Nutzung von WhatsApp im betrieblichen Kontext

Viele Menschen nutzen Messenger-Dienste wie WhatsApp für ihre alltägliche Kommunikation. So ist es nur nachvollziehbar, dass man diesen Dienst auch gerne in seinem beruflichen Kontext nutzbar machen möchte. Sei es, weil man selbst die Handhabung kennt und sich so den Arbeitsalltag erleichtern möchte, sei es auch, um Kunden den Kontaktweg anzubieten, den sie auch sonst nutzen. Aus Sicht des Datenschutzes ist dies leider nicht unproblematisch. Es handelt sich nämlich nicht um eine private Kommunikation, sondern um eine berufliche, bei der anders als im Privaten gesetzliche Vorgaben zu beachten sind.

Bei einer beruflichen Nutzung ist ein Unternehmen verpflichtet, die Bestimmungen zum Datenschutz einzuhalten. Dazu gehört, dass die Verarbeitung von personenbezogenen Daten über den Messenger einer Rechtsgrundlage bedarf. Sofern sich keine gesetzliche Erlaubnisnorm findet, ist einzig die Legitimation über eine Einwilligung der Betroffenen möglich.

Besteht die Notwendigkeit für eine schriftliche Kommunikation, lässt sich die reine Kommunikation grundsätzlich über das zugrunde liegende Vertragsverhältnis rechtfertigen. Erfolgt die Kommunikation beispielsweise über einen Telefonanbieter mittels Kurznachricht, sind die Inhalte sowie die Rahmenbedingungen der Kommunikation durch das Fernmeldegeheimnis geschützt.

WhatsApp, anders als ein Telefonanbieter, sichert sich allerdings den Zugriff auf das Telefonbuch, also die Kontakte, die auf dem Smartphone gespeichert sind, für eigene Auswertungs-Zwecke zu. Die Daten werden bei WhatsApp auf Servern in den USA gespeichert. Gespeichert und ausgewertet werden auch die sogenannten „Metadaten“, wie Kommunikationsteilnehmer, Zeitpunkt der Kommunikation also Datum und Uhrzeit, Datenvolumen und ähnliche Verbindungsdaten. Diese Übermittlung an WhatsApp geht weit über die reine Kommunikation zwischen Vertragspartnern hinaus, ist nicht durch das Fernmeldegeheimnis geschützt und bedarf dementsprechend einer eigenständigen Rechtsgrundlage.

Als Zwischenfazit ist daher festzustellen, dass damit eine unerlaubte Weitergabe von personenbezogenen Daten an WhatsApp und somit ein Verstoß gegen Datenschutzrecht vorliegen kann.

Eben dies veranlasste die Schleswig Holsteinische Datenschutzbeauftragte Hansen in einem Interview, welches am 10.06.2016 von DAZ.online veröffentlicht wurde, darauf hinzuweisen, dass WhatsApp im Moment nicht das deutsche Datenschutzrecht erfüllt.

Bislang gab es einige Bußgeldbescheide in Europa im Zusammenhang mit dem Einsatz von WhatsApp im Unternehmenskontext. So hatte zum Beispiel ein Bankmitarbeiter Fotografien von Personalausweisen an ein kooperierendes Unternehmen via WhatsApp weitergeleitet. Die grundlegende Befugnis zur Datenübermittlung stand dabei nicht in Frage. Das Bußgeld belief sich insgesamt auf 170.000 Euro.

Sofern man den Einsatz von WhatsApp datenschutzrechtlich legitimieren wollte, bedürfte es einer rechtskonformen Einwilligung des Kunden. Eine Einwilligung müsste transparent sein, das bedeutet der Kunde ist darüber zu informieren, wie seine personenbezogenen Daten im Rahmen der Nutzung des Dienstes verarbeitet werden. Das schließt insbesondere auch die Datenverarbeitung von WhatsApp mit ein.

Ob eine ausreichend informierte Einwilligung möglich ist, ist ungewiss. Daher kann es derzeit keine Gewähr für eine rechtskonforme berufliche Nutzung von WhatsApp geben.

Es bestehen datenschutzfreundlichere Alternativen gegenüber WhatsApp, die beispielsweise keinen Zugriff auf Kontaktbücher erzwingen und teilweise auch ohne die Übermittlung von Telefonnummern einsetzbar sind. Als Alternativen kämen zum Beispiel in Betracht: Threema, SIMSme, Wire, Hoccer, Signal und Chiffry.

Da uns allerdings bewusst ist, dass diese Anbieter nicht zwingend dem Einsatzzweck dienen, nämlich dem Kunden den Kontaktweg zu bieten, den er auch sonst in seinem Alltag nutzt, möchten wir auf die Empfehlungen der bayrischen Datenschutzaufsicht verweisen. Punkt 8.6 des Tätigkeitsberichts 2017/18-Bayerisches Landesamt für Datenschutzaufsicht empfiehlt dazu:

Sollten Verantwortliche dennoch nicht auf WhatsApp verzichten wollen, sind folgende Anforderungen zu berücksichtigen:

    • WhatsApp darf von Berufsgeheimnisträgern grundsätzlich nicht eingesetzt werden (Ausnahmen nur unter ganz speziellen Voraussetzungen möglich).
    • Für die interne Unternehmenskommunikation sollte der Einsatz von WhatsApp grundsätzlich unterbleiben.
    • Nachrichtenverläufe über WhatsApp sollten nicht archiviert werden.
    •  Automatische Speicherung der Nachrichten im internen Speicher, insbesondere der Anhänge, sollte vermieden werden, wenn weitere Apps auf dem mobilen Gerät installiert sind, denen Zugriff auf den internen Speicher gestattet wird (Gefahr eines unberechtigten Zugriffs und Fehlversand von Anhängen).
    •  WhatsApp sollte von einem separaten Smartphone oder über eine Container-Lösung/Mobile Device Management betrieben werden.
    • Soweit der Zugriff auf das Telefonbuch gewährt wird, muss sichergestellt werden, dass nur Kontakte (z. B. Kunden/Klienten) im Telefonbuch gespeichert sind, die ihre Einwilligung erteilt haben.

Aus Unternehmenssicht sollten Sie zudem berücksichtigen, dass Ihnen der Zugriff auf die Informationen, die über  WhatsApp fließen, möglicherweise verschlossen ist. Dies wird insbesondere dann relevant, wenn ein Mitarbeiter vorübergehend oder auch dauerhaft aus dem Unternehmen ausscheidet. Machen Sie sich auch diesem Grunde frühzeitig Gedanken darüber, wie eine Vertretungsregelung organisiert werden kann, bzw. wie Sie die Informationen grundsätzlich für das Unternehmen verfügbar machen können.

Kontaktieren Sie bitte Ihren Datenschutzbeauftragten für Hilfestellungen beim Einsatz von WhatsApp oder zur Erarbeitung einer Einwilligungserklärung für Ihre Kunden.

Nicole Krause
Juristische Mitarbeiterin der Gindat GmbH

Verstärkte Cyber-Angriffe auf Homeoffices

In Deutschland, Österreich und der Schweiz kommen Arbeiter im Homeoffice immer stärker durch Cyberangriffe unter Beschuss. Insbesondere auf Microsofts Remote-Desktop Protokol (RDP), welches den einfachen Fernzugriff auf Windows-Betriebssysteme ermöglicht, wurde im Dezember 2020 täglich 14,3 Millionen mal zum Ziel von Cyberkriminellen (im Vergleich zu 310.000 mal im Januar 2020). In der zweiten Corona-Welle haben die Angriffe um 110% zugenommen, wobei Daten gestohlen und/oder Schadsoftware eingeschleust wurde. Vor allem kleine und mittelständige Unternehmen sind immer noch nicht ausreichend abgesichert und seien, laut ESET-Sprecher Thorsten Urbanski „offen wie ein Scheunentor“. Er rät IT-Verantwortlichen, umgehend zum Handeln.

Das können Sie für eine sicherere Verbindung tun:

  • Die Anzahl der Nutzer, die eine RDP-Verbindung nutzen, möglichst gering halten.
  • Starke Passwörter und MultiFaktor-Authentifizierung nutzen.
  • Ein Virtual Private Network (VPNGateway) für Fernzugriffe nutzen.
  • Accounts, die Opfer von BruteForce-Attacken werden, automatisch ausloggen.
  • Die StandardPort Nummer (3389) des RDP-Protokolls ändern.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/homeoffices-unter-beschuss-rdp-angriffe-steigen-um-4516-prozent-17905