WhatsApp und die DSGVO – What’s the problem?

Messengerdienste stellen eine einfache, zumeist kostenfreie und daher sehr beliebte Kommunikationsmöglichkeit dar. Ganz oben auf der Beliebtheitsskala steht hierzulande WhatsApp. Auch für die schnelle und direkte Kommunikation mit Kunden und sonstigen Geschäftspartnern kann der Messengerdienst sehr reizvoll erscheinen. Doch WhatsApp und die DSGVO …das ist keine harmonische Kombination!

Chat-Inhalte unproblematisch

Zunächst ist zu bemerken, dass WhatsApp mit einer sog. Ende-zu-Ende-Verschlüsselung arbeitet. Das bedeutet, dass der Inhalt der ausgetauschten Nachrichten auf dem Weg zwischen Sender und Empfänger – soweit bisher bekannt – nicht eingesehen werden kann… weder vom Betreiber der App, noch von Hackern oder sonstigen Dritten. Bei der Datenübermittlung ergeben sich somit keine datenschutzrechtlichen Probleme.

Datenschutzrechtliche Probleme in Bezug auf die Chat-Inhalte können allenfalls in Kombination mit den genutzten Endgeräten auftreten. Gehen diese verloren oder werden gestohlen, können die darauf gespeicherten personenbezogenen Daten in falsche Hände gelangen. Auch durch Schadsoftware oder “sammelfreudige” Apps können Chatdaten und sonstige Inhalte auf dem Smartphone ausgelesen werden. Hier handelt es sich allerdings um allgemeine datenschutzrechtliche Probleme und nicht um spezifische Problem der Nutzung von WhatsApp. Zudem kann an dieser Stelle – etwa durch Passwortschutz, Verschlüsselung und Sicherheitssoftware – Vorsorge getroffen werden.

Die Krux: Nutzungsbedingungen von WhatsApp

Wesentlich schwerer fällt es, sich gegen die Neugier der WhatsApp Inc. zu wappnen. Diese eröffnet sich Zugriff auf verschiedene Daten über die Nutzungsbedingungen von WhatsApp. Dort findet sich nämlich u.a. folgende Regelung:

Adressbuch. Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern von WhatsApp Nutzern und anderen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten.

Mit anderen Worten: Indem man WhatsApp auf dem eigenen Gerät installiert und dabei die Nutzungsbedingungen akzeptiert, erlaubt man der WhatsApp Inc., sämtliche Kontakte regelmäßig daraus auszulesen. Wo genau diese Daten hinwandern, wozu sie verwendet und an wen sie später weitergegeben werden, bleibt dabei offen. Zudem übernimmt man laut Nutzungsbedingungen gegenüber WhatsApp selbst die Gewähr dafür, dass die Übertragung im Einklang mit geltenden Gesetzen, also auch mit dem Datenschutzrecht, erfolgt. Und genau an dieser Stelle wird es problematisch:

Die Vorgaben des Datenschutzrechts ergeben sich seit 25.05.2018 bekanntlich vorwiegend aus den Bestimmungen der europäischen Datenschutz-Grundverordnung (DSGVO): Auch unter der DSGVO gilt generell, dass jede Verarbeitung personenbezogener Daten im nicht rein privaten Bereich rechtlich nur zulässig ist, wenn eine ausdrückliche Erlaubnis besteht. Diese Erlaubnis kann zum einen in einer Einwilligung des Betroffenen bestehen. Darüber hinaus kommen auch verschiedene gesetzliche Erlaubnistatbestände in Betracht. So ist die Verarbeitung personenbezogener Daten auch ohne Einwilligung erlaubt, wenn die Verarbeitung zur Durchführung eines Vertrages mit dem Betroffenen oder zur Erfüllung einer gesetzlichen Pflicht erforderlich ist oder ein berechtigtes Interesse an der Verarbeitung besteht, dem kein gegensätzliches Interesse des Betroffenen gegenübersteht.

Als (erlaubnispflichtige) Verarbeitung gilt jedenfalls auch die Übermittlung von Daten an WhatsApp Inc. und/oder Dritte. Da diese Übermittlung in aller Regel nicht für die Durchführung eines Vertrages mit dem Betroffenen und auch nicht zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, scheiden die entsprechenden Erlaubnistatbestände aus. Jedenfalls bei allen Kontakten, die man im eigenen Smartphone gespeichert hat, die selbst aber nicht WhatsApp benutzen, kommt als rechtliche Erlaubnis wohl auch ein berechtigtes Interesse nicht in Betracht. Damit verbleibt als einzig möglicher Erlaubnistatbestand nur eine ausdrückliche Einwilligung jedes einzelnen Betroffenen.Konkret bedeutet dies, dass die Übermittlung der Kontaktdaten, die WhatsApp automatisch aus Ihrem Mobiltelefon-Adressbuch ausliest, in vielen Fällen nur dann rechtmäßig ist, wenn jede einzelne davon betroffene Person dem ausdrücklich vorab zugestimmt hat. Ob Sie WhatsApp vor diesem Hintergrund rechtskonform nutzen, dürfen Sie sich jetzt gern selbst beantworten…

Eine Möglichkeit, das geschilderte Problem zu umgehen, besteht bspw. darin, zur geschäftlichen Kommunikation per WhatsApp ein separates Smartphone zu benutzen, das ausschließlich für diesen Zweck genutzt wird und in dem lediglich Kontakte gespeichert sind, die selbst bereits WhatsApp nutzen. Praktikabel ist eine solche Handhabung allerdings nicht. Und auch sie bietet keine Garantie dafür, sämtlichen Bedenken der Datenschutz-Aufsichtsbehörden zu zerstreuen. Wer auf Nummer sicher gehen will, sollte daher davon absehen, WhatsApp für die Kunden- bzw- Patientenkommunikation zu nutzen, und auf sicherere Alternativen – bspw. SMS – zurückgreifen.

Kommentar verfassen