Datenschutzbehörde hält Nutzung von „WhatsApp“ in Unternehmen für illegal

Die Landesbeauftragte für den Datenschutz Niedersachsen hat sich in einem Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen klar positioniert: Den Messenger-Dienst im geschäftlichen Kontext, also bei Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) zu nutzen, sei illegal. Dies begründet die Behörde ausführlich. Zusammengefasst werden folgende Punkte moniert:

1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.

Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp sei regelmäßig unzulässig. Das Unternehmen verwende die Metadaten, also wer mit wem wie oft kommuniziert für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen. Im Hinblick auf Nutzer, die selbst WhatsApp nutzen, könne man sich ggf. noch auf die „berechtigten Interessen nach Art. 6 Abs. 1 f) DSGVO stützen. Eine Übermittlung gespeicherter Nummern, die nicht bei dem Dienst angemeldet sind, sei ohne informierte Einwilligung hingegen unzulässig. Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern sei nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich. Dies führt aber dazu, dass man den Dienst nicht  richtig nutzen kann.

RA Christian Solmecke: „Ich vertrete bereits seit Jahren, dass die Nutzung von WhatsApp jedenfalls durch Unternehmen illegal ist. Anlässlich eines Urteils des AG Bad Hersfeld im Jahr 2017 haben wir ausführlich über die rechtliche Problematik berichtet, die auch schon vor Geltung der DSGVO stark umstritten war.“

Hinzu käme laut Datenschutzbehörde, dass Verantwortliche durch die Übermittlung dieser Daten gegen Art. 25 Abs. 1 DSGVO verstießen, weil WhatsApp nicht garantiere, dass die Daten mit geeigneten und angemessenen technischen und organisatorischen Maßnahmen gesichert würden. Diese Anforderungen gelten umso stärker, je sensibler die übertragenen Daten sind. So sei gerade die Übermittlung von Gesundheitsdaten wegen des unzureichenden Datenschutzes durch WhatsApp unzulässig. Diese Information dürfte besonders interessant sein für das Hamburger StartUp au-schein.de, das sich hinsichtlich der Übermittlung genau dieser Gesundheitsdaten, nämlich der Fotos einer Krankenkassenkarte, auf die Verschlüsselung des Dienstes verlässt.

Schließlich werde durch die Übermittlung gegen das Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 c) DSGVO verstoßen.

2. Die Übermittlung von personenbezogenen Daten in die USA.

Die Übermittlung von personenbezogenen Daten in die USA sei bei WhatsApp grundsätzlich gerechtfertigt, da WhatsApp am sogenannten Privacy Shield teilnimmt. Aktuell sei das Privacy Shield-Abkommen mit den USA auch noch in Kraft. Es bestünden jedoch erhebliche Bedenken gegen die Rechtmäßigkeit des Privacy Shields. Es bestehe daher das Risiko, dass das Privacy Shield-Abkommen gerichtlich angegriffen und durch den EuGH unmittelbar für unwirksam erklärt wird.

3. Die Nutzung von personenbezogenen Daten durch WhatsApp.

WhatsApp sei ein Diensteanbieter, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen seien. WhatsApp lege selbst in seiner Datenschutzrichtlinie dar, dass sie ihnen vorliegende Informationen zu kaum eingegrenzten Zwecken verwenden.

4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns

Zwar informieren Facebook und WhatsApp jetzt in ihren Datenschutzerklärungen, darüber, dass Daten zwischen den Unternehmen geteilt werden. Das ändert jedoch nichts an der Rechtswidrigkeit dieses Austauschs. Damit wenden sich die Unternehmen des Konzerns sowohl gegen Entscheidungen deutscher Gerichte als auch die klare Kritik der Europäischen Aufsichtsbehörden.

Hierzu könnte Sie dieses Video unseres YouTube-Kanals wbs-law.tv interessieren: