Die Nutzung von Messenger-Diensten stellt die Datenschutzbeauftragten von Unternehmen, Behörden, Kommunen und Schulen regelmäßig vor (datenschutz-)rechtliche Herausforderungen. Der unkomplizierten und zeitsparenden Kommunikationsmöglichkeit stehen meist erhebliche Bedenken hinsichtlich der intransparenten Verarbeitung personenbezogener Daten gegenüber. Ein datenschutzkonformer Einsatz ist im dienstlichen Umfeld oftmals nicht möglich. Doch auch im Rahmen der privaten Nutzung sollte die Wahl eines geeigneten Messenger-Dienstes sorgfältig geprüft werden. Die Aktualisierung der Geschäftsbedingungen von WhatsApp sorgt nun für ein Umdenken vieler Nutzer.
DIE NUTZUNG VON WHATSAPP IM DIENSTLICHEN UMFELD
Erst im Mai des vergangenen Jahres äußerte sich der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Prof. Ulrich Kelber dahingehend, dass der Einsatz von WhatsApp für Bundesbehörden ausgeschlossen ist. Der Argumentation folgend dürfte Selbiges auch für weitere Behörden und Kommunen gelten. Aber auch hinsichtlich der Nutzung des Messenger-Dienstes an Schulen fällt das Urteil der Landesdatenschutzbeauftragten bereits seit längerer Zeit negativ aus. Weiterhin wird auch die Nutzung von WhatsApp zur betrieblichen Kommunikation in Unternehmen in der Regel als datenschutzrechtlich unzulässig einzustufen sein. Die Begründungen der einzelnen Aufsichtsbehörden fallen meist ähnlich aus:
(1) Bei einer Nutzung von WhatsApp findet eine Übermittlung von Namen und Telefonnummern aus dem Adressbuch des Nutzenden statt. Hierbei werden auch diejenigen Kontakte an WhatsApp übermittelt, die den Messenger-Dienst nicht nutzen. Außerhalb der privaten Nutzung ist hierfür eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DS-GVO (Datenschutz-Grundverordnung) erforderlich, welche in den allermeisten Fällen jedoch nicht vorliegt: Eine Interessenabwägung wird aufgrund der intransparenten Datenverarbeitung regelmäßig gegen die Nutzung von WhatsApp ausfallen, das Einholen von Einwilligungen aller Adressbucheinträge ist in der Praxis nahezu unmöglich.
(2) Bei der Nutzung von WhatsApp und insbesondere im Rahmen des zuvor beschriebenen Kontaktbuchabgleichs findet eine Übermittlung personenbezogener Daten in die USA statt. Da es sich bei den USA um einen datenschutzrechtlichen Drittstaat handelt, sind hierbei die besonderen Anforderungen der Artt. 44 ff. DS-GVO zu beachten. Den Abschluss von Standardvertragsklauseln, die eine Datenübermittlung unter bestimmten Umständen legitimieren könnten, bietet WhatsApp jedoch nicht an.
(3) Weiterhin nutzt WhatsApp durch die Kommunikationsverläufe aggregierte personenbezogene Daten für eigene Zwecke. Zwar findet grundsätzlich eine Ende-zu-Ende verschlüsselte Kommunikation statt, dies gilt jedoch grundsätzlich nur für die Inhalte der Gesprächsverläufe und nicht für die dabei anfallenden Metadaten. Hierzu gehören insbesondere IP-Adressen, Standortdaten, Zeitstempel, Angaben zu Sender und Empfänger sowie weitergehende Informationen über das Smartphone und Betriebssystem. Es ist somit grundsätzlich möglich eine detaillierte Profilbildung über die Nutzenden vorzunehmen. Auf die Aussage des BfDI Prof. Ulrich Kelber, es sei davon auszugehen, dass WhatsApp diese Daten an Facebook weitergebe, entgegnete WhatsApp lediglich, dass eine Übermittlung dieser Daten nicht stattfinde. Auch im Rahmen der überarbeiteten WhatsApp Datenschutzrichtlinie erfolgt jedoch ausschließlich eine recht allgemeine Beschreibung der Verwendungszwecke.
(4) Zudem ist anzumerken, dass die Datenverarbeitungen von WhatsApp zu Teilen nicht transparent und präzise dargestellt werden und demnach nicht den Anforderungen des Art. 12 Abs. 1 S. 1 DS-GVO entsprechen. In der WhatsApp Datenschutzrichtlinie heißt es beispielsweise: „Aus diesen Gründen und auf diese Weise verarbeiten wir deine Daten: Zur Bereitstellung von Messungen, Analysen und sonstigen Unternehmensservices, wenn wir die Daten als Datenverantwortlicher verarbeiten. Berechtigte Interessen, auf die wir uns stützen: Zur Bereitstellung genauer und zuverlässiger aggregierter Berichte für Unternehmen und sonstige Partner, um eine genaue Preisgestaltung und genaue Leistungsstatistiken zu gewährleisten, und um den Wert aufzuzeigen, den unsere Partner durch die Nutzung unserer Dienste realisieren; und im Interesse von Unternehmen und sonstigen Partnern, um ihnen zu helfen, Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern und unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.Verwendete Datenkategorien: Wir verwenden Informationen, die in den Abschnitten Informationen, die du zur Verfügung stellst, Automatisch erhobene Informationen und Informationen Dritter dieser Datenschutzrichtlinie zu diesen Zwecken. […].“ [Unterstreichungen durch den Autor]. Ob eine derartige allgemeine Beschreibung der Datenverarbeitung und unter Nutzung unzähliger Verweise den Anforderungen einer präzisen, transparenten, verständlichen und leicht zugänglichen Datenschutzinformation genügen, ist äußerst fraglich.
Weitere Kritikpunkte lauten, dass der Quellcode von WhatsApp nicht offengelegt wird, keine näheren Informationen zu gegebenenfalls bestehenden Sicherheitsaudits vorliegen und darüber hinaus Tracker zur Analyse des Nutzungsverhaltens eingebunden sind. Grundsätzlich ähnliche Bedenken gelten auch hinsichtlich der Nutzung von Telegram. Dieser Dienst wird zu Unrecht oft als geeignete Alternative empfohlen.
DIE NUTZUNG VON MESSENGER-DIENSTEN IM PRIVATEN UMFELD
Doch auch im Rahmen der privaten Nutzung von Messenger-Diensten, für die die Regelungen der DS-GVO regelmäßig nicht einschlägig sind, sollten datenschutzrechtliche Aspekte schon vor der Wahl eines bestimmten Dienstes berücksichtigt werden. Denn bereits aus der Erhebung von Metadaten lassen sich weitestgehend Rückschlüsse zum Verhalten einzelner Personen ziehen.
Nicht selten wird einer datenschutzversierten Person hinsichtlich datenschutzrechtlicher Bedenken das Argument entgegengehalten, dass ein solches Geschäftsmodell billigend in Kauf genommen werde, da man ohnehin nichts zu verbergen habe. Dass eine solche Argumentation wesentlich zu kurz greift, dürfte einem Jeden mit Blick auf einzelne Berichte bewusstwerden, wonach soziale Netzwerke durchaus in der Lage sind anhand psychologischer Analysen nutzende Personen auszumachen, die sich „nervös“, „gestresst“, „überfordert“, „ängstlich“, „dumm“, „nutzlos“ oder „wie ein Versager“ fühlen. Für Werbetreibende bestehe daraufhin die Chance, diesen Personen durch Werbung in derartigen Situationen gezielt anzusprechen.
Aber auch fernab von solchen Szenarien sollte die Praxis vieler Messenger-Dienste hinsichtlich des zwingenden Kontaktbuchabgleichs ebenfalls im privaten Kontext kritisch hinterfragt werden. Zwar sind die Regelungen der DS-GVO im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten gemäß Art. 2 Abs. 2 lit. c DS-GVO nicht einschlägig, jedoch greift bei Datenverarbeitungen im privaten Umfeld oftmals das allgemeine Persönlichkeitsrecht. Frei nach Kant gilt es hierbei sich zu fragen: „Würde ich selbst wollen, dass Freunde und Bekannte meine Telefonnummer an Internetdienste weitergeben, zu denen ich in keinerlei Verbindung stehe?“ Eine solche ungewollte Offenlegung von Kontaktdaten findet zudem meist schon auf einer niedrigeren Ebene statt: Durch Hinzufügen zu Gruppenchats werden bei einigen Messenger-Diensten für alle Mitglieder sichtbar die Telefonnummern sämtlicher Teilnehmer ungewollt dargestellt. Hier gilt es die Verwendung alternativer Messenger-Dienste zu prüfen.
DATENSCHUTZFREUNDLICHE ALTERNATIVEN
Wer nun gerne auf eine datenschutzfreundlichere Alternative umsteigen möchte, hat zwischenzeitlich die Auswahl zwischen mehreren Anbietern. Eine direkte Vergleichsmöglichkeit bietet unter anderem die Übersicht von Mike Kuketz. Die gängigsten datenschutzfreundlichen Alternativen dürften in dieser Darstellung die Messenger-Dienste Threema sowie Signal sein. Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg unterstützt grundsätzlich den Einsatz von Threema als datenschutzkonforme Alternative. Der Messenger-Dienst aus der Schweiz bietet zudem im dienstlichen Umfeld die Version „Threema Work“ an. Bei einem Einsatz dieser Version ist der Abschluss eines Vertrages zur Auftragsverarbeitung möglich, um den Anforderungen des Art. 28 DS-GVO nachkommen zu können.
FAZIT
Sowohl im dienstlichen als auch im privaten Umfeld sollten bei einem Einsatz von Messenger-Diensten die datenschutzrechtlichen Anforderungen betrachtet werden. Hierbei ist abzuwägen welche konkreten (funktionellen) Anforderungen an einen Messenger-Dienst bestehen und wie dieser datenschutzkonform eingesetzt werden kann. Auch wenn im privaten Umfeld keine Sanktionen gemäß den Regelungen der DS-GVO drohen, schadet ein Umdenken auch hier sicherlich nicht. Für unentschlossene WhatsApp-Nutzende verbleibt eine gewisse Bedenkzeit: Die neuen Nutzungsbedingungen gelten nunmehr erst ab dem 15. Mai 2021 verbindlich.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
