Die DSGVO und das WhatsApp – Problem

Wir wurden bereits mehrfach mit der Frage konfrontiert, ob der Einsatz von WhatsApp datenschutzrechtlich gedeckt ist. Leider kann man diese Frage zum derzeitigen Zeitpunkt nicht wirklich klar und rechtssicher beantworten. Auch die Datenschutzbehörde gibt bis dato dazu keine Auskunft.

Nach Ansicht einiger fachlich versierter Juristen ist der Einsatz von WhatsApp im Unternehmen nicht bedenkenlos datenschutzkonform da damit viele grundsätzliche Datenschutzbedenken einhergehen.

Wird WhatsApp auf Diensttelefonen verwendet, so werden alle Telefonnummern im Telefonbuch des Handys (dh. auch berufliche Kontakte) an die Server von WhatsApp in den USA übertragen. USA gilt in Bezug auf Datenschutz als unsicheres Drittland, da die dortigen gesetzlichen Datenschutz-Regelungen deutlich schwächer ausgelegt sind als in Österreich und der EU. Auch werden Nachrichten, die nicht unverzüglich zugestellt werden können, auf den Servern von WhatsApp bis zu 30 Tage gespeichert. Dazu zählen dann auch jegliche Informationen über das Unternehmen und die jeweiligen Geschäftsprozesse, falls diese darüber ausgetauscht werden.

Andererseits ist die Kommunikation Ende-zu-Ende-verschlüsselt und WhatsApp verfügt seit März 2018 über eine Privacy-Shield-Zertifizierung (https://www.privacyshield.gov/participant?id=a2zt0000000TSnwAAG&status=Active) die möglicherweise als Rechtsgrundlage für die Verwendung von WhatsApp  herangezogen werden kann (das EU-US Privacy-Shield Abkommen regelt den Datenschutz zwischen der EU und den USA). Die datenschutzrechtlichen Hinweise sowie Richtlinien von WhatsApp selbst sind unter dem Link https://www.whatsapp.com/legal/#key-updatesabrufbar.

Gemäß der Datenschutz-Grundverordnung (Art. 15 Abs. 3 DSGVO) haben die Betroffenen das Recht, eine Kopie der personenbezogenen Daten die Gegenstand der Verarbeitung sind, anzufordern. Sofern der Antrag darauf in elektronischer Form erfolgt ist, muss die verantwortliche Stelle die Informationen in einem gängigen elektronischen Format zur Verfügung stellen. Laut WhatsApp soll spätestens ab Mai die gesetzliche Anforderung zum Auskunftsrecht implimentiert sein.

Unserer Einschätzung nach wäre es daher wichtig zu regeln, was über WhatsApp kommuniziert werden darf: betriebsinterna, sensible oder einem Berufsgeheimnis unterliegende Daten usw. sollten nicht über WhatsApp kommuniziert werden. Erforderlich  ist hier, daß eine explizite Anweisung der Geschäftsleitung an die Mitarbeiter besteht (z.B. über die Datenschutz- und IT-Sicherheitsrichtlinien), dies nicht zu tun. Eine einfache Terminvereinbarung o.ä. sehen wir aber eher als bedenkenlos an.

Eine datenschutzrechtliche Stellungnahme durch die Behörde wäre auf jeden Fall begrüßenswert, um Rechte und Pflichten im Umgang mit Messengerdiensten klar zu definieren.