Der beliebte Instant-Messenger „WhatsApp“ eignet sich für Gruppenchats, Textnachrichten, kostenlose Sprachanrufe sowie für den Austausch von Fotos und Videos. Leider steht er im Konflikt mit der DSGVO und könnte Ihnen eine empfindliche Strafe eintragen. Die alternative App „Signal“ ist davon nicht betroffen.

WhatsApp ist einfach zu bedienen, fast jeder hat es installiert und es ist bis auf die anfallenden Datengebühren weltweit kostenlos nutzbar. Die Anwendung ist für nahezu jede Smartphone-Plattform verfügbar und es gibt auch einen Webdienst, über den damit auf dem PC oder Mac kommuniziert werden kann. WhatsApp mag damit als gute Option zur Kommunikation mit Kunden bzw. Patientenbesitzern erscheinen.

Leider gibt es eine Reihe von Gründen, warum die Messaging-App für den professionellen Einsatz nicht akzeptabel ist. Seit dem Inkrafttreten der DSGVO am 25. Mai 2018 verstößt die Speicherung von Benutzerdaten durch WhatsApp gegen die Datenschutzgesetze. In letzter Konsequenz kann die weitere Nutzung dazu führen, dass Ihr Unternehmen ins Radar der Datenschutzbehörde kommt und Ihnen eine „zweckmäßige und abschreckende“ Strafe aufgebrummt wird.

Die Weitergabe von Kontaktdaten

Problematisch bei der betrieblichen Nutzung von WhatsApp ist, wie die Messaging-App Ihre Kontaktlisten nutzt. Wenn Sie die App installieren, geben Sie ihr die Berechtigung, auf alle Kontakte auf Ihrem Gerät zuzugreifen. Wenn Sie WhatsApp auf Ihrem Firmenhandy mit Ihren beruflichen Kontakten nutzen, stellen Sie also alle diese Daten ohne deren Zustimmung zur Verfügung.

WhatsApp gehört seit 2016 zu Facebook. Der Kaufpreis von 19 Milliarden Dollar gibt schon einen guten Hinweis darauf, wie wertvoll der Dienst ist, obwohl kostenlos nutzbar ist und trotzdem auf Werbung verzichtet. Eine der Grundweisheiten der Internetökonomie ist: Wenn es dich nichts kostet, bist du das Produkt [1].

In diesem Fall sind also die Daten Ihrer Kontakte das wertvolle Gut mit dem Sie die kostenlose Nutzung bezahlen. Genau hier greift die neue Datenschutzgrundverordnung (DSGVO) ein, denn für eine derartige Verarbeitung (Übermittlung) benötigen Sie im betrieblichen Bereich eine Rechtsgrundlage. Wie wir in unserer Artikelserie im VET-Magazin ausführlich erläutert haben, kann so eine Rechtsgrundlage eine freiwillige Einwilligung der Betroffenen sein, ein rechtlicher Zwang (z.B. durch einen Vertrag oder ein Gesetz) oder ein „berechtigtes Interesse“ Ihrerseits.

Die Einwilligung der Betroffenen werden Sie kaum von all Ihren Kontakten bekommen, schon gar nicht zur Weitergabe an Facebook – und selektive Freigaben gibt es in WhatsApp nicht. Die alternativen Rechtsgrundlagen werden ebenfalls nur schwer zu begründen sein. Außerdem könnten Sie dann immer noch nicht das den Betroffenen zustehende Recht auf Widerspruch in die Verarbeitung erfüllen. Die Übermittlung an WhatsApp haben Sie mit der Installation durchgeführt. Damit sind Sie verpflichtet, WhatsApp über den erhaltenen Widerspruch zu informieren, was unseres Wissens derzeit aber nicht möglich ist. Lediglich die Betroffenen selbst können bei WhatsApp direkten Widerspruch aussprechen. Die Formulierung in den FAQ (frequently asked questions) [2] lässt allerdings den Schluss zu, dass WhatsApp eher nicht vorhat kooperativ zu sein. Als Unternehmen haften Sie für den Schutz von Kunden- und Mitarbeiterdaten, was die Nutzung von WhatsApp als Business-Kommunikationsplattform somit ausschließt.

Problem der Archivierung

Organisationen müssen jederzeit belegen können, wer Zugriff auf welche Daten hat. Bei WhatsApp können Daten, Dateien und Nachrichten grenzenlos gemeinsam genutzt werden, ohne dass im Detail protokolliert wird, wer Ihre Dateien sehen kann. Darüber hinaus zeichnet WhatsApp Daten der Kontakte auf und archiviert diese auf den eigenen Servern.

Personenbezogene Daten müssen sicher gelöscht werden, wenn ein Kontakt sein „Recht auf Vergessen“ ausüben möchte. Ohne verbindliche Vereinbarung (wie sie auch von Art. 28 gefordert wird) haben Sie aber keine Garantien, was auf den Servern von WhatsApp gespeichert ist und entzieht sich somit Ihrer Kontrolle. Wichtig ist hier nochmals: Das betrifft nicht die Nachrichteninhalte an sich, sondern die Kontaktdaten wie Name, Online-Status und Telefonnummer. Im Ergebnis bedeutet es wieder, dass Ihr Unternehmen nicht DSGVO-konform sein kann.

WhatsApp meint: Sie sind selbst verantwortlich

Wie sieht es nun aber WhatsApp selbst? Die Antwort ist eindeutig: WhatsApp möchte, dass Sie sich selbst um die Rechtmäßigkeit Ihrer Datenverarbeitung kümmern. Wörtlich steht in der Datenschutzrichtlinie [3]: „Von anderen über dich bereitgestellte Informationen. Wir erhalten Informationen über dich von anderen Nutzern und Unternehmen. Wenn beispielsweise andere dir bekannte Nutzer oder Unternehmen unsere Dienste nutzen, stellen sie möglicherweise deine Telefonnummer, deinen Namen und andere Informationen zur Verfügung (z. B. Informationen aus dem Adressbuch ihres Mobilgeräts oder im Falle von Unternehmen, zusätzliche Informationen über dich wie eindeutige Kennungen), genauso wie du möglicherweise ihre zur Verfügung stellst, oder sie senden eine Nachricht an dich oder Nachrichten an Gruppen, denen du angehörst, oder sie rufen dich an. Wir verlangen von jedem dieser Nutzer und Unternehmen, dass sie die rechtmäßigen Rechte besitzen, um deine Informationen zu erfassen, zu verwenden und zu teilen, bevor sie uns irgendwelche Informationen bereitstellen.“

Die verbindlichen Nutzungsbedingungen [4] sind der eigentliche Deal-Breaker: Dort heißt es beim Adressbuch: „Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern von WhatsApp Nutzern und anderen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten.“ Man sagt also sinngemäß: „Alles was Sie uns geben, muss im Einklang mit den Gesetzen stehen und es ist Ihre und nicht die Verantwortung von WhatsApp“.

An anderer Stelle der Nutzungsbedingungen [4] steht es nochmals deutlicher, nämlich bei Rechtmäßige und zulässige Nutzung: „Du darfst auf unsere Dienste nur für rechtmäßige, berechtigte und zulässige Zwecke zugreifen bzw. sie für solche nutzen. Du wirst unsere Dienste nicht auf eine Art und Weise nutzen […], die […] (f) eine nicht-private Nutzung unserer Dienste beinhaltet, es sei denn, dies wurde von uns genehmigt.“

WhatsApp verbietet Ihnen also sogar die berufliche Nutzung, wenn es dazu keine gesonderte Vereinbarung mit Ihnen gibt – und diese gibt es vermutlich nur für Business Produkte.

Weltweite Datenweitergabe

Sie müssen in der Lage sein, den Schutz Ihrer Kundendaten auch außerhalb der EU zu gewährleisten. Grundsätzlich erklärt WhatsApp für europäische Benutzer die Zuständigkeit seines Vertreters innerhalb der EU, nämlich die „WhatsApp Ireland Limited”. Zwar gilt auch in Irland seit 25. Mai die DSGVO, es hat aber abgesehen von Steuergesetzen einen Grund, warum ein Großteil der amerikanischen Internetgiganten ihren europäischen Hauptsitz in Irland gewählt haben. Gemäß Art. 56 Abs. 1 DSGVO ist also die bisher als relativ großzügig bekannte irische Datenschutzbehörde die federführende Aufsichtsbehörde in Sachen WhatsApp.

In den Nutzungsbedingungen [4] steht es wieder schwarz auf weiß: „Ermöglichung des globalen Zugriffs auf unsere Dienste. Zum Betreiben unseres globalen Dienstes müssen wir Inhalte und Informationen in Rechenzentren und Systemen auf der ganzen Welt speichern und verteilen.“ Das bedeutet, Sie als Unternehmen benötigen ausreichende rechtliche Garantien, die die Einhaltung der strengen europäischen Datenschutzgesetze bei denjenigen gewährleisten, an die Sie Ihre (Kontakt-)Daten übermitteln.

Eine solche Garantie besteht beispielsweise in der Zertifizierung eines (US-amerikanischen) Unternehmens durch den EU/US-Privacy-Shield und alle Großen, einschließlich Facebook, haben dies auch getan. Bezüglich WhatsApp heißt es: „WhatsApp hält die Datenschutzschild-Grundsätze für folgende Bereiche unseres Unternehmens (zusammen die „Partnerdienste“) ein: WhatsApp Business Produkte […] Partner (die für die Datenverarbeitung Verantwortlichen) können mithilfe der WhatsApp Business Produkte personenbezogene Informationen über ihre Kunden an WhatsApp übermitteln. Die Partner entscheiden, welche Informationen übermittelt werden. In der Regel umfassen diese Dinge wie Kundentelefonnummern und sonstige Informationen im Einflussbereich des Partners.“

Fazit

Die WhatsApp-Standard-App, wie sie praktisch jeder verwendet, ist gemäß den Nutzungsbedingungen gar nicht für den geschäftlichen Gebrauch zugelassen und scheidet aus rechtlicher Sicht daher aus. Die Business-App setzt technisch auf der Standard-App auf und dürfte daher ebenfalls alle Kontakte aus dem Telefonbuch an WhatsApp übermitteln. Immerhin unterwirft sich WhatsApp dafür aber dem Privacy Shield und auch die Texte der Bedingungen sind ein bisschen an eine Vereinbarung über die Auftragsverarbeitung nach Art. 28 angelehnt [5]. Nach Ansicht des Autors reicht es jedoch nicht für eine legale Nutzung aus.

Die Alternative: Signal

Die kostenlose App „Signal Messenger“ (https://www.signal.org/) ist ein Open-Source-Projekt, das sich durch Spenden finanziert, darunter zuletzt 50 Mio. Dollar vom Whatsapp-Mitgründer Brian Acton [6]. Die Philosophie hinter dem Projekt ist, dass Social Media Dienste und Datensparsamkeit einander nicht ausschließen müssen, dass Teilen und Kommunizieren auch unter Einhaltung von Datenschutz funktionieren können. Signal betreibt einen eigenen komplett verschlüsselten Dienst, dessen Technik auch anderen Firmen zur Verfügung gestellt wird – unter anderem Skype und, ja, auch WhatsApp.

Der Funktionsumfang entspricht weitgehend dem von WhatsApp, allerdings ist die App extrem sorgfältig nach dem Prinzip „Privacy by Design“ entwickelt worden. Signal-Nachrichten und Anrufe werden immer durchgängig verschlüsselt, um die Kommunikation zwischen den Partnern sicher zu halten. Niemand kann Ihre Nachrichten lesen oder Ihre Anrufe sehen. Auch hier gibt es eine Desktop-Version, sodass vom PC oder Mac aus kommuniziert werden kann.

DSGVO-konforme Contact Discovery

Die größte Schwierigkeit für Messenger-Software ist zu lernen, welche Kontakte aus dem Adressbuch ebenfalls Nutzer des Messengers sind. Während die meisten Dienste einfach ihr Adressbuch übermitteln (siehe WhatsApp weiter oben), geht Signal den sicheren Weg: Es sendet regelmäßig abgeschnittene kryptographisch verschlüsselte (Fachbegriff: gehashed) Telefonnummern zur Kontakterkennung. Namen werden nie übertragen und die Informationen werden nicht auf den Servern gespeichert.

Mit diesem Dienst können Signal-Clients (also die Telefone der Benutzer) effizient und skalierbar feststellen, ob die Kontakte in ihrem Adressbuch Signal-Benutzer sind, ohne dabei die Kontaktdaten in ihrem Adressbuch an den Signal-Dienst weiterzugeben – und das ist dann DSGVO-konform. Der Server antwortet auf Ihre Anfrage mit den Kontakten, die ebenfalls Signal-Benutzer sind, und löscht diese Anfrage danach sofort wieder aus seinem Speicher. Ihr Telefon weiß nun, welche Ihrer Kontakte Signal-Benutzer sind. Registrierungsbenachrichtigungen werden von niemandem in irgendeine Richtung übertragen; diese Benachrichtigungen werden von Ihrem Telefon erstellt. Signal sendet Ihre Telefonnummer an niemanden, es sei denn, Sie senden ihm eine Nachricht – aber das ist bei SMS nicht anders.

Gerade in Zeiten von Hackerangriffen, Staatstrojanern und voranschreitenden Zensurbemühungen ist sichere und nicht angreifbare Kommunikation ein wichtiges Thema. Der Vorteil ist, dass Signal selbst keine direkt lesbaren Daten speichert. Selbst für den Fall, dass es (irgendwann) eine Methode gäbe, um aus den hinterlegten Werten wieder echte Telefonnummern berechnen zu können – es wären dann immer noch nicht die vollständigen Telefonnummern. Man hat sich sogar noch zahlreiche weitere serverseitige Schutzmaßnahmen überlegt. Wer daran technisch interessiert ist, sollte das lesenswerte Posting im Signal-Blog nachlesen. [7]

Ein Beispiel veranschaulicht die geniale Funktion: Wenn Tierbesitzer A. sich mit seiner Nummer 0660/1234567 bei Signal registriert, wird vom Algorithmus (angenommen) nur mit 0660/123456 berechnet und dieser Wert bei Signal hinterlegt. Tierärztin F. hat nun die Telefonnummer von A. (0660/1234567) in ihrem Adressbuch gespeichert. Ihr Telefon verwendet in der App denselben Algorithmus und berechnet ebenfalls einen Wert für 0660/123456, für den sie bei Signal anfragt, ob der bekannt ist. Der zentrale Dienst muss also nur noch zwei Werte vergleichen und benötigt aber keinerlei zusätzliches Wissen über die Kontaktdetails.

Fazit

Aus datenschutzrechtlicher Sicht bestehen keine Bedenken in der Verwendung von Signal für berufliche Kommunikation [8]. Da der Funktionsumfang dem von WhatsApp entspricht, bleibt als einziger Nachteil, dass dieser Dienst noch nicht so verbreitet ist. Das kann man im Zusammenspiel mit seinen Kontakten aber ändern.

Quellen/Links:

[1] Die Zeit: Das Produkt bist du
[2] WhatsApp FAQ: Der Verarbeitung deiner personenbezogenen Daten widersprechen
[3] WhatsApp Datenschutzrichtlinie: Informationen, die wir sammeln
[4] WhatsApp Nutzungsbedingungen
[5] Datenschutzschild Addendum von WhatsApp
[6] Krypto-Messenger: WhatsApp-Mitgründer investiert 50 Millionen Dollar in Signal-Stiftung
[7] Technology preview: Private contact discovery for Signal
[8] Signal and the General Data Protection Regulation (GDPR)

 

Christoph Illnar

Gründer und CTO bei COMMUNITOR
Als technisch Verantwortlicher und Herausgeber einiger Online-Medien lebt der Wirtschaftsinformatiker Christoph Illnar das, womit er bereits in seiner Schulzeit infiziert wurde: Medien und IT. Gemeinsam mit Partnern gründete er das Wiener Unternehmen COMMUNITOR und leistete 2003 mit dem Aufbau des ersten Portals eigens für die Zielgruppe 50+ Pionierarbeit in Österreich, nachdem zuvor zahlreiche E-Commerce und E-Payment-Projekte erfolgreich umgesetzt werden konnten. Die Erfahrungen in Theorie und Praxis der Daten- und IT-Sicherheit gibt Christoph Illnar in einem aktuellen DSGVO-Schwerpunkt in Vorträgen, Schulungen und Publikationen weiter – mit Fokus auf die Veterinär-Branche im Rahmen des VET-MAGAZINs, dem europaweiten unabhängigen Magazin für die Veterinärmedizin. Nebenbei ist Christoph Illnar auch in der Wiener Bezirkspolitik aktiv.

Letzte Artikel von Christoph Illnar (Alle anzeigen)