Ein Dauerbrenner datenschutzrechtlicher Beratung ist die Nutzung von Messaging-Diensten. Anbieter wie Slack, Skype for Business oder natürlich auch WhatsApp werden in der Unternehmenskommunikation immer beliebter und ersetzen zunehmend die interne Kommunikation via E-Mail. Der folgende Beitrag zeigt Ihnen, welche datenschutzrechtliche Hindernisse bei der Nutzung von Messenger-Diensten bestehen und welche Lösungsmöglichkeiten die DSGVO parat hat.

 

 

Welche Messaging-Dienste gibt es?

WhatsApp hat unter den Messagingdiensten weltweit die höchste Zahl an aktiven Nutzern und ist damit der unangefochtene Platzhirsch der Messaging-Dienste. Obwohl der Dienst nur für Privatnutzer entwickelt wurde, wird WhatsApp vermehrt innerhalb von Unternehmen oder zur Kommunikation mit Kunden verwendet.

Dem gegenüber stehen sogenannte Enterprise-Messenger, also Messaging-Dienste, die speziell für die Kommunikation in Unternehmen entwickelt wurden. Diese Dienste haben ähnliche Basisfunktionalitäten, können aber auch zur Projektverwaltung und internen Terminvereinbarungen genutzt werden. Zu den gängigen Enterprise-Messaging-Diensten gehören etwa Slack und Skype for Business (ehemals Microsoft Lync).

 

Wo liegt das datenschutzrechtliche Problem?

Private Messaging-Dienste funktionieren in aller Regel nur dann, wenn Nutzer Ihre Adressbuchdaten dem jeweiligen Dienst zur Verfügung stellen. Denn nur auf diese Weise können Nutzer herausfinden, ob Sie über den gleichen Dienst kommunizieren können. Datenschutzrechtlich gesprochen werden durch den Upload der Adressbücher personenbezogene Daten durch einen Dritten (Messaging-Anbieter) „verarbeitet“. Eine solche Verarbeitung ist nach Art. 6 Abs. 1 DSGVO nur dann zulässig, wenn es hierfür eine Rechtfertigung gibt (sog. Präventives Verbot mit Erlaubnisvorbehalt). So kann die Datenverarbeitung beispielsweise zur Erfüllung eines Vertrags erforderlich sein oder aber aufgrund einer Einwilligung erfolgen. Da die Mitglieder eines Adressbuchs regelmäßig nicht zu dem Upload Ihrer Daten befragt wurden und eine Vertragserfüllung ebenfalls nicht besteht, ist die Übertragung dieser Daten in aller Regel unzulässig. Was im privaten Bereich weniger heikel ist (hier gilt das Datenschutzrecht wegen Art. 2 Abs. 2 lit. c DSGVO nicht), kann für Unternehmen durchaus ein Problem darstellen. Denn die Einholung von Einwilligungen ist gerade bei geschäftlichen Adressbüchern aufgrund der Vielzahl von Kontakten kaum realisierbar. Auch über die Interessenabwägung lässt sich der Transfer kaum rechtfertigen, da das Interesse auf Nicht-Nutzung bzw. Nicht-Verarbeitung der Telefonnummer und des Namens, dem Interesse des Messaging-Dienstes eine Kontaktliste zu erstellen überwiegen dürfte.

Im Gegensatz zu privaten Messengern, sind Enterprise-Messenger auf die Nutzung in Unternehmen ausgerichtet. Auch hier werden personenbezogene Daten der Nutzer erhoben und verarbeitet, was im Einzelfall geprüft und datenschutzrechtlich legitimiert werden muss. Der Anbieter Slack verzichtet auf einen automatisierten Upload von Adressdaten und verarbeitet E-Mail-Adresse und Namen nur dann, wenn sich ein Nutzer innerhalb des Dienstes registriert. Skype bietet hingegen eine Synchronisierung der vorhandenen Kontaktdaten an. Laut unserer Analyse ist die Funktion standardmäßig ausgeschaltet und muss vom Nutzer selbst aktiviert werden. Bei Skype können demnach Kontaktdaten ohne entsprechende Rechtsgrundlage an Server von Microsoft übermittelt werden, sofern sich der Nutzer für diese Funktion entscheidet.

 

Verarbeitung von Metadaten durch Messenger

Neben der Nutzung von Adressdaten, werden durch die Kommunikation der Teilnehmer Verhaltensdaten (Metadaten) verarbeitet. Die Dienste können ähnlich einem Telefonanbieter jederzeit nachvollziehen, welcher Teilnehmer wann mit wem kommuniziert hat. Diese Metadaten können in der Gesamtheit zur Profilbildung einzelner Nutzer herangezogen werden. WhatsApp behält sich vor, diese Informationen umfassend für eigene Zwecke verwenden zu dürfen.

Slack und Microsoft erfassen ebenfalls die Metadaten ihrer Nutzer. Slack gibt in seinen Datenschutzbestimmungen an, diese Informationen u.a. für die Untersuchung und Vermeidung von Sicherheitsproblemen und Missbrauch sowie zum Schutz seines Services zu nutzen. Microsoft gibt an die Daten u.a. zu nutzen, um seine Produkte zu aktualisieren, zu sichern und Probleme zu behandeln sowie zum Personalisieren der Produkte und zur Bereitstellung von Empfehlungen. Sofern ein Rückschluss zu einem Nutzer möglich ist, stellen auch Metadaten personenbezogene Daten im Sinne der DSGVO dar.

 

Das Instrument der Auftragsverarbeitung

Es gibt jedoch Möglichkeiten, die personenbezogene Datenverarbeitung der Messaging-Dienste zu rechtfertigen. Die Nutzung von cloudbasierten Diensten stellt häufig eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO durch den Diensteanbieter dar. In diesen Fällen werden die personenbezogenen Daten nur im Auftrag und unter Weisung des Nutzers (Auftraggeber) verarbeitet und dürfen vereinfacht gesprochen nicht zu eigenen Zwecken des Diensteanbieters (Auftragnehmer) verwendet werden. Zwischen dem Auftraggeber und dem Auftragnehmer muss hierfür ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) geschlossen werden.

Die Vereinbarung eines AV-Vertrags ist bei Enterprise-Messengern wie Slack und Skype for Business möglich, da diese Dienste auf die Nutzung durch Unternehmen ausgelegt sind. Durch die Vereinbarung ist vertraglich geregelt, dass die gespeicherten Personendaten allein im Auftrag des beauftragenden Unternehmens verarbeitet werden. Die AV-Verträge sind sowohl für Slack als auch für Skype for Business online abrufbar. Sollten diese Dienste genutzt werden, ist in jedem Fall ein solcher AV-Vertrag zu schließen.

 

Keine Auftragsverarbeitung bei WhatsApp

WhatsApp bietet eine Auftragsverarbeitung hingegen nicht an, da sich der Dienst in erster Linie an private Nutzer richtet. An dieser Einschätzung ändert auch der Dienst WhatsApp Business nichts, da auch hierzu keine eigenen Verträge angeboten werden. Dieser Dienst wird von WhatsApp insbesondere für Kleinunternehmen angeboten und soll einen effizienteren, zeitnäheren und persönlicheren Kontakt mit den Kunden fördern. Der Unterschied zum regulären WhatsApp besteht lediglich darin, dass der Dienst Unternehmensinformationen bereithält und besondere Aktionen, wie etwa Rabattaktionen, angekündigt werden können. Es handelt sich somit nur um eine Erweiterung des regulären WhatsApp-Dienstes. Der aus Datenschutzsicht problematische Upload von Kontaktdaten ist auch hier Teil der Standardfunktion und lässt sich unserer Kenntnis nach nicht innerhalb der App abschalten.

 

Mögliche Schutzmaßnahmen bei WhatsApp

Wird auf einem geschäftlich-genutzten Smartphone, welches auch privat genutzt werden darf, WhatsApp privat genutzt, so sind die geschäftlichen Kontakte stets vor Zugriffen durch WhatsApp zu schützen. Dies kann beispielsweise durch die Nutzung verschiedener Benutzerprofile geschehen, sodass ein Zugriff auf das geschäftliche Telefonbuch ausgeschlossen werden kann. Hierzu bedarf es allerdings professioneller Mobile-Device-Management-Lösungen, die mit einem hohen Kosten- und Administrationsaufwand verbunden sind.

Um Firmenkontakte vor dem Zugriff von WhatsApp zu schützen, kann aber auch die automatische Synchronisation der Outlook-Adressbuch-Kontakte zwischen beruflichem Mail-Server und Smartphone ausgeschaltet werden. So kann verhindert werden, dass geschäftliche Kontaktdaten auf dem Smartphone gespeichert werden. Dies führt allerdings zu erheblichen Komforteinbußen, wie etwa dem Fehlen der Rufnummer-Identifizierung, da ein Abgleich mit dem Adressbuch nicht mehr erfolgen kann.

 

Fazit

Für geschäftliche Zwecke und auf Geschäftshandys sollte WhatsApp aufgrund der oben aufgeführten Problematik nicht genutzt werden. Diese Ansicht teilen beispielsweise auch die Landesbeauftragte für den Datenschutz in Niedersachsen sowie das Bayerische Landesamt für Datenschutzaufsicht (TB, 2015/2016, Nr. 22.1). Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit äußerte sich kritisch gegenüber der Nutzung von WhatsApp im geschäftlichen Rahmen (TB 2017/2018, Nr. 15.2.6).

Bei der Nutzung von WhatsApp bestehen somit Haftungsrisiken für Unternehmen. Falls Mitarbeiter den Dienst eigenständig mit betrieblichen Mitteln nutzen, ist der Arbeitgeber auch in diesen Fällen datenschutzrechtlich (mit-) verantwortlich. Es sollte daher innerhalb des Unternehmens klar geregelt werden, welche Dienste für geschäftliche Kontakte genutzt werden dürfen und welche nicht.
Um sich vor den Haftungsrisiken zu schützen haben etwa Konzerne, wie der Autohersteller BMW und der Autozulieferer Continental, die Nutzung von WhatsApp auf seinen dienstlich genutzten Smartphones untersagt.

Enterprise-Dienste, wie Slack oder Skype for Business können unter der Voraussetzung genutzt werden, dass die Verarbeitung mittels Aufragsverarbeitung abgesichert wird. Wichtig ist die Beschäftigten stets über die datenschutzrechtliche Problematik zu informieren und sie für diese Themen zu sensibilisieren.

 

Autoren: Yvonne Heuer, RA David Oberbeck