Der Messenger „WhatsApp“ gewinnt seit Jahren in privaten Haushalten an Bedeutung, wobei der Kommunikationskanal nicht nur junge Nutzer lockt. Mittlerweile verwendet die Mehrheit, sobald sie in Besitz eines Smartphones ist, unabhängig ihres Alters den Messenger. Die einfache Handhabung, sowie die Plattformunabhängigkeit sind einige Faktoren, die im Februar 2016 zu über einer Milliarde WhatsApp-Nutzern geführt haben. Die steigende Beliebtheit und das routinierte Arbeiten mit dieser App führt dazu, dass der Messenger auch zu dienstlichen Zwecken eingesetzt wird.

WhatsApp wird allerdings schon lange nicht mehr rein als Kommunikationskanal in Unternehmen genutzt, sondern findet auch vermehrt als Marketing-Instrument Verwendung. Unternehmen können mittels WhatsApp eine Vielzahl an Nutzern erreichen, wobei die Kontaktaufnahme oftmals viel persönlicher erfolgen kann, als dies mit einer postalischen Ansprache oder per E-Mail möglich wäre.

Die vermeintliche Simplizität der Kommunikation mittels WhatsApp führt dazu, dass sowohl Arbeitnehmer als auch Arbeitgeber oftmals bewusst rechtliche Risiken ausblenden und gegen geltendes Datenschutzrecht verstoßen.

WhatsApp als Kommunikationskanal in Unternehmen

Immer häufiger setzen Arbeitnehmer WhatsApp als internes Kommunikationsmittel ein. In diesem Rahmen tauschen sie beispielweise Dienstpläne oder Informationen über Kunden, Patienten, Kollegen etc. aus. Doch die interne dienstliche Nutzung von WhatsApp -insbesondere auf dienstlichen Endgeräten- führt regelmäßig zu zahlreichen datenschutzrechtlichen Risiken.

Zwar verspricht WhatsApp, seit Anfang April 2016, eine Ende-zu-Ende-Verschlüsselung, welche die Inhalte der Nachrichten vor unbefugtem Lesen schützen soll. Jedoch ist es nicht ratsam, sich auf dem Versprechen über eine funktionierende und dauerhafte Verschlüsselung der Betreiber eines vermeintlich kostenlosen Dienstes auszuruhen, da zumal eine Verschlüsselung nur dann gegeben ist, wenn der Chat-Partner über die aktuelle WhatsApp-Version verfügt. Wurde die aktuelle Version noch nicht auf dem Endgerät installiert, wobei in Gruppenchats nur ein Chat-Partner über die „veraltete“ Version verfügen muss, so ist keine Ende-zu-Ende-Verschlüsselung gegeben.

Vertraut man den Betreibern des Messengers bezüglich der Ende-zu-Ende-Verschlüsselung, steht man als Arbeitnehmer und insbesondere als Arbeitgeber (bzw. die Leiter / Entscheidungsträger der „Verantwortlichen Stelle“) vor weiteren Risiken. Zwar können die Inhalte der Nachrichten, zumindest laut der Betreiber, nicht mehr gelesen werden, allerdings wird in der Regel bereits im Installationsprozess von WhatsApp, spätestens aber mit dem Einsatz der Applikation (App), der Zugriff auf die gespeicherten Telefonnummern in Smartphones ermöglicht. Diese (personenbezogenen) Daten werden nicht legitimiert an die WhatsApp-Server in Kalifornien (USA) weitergegeben.

Eine Datenübermittlung bedarf, laut Bundesdatenschutz, einer rechtlichen Grundlage oder einer informierten Einwilligung der Betroffenen. In der Regel liegt Beides bei der Installation und Nutzung des Messengers nicht vor. Zudem handelt es sich um eine Datenübermittlung in ein Drittland (außerhalb der europäischen Union und des europäischen Wirtschaftsraums) ohne angemessenes Datenschutzniveau. Eine datenschutzkonforme Übermittlung wäre deshalb nur möglich, wenn zum einen das Datenschutzniveau, beispielsweise durch Abschluss von EU-Standardvertragsklauseln mit daran geknüpften weiteren Maßnahmen, hergestellt wird oder andererseits eine informierte und freiwillige Einwilligung eines jeden Kontakts im Telefonbuch eingeholt wird. Dies wäre allerdings ein Aufwand, den niemand tragen könnte bzw. möchte.

Eine weitere Möglichkeit wäre, den Zugriff von WhatsApp auf das Telefonbuch, sowie auf weitere Informationen (Fotos, Notizen, etc.) mittels manueller Einstellungen am Smartphone zu verhindern. Die WhatsApp-Nutzung wäre dadurch zwar weniger risikobehaftet, aber für den Nutzer mit Sicherheit mehr als unerfreulich, da keine „usability“ (Benutzerfreundlichkeit) mehr bestehen wird.

WhatsApp als Marketing-Instrument in Unternehmen

Die Bedeutung von WhatsApp spielt allerdings nicht nur im Rahmen der internen Kommunikation eine große Rolle. Immer mehr Unternehmen fühlen sich, insbesondere aufgrund der Masse an Nutzern, verpflichtet, den Messenger als Marketing-Instrument einzusetzen. In diesem Rahmen werden nicht nur Newsletter versendet, sondern auch Inhalte mittels WhatsApp-Sharing-Button geteilt, Supportanfragen beantwortet oder ganze Beratungsgespräche ausgelagert. WhatsApp ist aufgrund der Gruppenchat-Funktion nicht nur für „persönliche“ Chats zwischen zwei Chat-Partnern, sondern vor allem zur Schaffung von Communities sehr attraktiv. Jedoch sollte sich ein Unternehmen nicht von den zahlreichen Vorteilen und Möglichkeiten blenden lassen und vor dem Einsatz des Messengers einen Blick auf die rechtlichen Grundlagen werfen.

Setzt man WhatsApp zu Marketingzwecken ein, so könnte man nicht nur gegen die allgemeinen Geschäftsbedingungen (AGB) von WhatsApp, die eine kommerzielle Nutzung des Dienstes untersagen, sondern auch gegen das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG), sowie gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) verstoßen.

Im Rahmen der geschäftlichen Ansprache, die laut den AGBs, zu unterlassen ist, ist das Risiko für das Unternehmen eher gering, da einer Sperrung üblicherweise eine Verwarnung vorausgeht. Die datenschutzrechtlichen Risiken stellen eine weitaus größere Problematik für Unternehmen dar. Denn auch in diesem Zusammenhang gilt das Verbot mit Erlaubnisvorbehalt. Im Datenschutz ist die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten grundsätzlich verboten, außer eine gesetzliche Grundlage oder informierte Einwilligung des Betroffenen erlauben die Erhebung, Verarbeitung oder Nutzung.

Sollen Newsletter via WhatsApp versendet werden, so ist dem Unternehmen anzuraten, eine informierte und ausdrückliche Einwilligung der Betroffenen einzuholen, da ausschließlich § 7 S. 3 UWG unter strengen Bedingungen das Versenden von Newslettern ohne Einwilligung der Betroffen erlaubt. Für eine informierte und ausdrückliche Einwilligung sollten Unternehmen grundsätzlich das Double-Opt-in Verfahren anwenden, um eine Verifikation der Rufnummern bzw. der E-Mail-Adressen, im Fall von „gewöhnlichen“ Newslettern via E-Mail, vorzunehmen. Nutzt man allerdings die Broadcast-Funktion von WhatsApp, so sollte das Opt-In-Verfahren ausreichen, da der Nutzer die Nachrichten nur erhält, wenn der Absender als Kontakt hinterlegt ist. Eine Anmeldung, die zu Beweiszwecken gespeichert werden sollte und der Einsatz von Broadcast-Listen ist dringendst zu empfehlen.  Mittels dieser Listen können sich die anderen Nutzer, anders als bei den Gruppenchats, untereinander nicht sehen. Zudem sollte darauf geachtet werden, dass der Kunde bei der Anmeldung Informationen über den Verwendungszweck und das Widerrufsrecht erhält. Wobei der Hinweis zum Widerrufsrecht nicht nur im Rahmen der Erhebung der Rufnummer fallen sollte. Der Kunde ist in jedem Newsletter darüber zu informieren, dass er sich jederzeit aus dem Newsletter austragen kann bzw. durch Löschung der Rufnummer des Absenders kein Versand von Newslettern stattfinden kann.

Ein weiteres Problem, dass auf Unternehmen im Rahmen der Kundenkommunikation zukommt, könnte die Mitstörerhaftung sein. Zum einen ist unklar, ob das Unternehmen für Datenschutzverstöße seitens WhatsApp haften muss. Zum anderen ist der Einsatz von Communities kritisch, da in diesem Rahmen schädigende, rechtswidrige bzw. sittenwidrige Inhalte von Nutzern verbreitet werden könnten. Um das Risiko zu minimieren, ist der Einsatz von geeigneten Datenschutzerklärungen, Impressen, sowie von Nutzungserklärungen dringend anzuraten.

Der Einsatz des WhatsApp-Sharing-Buttons ist zwar auch mit Risiken verbunden, jedoch ist die Verwendung weniger risikobehaftet als die Nutzung des Like-Buttons von Facebook. Denn anderes als bei dem Like-Button sollen bei der der Verlinkung keine Daten übermittelt werden. Erst wenn der Nutzer den Link aktiviert, würde eine Datenübermittlung erfolgen. Eine Datenschutzerklärung, die über die Verwendung der Daten informiert, wäre trotzdem anzuraten.  Wird das Teilen von Inhalten an Freunde (Tell-a-Friend) mit wirtschaftlichen Anreizen verknüpft, so ist die Situation kritischer anzusehen.

Fazit

Der Einsatz von WhatsApp ist aus Datenschutzsicht kritisch. Zwar mag der Einsatz sowohl aus Unternehmens- als auch aus Kundensicht zahlreiche Vorteile bergen, jedoch stehen diesen Vorzügen eine Vielzahl an Risiken gegenüber.

Möchte oder kann ein Unternehmen -trotz der Risiken- nicht auf den Messenger verzichten, so sollte sich das Unternehmen ausreichend von einem Datenschutzbeauftragten beraten lassen. Eine weitere Alternative wäre der Einsatz eines Messengers, der europäische Server nutzt und damit schärferen Datenschutzrechten unterliegt.

Ähnliche Beiträge