Die Aufsichtsbehörden haben bereits mehrfach darauf hingewiesen, dass der Einsatz von WhatsApp in Unternehmen zur betrieblichen Kommunikation gegen die DSGVO verstößt. Dennoch erfreut sich der Messenger-Dienst größter Beliebtheit. Zusammenfassend ergeben sich folgende Probleme beim Thema WhatsApp im Unternehmen und Datenschutz:
Upload der Kontaktdaten
Inhalte und Nachrichten werden standardmäßig über eine Ende-zu-Ende-Verschlüsselung geschützt. Das Problem liegt daher im Upload der Kontaktdaten. Diese werden nicht verschlüsselt, sondern im Klartext übermittelt. WhatsApp erhält also zumindest Rufnummer und den Namen eines jeden Kontaktes. Für die Übermittlung dieser personenbezogenen Daten an WhatsApp ist eine Rechtsgrundlage erforderlich. Eine Einwilligung der betroffen Personen wird in der Regel schon aus praktischen Erwägungen ausscheiden. Auch eine Übermittlung aufgrund des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO scheitert in aller Regel, wenn auch Kontaktdaten von Personen übermittelt werden, die nicht WhatsApp nutzen.
Nach Auffassung der Landesbeauftragten für den Datenschutz Niedersachsen ist eine Nutzung daher nur möglich, wenn ein Smartphone mit einem leeren Adressbuch verwendet wird oder ein Zugriff auf die Kontakte durch die WhatsApp-Anwendung dauerhaft ausgeschlossen werden kann. WhatsApp stellt derzeit keine Möglichkeit bereit, die Übermittlung der Kontaktdaten zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren. Dennoch lässt sich der Adressbuchupload durch verschiedene externe Apps verhindern.
WhatsApp als Auftragsverarbeiter
Umstritten ist, ob WhatsApp überhaupt als Auftragsverarbeiter einzustufen ist. Würde WhatsApp personenbezogenen Daten im Auftrag verarbeiten, müsste zusätzlich ein sogenannter Auftragsverarbeitungsvertrag mit dem Unternehmen geschlossen werden. Die übermittelten Kontaktdaten werden zumindest auch für eigene Zwecke verarbeitet, so dass WhatsApp auch als eigenständiger Verantwortlicher bzw. zumindest als gemeinsam Verantwortlicher gelten könnte. Hinsichtlich der übermittelten Inhaltsdaten gibt der Landesbeauftragter für den Datenschutz Sachsen-Anhalt zu bedenken, dass WhatsApp nicht quell-offen ist, sodass nicht ausgeschlossen werden kann, dass die Verschlüsselung der Kommunikationsinhalte auf andere Weise wieder aufgehoben werden könnte. Zur Sicherheit empfiehlt sich hier der Abschluss eines entsprechenden Vertrages mit WhatsApp, welche die Anforderungen aus Art. 28 DSGVO erfüllt.
Die Übermittlung von Daten in die USA
Die LfD Niedersachsen äußert erhebliche Bedenken in Bezug auf die Übermittlung der personenbezogenen Daten in die USA. Nach meiner Auffassung ist der Datentransfer aber gerechtfertigt, da sich WhatsApp auf die Einhaltung der der Privacy Shield-Grundsätze verpflichtet hat. Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäß Art. 45 Abs. 3 DSGVO übermittelt werden.
Unklar ist hingegen, ob und in welchem Umfang Daten zwischen WhatsApp und Facebook ausgetauscht werden. Der Verantwortliche kann daher die Betroffenen nicht umfassend und transparent über die Datenverarbeitung Informieren und mithin seinen Pflichten aus Art. 13, 14 DSGVO nachkommen.
Der Einsatz von WhatsApp im Unternehmen ist daher aktuell nicht rechtssicher. Zuletzt hatte das Amtsgericht Bad Hersfeld mit Beschluss vom 15.05.2017 (Az.: F 120/17 EASO) auf die Gefahr bei der Nutzung des Dienstes kostenpflichtig abgemahnt zu werden, hingewiesen.