Channel

Ecosystem

Datenschutz

WhatsApp: Noch gibt es keine Lösung, wie man die Messaging-App DSGVO-konform einsetzen kann

1,5 Milliarden Nutzer machen WhatsApp zu einem der beliebtesten Messaging-Dienste der Welt. WhatsApp ist auch auf Dienst-Handys ein weit verbreiteter SMS-Ersatz. Seit einigen Monaten geht allerdings die Sorge um, dass die Datenschutz-Grundverordnung (DSGVO) diesem Kommunikationskanal ab 25. Mai ein jähes Ende bescheren könnte.

Im Unterschied zu anderen beliebten Business-Tools aus den USA, hat die Facebook-Tochter bisher keine Tools angekündigt, die einen Einsatz von WhatsApp im beruflichen Umfeld an die DSGVO anpassen würde. Lediglich ein Link zum Herunterladen der eigenen Daten wurde bereits von einigen Nutzern entdeckt – wohl ein Beta-Test, der darauf hindeutet, dass diese Funktion bald implementiert wird. Damit trägt WhatsApp allerdings nur seinen eigenen Nutzern gegenüber Rechnung.

WhatsApp schickt Daten aller Kontakte an US-Server

Das Problem lässt sich auf eine einfache Tatsache herunterbrechen: WhatsApp überträgt regelmäßig das Telefonbuch seiner Nutzer an seine eigenen Server in den USA, und zwar auch jene Kontakte, die keine WhatsApp-Nutzer sind. Das gilt auch für „WhatsApp Business“ – eine neue App, die Unternehmen helfen sollen, Kunden-Service über die Messaging-App abzuwickeln. Daraus ergeben sich bei der beruflichen Nutzung einige berechtigte Fragen.

Doch zunächst zu den guten Nachrichten: WhatsApp speichert nach der Übertragung keine Nachrichten oder Bilder seiner Nutzer (außer Profilbild und Status) auf seinen Servern – die Nachrichten sind zudem verschlüsselt (End-to-end). Innerhalb der EU hat WhatsApp außerdem aufgehört, Nutzungsdaten an seinen Mutterkonzern Facebook zu übertragen.

Opt-in technisch kaum umsetzbar

Was also bleibt, ist die Übertragung der Kontaktdaten aus dem Adressbuch des Handys in die USA. Die Übertragung personenbezogener Daten in das EU-Ausland ist gemäß der DSGVO nicht grundsätzlich verboten. Die sicherste Variante wäre natürlich ein Opt-in. Technisch ist dieser im Fall von WhatsApp allerdings kaum umsetzbar, da die Einwilligung jedes einzelnen Kontakts eingeholt und mit Datum dokumentiert werden müsste – theoretisch jedes Mal bevor ein neuer Kontakt im Telefonbuch gespeichert wird.

Die Verordnung gestattet die Datenübertragung ins EU-Ausland aber auch dann ohne Opt-in, wenn die Nutzung entweder zur Vertragserfüllung notwendig ist oder die Interessen der Firma die Interessen des Betroffenen (Kontakts in diesem Fall) überwiegen. Ob eine oder beide Bedingungen erfüllt sind, muss im Einzelfall von Juristen geklärt werden.

Das zweite große Problem ist das Recht der betroffenen Personen auf Löschung der eigenen Daten. Im Unterschied zu anderen Web-Diensten hat WhatsApp bisher kein Tool angekündigt, das das ermöglicht.

Interpretationsspielraum für Höchstgerichte

Auf den Punkt gebracht bedeutet das, dass WhatsApp auf dem Firmenhandy nach 25. Mai vermutlich nicht mehr eingesetzt werden darf. Vermutlich, weil etliche Punkte in der DSGVO einen Interpretationsspielraum offen lassen – etwa die Interessensabwägung -, der erst in Präzedenzfällen vor den Höchstgerichten geklärt werden muss.

Wer WhatsApp jetzt noch nicht von den Diensthandys aller Mitarbeiter gelöscht hat, müsste noch zwei Punkte beachten: Die Datenübertragung ins EU-Ausland muss einerseits über das Verarbeitungsverzeichnis der Aufsichtsbehörde kenntlich gemacht werden. Andererseits müssen betroffene Personen über die Übermittlung und den Grund für die Übermittlung informiert werden.

DSGVO-sichere WhatsApp-Alternativen

Bis es soweit ist, empfiehlt sich also ein Umstieg auf eine rechtlich sichere Alternative:

  • Grape aus Österreich bietet eine Slack ähnliche Alternative an, die auf europäischen Servern die Möglichkeit hat, interne Kommunikation im Chat-Stil abzuwickeln. Es ist auch möglich, dass die Software „On Premise“, also auf den Servern eines Unternehmens installiert werden. Grape kostet je nach Anzehl der User pro Nutzer und Monat ab 2,50 Euro.
  • Threema zum Beispiel hat seine Server in der Schweiz stehen und speichert dort kaum Nutzerdaten. Anders als bei WhatsApp wird das Adressbuch nicht an Threema übertragen. Der Nutzung von Threema stünde also nichts im Wege. Außer vielleicht, dass sich auf dieser Plattform nur wenige berufliche Kontakte tummeln könnten – die App ist kostenpflichtig.
  • Der Messenger Signal hat seine Server in zehn verschiedenen Ländern stehen. Allerdings werden beim Abgleich des Adressbuches alle Kontakte mittels eines Hash-Verfahrens anonymisiert und die Hash-Werte nach dem Abgleich wieder von den Servern gelöscht. Signal könnte nach dem 25. Mai also verwendet werden. Signal arbeitet derzeit außerdem an einem Verfahren, das verhindert, dass Serverbetreiber Einblick in übertragene Kontaktdaten bekommen. Das könnte möglicherweise das Datenschutz-Problem aller Anbieter lösen.

Telegram wird zwar immer wieder als sichere WhatsApp-Alternative bezeichnet – doch abgesehen von bekannten Server-Standorten in London weiß man nicht genau, in welchen Rechenzentren die Daten verarbeitet werden. Telegram nutzt das gleiche Verfahren zum Abgleich des Adressbuchs wie WhatsApp. Mit Telegram ergeben sich also dieselben Probleme wie mit WhatsApp. Außerdem werden neben den Telefonnummern von Kontakten auch die Nachrichten, Fotos, Videos und andere Dokumente, die sich User zusenden, auf den Telegram-Servern verschlüsselt zwischen gespeichert.

Dieser Artikel stellt keine Rechtsberatung dar. Wir übernehmen keinerlei Gewähr für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben.

So passt man den Newsletter-Dienst MailChimp an die Regeln der neuen DSGVO an

DSGVO: So passt ihr WordPress an den neuen EU-Datenschutz an

DSGVO: Google Analytics startet Tools für die Umsetzung der neuen EU-Datenschutz-Regeln

Springe zu:

Ganzen Artikel lesen
Promotion