WhatsApp in Unternehmen – Konflikte mit der DSGVO

DSGVO: WhatsApp - mobiles Festnetz - Signal am Smartphone?
DSGVO: WhatsApp / mobiles Festnetz / Signal am Smartphone?

Ich habe seit dem Scharfschalten der DSGVO reichlich Kommunikation mit Unternehmen. Mein Interesse gilt dabei meinen persönlichen Daten, die eine Firma speichert. Denn viele Verantwortliche vergessen dabei leider auf die Kontakte-App am Smartphone sowie auf WhatsApp, die darauf hemmungslos zugreift …

Meine Fragen sind sehr simpel: Wo bin ich als Kontakt gespeichert und wer hat aller Zugriff darauf? Viele wissen das dann gar nicht. Bei Apple, bei Google, bei Microsoft? In der EU oder außerhalb? Wurde mit diesen Firmen eine Auftragsverarbeitung abgeschlossen? Welchen Apps / Services wurde beispielsweise am Smartphone der Zugriff auf die Kontakte gewährt? Wer hat dann meine Daten? Wo und wann hätte ich meine Erlaubnis zur Weitergabe erteilt? Wie schaut’s mit dem Recht auf Vergessen aus?

WhatsApp als Beispiel aus der Praxis

Ich weiß nicht, welche Unternehmen meine Kontaktdaten gespeichert haben. Ich kann aber mit Garantie behaupten, dass Facebook alle meine aktuellen Daten hat. Obgleich ich weder WhatsApp noch Facebook verwende. Somit geht es um Daten unbeteiligter Dritter. So ist meine Handynummer sicherlich in vielen Adressbüchern auf zahlreichen Smartphones drinnen. Das ist mal eine unverrückbare Tatsache. Warum ich WhatsApp als Beispiel nehme: Es verwenden sehr viele Unternehmen zur geschäftlichen Kommunikation.

“Adressbuch. Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern von WhatsApp Nutzern und anderen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten.”

Wer WhatsApp verwendet, der gibt alle auf seinem Smartphone gespeicherten Daten weiter. Nach Bestätigung, dass er von jeder Person im Adressbuch einzeln die schriftliche Zustimmung zum Teilen der Daten mit den Diensten eingeholt hat. Wie heißt es so schön in den Nutzungsbedingungen: “im Einklang mit geltenden Gesetzen”. Was natürlich nicht der Fall ist. Aber setzen wir mal voraus, dass ich diese Einstimmung gegeben hätte.

Jetzt kommen aber noch viele weitere – unlösbare – Sachen auf ein Unternehmen zu, die WhatsApp verwendet:

• Ich habe durch die DSGVO das “Recht auf Informationen”. Die Firma MUSS mir auf Anfrage mitteilen, wie und wo diese Daten verarbeitet werden. Da es völlig unklar ist, was WhatsApp – die Daten werden zudem noch mit Facebook geteilt – mit meinen Daten wirklich macht, kann dies nicht erfüllt werden.

• Ich habe durch die DSGVO das “Recht auf Vergessenwerden”. Das kann das Unternehmen bei WhatsApp / Facebook nicht erzwingen.

• Durch die Nutzung von WhatsApp / Facebook übertragt ein Unternehmen meine Kundendaten in die USA. Ein herber Widerspruch zur DSGVO. Dort gibt es keinen ausreichende Schutz meiner Daten.

• Personenbezogene Daten von Kunden lassen sich nicht aus WhatsApp herausbekommen. Somit sind Unternehmen bei der “Datenportabilität” der DSGVO nicht konform.

• Das Speichern von personenbezogenen Daten z.B. in der Cloud, entspricht einer Auftragsverarbeitung. Das heißt es ist eine Rechtmäßigkeitsgrundlage erforderlich. So nebenbei: Ein Hinweis, dass ein Service genutzt wird, reicht nicht aus. Dadurch wir die geschäftliche Nutzung nicht zulässiger.

• Und nicht vergessen: Die Daten am Firmen-Smartphone gehören ebenso schützen. Im Falle eines Verlusts oder Diebstahls.

Die Alternativen und meine Schlußfolgerung

Es gibt schon einige Messenger-Alternativen zu WhatsApp. Zum Beispiel – das von mir verwendete – Signal, das beim Abgleich des Adressbuches alle Kontakte via Hash-Verfahren anonymisiert und danach die Hash-Werte wieder löscht. Oder der Business Manager in der “mobiles Festnetz”-App. Das ist aber mit Aufwand verbunden und da werden sicherlich nicht alle Kunden mitspielen. Ein kleiner Teufelskreis, den es aber zu durchbrechen gilt. Denn nicht nur meiner Meinung nach hat WhatsApp am Firmen-Smartphone nichts verloren. Es lässt sich in der beruflichen Nutzung nicht mit der DSGVO vereinbaren.

P.S.: Wie das dann allerdings in der Praxis überprüfbar ist, dass steht noch auf einem anderen Blatt Papier.

6 Kommentare

  1. Leider ist das aber zu kurz gegriffen, denn jede App nimmt irgendwie
    die systemgespeicherten Kontakte. Und die sind schon bei Google oder Apple oder
    Microsoft wahrscheinlich nicht rechtmässig “verwaltet”.

    D.h. firmenmässig darf man dann gar kein Handy mehr verwenden, oder am
    Diensthandy keine privaten Kontakte und Daten verwalten (von den Personen
    hat man im Normalfall keine schriftliche Zustimmung und einen AV Vertrag
    wird man mit solchen Firmen nicht zusammenbringen).

      1. Ja, aber das hilft halt leider nix.

        Beispiel: Ich nehm eine x-beliebige Mailapp am Firmenhandy z.B.
        Gmail oder Outlook oder xxx. Und verschick dann dort eine Mail
        an eine firmenfremde Privatperson (z.B. meine Tante). Somit hat
        man schon ein persönliches Datum mit dem Mailprovider geteilt
        (die EMail Adresse in dem Fall) und weil die Firma keine Beziehung
        zu dieser
        Privatperson (meiner Tante) pflegt einen Verstoß nach DSGVO begangen.
        Der Mailprovider speichert natürlich diese personenbezogenen
        Daten zusätzlich, vielleicht auch an Orten, die man nicht erlaubt hat
        oder die für die Firma nicht erlaubt wären.

        Meines Erachtens ist die einzige Möglichkeit die folgende:

        Getrenntes Firmenhandy, getrenntes Privathandy. Mit dem Firmenhandy
        darf laut Dienstanweisung nur mit von der Firma freigegebenen
        Personen kommuniziert werden (in jeglicher Form). Zusätzlich
        muss man das Firmenhandy so absichern, dass man nur bestimmte Apps
        installieren kann, weil reine Abwälzung auf den Mitarbeiter wird nicht funktionieren.

        Ist aber m.E. nicht mehr praktikabel. Wer würde so ein Telefon denn dann noch verwenden?

        SMS an Privatperson wäre z.B. auch schon problematisch, wenn
        in die Firma dann was synchronisiert wird an Daten, für die
        es keine Einverständniserklärung gibt.

        Und so kommen praktisch noch viel mehr Problemfälle zusammen
        als man sich jetzt noch bewußt ist.

        1. Bei mir hilft es schon, da mein Mail-Server auch bei W4Y liegt. Ebenso wie der Terminkalender und Korrespondenz :-)

          Man darf noch gar nicht in die Tiefe denken. Das haben die Urheber der DSGVO wohl auch nicht getan. Da ist vieles sehr schwamming formuliert und unausgegoren.

          1. Ja, W4Y hab ich mir wegen Deines Tipps auch schon
            angeschaut, sehr vielversprechend.

            Und zum anderen: Volle Zustimmung!

            Selbst Juristen sind sich da recht uneins im Bezug auf die DSGVO.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.