WhatsApp im Unternehmen (Update 08/2020)

Warum WhatsApp für geschäftliche Kommunikation problematisch ist. Wie Sie den Messenger dennoch beruflich nutzen können und welche Alternativen es gibt.

WhatsApp: Freud und Leid liegen nah beieinander

Was Google im Suchmaschinenbereich, das ist WhatsApp bei den Messenger Apps: Ein Quasi-Monopol. Dabei ist WhatsApp ist nicht nur im Privat-Bereich sehr weit verbreitet. Auch Mitarbeiter und Inhaber vieler Firmen nutzen den Messenger Dienst für ihre geschäftliche Kommunikation... mal mehr, mal weniger offiziell. Sei es der Vertriebsmitarbeiter, der mit seinen Geschäftspartnern Termine vereinbart oder ein Handwerksbetrieb, der Fotos von Baustellen mit Kunden oder Lieferanten austauscht.

WhatsApp: Vor allem problematisch in der Geschäftskommunikation

Dabei kann das datenschutzrechtlich sehr problematisch werden. Insbesondere wenn Whatsapp inoffiziell auf dem Privathandy für berufliche Zwecke genutzt wird. So können bspw. Sicherheitslücken von der IT-Abteilung nicht geschlossen werden, um zu verhindern, dass personenbezogene Daten (oder auch Firmengeheimnisse wie Umsatzdaten etc.) von Unbefugten eingesehen werden.

Aber auch wenn WhatsApp offiziell und über das Firmenhandy genutzt wird, können sich datenschutzrechtliche Fallstricke ergeben. Denn der Messenger nutzt die Daten aus den Kontaktlisten, um weitere Verbindungen/ Vernetzungen des Benutzers mit anderen Personen zu erleichtern. Dabei werden auch Daten von Kontakten übertragen, die selber kein WhatsApp nutzen. Ist dieses Feature nicht unterbunden, gibt bspw. der Handwerker die Telefonnummern und Namen sowie ggf. weitere Daten seiner Kunden an WhatsApp weiter... zumeist ohne, dass die- oder derjenige davon weiß, geschweige denn sein Einverständnis dazu gegeben hat.

Was als Privatperson schon problematisch ist, erweist sich im Geschäftsbereich als klarer, sanktionierbarer Datenschutzverstoß. Denn nahezu jedes Unternehmen in Deutschland unterliegt der DSGVO und die sieht für solche Datenübertragungen eine Einwilligung (Art. 6 DSGVO) der betroffenen Person vor. Die dann zumeist nicht vorliegt.

Zudem teilt WhatsApp, als Teil des Facebook-Konzerns, auch Daten mit anderen Konzerntöchtern und mit der Mutter. Besonders prekär: Der Unternehmenssitz von WhatsApp liegt in den USA. Werden personenbezogene Daten dorthin übermittelt, liegt zugleich eine Datenübertragung in ein Drittland vor. Diese dürfen aber nur übertragen werden, wenn ein gleichwertiges Schutzniveau wie in der EU vorliegt (Art. 44 DSGVO). Der Europäische Gerichtshof hat für die USA ein solches angemessenes Schutzniveau verneint.

So können Sie WhatsApps dennoch nutzen

Für Unternehmen, die auf den Einsatz von WhatsApp nicht verzichten wollen, empfiehlt das Bayerische Landesamt für Datenschutzaufsicht in seinem 8. Tätigkeitsbericht folgendes:

• Keine interne Unternehmenskommunikation.
• Keine Archivierung von Nachrichtenverläufen.
• Keine automatische Speicherung von Nachrichten und Anhängen, insbesondere wenn andere Apps ebenfalls Zugriff auf den internen Speicher haben.
• WhatsApp sollte auf einem separaten Smartphone oder eine Container-Lösung genutzt werden.
• Wenn Zugriff auf die Kontakte gewährt wird, dürfen dort nur Daten von Personen gespeichert sein, die ihre Einwilligung zu einer Offenlegung ihrer Daten an WhatsApp erteilt haben.

WhatsApp darf übrigens ohne spezielle Ausnahmen generell nicht von Berufsgeheimnisträgern wie Rechtsanwälten, Steuerberatern oder Ärzten eingesetzt werden.

Empfohlene Messenger-Alternativen

Als Alternativen zu WhatsApp nennt die Aufsichtsbehörde unter anderem Threema, Hoccer und Wire:

Threema: Der Schweizer Messenger-Dienst ist mit über 8 Mio. Nutzern gegenüber dem Platzhirsch mit 2 Mrd. Nutzern eher ein Leichtgewicht. Dafür ist Threema auf Datenvermeidung ausgelegt und kann auch deshalb beim Datenschutz mächtig punkten. Selbst eine Telefonnummer oder sonstige personenbezogenen Angaben sind nicht notwendig, so dass der Datenaustausch bei Threema völlig anonym und verschlüsselt erfolgen kann.

Hoccer: Der sichere Messenger aus Deutschland wurde zwar noch 2015 von der Stiftung Warentest zum Testsieger in Sachen Datenschutz gekürt, konnte allerdings anscheinend keine relevanten Nutzerzahlen erreichen. Im Mai 2020 wurde der Betrieb eingestellt.

Wire: Der Unternehmenssitz der Messenger-App liegt ebenfalls in der Schweiz. Für eine Anmeldung genügt die Angabe einer Email-Adresse. Besonders tolles Feature: Bei Bildübertragungen kann eine Zeitspanne angegeben werden, nach der die Datei beim Empfänger automatisch gelöscht wird.

So gut der Datenschutz bei den genannten Messenger auch umgesetzt wird, ein großes Manko ist die geringe Nutzerzahl. Der Netzwerkeffekt könnte dazu führen, dass Unternehmen trotz der Datenschutzrisiken nicht auf WhatsApp verzichten, da ihre Kunden schlichtweg die anderen Messenger nicht nutzen (wollen).

Veraltete Technik als doppeltes Risiko (04/2020)

Warum aus veralteter Hard- und Software auch datenschutzrechtliche Probleme entstehen können.

Museumsreif: Diskettenlaufwerke und Floppy Discs

Man glaubt es kaum, aber es gibt tatsächlich noch Unternehmen und Behörden die mit Floppy Discs arbeiten. Doch nicht nur veraltete Hardware ist in so manchem Unternehmen vorhanden. Auch uralte Software ist oftmals noch im Einsatz, getreu dem Motto: "Never change a running system".

Was bedeutet Stand der Technik?

Doch dies kann erhebliche Probleme mit sich bringen. Nicht nur, dass veraltete Technik ein höheres Ausfallrisiko und verstärkte Sicherheitslücken aufweist. Auch datenschutzrechtlich ist die Verwendung problematisch und kann teuer werden.

Die Datenschutzgrundverordnung (DSGVO), der nahezu alle Unternehmen in Deutschland unterliegen, schreibt eindeutig in Art. 32 vor, dass geeignete technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten „unter Berücksichtigung des Stands der Technik“ zu treffen sind.

Das bedeutet für Sie, dass Ihre Hard- und Software sowie Ihre Prozesse auf einer Technik basieren, die momentan als aktuell gilt. Es gibt hier keine eindeutige, enge Definition und es kommt auch immer auf den Einzelfall an. Anhaltspunkte geben das BSI (Bundesamt für Sicherheit in der Informationstechnik) sowie der Bundesverband IT-Sicherheit e.V..

Generell müssen Sie damit rechnen, dass Hardware die 5 Jahre oder älter ist, nicht mehr dem aktuellen Stand der Technik entspricht. Im Softwarebereich sind die Lebenszyklen zumeist sogar deutlich kürzer.

Software, für die es keine Sicherheits-Updates mehr gibt, entsprechen in der Regel nicht dem Stand der Technik. Auch sollten bspw. aktuelle Verschlüsselungstechnologien und Virenscanner eingesetzt werden oder VPN bei Verbindungen von Firmennetzen. Ebenfalls zählt die SSL-Verschlüsselung der Website (https) mittlerweile zum Stand der Technik, damit Daten bspw. über ein Kontaktformular verschlüsselt übermittelt werden.

Bußgeld-Risiko

Denn werden personenbezogene Daten mit Systemen verarbeitet, die nicht dem Stand der Technik entsprechen, kann dies bereits ein Verstoß gegen die DSGVO darstellen. Allerdings sollte jetzt keine Panik entstehen, denn es gilt bei allen zu treffenden Maßnahmen stets auch die Wirtschaftlichkeit sowie Eintrittswahrscheinlichkeit und Schwere einer Datenschutzverletzung mit einzubeziehen.

Wichtiger Hinweis:

Die auf diesen Seiten angegebenen Informationen stellen keine Rechtsberatung dar.

Wissenswertes

• Auftragsverarbeitung
• Anonymisierung
• Pseudonymisierung
• TOMs
• Verantwortlicher