Zu Content springen
Deutsch
Kontaktieren Sie uns
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Ist WhatsApp Business datenschutzkonform?

Diese Stellungnahme soll Ihnen helfen, die datenschutzrechtlichen Herausforderungen besser zu verstehen und umzusetzen. Diese betreffen vor allem die Verarbeitung und Übermittlung personenbezogener Daten, insbesondere in die USA, wo die Server von WhatsApp betrieben werden.

Datenschutzrechtliche Herausforderungen

  1. Upload der Kontaktdaten: Adressbuchdaten werden unverschlüsselt auf Servern in den USA gespeichert und mit den Daten anderer Nutzer abgeglichen. Dies erfordert eine Rechtsgrundlage für jeden Kontakt. Ohne Einwilligung oder vertragliche Grundlage ist dies problematisch. Da nicht ausgeschlossen werden kann, dass Kontakte im Adressbuch keinen WhatsApp-Account besitzen, bietet dieser automatisierte Upload eine datenschutzrechtliche Brisanz. Als Unternehmen müssen Sie für jeden einzelnen Kontakt eine Rechtsgrundlage für die Übermittlung der Daten vorweisen können. Da weder eine vertragliche Grundlage noch die Einwilligung jedes Einzelnen vorliegen dürfte, ist die Übermittlung allein auf Grundlage einer Interessenabwägung im Sinne von Art. 6 Abs. 1 lit. f) DSGVO zulässig. Diese Rechtsgrundlage greift jedoch nicht, wenn der jeweilige Kontakt keinen eigenen WhatsApp-Account besitzt, da in diesem Fall die Interessen der Betroffenen überwiegen
     
  2. Nutzung der Metadaten durch WhatsApp: WhatsApp nutzt Metadaten für eigene Zwecke. Auch hierfür ist eine Rechtsgrundlage notwendig. Normalerweise wird dieses Problem über die Vereinbarung eines Vertrages zur Auftragsverarbeitung (AVV) im Sinne von Art. 28 DSGVO geregelt. Da der WhatsApp Messenger jedoch allein für den privaten Gebrauch konzipiert ist, bietet WhatsApp diesen Vertrag für Unternehmen nicht an. Meta nutzt diese Informationen auch für werbliche Zwecke in eigener Verantwortung. Eine Verarbeitung der Metadaten durch WhatsApp ist somit ohne ausdrückliche Einwilligung Ihrer Kunden nicht zulässig
     
  3. Unverschlüsselte Backups: Backups sind oft unverschlüsselt und werden bei Google oder Apple gespeichert. Auch wenn alle Inhalte grundsätzlich Ende-zu-Ende verschlüsselt sind, sind die Backups regelmäßig nicht von diesem besonderen Schutz umfasst. Wenn Mitarbeiter:innen WhatsApp auf dem privaten Smartphone installiert haben, ist häufig eine automatische Backupfunktion aktiviert. Diese ermöglicht eine einfache Wiederherstellung im Falle eines Verlustes, speichert jedoch alle Inhalte des Telefons (auch die Chats) unverschlüsselt bei Google oder Apple. Hierbei ist zu beachten, dass Apple nicht am Angemessenheitsbeschluss teilnimmt, was zusätzliche Sicherheitsmaßnahmen wie Standardvertragsklauseln (SCCs) erforderlich macht

Empfehlungen

  1. Einwilligung einholen: Holen Sie die ausdrückliche Einwilligung der Nutzer ein und informieren Sie sie transparent über die Datenverarbeitung.
  2. Adressbuch-Upload deaktivieren: Vermeiden Sie den automatischen Upload von Kontaktdaten aus dem Adressbuch.
  3. AVV abschließen: Nutzen Sie WhatsApp Business und schließen Sie einen AVV ab, da dies bei WhatsApp Business möglich ist und eine bessere Kontrolle und Sicherheit bei der Datenverarbeitung ermöglicht.
  4. Backups absichern: Deaktivieren Sie die automatische Backupfunktion oder stellen Sie sicher, dass Backups verschlüsselt sind. Bei Apple sind zusätzlich SCCs erforderlich, bei Google sollte der entsprechende AVV besorgt werden.
  5. Verzeichnis der Verarbeitungstätigkeiten (VVT) führen: Dokumentieren Sie alle Verarbeitungstätigkeiten und Maßnahmen zur Einhaltung der DSGVO.
  6. Alternativen prüfen: Erwägen Sie den Einsatz alternativer Messenger-Dienste wie Threema oder Signal.