Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen nach DSGVO

Die Aufsichtsbehörde in Niedersachsen hat sich in einem Merkblatt detailiiert zur Nutzung von „WhatsApp“ in Unternehmen positioniert und stellt neben der grundsätzlichen Unzulässigkeit des Einsatzes auch technische Workarounds (bspw. Kapsellösungen) dar.

Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DSGVO) verstößt.

[…]

Es ergeben sich im Wesentlichen vier datenschutzrechtliche Problemstellungen:

  1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
  2. Die Übermittlung von personenbezogenen Daten in die USA.
  3. Die Nutzung von personenbezogenen Daten durch WhatsApp.
  4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns
[…]

Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp ist regelmäßig unzulässig. Die Verantwortlichkeit für die Übermittlung von Adressbuchdaten an WhatsApp liegt bei dem jeweiligen Unternehmen, welches WhatsApp zur Kommunikation nutzt. Nach Art. 6 Abs. 1 DSGVO bedarf es für eine solche Übermittlung einer Rechtsgrundlage oder Einwilligung. Bezogen auf die Kontaktdaten von Personen, die bereits Nutzer des WhatsApp-Dienstes sind, kommt für nicht öffentliche Stellen Art. 6 Abs. 1 Buchstabe f DSGVO in Betracht. Ein berechtigtes Interesse des Nutzers von WhatsApp für die Übermittlung der Kontaktdaten kann allenfalls in Bezug auf die bereits registrierten Nutzer des Messenger-Dienstes unterstellt werden. Selbst wenn man ein berechtigtes Interesse für die Übermittlung von Kontaktdaten an WhatsApp bejaht, wird eine Interessenabwägung zumindest dann nicht zugunsten einer Übermittlung ausgehen, wenn auch Kontaktdaten von solchen betroffenen Personen übermittelt werden, die nicht WhatsApp nutzen. So benutzen viele Betroffene gar keinen oder einen anderen Instant-Messenger-Dienst. Die Kontaktdaten dieser Personen können daher nur mit einer wirksamen Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a in Verbindung mit Art. 7 und 8 DSGVO übermittelt werden. Diese wird regelmäßig für die Übermittlung von Daten aus dem Adressbuch des Smartphones nicht vorliegen. Die Einholung einer Einwilligung von den betroffenen Personen ist zwar denkbar, wird aber regelmäßig praktisch nicht durchführbar sein. Verweigert nur eine Person, deren Daten im Adressbuch gespeichert sind, die Einwilligung, ist eine Übermittlung des Adressbuchs zudem nicht mehr auf der Grundlage von Einwilligungen möglich, es sei denn, der nicht einwilligende Kontakt wird zuvor aus dem Adressbuch gelöscht.

Zu den technischen “Workarounds” hält das LfD Niedersachsen fest:

  • Wird WhatsApp die Berechtigung zum Zugriff auf die Kontakte nach der Installation, aber vor der ersten Anwendung, nicht erteilt, so kann der Nutzer von sich aus keine Kommunikation starten, er kann nur selbst angeschrieben werden.
  • Eine manuelle Eingabe einer Telefonnummer, die für eine Kommunikation verwendet werden soll, ist nicht möglich.
  • Sobald WhatsApp zu einem späteren Zeitpunkt die Berechtigung zum Zugriff auf die Kontakte erteilt wird, werden wiederum die Telefonnummern aus den Kontakten an WhatsApp übertragen.

Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern ist also nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich: https://www.lfd.niedersachsen.de/startseite/themen/wirtschaft/nutzung_von_whatsapp_im_unternehmen/merkblatt-fuer-die-nutzung-von-whatsapp-in-unternehmen-166297.html