“Hier ist eine enge Abstim­mung zwi­schen den Ver­ant­wort­li­chen, dem Daten­schutz­be­auf­trag­ten und der IT-Sicherheit für den (recht­li­chen) Erfolg zen­tral ent­schei­dend.” – Mat­thi­as Herkert

Der Messenger-Dienstanbieter Whats­App war, neben Goog­le, Face­book und Insta­gram, eines der ers­ten Unter­neh­men, gegen das nach dem 25. Mai 2018 Beschwer­de bei einer Auf­sichts­be­hör­de ein­ge­legt wurde.

Spä­tes­tens seit damals ist der Messenger-Dienst in die Kri­tik der Daten­schüt­zer und der Medi­en gerückt. Das ver­wun­dert immer­hin soweit, als die häu­figs­ten Kri­tik­punk­te wie der Daten­trans­fer an die Unter­neh­mens­zen­tra­le der Whats­App Inc. in den USA wie auch die auto­ma­ti­sche und sys­te­ma­ti­sche Syn­chro­ni­sa­ti­on aller im Mobil­de­vice des Nut­zers gespei­cher­ten Kon­tak­te mit dem Messenger-Dienst nicht erst unter der DSGVO kri­tisch zu beur­tei­len sind.

So hat etwa die Kon­fe­renz der Diö­ze­san­da­ten­schutz­be­auf­tra­gen der Katho­li­schen Kir­che Deutsch­lands bereits Anfang Mai 2017, also mehr als 12 Mona­te bevor die Euro­päi­sche Datenschutz-Grundverordnung zur Anwen­dung kam, beschlos­sen, dass die Ver­wen­dung von Messenger-Diensten  zu dienst­li­chen Zwe­cken unter­sagt sei, soweit durch die­se eine phy­si­ka­li­sche Daten­spei­che­rung außer­halb des Gebiets des EWR und der Schweiz statt­fän­de oder kei­ne Punkt-zu-Punkt-Verschlüsselung genutzt werde.

Ist damit die Nut­zung des wohl ver­brei­tets­ten Messenger-Diensts für den betrieb­li­chen Ein­satz ausgeschlossen?

Daten­über­mitt­lung an WhatsApp

Arti­kel 45 Abs. 1 S. 1 DSGVO regelt, dass eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an ein Dritt­land vor­ge­nom­men wer­den darf, wenn die Kom­mis­si­on beschlos­sen hat, dass das betref­fen­de Dritt­land ein ange­mes­se­nes Schutz­ni­veau bie­tet. Für den EU-US Pri­va­cy Shield hat die Kom­mis­si­on die Ange­mes­sen­heit des Daten­schutz­ni­veaus bereits am 12. Juli 2016 fest­ge­stellt. Da die Whats­App Inc. seit dem 3. August 2018 über eine ent­spre­chen­de Pri­va­cy Shield ver­fügt, steht soweit einem Daten­trans­fer an die Whats­App Inc. in den USA nichts ent­ge­gen. Und in dem Umfang, in dem die Diens­te des Mes­sen­gers von der Whats­App Ire­land Limi­t­ed bereit­ge­stellt wer­den, unter­liegt die Daten­über­mitt­lung ohne­hin den Anfor­de­run­gen der EU-DSGVO.

Ende-zu-Ende-Verschlüsselung bei der Nut­zung von WhatsApp

Im Wei­te­ren setzt Whats­App bereits seit Mit­te 2016 eine Ende-zu-Ende-Verschlüsselung auf Basis des Krypto-Protokolls des Open-Source-Messengers Signal ein (quell­of­fe­nes Pro­to­koll von Open Whisper Sys­tems), das inter­na­tio­nal als sicher ein­ge­stuft wird und neben Man-in-the-Middle-Attacken auch vor einem „Mit­le­sen“ des Messenger-Dienstanbieters sel­ber schützt. Zumin­dest wenn in der Pra­xis bei­de Kom­mu­ni­ka­ti­ons­part­ner aktu­el­le Ver­sio­nen des Messenger-Dienstes nut­zen, soll­te soweit die Gewähr­leis­tung eines dem Risi­ko ange­mes­se­nen Schutz­ni­veaus durch den Ein­satz ent­spre­chen­der Ver­schlüs­se­lungs­tech­no­lo­gien i.S.d. Art. 32 Abs. 1 lit. a DSGVO gege­ben sein.

Spei­che­rung von ver­sand­ter und emp­fan­ge­ner Datei­en im inter­nen Spei­cher des Device

Die Spei­che­rung ver­sand­ter und emp­fan­ge­ner Vide­os und Bil­dern im inter­nen Spei­cher des Gerä­tes (meist in der Bil­der­ga­le­rie) ist bei der Nut­zung des Diens­tes grund­sätz­lich akti­viert und kann dazu füh­ren, dass auf über den Messenger-Dienst kom­mu­ni­zier­ten Datei­en aus ande­ren Appli­ka­tio­nen (Apps) aus  zuge­grif­fen wer­den kann, wenn die­se Zugriff auf den inter­nen Spei­cher haben. Obwohl der Messenger-Dienst an die­ser Stel­le gegen den Grund­satz des Daten­schut­zes durch daten­schutz­freund­li­che Vor­ein­stel­lun­gen aus Art. 25 Abs. 2 DSGVO ver­stößt (pri­va­cy by default), lässt sich das The­ma in der betrieb­li­chen Pra­xis durch eine ent­spre­chen­de Aus­wahl in der Appli­ka­ti­on sel­ber oder im ein­ge­setz­ten Betriebs­sys­tem des Devices in den Griff bekom­men, zum Teil jedoch unter Ein­schrän­kung der Usa­bi­li­ty der Appli­ka­ti­on. Wer­den die mobi­len End­ge­rä­te im Unter­neh­men über ein Mobile-Device-Management (MDM) admi­nis­triert, kann die auto­ma­ti­sche Abla­ge von Anhän­gen bereits ein­heit­lich durch die IT-Abteilung erfolgen.

Über­mitt­lung der Kon­takt­da­ten aus dem Adress­buch an WhatsApp

Ein zen­tra­les Pro­blem bei der Ver­wen­dung von Whats­App liegt in der auto­ma­ti­schen Syn­chro­ni­sa­ti­on aller in den Kon­takt­da­ten des Gerä­tes gespei­cher­ten Infor­ma­tio­nen mit dem Messenger-Dienst und der in die­sem Zusam­men­hang erfol­gen­den Über­mitt­lung der dort gespei­cher­ten Namen und Ruf­num­mern (sowohl von WhatsApp-Nutzern wie auch von Nicht-WhatsApp-Nutzern). Da eine sol­che Über­mitt­lug auf kei­ne Rechts­grund­la­ge zu stüt­zen ist, bleibt nur der in der Pra­xis nicht umsetz­ba­re Weg der Ein­wil­li­gung aller betrof­fe­nen Kon­tak­te i.S.d. Art. 7 DSGVO. Bei Betrof­fe­nen, die das sech­zehn­te Lebens­jahr noch nicht voll­endet haben, ist hier sogar die Ein­wil­li­gung der Eltern gemäß Art. 8 DSGVO not­wen­dig. In sei­ner Daten­schutz­richt­li­nie (letz­ter Abruf am 03.12.2018) setzt Whats­App genau dies vor­aus: „Wir ver­lan­gen von jedem [..] Nut­zer und Unter­neh­men, dass sie die recht­mä­ßi­gen Rech­te besit­zen, um [..] Infor­ma­tio­nen zu erfas­sen, zu ver­wen­den und zu tei­len, bevor sie uns irgend­wel­che Infor­ma­tio­nen bereitstellen.“.

Die von eini­gen Daten­schüt­zern emp­foh­le­ne Mög­lich­keit, das Adress­buch über eine Container-Lösung oder ein Mobi­le Device Manage­ment (MDM) in einem Bereich zu betrei­ben, auf den Whats­App kei­nen Zugriff hat erscheint zumin­dest für klei­ne­re und mit­tel­stän­di­ge Unter­neh­men sowohl wegen des nicht uner­heb­li­chen Admi­nis­tra­ti­ons­auf­wands wie auch wegen den damit ver­bun­de­nen Kos­ten für eine Lösung des The­mas häu­fig nicht zielführend.

Ein wei­te­rer Lösungs­weg könn­te in der Sper­rung des Zugriffs des  Messenger-Dienstanbieters auf die Kon­tak­te des Gerä­tes sein. Wäh­rend sich die­se Ein­stel­lung in allen iOS- und zumin­dest den neue­ren Android-Versionen vor­neh­men lässt, ver­fü­gen älte­re Android-Versionen über kei­ne betriebs­sys­tem­sei­ti­ge Mög­lich­keit den Zugriff auf die im Gerät gespei­cher­ten Kon­takt­da­ten zu ver­weh­ren und müs­sen hier durch zusätz­li­che Appli­ka­tio­nen unter­stützt wer­den. Pro­ble­ma­tisch ist zudem, dass der Arbeit­ge­ber außer­halb des Ein­sat­zes von MDM-Lösungen kaum Mög­lich­kei­ten hat, die spä­te­re Akti­vie­rung der Funk­ti­on durch den Gerä­te­nut­zer (Arbeit­neh­mer) dau­er­haft zu ver­hin­dern und im Wei­te­ren die Sperr­mög­lich­keit erst nach Instal­la­ti­on der WhatsApp-Applikation mög­lich ist. Zu die­sem Zeit­punkt hat die ers­te Syn­chro­ni­sa­ti­on der Kon­takt­da­ten jedoch bereits stattgefunden.

Ein Mög­lich­keit, die zumin­dest in eini­gen Geschäfts­mo­del­len umsetz­bar sein wird, ist der völ­li­ge Ver­zicht auf die Nut­zung des Adress- / Kon­takt­bu­ches des Smart­phones, sodass eine Daten­über­mitt­lung an den Dienst­an­bie­ter man­gels dort gespei­cher­ter Daten ausscheidet.

Denk­bar ist auch eine aus­schließ­li­che Begren­zung auf die Spei­che­rung von Kon­tak­ten, bei denen der Erst­kon­takt von der Gegen­sei­te über Whats­App erfolgt ist und soweit alle per­so­nen­be­zo­ge­nen Daten beim Anbie­ter bereits ver­ar­bei­tet werden.

Whats­App als Teil des Facebook-Unternehmen

Obwohl Whats­App inzwi­schen die Wei­ter­ga­be per­so­nen­be­zo­ge­ner Daten ihrer Nut­zer an Facebook-Unternehmen offen benennt (unter ande­rem die Wei­ter­ga­be der Tele­fon­num­mer, der Gerä­te­in­for­ma­tio­nen sowie die Art und Häu­fig­keit der Nut­zung von Fea­tures), zeigt sich in den sehr offe­nen For­mu­lie­run­gen der Daten­schutz­richt­li­nie des Anbie­ters wie etwa „Der­zeit teilt Whats­App nur weni­ge Infor­ma­ti­ons­ka­te­go­rien mit den Facebook-Unternehmen“ ein wei­tes Feld an Risi­ken, wel­che die ver­ant­wort­li­che Stel­le (i.d.R. der Arbeit­ge­ber) zukünf­tig regel­mä­ßig über­wa­chen und beob­ach­ten muss.

Fazit

Eine Nut­zung des Whats­App Messenger-Dienstes ist unter der Datenschutz-Grundverordnung, auch nach der EU-US Pri­va­cy Shield-Zertifizierung des Anbie­ters, jeden­falls kri­tisch zu beur­tei­len. Soll der Mes­sen­ger betrieb­lich genutzt wer­den, muss die Nut­zung und Admi­nis­tra­ti­on des Diens­tes gut geplant und sys­te­ma­tisch über­wacht wer­den. Ins­be­son­de­re mit Blick auf die Syn­chro­ni­sa­ti­on aller Adress­kon­tak­te kommt kein Unter­neh­men um eine ent­spre­chen­de Pla­nung der „Rah­men­be­din­gun­gen und Restrik­tio­nen“ her­um. Hier ist eine enge Abstim­mung zwi­schen den Ver­ant­wort­li­chen, dem Daten­schutz­be­auf­trag­ten und der IT-Sicherheit für den (recht­li­chen) Erfolg zen­tral entscheidend.

Unab­hän­gig von der Lösung der daten­schutz­recht­li­chen The­men sei, glei­cher­ma­ßen abschlie­ßend wie bei­läu­fig, aus der Nut­zungs­be­din­gun­gen der Whats­App Inc. das Ver­bot der gewerb­li­chen Nut­zung des Diens­tes zitiert (letz­ter Abruf am 03.12.2018): „Du wirst unse­re Diens­te nicht auf eine Art und Wei­se nut­zen (bzw. ande­ren bei der Nut­zung hel­fen), die […] eine nicht-private Nut­zung unse­rer Diens­te beinhal­tet, es sei denn, dies wur­de von uns genehmigt.“.