WhatsApp in Unternehmen – Konflikte mit der DSGVO

DSGVO: WhatsApp - mobiles Festnetz - Signal am Smartphone?

DSGVO: WhatsApp / mobiles Festnetz / Signal am Smartphone?

Ich habe seit dem Scharfschalten der DSGVO reichlich Kommunikation mit Unternehmen. Mein Interesse gilt dabei meinen persönlichen Daten, die eine Firma speichert. Denn viele Verantwortliche vergessen dabei leider auf die Kontakte-App am Smartphone sowie auf WhatsApp, die darauf hemmungslos zugreift …

Meine Fragen sind sehr simpel: Wo bin ich als Kontakt gespeichert und wer hat aller Zugriff darauf? Viele wissen das dann gar nicht. Bei Apple, bei Google, bei Microsoft? In der EU oder außerhalb? Wurde mit diesen Firmen eine Auftragsverarbeitung abgeschlossen? Welchen Apps / Services wurde beispielsweise am Smartphone der Zugriff auf die Kontakte gewährt? Wer hat dann meine Daten? Wo und wann hätte ich meine Erlaubnis zur Weitergabe erteilt? Wie schaut’s mit dem Recht auf Vergessen aus?

WhatsApp als Beispiel aus der Praxis

Ich weiß nicht, welche Unternehmen meine Kontaktdaten gespeichert haben. Ich kann aber mit Garantie behaupten, dass Facebook alle meine aktuellen Daten hat. Obgleich ich weder WhatsApp noch Facebook verwende. Somit geht es um Daten unbeteiligter Dritter. So ist meine Handynummer sicherlich in vielen Adressbüchern auf zahlreichen Smartphones drinnen. Das ist mal eine unverrückbare Tatsache. Warum ich WhatsApp als Beispiel nehme: Es verwenden sehr viele Unternehmen zur geschäftlichen Kommunikation.

“Adressbuch. Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern von WhatsApp Nutzern und anderen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten.”

Wer WhatsApp verwendet, der gibt alle auf seinem Smartphone gespeicherten Daten weiter. Nach Bestätigung, dass er von jeder Person im Adressbuch einzeln die schriftliche Zustimmung zum Teilen der Daten mit den Diensten eingeholt hat. Wie heißt es so schön in den Nutzungsbedingungen: “im Einklang mit geltenden Gesetzen”. Was natürlich nicht der Fall ist. Aber setzen wir mal voraus, dass ich diese Einstimmung gegeben hätte.

Jetzt kommen aber noch viele weitere – unlösbare – Sachen auf ein Unternehmen zu, die WhatsApp verwendet:

• Ich habe durch die DSGVO das “Recht auf Informationen”. Die Firma MUSS mir auf Anfrage mitteilen, wie und wo diese Daten verarbeitet werden. Da es völlig unklar ist, was WhatsApp – die Daten werden zudem noch mit Facebook geteilt – mit meinen Daten wirklich macht, kann dies nicht erfüllt werden.

• Ich habe durch die DSGVO das “Recht auf Vergessenwerden”. Das kann das Unternehmen bei WhatsApp / Facebook nicht erzwingen.

• Durch die Nutzung von WhatsApp / Facebook übertragt ein Unternehmen meine Kundendaten in die USA. Ein herber Widerspruch zur DSGVO. Dort gibt es keinen ausreichende Schutz meiner Daten.

• Personenbezogene Daten von Kunden lassen sich nicht aus WhatsApp herausbekommen. Somit sind Unternehmen bei der “Datenportabilität” der DSGVO nicht konform.

• Das Speichern von personenbezogenen Daten z.B. in der Cloud, entspricht einer Auftragsverarbeitung. Das heißt es ist eine Rechtmäßigkeitsgrundlage erforderlich. So nebenbei: Ein Hinweis, dass ein Service genutzt wird, reicht nicht aus. Dadurch wir die geschäftliche Nutzung nicht zulässiger.

• Und nicht vergessen: Die Daten am Firmen-Smartphone gehören ebenso schützen. Im Falle eines Verlusts oder Diebstahls.

Die Alternativen und meine Schlußfolgerung

Es gibt schon einige Messenger-Alternativen zu WhatsApp. Zum Beispiel – das von mir verwendete – Signal, das beim Abgleich des Adressbuches alle Kontakte via Hash-Verfahren anonymisiert und danach die Hash-Werte wieder löscht. Oder der Business Manager in der “mobiles Festnetz”-App. Das ist aber mit Aufwand verbunden und da werden sicherlich nicht alle Kunden mitspielen. Ein kleiner Teufelskreis, den es aber zu durchbrechen gilt. Denn nicht nur meiner Meinung nach hat WhatsApp am Firmen-Smartphone nichts verloren. Es lässt sich in der beruflichen Nutzung nicht mit der DSGVO vereinbaren.

P.S.: Wie das dann allerdings in der Praxis überprüfbar ist, dass steht noch auf einem anderen Blatt Papier.

6 Kommentare

  1. Peter 13. Juni 2018
    • Helmut Hackl 13. Juni 2018
      • Peter 13. Juni 2018
        • Helmut Hackl 13. Juni 2018
          • Peter 14. Juni 2018
            • Helmut Hackl 14. Juni 2018

eine Antwort hinterlassen