WhatsApp im Unternehmen – ist die Verwendung DSGVO konform?

Eines zu Beginn, Privatleute sind bei der Nutzung von WhatsApp nicht von der EU-Richtlinie DSGVO betroffen …

© Sara Michilin / fotolia.com

… anders sieht es jedoch bei den Unternehmen aus.

Wird der Messaging-Dienst WhatsApp auf dem Firmenhandy oder auf einem privat/dienstlich verwendeten Handy installiert, wird nach aktueller Einschätzung von Experten gegen die Datenschutz-Grundverordnung der EU, die am 25. Mai 2018, in Kraft tritt verstoßen. Der Grund liegt darin, dass WhatsApp auf alle Kontakte des Adressbuches zugreift und zwar ohne Einwilligung der betroffenen Person.

Um es auf den Punkt zu bringen: Hier sammelt ein US-amerikanischer Dienst Daten von Personen über das Telefonbuch, egal ob diese Personen WhatsApp Nutzer sind oder nicht.

Das bedeutet in der Praxis, dass wenn Sie eine neue Kunden-Telefon-Nr. auf Ihrem Handy speichern, der Kunde jedoch kein WhatsApp Nutzer ist, Sie selbst aber WhatsApp verwenden, seine Daten trotzdem von WhatsApp abgegriffen und an die USA übermittelt werden.

Ein weiteres Problem von WhatsApp ist, dass der neue Adressbuch-Kontakt für Sie bei WhatsApp sichtbar wird, wenn der Kunde bereits Nutzer von WhatsApp ist. Nutzen Sie jetzt die Gelegenheit und kontaktieren Sie den Kunden über den Messenger WhatsApp, dann geschieht dies ohne seine Einwilligung. Diese Vorgehensweise ist ein Verstoß gegen den Datenschutz und somit nicht DSGVO konform.

Daneben erweist sich auch der Versand von Bildern über WhatsApp als Schwachstelle, denn grundsätzlich darf die Verbreitung von Bildern erst nach erfolgter Einwilligung des Fotografen erfolgen. Ein Urlaubsbild, im Urheberrechtsgesetz Lichtbild genannt, unterliegt nach dem Gesetz einem Schutz von 50 Jahren (UrhG §72). Geht es um Personenabbildungen, muss zusätzlich vor dem Versand des Bildes sichergestellt werden, dass jede abgebildete Person über die eigenen Rechte im Vorfeld informiert wird.

Ein wichtiger Hinweis für WhatsApp Nutzer, die den Account löschen oder die Rufnummer wechseln möchten:
Wie bereits in SternTV berichtet, werden bei Vergabe einer „gebrauchten“ Rufnummer an eine neue Person die Chatverläufe des Vorbesitzers nicht gelöscht, sondern gleich mit weitergereicht. So ist es dem neuen Nutzer möglich auf persönliche Daten des vorherigen Rufnummernbesitzers zuzugreifen, sie zu lesen und zu verwerten.

Wenigstens einen Pluspunkt kann WhatsApp verbuchen. Seit dem 08. März 2018 darf eine Datenübermittlung in die USA gemäß Art. 45 DSGVO erfolgen. Grundlage dafür ist, dass die EU-Kommission in einem Durchführungsakt beschließt, dass die USA ein angemessenes Datenschutznivau aufweist. Übersetzt bedeutet das, dass mit der Privacy-Shield-Zertifizierung von WhatsApp die EU-Datenschutzbestimmungen erfüllt wurden.

Gibt es aktuell Möglichkeiten WhatsApp im Unternehmen rechtssicher zu nutzen?

Kontaktierung des Kunden mit Einwilligung und Belehrung zum Widerspruchsrecht
Dem Werbeversender und Inhaber der Telefonnummer muss explizit für WhatsApp eine schriftliche Einwilligung des Werbeempfängers vorliegen, in der bestätigt wird, dass der Werbeversender über den Messenger, Werbenachrichten versenden darf. Diese Einwilligung ist aufzubewahren. Gleichzeitig muss der Werbeversender gemäß Art. 21 DSGVO zusätzlich in einer verständlichen Form auf die Möglichkeit des Widerspruchs zur Verarbeitung personenbezogener Daten hinweisen.

Einrichtung einer eigenen Rufnummer für WhatsApp und Veröffentlichung auf der Firmen Website
Eine weitere Möglichkeit über WhatsApp mit dem Kunden zu kommunizieren funktioniert folgendermaßen. Richten Sie als Werbetreibender eine eigene Rufnummer für WhatsApp ein und hinterlegen Sie diese auf Ihrer Firmen Website. Ihr Kunde/Interessent kann sich auf diesem Weg direkt über WhatsApp mit Ihnen in Verbindung setzen. Auch die Abmeldung übernimmt er eigenhändig und zwar durch Löschen der Rufnummer aus dem eigenen Telefonbuch.

Was Sie wissen müssen – nach DSGVO ist es nicht erlaubt Interessenten in einer Gruppe zusammenzuführen, um diese über die Gruppenfunktion auf Knopfdruck mit einer Werbemitteilung zu informieren. Dies liegt darin begründet, dass sich die Gruppenmitglieder untereinander sehen können und zwar mit Telefon-Nummer, Bild und Statusmitteilung.

Statt der Gruppenfunktion sollte einzig und allein die Broadcast-Gruppen-Funktion von WhatsApp genutzt werden. Hier wird zuerst eine Liste der Empfänger erstellt. Über diese Auswahl kann im Anschluss eine Mitteilung verschickt werden, ohne dass die einzelnen Empfänger Informationen über die anderen Broadcast-Listen-Mitglieder erhalten. Damit wird gewährleistet, dass der Versand anonym erfolgt.

Ist eine DSGVO konforme Nutzung von WhatsApp im Unternehmen überhaupt möglich?

Alles in Allem ist die Nutzung von WhatsApp im Business-Bereich aktuell kritisch anzusehen. Wenn überhaupt ist eine Verwendung nur im privaten Rahmen zu empfehlen. Alternativ könnte man über einen europäischen Messenger nachdenken, allerdings wird es schwierig werden, die Kunden von WhatsApp wegzubewegen und sie von einem neuen Messenger zu überzeugen. Dennoch gilt, wer nicht abgemahnt werden möchte, muss sich an die DSGVO und das BDSG neu halten!

Unser Informationsangebot ist keine Rechtsberatung!

Wir machen außerdem darauf aufmerksam, dass unser Web-Angebot lediglich dem unverbindlichen Informationszweck dient und keine Rechtsberatung im eigentlichen Sinne darstellt. Der Inhalt dieses Angebots kann und soll eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit.