Wie ernst der Datenschutz hinsichtlich der eigenen Website zu nehmen ist, hat sich nach erheblicher medialer Aufmerksamkeit in den letzten Wochen weitestgehend herumgesprochen. Deshalb möchten wir heute einen Frage beleuchten, über die wir schon letztes Jahr berichtet hatten und der wir uns gemeinsam mit unserem IT-Partner Connecting Media nochmals angenommen haben: Wie sieht es eigentlich mit dem Datenschutz bei der Verwendung von Messenger-Diensten – wie z. B. WhatsApp – aus?
Immer häufiger werden Messenger-Dienste, wie WhatsApp, nicht nur privat, sondern auch geschäftlich oder jedenfalls auf dem Diensthandy genutzt. Diese neuen Gepflogenheiten sind aus datenschutzrechtlicher Sicht nicht unproblematisch. Vor allem mit dem Inkrafttreten der neuen europäischen Datenschutzgrundverordnung ab dem 25.05.2018 müssen Unternehmen unter Umständen mit hohen Bußgeldern rechnen.
Die Nutzung von WhatsApp im Arbeitsalltag bietet gleich mehrere Fallstricke. Fakt ist: bereits zum Zeitpunkt der Installation synchronisiert WhatsApp das komplette Adressbuch, um zu schauen, wer die App bereits benutzt, und schickt dabei massenweise sensible Daten in die USA. So heißt es in den Nutzungsbedingungen von WhatsApp:
„Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontaktdaten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“
Somit liegen auch Handynummern von Personen bei der Mutterfirma Facebook, die gar kein WhatsApp verwenden. Selbst wer dies tut, hat in der Regel nie jemandem erlaubt, seine Daten in die Cloud zu schieben und WhatsApp zur Verfügung zu stellen. Dies stellt also in aller Regel einen datenschutzrechtlichen Verstoß dar.
Bei der Nutzung von WhatsApp auf dem Arbeitshandy ergeben sich jedoch noch andere Probleme: WhatsApp verbietet nämlich die gewerbliche Nutzung der App, wenn man nicht besondere Nutzerlizenzen für den Unternehmensbereich erwirbt. Die Nutzung von WhatsApp für die Kommunikation mit Kunden oder Auftragnehmern stellt dann nicht nur einen Verstoß gegen Datenschutzbestimmungen dar, sondern auch eine Vertrags- und Urheberrechtsverletzung gegenüber WhatsApp. Dies kann sehr hohe Schadensersatzforderungen von WhatsApp nach sich ziehen! Natürlich ist es nicht besonders wahrscheinlich, dass WhatsApp ein mittelständisches Unternehmen aus Baden-Württemberg in Anspruch nimmt oder gar verklagt. Aber bei Urheberrechtsverletzungen steht auch immer der Straftatbestand des § 106 UhrG (unerlaubte Verwertung urheberrechtlich geschützter Werke) im Raum.
Viel wahrscheinlicher ist, dass bei der Nutzung von WhatsApp im Unternehmen gegen Aufbewahrungspflichten nach § 257 HGB und § 147 AO oder den verpflichtenden Mindestinhalten von Geschäftsbriefen verstoßen wird. Ein nicht archivierter Chatverlauf, der sich ausschließlich auf dem Smartphone eines Mitarbeiters befindet, kann bereits zum Verhängnis werden. Und sollte ein Geschäftskontakt inklusive Vertragsschluss erstmalig über WhatsApp zustande kommen, hat der WhatsApp-Nutzer in seiner Nachricht sicher nicht die Rechtsform des Unternehmens bzw. die vertretungsberechtigten Personen und eine ladungsfähige Geschäftsanschrift aufgeführt.
Auch die sehr eingeschränkte Zugriffsmöglichkeit des Arbeitgebers auf sämtliche Messenger-Nachrichten seiner Mitarbeiter ist problematisch. Denn dies ist schlicht fast unmöglich, wenn nicht eine spezielle automatische Archivierung stattfindet, die dem Unternehmen den Zugriff ermöglicht (und wer will schon, dass der Chef immer mitliest?). Die fehlende Zugriffsmöglichkeit kann dem Arbeitgeber jedoch Probleme in Arbeitsgerichtsprozessen oder Streitigkeiten mit Geschäftspartnern bereiten.
Problematisch ist auch der Zugriff auf sämtliche Bilder bzw. wenn auf Bildern Personen oder andere personenbezogene Daten zu sehen sind. Auch diese Daten werden von WhatsApp ohne Einschränkung übermittelt – und das auch noch an ein Unternehmen eines unsicheren Drittlandes im Sinne der DSGVO. Die USA sind nämlich kein Land mit einem vergleichbaren Datenschutzniveau, weshalb diesbezüglich noch strengere Maßstäbe für die Weitergabe von Daten gelten!
Tipp für Unternehmen: Lassen Sie sich schriftlich bestätigen, dass personenbezogene Daten an Messenger-Dienste weitergegeben werden dürfen oder löschen Sie den Messenger vom Arbeits-Smartphone. Bei gewerblicher Nutzung besteht zusätzlich das urheberrechtliche Problem. Wenn Sie dieses Risiko eingehen wollen, sollten Sie auf keinen Fall Bilder mit personenbezogenen Daten (betrifft auch Fotos von Personen) verschicken, außer Sie verfügen auch diesbezüglich über eine ausdrückliche Einwilligung zur Weitergabe dieser Daten an Messenger-Dienste.
Vielen Dank für die Kooperation bei diesem Blog-Beitrag, den wir gemeinsam mit Connecting Media erstellt haben.