Betrieblicher Datenschutz 4: Whatsapp im geschäftlichen Kontext

30. August 2024

Zur Absage eines Kundentermins oder zum Austausch über Arbeitsergebnisse erscheint es praktisch und einfach, den Messangerdienst „WhatsApp“ zu verwenden. Was für die private Nutzung alltäglich ist, sollte für Whatsapp im geschäftlichen Kontext gut überlegt sein. Ob und wie WhatsApp und die Datenschutz-Grundverordnung (DSGVO) in einen Einklang gebracht werden können ist fraglich.  

Ist die DSGVO anwendbar?  

Wenn Nutzer auf ihren privaten Geräten Nachrichten über WhatsApp verschicken, findet die DSGVO meist keine Anwendung. Denn nach Art. 2 Abs. 2 lit. c DSGVO  ist der sachliche Anwendungsbereich bei der „Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ nicht eröffnet. Allerdings kann es im geschäftlichen Rahmen regelmäßig zur Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO kommen. Die DSGVO ist demnach bei dem Versenden von Textnachrichten über WhatsApp zu geschäftlichen Zwecken zu beachten.  

WhatsApp auf dem Diensthandy  

Zunächst stellt sich die Frage, ob die Mitarbeiter auf ihren Diensthandys WhatsApp installieren sollten. Dabei stellt sich der Zugriff auf das Telefonbuch durch WhatsApp als problematisch dar. Grundsätzlich ist für die Anmeldung bei WhatsApp zumindest die Mobiltelefonnummer erforderlich. Laut WhatsApp kann der Nutzer bei der Anmeldung die im Adressbuch gespeicherten Telefonnummern zur Verfügung stellen. Wobei ein Zugriff auf die Telefonnummern nicht zwingend erforderlich ist. Sollte ein Nutzer den Zugriff gewähren, besteht dieser zu allen gespeicherten Telefonnummern. Dabei kommt es nicht darauf an, ob ein Nutzer über seine Telefonnummer tatsächlich WhatsApp verwendet.  

Für den Kontakt mit Geschäftspartnern, sollte ein Unternehmen folglich darauf achten, welcher der Partner bereits WhatsApp verwendet. Dabei ist zusätzlich an die Erfüllung der Informationspflichten nach Art. 12 Abs. 1 DSGVO zu denken. Diese könnte ein Unternehmen zumindest über seine Webseite in Form einer Datenschutzerklärung erfüllen.  

Ein weiteres Problem ergibt sich aus der möglichen Weitergabe von personenbezogenen Daten innerhalb des WhatsApp Mutterkonzerns „Meta Platforms Inc.“. Laut seiner Datenschutzerklärung ist es möglich, dass WhatsApp innerhalb des Konzerns personenbezogene Daten weitergibt. Dabei ist zu beachten, dass WhatsApp ggf. personenbezogene Daten in Länder wie die USA übermittelt. Insoweit ist es fraglich, inwiefern eine Kontrolle über den Transfer personenbezogener Daten bei der Verwendung von WhatsApp besteht. Hierzu lässt sich nach aktueller Rechtslage jedoch festahlten, dass eine Datenübermittlung in die USA durch das Data Privacy Framework sicher möglich ist.

Alternativ können Unternehmen WhatsApp Business verwenden. Im Vergleich zur Standard-Variante bietet WhatsApp Business sog. „Data Processing Terms“ an. Bei diesen handelt es sich um einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO. Insoweit ist aber zu beachten, dass auch WhatsApp Business ggf. personenbezogene Daten in Drittländer übermitteln kann.  

Fazit 

Aus datenschutzrechtlicher Sicht ist die Verwendung von WhatsApp zu geschäftlichen Zwecken kritisch zu betrachten. Aufgrund der genannten Probleme sollten Unternehmen ihre Mitarbeiter für eine zurückhaltende Verwendung von WhatsApp sensibilisieren und die Verwendung alternativer Kommunikationsdienste vorziehen.

Rückblick auf die Reihe

Teil 1 dieser Datenschutz-Basics-Reihe behandelt den Umgang mit Bewerberdaten.Teil 2 erörtert die datenschutzkonforme Arbeitszeiterfassung. Danach haben wir uns mit dem Datenschutz im Home-Office beschäftigt. Wenn ein neuer Beitrag auf unserem Blog erscheint, erfahren sie dies stets auf X.

Die Einhaltung von Datenschutzvorgaben stellt Unternehmen regelmäßig vor große Herausforderungen. Wir helfen Ihnen als externer Datenschutzbeauftragter – Fordern Sie noch heute Ihr Angebot bei uns an.