Datenschutzkonformer Einsatz von Messenger-Dienste

Messenger und die Datenverarbeitung
Ein datenschutzkonformer Einsatz von Messenger-Diensten stellt Unternehmen vor besondere Herausforderungen

Herausforderungen in der Nutzung von Messenger-Diensten in Unternehmen

Der Umgang mit den Instrumenten der Digitalisierung ist aus datenschutzrechtlicher Sicht für viele Unternehmen noch unklar. Auch die interne und externe Kommunikation von Unternehmen unterliegt dynamischen Veränderungen. Die klassische E-Mail wird zunehmend von Enterprise Anbietern wie Slack und Skype for Business oder dem bekanntesten Dienst WhatsApp ersetzt. Aber wie erfolgt ein datenschutzkonformer Einsatz von sogenannten Messenger-Dienste? In diesem Beitrag möchten wir Ihnen die Problematik der Nutzung von Messenger-Dienste in Unternehmen aus datenschutzrechtlicher Sicht erörtern und Ihnen Lösungsoptionen aufzeigen.

Vorab zwei realistische WhatsApp Beispiele
Bevor wir uns der etwas trockenen datenschutzrechtliche Situation zuwenden, sollen hier ganz kurz zwei praktische Beispiele des täglichen Einsatzes dargestellt werden, die Unternehmen vor Herausforderungen stellen. Weiter unten zeigen wir Lösungsmöglichkeiten zu dem Thema auf.

Beispiel Nr. 1 – internationales Geschäft
Ein Mitarbeiter in einem Hamburger Handelsunternehmen verantwortet den Einkauf von Blaubeeren aus Südamerika. Preise verändern sich täglich. Es gilt schnell zu agieren und mit den Verkäufern in Argentinien und Chile im direkten Kontakt zu stehen. Die Kollegen in Südamerika arbeiten ausschließlich über WhatsApp – das ist der Messenger-Dienst auf dem Kontinent. Nicht nur Preise, auch Volumen und logistische Informationen werden übermittelt, die dann der deutsche Kollege über WhatsApp an seinen logistischen Dienstleister in Venlo oder Rotterdam in den Niederlanden weiterleitet. Ohne WhatsApp wird es schwierig in Südamerika effizient und zeitnah zu kommunizieren.

Beispiel Nr. 2 – Einsatz in Deutschland
Die Mitarbeiter einer Firma sind teilweise mit PDAs ausgestattet, die auch zur privaten Nutzung freigegeben sind. Teile der Belegschaft verfügen jedoch über kein Firmenhandy. Sie telefonieren auch mal mit Kunden oder externen Dienstleistern von Ihrem privaten PDA, auf dem sie auch WhatsApp installiert haben.

Die praktischen Herausforderungen sind oft viel komplexer, so dass eine einfache ja/nein Entscheidung nicht mal eben getroffen werden kann. Die zu erstellende Compliance muss in die Unternehmensstruktur passen. Wir wollen uns der Problematik Schritt für Schritt nähern.

Worum geht es aus datenschutzrechtlicher Sicht?

A) Verarbeitung personenbezogener Daten

Ein Messenger-Dienst erstellt in der Regel als Anwendung eine Kontaktliste, indem er die auf dem Smartphone gespeicherten Nummern mit den Nummern abgleicht, die auf den Servern des Dienstes abgelegt sind. Um also herausfinden zu können, ob Nutzer über den gleichen Dienst kommunizieren können, muss der Nutzer seine Adressbuchdaten zur Verfügung stellen. Dabei werden aber ohne Ausnahme alle Nummern aus dem Adressbuch abgeglichen: Die App erhält somit Zugriff auf alle Nummern, die auf dem Smartphone gespeichert sind – und damit auch auf diejenigen Nummern von Personen, die die App nicht nutzen und nur als reine Kontakte geführt werden.

Art. 4 der DS-GVO definiert personenbezogene Daten als konkrete Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Auch die Telefonnummer (mobil oder als Festnetzanschluss) gehört zu diesen Daten. Datenschutzrechtlich gesprochen werden durch den Upload der Adressbücher personenbezogene Daten durch einen Dritten (Messaging-Anbieter) „verarbeitet“. Eine solche Verarbeitung ist nach Art. 6 Abs. 1 DS-GVO nur dann zulässig, wenn es hierfür eine Rechtfertigung gibt (sog. Präventives Verbot mit Erlaubnisvorbehalt).

Die Datenverarbeitung kann beispielsweise zur Erfüllung eines Vertrags erforderlich sein oder aber aufgrund einer Einwilligung erfolgen. Haben Sie als Unternehmer Zugriff auf die Daten Ihrer Kunden oder Nutzer, so sind die Vorschriften aus Art. 28 DS-GVO einschlägig und ein gesonderter Vertrag ist nötig. Sie müssen rechtlich gewährleisten, dass eine Weitergabe bzw. Verarbeitung der Daten datenschutzrechtlichen Anforderungen genügt.

Die Auftragsdatenverarbeitung (kurz: AV) gem. Art. 28 DS-GVO ist wichtig, wenn Sie die personenbezogenen Daten Ihrer Kunden weitergeben und ein Zugriff durch externe Dienstleister bzw. andere Dritte möglich wird. Hierzu muss ein entsprechender Vertrag zwischen Ihnen und den externen Unternehmen geschlossen werden (AV-Vertrag). Zusätzlich ist zudem die Einwilligung der Betroffenen erforderlich. Diese ist vor der Weitergabe einzuholen und sollte entweder schriftlich oder in einem elektronischen Format vorliegen.

Nur, wenn diese Voraussetzungen erfüllt sind, ist die berufliche Nutzung eines Messenger-Dienstes als DS-GVO-konform einzustufen. Da die Mitglieder eines Adressbuchs regelmäßig nicht zu dem Upload Ihrer Daten befragt werden und eine Vertragserfüllung ebenfalls nicht besteht, ist die Übertragung dieser Daten in aller Regel unzulässig.

Privat ist der Einsatz weniger problematisch, denn hier findet das Datenschutzrecht aufgrund Art. 2 Abs. 2 c) DS-GVO keine Anwendung. Anders im beruflichen Alltag, denn die Einholung von Einwilligungen ist gerade bei geschäftlichen Adressbüchern aufgrund der Vielzahl von Kontakten kaum realisierbar. Im oben dargestellten Beispiel 1 erscheint dies als ein unrealistisches Unterfangen. Oft wird versucht über die Interessenabwägung aus Unternehmenssicht zu argumentieren. Das wird in diesem Fall schwierig, denn das Interesse auf Nicht-Nutzung bzw. Nicht-Verarbeitung der Telefonnummer und des Namens dürfte dem Interesse des Messaging-Dienstes, eine Kontaktliste zu erstellen, überwiegen.

B) Verarbeitung von Verhaltensdaten (Metadaten)

Analog zu einem Telefonanbieter können Messenger-Dienste jederzeit nachvollziehen, welcher Teilnehmer wann mit wem kommuniziert hat. Derartige Metadaten können in der Summe zur Profilbildung einzelner Nutzer herangezogen werden. Beispielsweise behält sich WhatsApp vor diese Informationen umfassend für eigene Zwecke verwenden zu dürfen.

Auch Enterprise Lösungen wie Slack und Microsoft erfassen die Metadaten ihrer Nutzer. Slack verweist in seinen Datenschutzbestimmungen, u.a. auf die Notwendigkeit der Untersuchung und Vermeidung von Sicherheitsproblemen und Missbrauch sowie zum Schutz seiner Services. Microsoft gibt an seine Produkte mit Hilfe dieser Informationen zu aktualisieren, zu sichern und Probleme zu behandeln. Ein weiterer Einsatz ist die Personalisierung der Produkte und die Bereitstellung von Empfehlungen. Erfolgt keine Anonymisierung, ist also ein Rückschluss zu einem Nutzer möglich, stellen auch Metadaten personenbezogene Daten im Sinne der DS-GVO dar.

Messenger-Dienste: ein kurzer Überblick

Es gibt eine Unmenge von alternativen Messenger-Diensten. Werfen wir zunächst einen kurzen Blick auf das breitere Spektrum der Chat-geeigneten Anwendungen. Hierzu gehören zum Beispiel E-Mail-Clients wie Outlook, Gmail und Thunderbird, die aufeinander bezogene Nachrichten immerhin als Chat-ähnliche Threads sortieren. Auch Delta.Chat setzt auf die E-Mail-Protokolle SMTP und IMAP und kommt den Anforderungen an einen Messenger nahe.

Weitere Dienste wie Google Meet, Skype for Business, Chiffry oder Stackfield bieten sich mit der Integration in Office-Programme und zentraler Kontenverwaltung besonders für den geschäftlichen Einsatz an. Instagram, Tic Toc und ähnliche Apps sind vor allem als Plattformen zum Teilen kurzer Videoclips populär.

Vor ca. 10 Jahren startete der Internetdienst WhatsApp und brachte damit den Durchbruch für Instant Messaging Dienste. Heute ist WhatsApp bei mehr als einer Milliarde Nutzern im Einsatz. Doch die oben kurz aufgeführten zahllosen alternativen Chat- und Messaging-Apps warten mit unterschiedlichen Schwerpunkten, Stärken und Schwächen auf.

Eine Schwäche von WhatsApp ist genau wie beim Facebook Messenger die enge Verbundenheit mit Facebook und dessen Geschäftsmodell, so viele Anwenderdaten und Adressbucheinträge wie irgend möglich zu sammeln. Facebook stellt daraus umfassende persönliche Profile zusammen und vermarktet sie. Beim Facebook Messenger sind die Probleme noch auffälliger. Wer dort ein Konto anlegt kann kaum verhindern, dass dieses nahtlos mit den eigenen Facebook-Daten und denen der Facebook-Freunde und den Freunden der Freunde verschmilzt.

Obwohl WhatsApp nur für Privatnutzer entwickelt wurde, wird WhatsApp vermehrt innerhalb von Unternehmen oder zur Kommunikation mit Kunden verwendet. Ein neueres Angebot ist WhatsApp Business, auf das wir weiter unten eingehen.

Alternativ können Enterprise-Messenger, also Messaging-Dienste, die speziell für die Kommunikation in Unternehmen entwickelt wurden, eingesetzt werden. Diese Dienste bieten ähnliche Basisangebote mit Zusatzfunktionen wie Projektverwaltung oder internen Terminvereinbarungen. Zu den gängigen Enterprise-Messaging-Diensten gehören etwa Slack und Skype for Business (ehemals Microsoft Lync).

Auch hier werden personenbezogene Daten der Nutzer erhoben und verarbeitet, was im Einzelfall geprüft und datenschutzrechtlich legitimiert werden muss. Bei Slack findet kein automatisierter Upload von Adressdaten statt. E-Mail-Adressen und Namen werden nur verarbeitet, wenn sich ein Nutzer innerhalb des Dienstes registriert. Skype bietet hingegen eine Synchronisierung der vorhandenen Kontaktdaten an.

Der AV-Vertrag als Lösungsoption

Wir haben oben die datenschutzrechtlichen Anforderungen des Art. 28 DS-GVO durch die Verarbeitung personenbezogener Daten erläutert. Zur Rechtfertigung der Datenverarbeitung eines Messaging-Dienstes muss zwischen dem Auftraggeber und dem Auftragnehmer ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) geschlossen werden. Die personenbezogenen Daten werden dadurch nur im Auftrag und unter Weisung des Nutzers (Auftraggeber) verarbeitet und dürfen, einfach ausgedrückt, nicht zu eigenen Zwecken des Diensteanbieters (Auftragnehmer) verwendet werden.

Beispielsweise sind AV-Verträge für Slack und für Skype for Business online abrufbar. Sollten diese Dienste genutzt werden, ist in jedem Fall ein solcher AV-Vertrag zu schließen. Durch die Vereinbarung ist vertraglich geregelt, dass die gespeicherten Personendaten allein im Auftrag des beauftragenden Unternehmens verarbeitet werden.

WhatsApp und auch WhatsApp Business bieten keine AV-Verträge an. Zielgruppe für WhatsApp Business sind Kleinunternehmen. Der Unterschied zum regulären WhatsApp besteht lediglich in einer Erweiterung der Unternehmensfunktionen, wie zum Beispiel dem Ankündigen von Rabattaktionen. Angeblich soll es die Möglichkeit geben den Upload von Kontaktdaten nicht zu unterbinden, aber in einer geschützten Umgebung zu verwalten, so dass diese Daten dann nicht von WhatsApp zu weiteren Zwecken verarbeitet oder weitergegeben werden. Es stellt sich nur die Frage, warum dann kein AV-Vertrag angeboten wird. Es handelt sich somit nur um eine Erweiterung des regulären WhatsApp-Dienstes. Der aus Datenschutzsicht problematische Upload von Kontaktdaten ist auch hier Teil der Standardfunktion. Er lässt sich nicht nach unserer Kenntnis innerhalb der App abschalten.

Welche Möglichkeiten bietet nun WhatsApp?

Wird auf einem geschäftlich-genutzten Smartphone, welches auch privat genutzt werden darf, WhatsApp privat genutzt, so sind die geschäftlichen Kontakte stets vor Zugriffen durch WhatsApp zu schützen. Eine Möglichkeit ist die Nutzung verschiedener Benutzerprofile, sodass ein Zugriff auf das geschäftliche Telefonbuch ausgeschlossen werden kann. Zum Einsatz kommen in diesem Fall professionelle Mobile-Device-Management-Lösungen, die jedoch mit einem hohen Kosten- und Administrationsaufwand verbunden sind.

Eine weitere Möglichkeit, die Firmenkontakte vor dem Zugriff von WhatsApp zu schützen, ist das Abschalten der automatischen Synchronisation der Outlook-Adressbuch-Kontakte zwischen beruflichem Mail-Server und Smartphone. Geschäftliche Kontaktdaten werden dann nicht mehr automatisch auf dem Smartphone gespeichert. Konsequenz ist jedoch eine erhebliche Einbuße beim Nutzungskomfort, wie etwa dem Fehlen der Rufnummer-Identifizierung, da ein Abgleich mit dem Adressbuch nicht mehr erfolgen kann.

Fazit

Verstöße gegen die DS-GVO bei der Nutzung von WhatsApp & Co. können empfindliche Sanktionen nach sich ziehen. Es bestehen Haftungsrisiken für Unternehmen – Nehmen Sie das Thema nicht auf die leichte Schulter!

Ein datenschutzkonformer Einsatz von Messenger-Dienste im Unternehmen sollte unter Datenschutzaspekten genau analysieren werden. Zum Beispiel kommt der kostenpflichtige Instant-Messenger von Threema den Anforderungen der DS-GVO nach und benötigt keinen Zugriff auf die Kontaktdaten. Auch Signal oder Telegram könnten eine Alternative sein.

Für den geschäftlichen Zweck und auch auf Geschäftshandys sollte WhatsApp aufgrund der oben aufgeführten Problematik nicht eingesetzt werden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit äußerte sich kritisch gegenüber der Nutzung von WhatsApp im geschäftlichen Rahmen (TB 2017/2018, Nr. 15.2.6) und auch die Landesbeauftragte für den Datenschutz in Niedersachsen und das Bayerische Landesamt für Datenschutzaufsicht (TB, 2015/2016, Nr. 22.1) vertreten diese Auffassung.

Sollten Mitarbeiter, wie oben im Beispiel 2 dargestellt, den Dienst eigenständig mit betrieblichen Mitteln nutzen, ist der Arbeitgeber auch in diesen Fällen datenschutzrechtlich (mit-) verantwortlich. Es sollte daher innerhalb des Unternehmens klar geregelt werden, welche Dienste für geschäftliche Kontakte genutzt werden dürfen und welche nicht.
Bekannte Compliance Entscheidungen der jüngeren Vergangenheit sind der Autohersteller BMW und der Autozulieferer Continental. Um sich vor den Haftungsrisiken zu schützen haben diese Unternehmen die Nutzung von WhatsApp auf dienstlich genutzten Smartphones untersagt.

Enterprise-Dienste können genutzt werden, wenn die Verarbeitung mittels Auftragsverarbeitung abgesichert wird. Weiterhin müssen die Mitarbeiterinnen und Mitarbeiter stets über die datenschutzrechtliche Problematik informiert uns sensibilisiert werden.

Autor: Oliver Zeh