> Whatsapp

WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?

Der Messenger „WhatsApp“ gewinnt seit Jahren in privaten Haushalten an Bedeutung, wobei der Kommunikationskanal nicht nur junge Nutzer lockt. Mittlerweile verwendet die Mehrheit, sobald sie in Besitz eines Smartphones ist, unabhängig ihres Alters den Messenger. Die einfache Handhabung, sowie die Plattformunabhängigkeit sind einige Faktoren, die im Februar 2016 zu über einer Milliarde WhatsApp-Nutzern geführt haben. Die steigende Beliebtheit und das routinierte Arbeiten mit dieser App führt dazu, dass der Messenger auch zu dienstlichen Zwecken eingesetzt wird.

WhatsApp wird allerdings schon lange nicht mehr rein als Kommunikationskanal in Unternehmen genutzt, sondern findet auch vermehrt als Marketing-Instrument Verwendung. Unternehmen können mittels WhatsApp eine Vielzahl an Nutzern erreichen, wobei die Kontaktaufnahme oftmals viel persönlicher erfolgen kann, als dies mit einer postalischen Ansprache oder per E-Mail möglich wäre.

Die vermeintliche Simplizität der Kommunikation mittels WhatsApp führt dazu, dass sowohl Arbeitnehmer als auch Arbeitgeber oftmals bewusst rechtliche Risiken ausblenden und gegen geltendes Datenschutzrecht verstoßen.

WhatsApp als Kommunikationskanal in Unternehmen

Whatsapp Datenschutz KatastropheImmer häufiger setzen Arbeitnehmer WhatsApp als internes Kommunikationsmittel ein. In diesem Rahmen tauschen sie beispielweise Dienstpläne oder Informationen über Kunden, Patienten, Kollegen etc. aus. Doch die interne dienstliche Nutzung von WhatsApp -insbesondere auf dienstlichen Endgeräten- führt regelmäßig zu zahlreichen datenschutzrechtlichen Risiken.

Zwar verspricht WhatsApp, seit Anfang April 2016, eine Ende-zu-Ende-Verschlüsselung, welche die Inhalte der Nachrichten vor unbefugtem Lesen schützen soll. Jedoch ist es nicht ratsam, sich auf dem Versprechen über eine funktionierende und dauerhafte Verschlüsselung der Betreiber eines vermeintlich kostenlosen Dienstes auszuruhen, da zumal eine Verschlüsselung nur dann gegeben ist, wenn der Chat-Partner über die aktuelle WhatsApp-Version verfügt. Wurde die aktuelle Version noch nicht auf dem Endgerät installiert, wobei in Gruppenchats nur ein Chat-Partner über die „veraltete“ Version verfügen muss, so ist keine Ende-zu-Ende-Verschlüsselung gegeben. Näheres zur Ende-zu-Ende-Verschlüsselung von WhatsApp können Sie in dem Beitrag „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ nachlesen.

Vertraut man den Betreibern des Messengers bezüglich der Ende-zu-Ende-Verschlüsselung, steht man als Arbeitnehmer und insbesondere als Arbeitgeber (bzw. die Leiter / Entscheidungsträger der „Verantwortlichen Stelle“) vor weiteren Risiken. Zwar können die Inhalte der Nachrichten, zumindest laut der Betreiber, nicht mehr gelesen werden, allerdings wird in der Regel bereits im Installationsprozess von WhatsApp, spätestens aber mit dem Einsatz der Applikation (App), der Zugriff auf die gespeicherten Telefonnummern in Smartphones ermöglicht. Diese (personenbezogenen) Daten werden nicht legitimiert an die WhatsApp-Server in Kalifornien (USA) weitergegeben.

Eine Datenübermittlung bedarf, laut Bundesdatenschutz, einer rechtlichen Grundlage oder einer informierten Einwilligung der Betroffenen. In der Regel liegt Beides bei der Installation und Nutzung des Messengers nicht vor. Zudem handelt es sich um eine Datenübermittlung in ein Drittland (außerhalb der europäischen Union und des europäischen Wirtschaftsraums) ohne angemessenes Datenschutzniveau. Eine datenschutzkonforme Übermittlung wäre deshalb nur möglich, wenn zum einen das Datenschutzniveau, beispielsweise durch Abschluss von EU-Standardvertragsklauseln mit daran geknüpften weiteren Maßnahmen, hergestellt wird oder andererseits eine informierte und freiwillige Einwilligung eines jeden Kontakts im Telefonbuch eingeholt wird. Dies wäre allerdings ein Aufwand, den niemand tragen könnte bzw. möchte.

Eine weitere Möglichkeit wäre, den Zugriff von WhatsApp auf das Telefonbuch, sowie auf weitere Informationen (Fotos, Notizen, etc.) mittels manueller Einstellungen am Smartphone zu verhindern. Die WhatsApp-Nutzung wäre dadurch zwar weniger risikobehaftet, aber für den Nutzer mit Sicherheit mehr als unerfreulich, da keine „usability“ (Benutzerfreundlichkeit) mehr bestehen wird.

WhatsApp als Marketing-Instrument in Unternehmen

WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe_Bild2Die Bedeutung von WhatsApp spielt allerdings nicht nur im Rahmen der internen Kommunikation eine große Rolle. Immer mehr Unternehmen fühlen sich, insbesondere aufgrund der Masse an Nutzern, verpflichtet, den Messenger als Marketing-Instrument einzusetzen. In diesem Rahmen werden nicht nur Newsletter versendet, sondern auch Inhalte mittels WhatsApp-Sharing-Button geteilt, Supportanfragen beantwortet oder ganze Beratungsgespräche ausgelagert. WhatsApp ist aufgrund der Gruppenchat-Funktion nicht nur für „persönliche“ Chats zwischen zwei Chat-Partnern, sondern vor allem zur Schaffung von Communities sehr attraktiv. Jedoch sollte sich ein Unternehmen nicht von den zahlreichen Vorteilen und Möglichkeiten blenden lassen und vor dem Einsatz des Messengers einen Blick auf die rechtlichen Grundlagen werfen.

Setzt man WhatsApp zu Marketingzwecken ein, so könnte man nicht nur gegen die allgemeinen Geschäftsbedingungen (AGB) von WhatsApp, die eine kommerzielle Nutzung des Dienstes untersagen, sondern auch gegen das Bundesdatenschutzgesetz (BDSG), das Telemediengesetz (TMG), sowie gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) verstoßen.

Im Rahmen der geschäftlichen Ansprache, die laut den AGBs, zu unterlassen ist, ist das Risiko für das Unternehmen eher gering, da einer Sperrung üblicherweise eine Verwarnung vorausgeht. Die datenschutzrechtlichen Risiken stellen eine weitaus größere Problematik für Unternehmen dar. Denn auch in diesem Zusammenhang gilt das Verbot mit Erlaubnisvorbehalt. Im Datenschutz ist die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten grundsätzlich verboten, außer eine gesetzliche Grundlage oder informierte Einwilligung des Betroffenen erlauben die Erhebung, Verarbeitung oder Nutzung.

Datenschutz Werbung

Sollen Newsletter via WhatsApp versendet werden, so ist dem Unternehmen anzuraten, eine informierte und ausdrückliche Einwilligung der Betroffenen einzuholen, da ausschließlich § 7 S. 3 UWG unter strengen Bedingungen das Versenden von Newslettern ohne Einwilligung der Betroffen erlaubt. Für eine informierte und ausdrückliche Einwilligung sollten Unternehmen grundsätzlich das Double-Opt-in Verfahren anwenden, um eine Verifikation der Rufnummern bzw. der E-Mail-Adressen, im Fall von „gewöhnlichen“ Newslettern via E-Mail, vorzunehmen. Nutzt man allerdings die Broadcast-Funktion von WhatsApp, so sollte das Opt-In-Verfahren ausreichen, da der Nutzer die Nachrichten nur erhält, wenn der Absender als Kontakt hinterlegt ist. Eine Anmeldung, die zu Beweiszwecken gespeichert werden sollte und der Einsatz von Broadcast-Listen ist dringendst zu empfehlen.  Mittels dieser Listen können sich die anderen Nutzer, anders als bei den Gruppenchats, untereinander nicht sehen. Zudem sollte darauf geachtet werden, dass der Kunde bei der Anmeldung Informationen über den Verwendungszweck und das Widerrufsrecht erhält. Wobei der Hinweis zum Widerrufsrecht nicht nur im Rahmen der Erhebung der Rufnummer fallen sollte. Der Kunde ist in jedem Newsletter darüber zu informieren, dass er sich jederzeit aus dem Newsletter austragen kann bzw. durch Löschung der Rufnummer des Absenders kein Versand von Newslettern stattfinden kann.

Ein weiteres Problem, dass auf Unternehmen im Rahmen der Kundenkommunikation zukommt, könnte die Mitstörerhaftung sein. Zum einen ist unklar, ob das Unternehmen für Datenschutzverstöße seitens WhatsApp haften muss. Zum anderen ist der Einsatz von Communities kritisch, da in diesem Rahmen schädigende, rechtswidrige bzw. sittenwidrige Inhalte von Nutzern verbreitet werden könnten. Um das Risiko zu minimieren, ist der Einsatz von geeigneten Datenschutzerklärungen, Impressen, sowie von Nutzungserklärungen dringend anzuraten.

Der Einsatz des WhatsApp-Sharing-Buttons ist zwar auch mit Risiken verbunden, jedoch ist die Verwendung weniger risikobehaftet als die Nutzung des Like-Buttons von Facebook. Denn anderes als bei dem Like-Button sollen bei der der Verlinkung keine Daten übermittelt werden. Erst wenn der Nutzer den Link aktiviert, würde eine Datenübermittlung erfolgen. Eine Datenschutzerklärung, die über die Verwendung der Daten informiert, wäre trotzdem anzuraten.  Wird das Teilen von Inhalten an Freunde (Tell-a-Friend) mit wirtschaftlichen Anreizen verknüpft, so ist die Situation kritischer anzusehen.

Fazit

Der Einsatz von WhatsApp ist aus Datenschutzsicht kritisch. Zwar mag der Einsatz sowohl aus Unternehmens- als auch aus Kundensicht zahlreiche Vorteile bergen, jedoch stehen diesen Vorzügen eine Vielzahl an Risiken gegenüber.

Möchte oder kann ein Unternehmen -trotz der Risiken- nicht auf den Messenger verzichten, so sollte sich das Unternehmen ausreichend von seinem Datenschutzbeauftragten oder einem Datenschutzberater / Consultant beraten lassen. Eine weitere Alternative wäre der Einsatz eines Messengers, der europäische Server nutzt und damit schärferen Datenschutzrechten unterliegt.

Verwenden auch Sie WhatsApp zu Kommunikations- oder Marketingzwecken? Falls Sie bereits einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten… ansonsten nehmen Sie Kontakt zu uns auf. Gerne beraten wir Sie rund um das Thema WhatsApp und über ein datenschutzkonformes Marketing.

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?

twitter-292993_640Wie WhatsApp am 05.04.2016 verkündete, wären nun alle Nachrichten, Bilder und Dateien, die über den Nachrichtendienst verschickt werden, auf dem kompletten Weg vom Absender bis zum Empfänger zu schützen.

Die End-to-End-Encryption (E2EE) oder zu deutsch Ende-zu-Ende-Verschlüsselung werde aktiv, wenn beide WhatsApp-Nutzer die neueste Version der App verwenden. Diese Verschlüsselungstechnik war bisher nur für Android-Nutzer verfügbar. Nach Aussagen des Unternehmens haben dadurch weder Dritte noch WhatsApp selbst Möglichkeiten die Nachrichten zu lesen.

Funktionsweise der E2E-Technik?

Einfach gesagt können bei einer End-to-End-Verschlüsselung nur Sender und Empfänger den Inhalt einer Datei entziffern, da lediglich sie die Informationen (Schlüssel) zum Entschlüsseln besitzen. Dritte, die einen Dateiverlauf  „hacken“, sind prinzipiell nur in der Lage zu erkennen, wer mit wem kommuniziert. Einen Schlüssel zum Entschlüsseln des Inhalts aber müsste ein Überwacher errechnen. Heutige kryptografische Systeme sind so konzipiert, dass dies so gut wie unmöglich ist beziehungsweise sehr lange Zeit in Anspruch nehmen würde.

Wie ist zu erkennen, ob die Verschlüsselung aktiv ist?

Schloss - Verschluesselung Whatsapp - Ende zu EndeDer Aufbau der verschlüsselten Verbindung und des notwendigen Schlüsselaustauschs erfolgt komplett im Hintergrund. Ob ein Chat verschlüsselt ist oder nicht, können Nutzer allerdings erkennen. WhatsApp weist in der Übergangsphase  mit dem Text „Nachrichten, die Sie in diesem Chat senden, sowie Anrufe, sind jetzt mit Ende-zu-Ende-Verschlüsselung geschützt.“ auf den Beginn von verschlüsselten Chats hin. Zudem zeigt ein Schloss-Symbol in den Einstellungen jedes Chats, ob dieser verschlüsselt ist oder nicht.keine Verschluesselung Whatsapp

Letzteres kann passieren, wenn „die Person am anderen Ende“ noch eine ältere WhatsApp-Version verwendet. In Gruppenchats ist es bereits ausreichend, dass ein Mitglied über eine ältere („veraltete“) Version verfügt, damit die Ende-zu-Ende-Verschlüsselung für den gesamten Chat nicht möglich. WhatsApp-Nutzer werden daher auf diesem Wege dazu angehalten immer ein Update auf die aktuelle Version durchzuführen. Dies kann sich positiv, aber auch negativ für Nutzer auswirken.Sicherheitscode Whatsapp Verschluesselung-Android

Des Weiteren können WhatsApp-Nutzer bestätigen, ob sie wirklich mit dem gewünschten Gegenüber kommunizieren. Dazu haben beide einen sogenannten einmaligen Sicherheitscode, in der Form eines QR-Codes, der durch den Chatpartner gescannt werden kann. Alternativ existiert eine 60-stellige Nummer, die verglichen werden kann, sollte das Scannen des Codes nicht möglich sein. Das Bestätigen des Chatpartners soll den Nutzern zusätzliche Sicherheit, z. B. bei Diebstahl der SIM-Karte, geben. Passiert dies einem Chatpartner und ein Fremder verifiziert sich mit der Nummer in WhatsApp, so sind die alten Inhalte zum einen nicht ersichtlich, zum anderen kann man sich anzeigen lassen, ob sich die Sicherheitsnummer geändert hat.

Verschlüsselung nur eine Geste?

Das Programm das WhatsApp zur Verschlüsselung nutzt ist ein Open-Source-Tool, d. h. der Quellcode ist theoretisch für JEDEN offen lesbar und kann somit von externen Spezialisten auf versteckte Hintertüren überprüft werden.

Zum Schutz der WhatsApp-Nutzer vor Hackerangriffen verwendet das Open Source-Protokoll Forward Secrecy. Hierdurch werden kurzlebige Schlüssel zum Absichern jeder einzelnen Nachricht verwendet. Ein Überwacher, der WhatsApp-Nachrichten irgendwie mitschneidet, speichert und dann auch noch in den Besitz des Schlüssels eines Teilnehmers gelangt, soll damit weder alte Chats nachträglich, noch künftige Chats entschlüsseln können.

Trotz Verschlüsselung bleiben Datenschutzlücken

Kritische Stimmen bleiben. Hierbei geht es um die Natur des Programms selbst. Mit Installation des Programms wird der Zugriff auf die gespeicherten Telefonnummern in Smartphones ermöglicht und diese werden unverschlüsselt an die WhatsApp-Server in Californien (USA) weitergegeben. Auch wenn niemand die Inhalte der Nachrichten einsehen kann, ist es möglich Nutzungsprofile zu erstellen und auszuwerten.

Weiterhin ist zu bemängeln, dass beim Nutzen zunächst die Handynummer unverschlüsselt an die Server übermittelt wird, während WhatsApp die Identität abrufen kann. Für eine Weitergabe der Daten wäre nach EU-Datenschutzrecht -streng genommen- die Zustimmung jedes Kontakts des jeweiligen Nutzers notwendig, ehe auch dessen Daten an WhatsApp weitergegeben werden. Das Problem besteht hier weniger bei angemeldete WhatsApp-Nutzern, sondern liegt vielmehr bei den Rufnummern (sog. personenbezogenes Datum) und damit verknüpft den dadurch identifizierbaren Personen, die WhatsApp NICHT NUTZEN (möchten).

Ebenfalls ließe sich argumentieren, dass nach der Abschaffung des Safe-Harbor-Abkommens für die Weitergabe der Daten in die USA eine Vorabgenehmigung der zuständigen nationalen Datenschutzbehörde nötig sei.

Die Alternative sind Messenger, die europäische Server mit schärferem Datenschutzrecht nutzen oder solche Messenger, die nicht auf Telefonnummern angewiesen sind.

Inwiefern nutzen Sie innerhalb Ihrer Verantwortlichen Stelle/n (Unternehmen, Firma, Konzern, Verein, Körperschaft des öffentlichen Rechts …) WhatsApp zur Kommunikation mit oder durch Angestellte, Mitarbeiter, Beamte, … oder auch Praktikanten oder können dies zumindest nicht ausschließen?

Falls Sie bereits einen Datenschutzbeauftragten haben, lassen sie sich hierzu von diesem beraten…

…ansonsten nehmen Sie Kontakt, fordern Sie ein kostenloses Angebot zum Datenschutz an und klären Sie durch professionelle Beratung alle Fragen rund um das Thema Datenschutz, z. B. um die WhatsApp-Verschlüsselung oder den Einsatz sonstiger Messanger.