpfen, die Infrastruktur und das Zustellsystem zu verbessern und zu verstehen, wie Nutzer die Dienste WhatsApp und Facebook nutzen.

WhatsApp und der Datenschutz: Was heißt das nun für Facebook und WhatsApp?

Kurzum: Facebook bekommt von WhatsApp schlichtweg alle Account-Informationen seiner Nutzer.

Dazu gehören üblicherweise die Handynummer, das Profilbild, der Nutzername und Nutzerstatus eines jeden WhatsApp-Users, aber auch dessen Metadaten wie zum Beispiel die Übertragungs- und Nutzungshäufigkeit. Wie WhatsApp jedoch selbst betont, bezieht sich die Weitergabe nicht auf die über WhatsApp getätigte Kommunikation mit anderen Nutzern. Nachrichten sowie Anrufe, Sprachmitteilungen und Bilder, die über WhatsApp sendet werden, sind seit April 2016 über eine Ende-zu-Ende-Verschlüsselung vor neugierigen Blicken Dritter geschützt.

Das deutsche Bundesdatenschutzgesetz (BDSG) fordert für die Speicherung, Verwendung und die Weitergabe von Daten jedoch stets eine Erlaubnis. Sie kann entweder in der Abgabe einer Einwilligungserklärung des Users oder aber einem gesetzlichen Erlaubnistatbestand bestehen. Eine ausdrückliche Einwilligung der WhatsApp-Nutzer in die Weitergabe der Accountinformationen an Facebook liegt in Fällen zu „anderen Zwecken“ jedenfalls nicht vor. Auch die „Tickbox“ bei der Abfrage zur Werbeweitergabe an Facebook wird einer wirksamen Einwilligungserklärung wohl nicht genügen können, da das Häkchen hier bereits voreingestellt war und eben nicht vom Nutzer bewusst gesetzt werden musste. Mangels wirksamer Einwilligung der WhatsApp-Nutzer in die Weitergabe ihrer Daten an Facebook, kann hier nur eine gesetzliche Erlaubnis die Speicherung und Nutzung der WhatsApp-Daten durch Facebook gestatten. Eine solche suchen wir im Gesetzeskatalog aber ebenfalls vergeblich.

Das sieht auch der Hamburger Landesdatenschutzbeauftragte Johannes Caspar so. Der Datenschützer aus dem Norden hatte am 27. September 2016 gegenüber Facebook eine Anordnung verhängt, die Facebook verbietet, Daten von WhatsApp-Nutzern zu speichern. Zusätzlich wurde dem Unternehmen auferlegt, bereits übermittelte Daten von WhatsApp zu löschen.

Es ist nicht das erste Mal, dass sich Caspar für das Recht auf informationelle Selbstbestimmung und den Datenschutz der deutschen Bevölkerung einsetzt. Bereits im Herbst 2015 ging er gegen die Klarnamenpflicht bei Facebook vor. Das zuständige Gericht wehrte damals die Anordnung des Hamburgers ab und verwies darauf, dass in diesem Fall nicht deutsches Recht anwendbar sei, sondern irisches Datenschutzrecht, da Facebook in Irland seinen EU-Sitz hat.

Hinsichtlich der neuerlichen Anordnung aus Hamburg mag das anders sein und deutsches Datenschutzrecht tatsächlich zur Anwendung kommen, denn die Facebook-Niederlassung, die insbesondere das deutschsprachige Werbegeschäft betreibt, sitzt in Hamburg. Das nationale Datenschutzrecht ist somit für den deutschen Werbebetrieb von Facebook verbindlich und dies gilt es auch von Facebook einzuhalten.

Erwartungsgemäß kündigte Facebook sofort an, die Anordnung nicht zu akzeptieren und sich gerichtlich gegen die Anordnung der Landesdatenschutzbehörde Hamburg zu wehren. Bis eine gerichtliche Entscheidung in der Sache ergeht, hat sich Facebook zunächst an die Anordnung zu halten. Möchte Facebook hohe Zwangsgelder, die von der Datenschutzbehörde Hamburg nun verhängt werden können, entgehen, darf der Internetriese bis zur finalen Klärung dieser Angelegenheit keine Daten speichern beziehungsweise verwenden. Interessant: Auch wenn WhatsApp der Stein des Anstoßes der aktuellen Auseinandersetzung war, dürfte er nicht in die Schusslinie der deutschen Datenschutzbehörden sein, da WhatsApp weder in Deutschland noch in Europa geschäftsansässig ist.

 

WhatsApp und der Datenschutz: Kann ich WhatsApp dennoch guten Gewissens für meine Unternehmenskommunikation nutzen?

Immer häufiger nutzen auch Unternehmen Messaging-Dienste wie WhatsApp zur Kommunikation mit dem Kunden oder mit Mitarbeitern. Ein prominentes Beispiel: Während des Ver.di-Streiks, informierte der Hamburger Flughafen die Fluggäste via WhatsApp über die aktuellen Wartezeiten beim Check-in, Abflugzeiten und andere relevante Neuigkeiten.

WhatsApp und die Unternehmenskommunikation: Keine vertragliche Gestattung zur gewerblichen Nutzung

Immer mehr Unternehmen nutzen WhatsApp zur Kommunikation mit Kunden
Immer mehr Unternehmen nutzen WhatsApp zur Kommunikation mit Kunden. | © www.internetworld.de | © www.journalisten-tools.de

Die Allgemeinen Geschäftsbedingungen von WhatsApp (sowohl jene, die vor und nach dem August 2016 gültig waren und sind), sehen grundsätzlich keine kommerzielle Nutzung des Messaging Dienstes vor. Folgt man den AGB von WhatsApp, ist nur eine private Nutzung des Dienstes gestattet. Eine „nicht-private Nutzung der Dienste“ ist nicht erlaubt, sofern diese nicht im Vorfeld von WhatsApp genehmigt wurde. Strenggenommen müssten die Unternehmen, die den Messenger zum Kundenservice oder als Werbekanal einsetzen, diese Nutzung durch WhatsApp absegnen lassen. Dass das in der Praxis geschieht, ist uns bisher nicht bekannt.

Im Gegensatz zu den noch bis August 2016 geltenden AGB, schließen die aktuellen Nutzungsbedienungen die Verwendung von WhatsApp zu Werbezwecken oder anderen Arten unternehmensbezogener Kommunikation nicht mehr ausdrücklich aus. Dieser Umschwung stützt die zu Beginn des Jahres bekannt gewordenen Bemühungen, dass WhatsApp bereits am kommerziellen Einsatz von WhatsApp in Unternehmen arbeitet. Aktuell haben gewerbliche WhatsApp-Nutzer somit also nur mit wenig Gegenwind von WhatsApp zu rechnen.

WhatsApp zur Unternehmenskommunikation: Vorsicht ist puncto Datenschutz geboten

Ganz gleich, ob zur internen oder externen Unternehmenskommunikation, WhatsApp ist und bleibt trotz der seit April 2016 implementierten Vollverschlüsselung von Nachrichten, Bildern, Anrufen, Videos und Sprachnachrichten datenschutzrechtlich bedenklich.

Dazu trägt insbesondere der Umstand bei, dass die Server von WhatsApp im amerikanischen Kalifornien stehen. Nicht nur die Daten, die über WhatsApp versendet werden, sondern bereits die eigene Telefonnummer, die zur Anmeldung bei WhatsApp nötig ist, aber auch alle Kontakte im Telefonbuch eines WhatsApp-Nutzers, landen somit auf dem US-amerikanischen Server. Nur so kann WhatsApp einordnen, ob es sich bei den Handynummern bereits um WhatsApp-Kontakte handelt oder eben nicht. Datenschutzrechtlich handelt es sich auch hierbei um Datenübermittlungen in die USA, die nach dem deutschen Bundesdatenschutzgesetz erlaubnisbedürftig sind. Da eine gesetzliche Erlaubnisnorm zu Rechtfertigung des Einsatzes von WhatsApp im Unternehmen wohl ausscheiden dürfte, kann sich ein Unternehmen, das den Messenger im Unternehmen extern oder intern einsetzen möchte, wohl nur darauf stützen, dass seine Telefonkontakte in die Übermittlung in die US-amerikanische Unternehmenszentrale von WhatsApp eingewilligt haben. Dies ist aber bei Kontakten, die zwar im Adressbuch des mobilen Endgeräts (Smartphone, Tablet etc.) gespeichert sind, aber keinen WhatsApp-Account haben, eben gerade nicht der Fall.

 

 

Unternehmenskommunikation via WhatsApp: Broadcastfunktion statt Gruppenchat

WhatsApp ermöglicht auf unterschiedlichen Wegen, eine Vielzahl von Empfängern anzuschreiben, insbesondere via Gruppenchat- oder Broadcast-Funktion.

Zur Wahrung der Interessen jedes Einzelnen, dass, weder Profilbild, noch Profilname, noch Profilstatus oder Telefonnummer im Rahmen eines Gruppenchats preisgegeben werden, sollte in der externen Unternehmenskommunikation die Broadcast-Funktion der Gruppenchat-Funktion vorgezogen werden.

Wählt man die Option „Broadcast“, können sogar bis zu 255 Personen gleichzeitig mit Informationen angesprochen werden, ohne dass die einzelnen Angeschriebenen, Informationen zu anderen Empfängern dieser Nachricht erhalten. Anders würde das aussehen, wenn das Unternehmen die Gruppenchatfunktion nutzt. Die Gruppenchatfunktion ermöglicht meist ungewollt – und im Regelfall ohne die Einwilligung der jeweiligen Person –, dass alle Teilnehmer des Gruppenchats, Angaben wie den WhatsApp-Status, -bild und –namen sowie Handynummer aller Gruppenteilnehmer sehen können. Dies verstößt gegen geltendes Datenschutzrecht und verletzt im Zweifel das allgemeine Persönlichkeitsrecht des einzelnen WhatsApp-Nutzers.

 

 

Fazit

Wer WhatsApp im Unternehmen nutzt, geht mit der Zeit und bietet sowohl Kunden als auch Mitarbeitern die Möglichkeit, schnell und unkompliziert zu kommunizieren. Allerdings bewegen sich Unternehmen aktuell noch in einer rechtlichen Grauzone. Dies könnte sich ändern, wenn die Facebook-Tochter WhatsApp „WhatsApp for Business“ startet und im Zuge dessen, auch eine kommerzielle Nutzung offiziell gestattet. In datenschutzrechtlicher Hinsicht bleibt WhatsApp trotz großer Milestones, wie unter anderem der Implementierung der end-to-end-Verschlüsselung, aber gerade im Lichte der aktuellen Diskussionen ein „heißes Eisen“ und sollte sowohl bei der privaten als auch bei der Unternehmenskommunikation mit Vorsicht genossen werden.

Tags

Facial Recognition Unterlassung Werktitel Kundenbewertungen Consent Management data privacy Kennzeichnungskraft Haftung Produktempfehlungen Behinderungswettbewerb LG Hamburg §75f HGB informationspflichten Suchmaschinen Tipppfehlerdomain § 5 MarkenG entgeltgleichheit KUG Beacons Human Resource Management News Verlängerung FTC Einwilligung Kinderrechte Autocomplete technik Bestpreisklausel wetteronline.de Videokonferenz WLAN events Vergütung Gesetz Privacy Leipzig Online patent Kennzeichnung gender pay gap Team Internetrecht zugangsvereitelung ransom Datenportabilität Bachblüten Freelancer jahresabschluss c/o Annual Return unternehmensrecht Vertragsrecht Authentifizierung Customer Service Internet ransomware Finanzaufsicht Job Medienstaatsvertrag Schöpfungshöhe Tracking Unternehmensgründung Sicherheitslücke Adwords targeting TikTok Werbekennzeichnung kündigungsschutz Hotelvermittler Lebensmittel verlinken Journalisten Arbeitsrecht Marketing UWG Barcamp ePrivacy britain 5 UWG Abwerbeverbot Zustellbevollmächtigter Algorithmus Transparenz Boehmermann Ruby on Rails Content-Klau Crowdfunding Markeneintragung technology Europa Compliance Prozessrecht Referendar Apps Presse E-Mail-Marketing Markenrecht 3 UWG Kritik Team Spirit Bots Sperrabrede Education § 4 UWG E-Mobilität Geschäftsanschrift Recht Kreditkarten gdpr Phishing Vergütungsmodelle JointControl Fotografen CNIL EC-Karten Midijob kinderfotos BDSG LinkedIn veröffentlichung Newsletter selbstanlageverfahren Onlineplattform Gastronomie Alexa Datenschutzbeauftragter 2014 Hack schule Selbstverständlichkeiten Persönlichkeitsrecht Medienrecht Exklusivitätsklausel Jugendschutzfilter data Anmeldung Bewertung Identitätsdiebstahl Großbritannien Stellenangebot EuGH Single Sign-On Travel Industry Informationspflicht Kunsturhebergesetz Türkisch Auftragsdatenverarbeitung Datenpanne Gäste Gepäck SSO email marketing Bildrechte PPC Lohnfortzahlung Kundenbewertung Voice Assistant Kinder Dokumentationspflicht Flugzeug Unlauterer Wettbewerb Namensrecht Meinungsfreiheit Wettbewerb messenger Konferenz privacy shield Datenschutzerklärung Machine Learning Onlineshop ecommerce transparenzregister custom audience Schadensfall Aufsichtsbehörden drohnen Microsoft Heilkunde handel IT-Sicherheit Suchmaschinenbetreiber Data Protection Datenschutzrecht Löschung Hotels Pressekodex Erschöpfungsgrundsatz Stellenausschreibung informationstechnologie Gegendarstellung vertrag Verpackungsgesetz Arbeitsvertrag Home-Office ReFa gezielte Behinderung Wettbewerbsrecht total buy out Sponsoren Kundendaten Artificial Intelligence

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2024, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: