Betriebliche Nutzung von WhatsApp

Im Zuge der Digitalisierung steht eine agile Kommunikation im Fokus vieler Unternehmen. Gerade im Bereich der Kommunikation mit Kunden oder Außendienstmitarbeitern kommt es darauf an, dass möglichst einfach und präzise kommuniziert werden kann. Doch ist die betriebliche Nutzung von WhatsApp datenschutzrechtlich zulässig?

Ausgangslage

Unternehmen welche WhatsApp in der Europäischen Region nutzen, beziehen diese Dienste von WhatsApp Ireland Limited. Zu beachten ist, dass jedes Unternehmen, dass WhatsApp im geschäftlichen Umfeld nutzt, zusammen mit WhatsApp Irland Mitverantwortlicher im Sinne der DSGVO und somit auch verantwortlich für sämtliche Datentransfers ist. Vor diesem Hintergrund sind aus datenschutzrechtlicher Sicht folgende Vorgänge besonders kritisch zu sehen:

  • Die Übermittlung sämtlicher Kontakte aus dem Adressbuch an WhatsApp. Dies umfasst auch Kontaktdaten der Personen, die über keinen WhatsApp-Account verfügen und somit nicht im Rahmen der AGB in die Weitergabe ihrer Daten eingewilligt haben. Dies stellt für die Unternehmen als Mitverantwortliche ein großes Problem dar, da die Weitergabe ohne die Einwilligung ohne die notwendige Rechtsgrundlage erfolgt.
  • Die grundsätzliche Übermittlung von personenbezogenen Daten in die USA ohne entsprechende Zusatzvereinbarung.
  • Die Weiterleitung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns und Dritten. Grundsätzlich ist Unternehmern zu raten, im Adressbuch des mobilen Endgerätes nur Rufnummern solcher Kunden zu speichern, die mit ihm über WhatsApp auch in Kontakt treten. Dadurch ist gewährleistet, dass alle Kontakte des Adressbuchs bereits vorab (bei Aktivierung ihrer WhatsApp-Accounts) in die App-internen Übertragungen eingewilligt haben und keine nicht autorisierten Rufnummerübermittlungen vollzogen werden.
  • Sollten auch andere Kontakte im Adressbuch gespeichert werden, ist eine entsprechende Trennung der Kontakte auf dem Firmenhandy notwendig, um die Übertragung sämtlicher Kontaktdaten ohne Erlaubnis an WhatsApp zu vermeiden. Hierfür gibt es sehr pragmatische Lösungen, wie zum Beispiel ein Mobile-Device-Management (Container-Lösung).

So kann die betriebliche Nutzung von WhatsApp DSGVO-konform umgesetzt werden

Ebenfalls gibt es eine Möglichkeit in den lokalen Einstellungen des Firmenhandys die Synchronisation zu dem Adressbuch bei WhatsApp zu unterbinden. Dies ist in dem Android-Betriebssystem von Smartphones ab der Version 6.0, möglich. Eine solche Konfiguration schränkt jedoch die Funktionalität von WhatsApp ein:

  • Wird WhatsApp die Berechtigung zum Zugriff auf die Kontakte nach der Installation, vor der ersten Anwendung, nicht erteilt, so kann der Nutzer von sich aus keine Kommunikation starten, er kann nur selbst angeschrieben werden.
  • Eine manuelle Eingabe einer Telefonnummer, die für eine Kommunikation verwendet werden soll, ist nicht möglich.

Kommunikation mit Kunden

Bei der Kommunikation mit Kunden via WhatsApp ist darüber hinaus Folgendes zu beachten:

  • Wie bei allen anderen Verarbeitungen von personenbezogenen Daten, bedarf es einer Rechtsgrundlage. Die bevorzugte Grundlage wäre die “Einwilligung des Betroffenen” (Art. 6 Abs.1 Buchst. a DSGVO), die Alternative ggf. “Berechtigtes Interesse”, d.h. Im Fall, dass die Interessen des Unternehmens im Einzelfall denjenigen des Betroffenen überwiegen (Art 6 Abs.1 Buchst. f DSGVO). Wer auf der sicheren Seite sein will, muss sich die Einwilligung des Betroffenen vor Beginn der Kommunikation einholen. Dies würde beispielsweise über eine bestehende Website gehen.
  • Ferner muss das Unternehmen seinen Informationspflichten gem. Art 13 DSGVO nachkommen und den Betroffenen in einer klaren, einfachen und verständlichen Sprache über seine Rechte – wie zum Beispiel sein Widerspruchsrecht – aufklären. Ob es ausreicht, dies bspw. auf einem anderen Kanal wie z.B. die Website zu tun ist nicht abschließend für den Fall WhatsApp geklärt. Alternativ bliebe wieder nur die manuelle Aufklärung bei erstmaliger Kontaktaufnahme via WhatsApp.
  • Unternehmen müssen personenbezogene Daten darüber hinaus löschen, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Auch diese Anforderung gestaltet sich mit den aktuell verfügbaren Methoden mit WhatsApp schwierig. Denn alle Daten müssten manuell analysiert und gelöscht werden. Dies kann nur vom jeweiligen WhatsApp Nutzer selbst (Mitarbeiter mit Smartphone) vorgenommen werden.

Gibt es eine Alternative zum klassischen WhatsApp?

Neben der klassischen App bietet WhatsApp aktuell „WhatsApp Business“ an. Diese App stellt – zumindest derzeit – leider keine ernstzunehmende Alternative dar, da die genannten datenschutzrechtlichen Probleme hier ebenso bestehen. Durch WhatsApp Business können Unternehmen die Kommunikation mit Kunden durch verschiedene Tools zur Automatisierung digitalisiert optimieren. WhatsApp Business erlaubt die gewerbliche Nutzung der App durch eine gesonderte Allgemeine Geschäftsbedingung, allerdings werden hier datenschutzrechtlich noch viele offene Lücken nicht geschlossen.

Weiterer interessanter Artikel zum Thema: Verarbeitung von Gesundheitsdaten durch Arbeitgeber – Krankmeldungen per WhatsApp