Einsatz von WhatsApp auf Dienstsmartphones

Der Messenger Dienst WhatsApp ist der in Deutschland meist verbreitest Messengerdienst mit Chat bis hin zu Videofunktionen. Viele Unternehmen wollen Ihren MitarbeiterInnen die Nutzung des Messengers für private Zwecke erlauben, es ist in manchen Betriebsvereinbarungen nieder geschrieben und es soll auch vorkommen, dass Kunden mit Unternehmen über WhatsApp kommunizieren. Nun stellt sich gerade im Hintergrund der datenschutzrechtlichen Problematiken mit diesem Dienst, die Frage, wie der Einsatz auf Dienstgeräten bewertet werden muss. 

Wir beleuchten hier nicht den Einsatz von WhatsApp Business, sondern von WhatsApp, so wie dieser sehr häufig vorkommt. Vieles ist jedoch auch auf die Business Variante anzuwenden.

0. WhatsApp – Vertrag

Zunächst ist die vertragliche Verbindung zwischen Whatsapp, dem Unternehmen und auch dem MitarbeiterInnen zu beleuchten.

Vertragspartner für europäische Kunden und Privatleute ist die: WhatsApp Ireland Limited

In der Regel nutzen die MitarbeiterInnen WhatsApp zunächst privat, erst mit WhatsApp Business kommt das Unternehmen ins Spiel. Somit gilt die Vertragsbeziehung zunächst nur zwischen MitarbeiterIn und WhatsApp/Facebook. In Deutschland ist der Dienst aktuell kostenlos oder für 1 € zu erweben. 

0.1 Verträge

Folgende Links führen zu dem Vertagsbündel:

Nutzungsbedingungen: https://www.whatsapp.com/legal?eea=0#terms-of-service

Datenschutz für EU Bürger: https://www.whatsapp.com/legal?eea=0#privacy-policy

EU-US Privacy Shield: https://www.whatsapp.com/legal/#privacy-shield

IP-Policy: https://www.whatsapp.com/legal/#ip-policy

0.2 Privat? Dienstgebrauch? 

Fraglich ist nun, ob WhatsApp überhaupt gewerblich genutzt werden darf. geschäftliche Nutzung zulässig ist (§ 31 Abs. 1 Satz 1 UrhG

Rechtmäßige und zulässige Nutzung. Du darfst auf unsere Dienste nur für rechtmäßige, berechtigte und zulässige Zwecke zugreifen bzw. sie für solche nutzen. Du wirst unsere Dienste nicht auf eine Art und Weise nutzen (bzw. anderen bei der Nutzung helfen), die: (a) die Rechte von WhatsApp, unseren Nutzern oder anderen (einschließlich Datenschutz- und Veröffentlichungsrechte, Rechte am geistigen Eigentum bzw. sonstige Eigentumsrechte) verletzt, widerrechtlich verwendet oder gegen sie verstößt; (b) rechtswidrig, obszön, beleidigend, bedrohend, einschüchternd, belästigend, hasserfüllt, rassistisch oder ethnisch anstößig ist, oder zu einer Verhaltensweise anstiftet oder ermuntert, die illegal oder auf sonstige Weise unangemessen wäre, einschließlich der Verherrlichung von Gewaltverbrechen; (c) das Veröffentlichen von Unwahrheiten, Falschdarstellungen oder irreführenden Aussagen beinhaltet; (d) jemanden nachahmt; (e) das Versenden illegaler oder unzulässiger Mitteilungen wie Massennachrichten, Auto-Messaging, Auto-Dialing und dergleichen umfasst; oder (f) eine nicht-private Nutzung unserer Dienste beinhaltet, es sei denn, dies wurde von uns genehmigt.

Eine dienstliche Nutzung von WhatsApp ist damit ausgeschlossen oder es ist von WhatsApp genehmigt, wovon wir nicht ausgehen, denn dafür gibt es das Produkt WhatsApp Business. Wenn ihr nun doch die private Version im Dienstgebrauch einsetzt, dann dies zu Urheberrechtsverletzungen führen, Unterlassens- und Schadensersatzansprüche (§ 97 UrhG) auslösen oder auch Geldstrafen gemäß § 106 UrhG nach sich ziehen.

Das Risiko ist damit als hoch zu sehen, einem Einsatz ist abzuraten.

0.3 Geltung der Terms of Service?

Die Terms of Service und auch alle anderen Verträge liegen auch in deutscher Sprache vor und sollten als AGBs zu sehen sein. Diese Prüfung kann zunächst dahinstehen, in Rücksicht auf den Überblick hier und die Länge des Blogposts.

1. Arbeitsrecht & WhatsApp

Der heutige Arbeitsplatz befindet sich im Wandel, so dass heutzutage die neusten Technologien auch den MitarbeiterInnen in Ihrem Privatleben zur Verfügung stehen und diese die auch oft unbekümmert einsetzen. Dann spricht man von Schatten-IT, die nur durch bessere Angebote des Arbeitgebers nachhaltig bekämpft werden kann. Aus diesem Grund muss heutzutage ein Arbeitgeber auch einen eigenen Messenger wie Microsoft Teams anbieten. Einige wollen Ihren MitarbeiterInnen etwas Gutes tun, so dass einige auch WhatsApp auf Dienstgeräten erlauben/dulden oder die Nutzung von privaten Messengern wie WhatsApp auch für dienstliche Zwecke.

1.1 Direktionsrecht des Arbeitgebers und Nutzungsrechte

Die Nutzung eines Messengers über das Dienstgerätes ist zunächst einmal über das Direktionsrecht des §106 GewO abgedeckt. Der Arbeitgeber kann die Arbeitsmittel bestimmen, muss jedoch das Mitbestimmungsrecht des Betriebsrates beachten und auch beispielsweise datenschutzrechtliche Vorschriften. So muss die Auswahl der Arbeitsmittel sorgfältig und gerade bei Clouddienst mit äußerster Vorsicht durchgeführt werden.

Wenn jedoch die MitarbeiterInnen ihre privaten Geräte nutzten, handelt es sich direkt um Bring-Your-Own-Device (BYOD). Dabei ist die Zustimmung des Mitarbeiters einzuholen. 

Besonders gefährlich für einen Arbeitgeber wird es, wenn er bewusst oder unbewusst die Nutzung eines Messengers duldet. Dabei kann es sich dann um eine betriebliche Übung handeln. Auf diese darf der Arbeitnehmer auch ohne schriftlichen oder vorherigen Hinweis vertrauen.

Aus Sicht des Arbeitgebers ist die betriebliche Übung unter allen Umständen zu verhindern und es sollte im vorherein die private Nutzung von Dienstgeräten ausgeschlossen sein, wie auch die dienstliche Nutzung von privater Hard- und Software. Eine konkret Reglung für die Nutzung sollte immer getroffen werden und ggf. als Betriebsvereinbarung.

1.2 Kontrolle und Durchsetzung der Dienstanweisungen

Der Arbeitgeber darf stichprobenartig die Kommunikation beispielsweise durch Netzwerkscanns die Sicherheit und die Einhaltung seiner Anweisungen kontrollieren. Dies oft im Take-Notice-Take-Down Verfahren, so dass nur anlassbezogen gehandelt wird, wenn die private Nutzung des Messenger-Dienstes, z.B. WhatsApp, verboten ist. Dabei muss ein legitimer Grund vorliegen und die Kontrolle der Kommunikation das mildeste zur Verfügung stehende Mittel sein (üblich). Hierzu hatte bereits der EGMR im Urteil vom. 05.09.2017, 61496/08) entschieden, aber auch diverse andere Gerichte und der Großteil der Literatur stimmt diesem zu. Ein legitimer Grund kann zum Beispiel das Aufdecken von Straftaten sein, die z.B. gemeldet wurden.

Bei Kontrollen durch den Arbeitgeber sollte der Datenschutzbeauftragte (§ 26 Abs. 1 S.2 BDSG) und optimaler Weise auch der Betriebsrat eingebunden sein. 

1.3 Betriebsrat und Mitbestimmung

Der Betriebsrat hat ein Mitbestimmungsrecht § 87 Abs. 1 Nr. 6 BetrVG. Dieses greift auch beim Einsatz von Messengern und vor allem, wenn dies das Hauptkommunikationsmittel sein soll. Oft entscheidet der Betriebsrat, dass dies nicht sein kann und Messenger nur während der regulären Arbeitszeit zu nutzen sind.

Oft wird bei modernden Arbeitsmitteln die Betriebsvereinbarung angepasst, die dann nicht alleine, aber auch Regeln im Umgang mit Messengern im Unternehmen festlegen. (Art. 88 I DSGVO & Erw. 155, § 26 Abs. 4 DSGVO)

Üblicherweise werden Nutzungsregelungen erarbeitet und den MitarbeiterInnen zur Verfügung gestellt. Diese transparent aufklären und Do´s und Don´ts festlegen, also eine Art Leitfaden für MitarbeiterInnen gegen Urheberrechtsverstöße oder gegen Beleidigungen. 

2. Datenschutzrecht & WhatsApp

Der Datenschutz ist neben der Datensicherheit ( & Risikomanagement) das zentrale Thema. Gerade bei WhatsApp ist dieser Punkt fast einheitlich als negativ zu bewerten, da durch den Zugriff auf das Adressbuch und dessen Snyc auch Personen ohne WhatsApp und ohne vertragliche Bindung Daten an Whatsapp und Facebook senden. Schon in dem Fall mit dem Kind und seinen Eltern, wurde klar, dass man von allen eine Einwilligung benötigt und die Nutzung von WhatsApp hoch problematisch ist.

Die einheitliche Meinung ist, dass WhatsApp nicht mit dem Datenschutz vereinbar ist. Darauf folgt, dass der Messenger nicht im Unternehmen in Deutschland einsetzbar ist.

In Gesprächen mit vielen Datenschützern in Unternehmen haben 3/4 den Messenger verboten und 1/4 nur privat und nur im eigenen Container mit eigenem Adressbuch erlaubt. 

Zur Nutzung gibt es ein Hinweisblatt des Landesdatenschutz NRW: https://www.lfd.niedersachsen.de/startseite/themen/wirtschaft/nutzung_von_whatsapp_im_unternehmen/merkblatt-fuer-die-nutzung-von-whatsapp-in-unternehmen-166297.html

Dazu kommen technisch-organisatorische Maßnahmen (Auszug), die für jeden Messenger gelten sollten:

  • Auswahl des Messengers
  • end-zu-end Verschlüsselung
  • Datenschutz konform/ DSGVO konform
  • Training für MitarbeiterInnen mit kurzem Test
  • Interne Influencer und Sensibilisierung der Mitarbeiter
  • IT Risikomanagement und Gutachten
  • ggf. Datenschutzfolgenabschätzung
  • Verfahrens- und Verarbeitungsverzeichnis
  • Label / Klassifizierung von Daten
  • Messenger als Unternehmensapp mit MAM und MDM Management
  • vertraglich geprüft und alle Verträge liegen vor + sind unterzeichnet

Whatsapps hinweis:

Datenschutzrichtlinie und Nutzerdaten

WhatsApp ist deine Privatsphäre sehr wichtig. Die Datenschutzrichtlinie von WhatsApp erläutert unsere Praktiken im Hinblick auf Informationen (einschließlich Nachrichten), einschließlich der Arten von Informationen, die wir von dir erhalten und erfassen, wie wir diese Informationen verwenden und teilen, und deiner Rechte hinsichtlich der Verarbeitung von Informationen über dich. Die Datenschutzrichtlinie legt die Rechtsgrundlagen für unsere Verarbeitung von personenbezogenen Informationen über dich dar, darunter auch das Erfassen, Verwenden, Verarbeiten und Teilen solcher Informationen sowie die Übertragung und Verarbeitung solcher Informationen in die/den USA und andere/n Länder/n weltweit, wo wir Einrichtungen, Dienstleister, verbundene Unternehmen oder Partner haben bzw. einsetzen, und zwar unabhängig davon, wo du unsere Dienste nutzt.

Veranwortlicher für die Datenverarbeitung

-> WhatsApp Ireland Limited

Übertragung in die USA

Durch die Anwendung von WhatsApp wird das gesamte Adressbuch des Smartphones samt alle Namen und Adressen in die USA übertragen und dort verarbeitet.

Aktuell ist es jedoch möglich den Zugriff auf das Adressbuch seitens des Betriebssystems zu verhindern, aber dann kann der Nutzer WhatsApp eigentlich nicht wirklich nutzen, da er nur mit bereits bestehenden Kontakten chatten kann oder warten muss, die er kontaktiert wird und dann nur die Telefonnummer sieht.

Bei der Übertragung wird auch nicht zwischen WhatsApp Nutzern und keinen unterschieden. Es werden alle Kontaktdaten übertagen. Damit fehlt eine datenschutzrechtliche Rechtfertigung für die Übermittlung der Daten nach Artikel 6 DSGVO, die bei WhatsApp Nutzern im Vertrag liegt, aber auch diese ist als kritisch zu sehen. Schauen wir uns den Artikel 6 DGSVO genauer an, ist hier eine Rechtfertigung nur schwer zu finden, daher ist es unzulässig. Zunächst denkt man an das berechtigte Interesse (Art.6 Abs.1 lit f DSGVO), da ist fraglich woher dieses kommen soll bei Personen, die kein WhatsApp Konto haben und auch keine andere vertragliche Beziehung. Auch die Einwilligung oft als Rettung gesehen, aber durch das Dispositionsrecht eher als schlechteste Wahl, in die Übertragung der Daten an Facebook und WhatsApp aller meiner Kontakte (Art. 6 Abs. 1 S. 1 lit a DSGVO) ist eine nicht praktikable Lösung. Diese müssten aufgeklärt und schriftlich zu erfolgen haben. Schon an “aufgeklärt” scheitert es, da der Nutzer in der Regel nicht weiß, was Facebook/WhatsApp genau mit den Daten macht. Eines der großen Geheimnisse des Konzerns. 

Besonders interessant meines erachtens wird die Durchsetzung des Widerspruchrechtes nach Art 21 DSGVO, welches jeder Nutzer hat. Ich habe dies mal meinem Bekannten geschickt, der mir antworte, dass dies nicht gehe. Ebenfalls meine Nachfrage nach den Informationspflichten aus Art. 13 DSGVO konnte er nicht nachkommen. Dies spricht eher für ein Verbot der Nutzung, auch im privaten.

Urteile und Verfahren

Schon 2017 urteilte das Amtsgericht Bad Hersfeld (Urteil v. 20.3.0217 F 111/17 & 15.5.2017 F 120/17) in einem familienrechtlichen Verfahren zwischen Eltern, dass ohne eine Einwilligung der Betroffenen unmittelbar eine deliktische Haftung eintritt, die natürlich abgemahnt werden kann. Demzufolgte steigt auch das Abmahnrisiko rapide bei Nutzung von Whatsapp.

Dies ist jedoch aus meiner Sicht übertragbar, da Verantwortlicher im Unternehmen, der Arbeitgeber ist (Art. 4 Nr.7) und dieser für den datenschutzkonformen Einsatz der Dienstgeräte unmittelbar verantwortlich ist (Art.5,24.25 DSGVO). Wenn er dies nicht macht, steigt das Abmahnrisiko und auch das Risiko z.B. Widerspruchtsrechte oder Auskunftsrecht der Arbeitnehmer nicht befriedigen zu können. 

Risiko:

  • Abmahnungen
  • Gerichts- und Anwaltskosten
  • Geldbuße nach Art. 83 DSGVO

 

LDSB Niedersachsen zur möglichen Nutzung von WhatsApp

Interessant ist der Hinweis des LDSB aus Neidersachsen, wie sie sich eine datenschutzkonforme Nutzung von WhatsApp vorstellen. 

-> “Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen”

https://www.lfd.niedersachsen.de/startseite/themen/wirtschaft/nutzung_von_whatsapp_im_unternehmen/merkblatt-fuer-die-nutzung-von-whatsapp-in-unternehmen-166297.html

Für die Funktionsfähigkeit sind diese Übermittlung an WhatsApp und der vollständige Datenabgleich aller im Adressbuch gespeicherten Kontaktdaten nicht zwingend. Dies belegen zahlreiche andere Messenger-Dienste mit alternativen Möglichkeiten der Kontaktaufnahme mit anderen Nutzern desselben Messenger-Dienstes, wie zum Beispiel über einen QR-Code. Sofern andere Messenger-Dienste das gleiche Abgleichverfahren wie WhatsApp vornehmen, löschen zumindest einige nach eigenen Angaben die nicht registrierten Kontakte unmittelbar nach dem Negativabgleich.

Es ist aber erstens denkbar, dass ein Smartphone mit einem leeren Adressbuch verwendet wird. Zweitens ist es möglich, durch Einstellungen zum Beispiel in dem Android-Betriebssystem von Smartphones ab der Version 6.0 den Zugriff auf die Kontakte durch die WhatsApp-Anwendung auszuschließen.

Insbesondere bei dieser Konfiguration des Smartphones ist allerdings die Funktionalität der Anwendung wie folgt eingeschränkt:

  • Wird WhatsApp die Berechtigung zum Zugriff auf die Kontakte nach der Installation, aber vor der ersten Anwendung, nicht erteilt, so kann der Nutzer von sich aus keine Kommunikation starten, er kann nur selbst angeschrieben werden.
  • Eine manuelle Eingabe einer Telefonnummer, die für eine Kommunikation verwendet werden soll, ist nicht möglich.
  • Sobald WhatsApp zu einem späteren Zeitpunkt die Berechtigung zum Zugriff auf die Kontakte erteilt wird, werden wiederum die Telefonnummern aus den Kontakten an WhatsApp übertragen.

Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern ist also nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich.

Aber nun mal ehrlich: Es ist nicht praktikabel und ein in Funktionen beschnittener Messenger ist nicht optimal. Auch wenn diese  Hinweise gut gemeint sind, sehe ich hier immer noch die Probleme in Auskunfs- und Widerspruchsrechten. 

Weiterhin verarbeitet WhatsApp nur auf EU-US Privacy Shield personenbezogene Daten in den USA, das Abkommen/Framework steht jedoch auf sehr wackeligen Füßen und wird aktuell durch den EuGH geprüft und könnte fallen, wie auch schon Safe Harbor zuvor.

3. Urheberrecht & WhatsApp

Neben den arbeits- und datenschutzrechtlichen Aspekten steht auch das Urheberrecht und der Schutz der eigenen IP (Interlecutal Property) auf der Prüfungsliste.

Was macht WhatsApp mit hochgeladen Daten? Wem gehören diese? Kann man diese wieder extrahieren? 

Dies zu einem späteren Zeitpunkt.

4. Alternativen zu WhatsApp

Es gibt zu Glück jede Menge Alternativen zu WhatsApp! 

Microsoft Teams

Microsoft Teams wird aktuell als das Allerheilmittel genutzt. Datenschutzrechtlich nicht ganz unproblematisch ist es jedoch alle Mal besser als WhatsApp. Auch hier gehört eine Nutzungsvereinbarung, TOMs und eine Risikobewertung dazu.

Threema

Threema gehört zu den Messenger-Diensten die sogar von den Datenschutzbehörden empfohlen werden. Dennoch müssen hier ebenfalls TOMs getroffen werden und auch Nutzungsvereinbarungen sind nötig.

ULD -> Tätigkeitsbericht 2015 des ULD, S. 137 ff.
Berlin ->  Berliner Beauftragten für den Datenschutz und Datensicherheit, S. 162

Wire

Wire ist mein Favorite, denn der gesamte Code ist auf Github einsehbar und Betreiber ist eine Schweizer Firma, die meiner Ansicht nach noch transparenter und besser ihre Aufgaben wahrnimmt als es bei Threema der Fall ist. Aber auch hier müsst ihr für den Business Einsatz eine entsprechende Lizenz erwerben.

 

Abschlussempfehlung: Keine Nutzung von WhatsApp im Unternehmen!