Das betriebliche Smartphone – Welche Gefahren Messenger-Apps wie WhatsApp & Co. mit sich bringen

Einführung

Im Zeitalter der Digitalisierung lösen internetbasierte Instant-Messenger-Dienste wie WhatsApp die früher so beliebte SMS nahezu vollkommen ab. Momentan nutzen rund 1,5 Milliarden Menschen weltweit WhatsApp. Allein diese Zahl verdeutlicht, wie alltagstauglich internetbasierte Messenger-Dienste geworden sind. Doch Messenger-Dienste spielen nicht nur im Privatleben der Menschen eine Rolle, sondern vermehrt auch im beruflichen Alltag. Mit der Bereitstellung eines beruflichen Smartphones vom Arbeitgeber sind die Kommunikationsplattformen auch dort zu einem festen Bestandteil geworden. Aber Achtung: diese Dienste sind aus datenschutzrechtlicher Sicht mit Vorsicht zu genießen.

Noch Fragen?
Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!
0228 - 74 89 80

I. Vorteile der Nutzung von WhatsApp auf dem betrieblichen Smartphone

WhatsApp ist ein Instant-Messenger-Dienst und wird zum Austausch von Textnachrichten, Bild-, Video- und Ton-Dateien aber auch Kontaktdaten, Dokumenten und Standortinformationen genutzt. Als deutschlandweit eine der meist genutzten Apps und mehr als 1,5 Milliarden Nutzern weltweit ist der Messenger-Dienst auch in der unternehmerischen Nutzung sehr beliebt. Arbeitgeber koppeln häufig ein betriebliches Smartphone mit einer erlaubten Privatnutzung oder fördern die Verwendung privater Smartphones zu unternehmerischen Zwecken, damit das für den Arbeitnehmer attraktiver ist. Neben WhatsApp zählen auch Outlook oder andere E-Mail-Clients zu den genutzten Diensten auf einem betrieblichen Smartphone.

II. Probleme, die WhatsApp mit sich bringt

So attraktiv die Nutzung von WhatsApp auf dem betrieblichen Smartphone ist, so viele Probleme bringt sie jedoch auch mit sich. Bereits im Frühjahr 2017 kam das Amtsgericht Bad Hersfeld (Beschl. v. 20.03.2017, Az. F 111/17) zu dem Ergebnis, dass Nutzer von WhatsApp durch die Funktionsweise der fortlaufenden Datenübermittlung von Kontaktdaten aus dem Smartphone-Adressbuch an das US-Unternehmen ohne die Einholung einer Erlaubnis der Kontaktpersonen aus dem Adressbuch gegenüber diesen Personen eine deliktische Handlung begehen.

1. Zugriff auf das Adressbuch

Datenschutzrechtliche Probleme bringt bereits die Kernfunktionsweise von WhatsApp mit sich. Stimmt der Nutzer den Nutzungsbedingungen von WhatsApp zu, so erstellt WhatsApp eine Liste mit allen Kontakten aus dem Adressbuch des Smartphones. Diese Liste wird mit den bereits auf dem WhatsApp-Server befindlichen Kontakten abgeglichen. Damit gewährt der Nutzer WhatsApp einen Zugriff auf sowohl die Kontakte, die selbst auch die Plattform nutzen, als auch solche, die es nicht tun. Faktisch führt diese Vorgehensweise zu einer Zwangsvernetzung. Zwar hat der Nutzer eingewilligt, dass WhatsApp auf sein Adressbuch zugreift, problematisch ist jedoch, dass die Einwilligung der Personen fehlt, deren Daten sich im Adressbuch befinden, die aber noch nicht mit WhatsApp vernetzt sind.

Nach dem Grundsatz des Verbots mit Erlaubnisvorbehalt bedarf es im betrieblichen Umfeld für die Übermittlung der Kontaktdaten an einen in den Vereinigten Staaten von Amerika befindlichen Server eines Erlaubnistatbestandes nach Art. 6 und 44 ff. DS-GVO. Eine Rechtsgrundlage zur Übermittlung der Kontaktdaten wird aufseiten des WhatsApp Nutzers nur dann nicht benötigt, wenn dieser den Messenger rein im privaten Umfeld nutzt. Denn nach Art. 2 Abs. 2 lit. c) DS-GVO findet die Datenschutz-Grundverordnung dann keine Anwendung, wenn die Verarbeitung durch eine natürliche Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erfolgt (so auch schon § 1 Abs. 1 S. 2 BDSG a. F.).

Soweit die Ausnahme nach Art. 2 DS-GVO nicht einschlägig ist, kommt für die Verarbeitung der Kontaktdaten nach überwiegender Auffassung allein die Einwilligung der Betroffenen in Betracht. Für eine solche wirksame Einwilligung gilt es allerdings, den Betroffenen über die vollständigen Verarbeitungsvorgänge zu informieren sowie die Betroffenenrechte umsetzen zu können. Mangels Kenntnis der Datenübertragung liegt die Einwilligung des Betroffenen jedoch denkbar fern, womit der Zugriff auf das Adressbuch eine rechtswidrige Handlung darstellt, wofür ggf. der Arbeitgeber des Nutzers, welcher WhatsApp den Zugriff gewährt, einzustehen hat.

Das AG Bad Hersfeld lehnte in oben zitiertem Beschluss die Einordnung dieser Zugriffsmöglichkeit als Verletzungshandlung nach dem Bundesdatenschutzgesetz (BDSG a.F) ab, da das BDSG a.F bei rein persönlichen Tätigkeiten nicht eingreift, vgl. § 1 Abs. 1 S. 2 BDSG a. F. Wird ein Smartphone und damit auch WhatsApp jedoch auch betrieblich genutzt, greift diese Ausnahme nicht ein und ein datenschutzrechtlicher Verstoß bleibt möglich. Unabhängig davon kann sich der Nutzer von WhatsApp nach § 823 Abs. 2 BGB in Verbindung mit dem informationellen Selbstbestimmungsrecht aus Art. 1 Abs. 1 iVm. Art. 2 Abs. 1 GG schadensersatzpflichtig machen. Das informationelle Selbstbestimmungsrecht ist eine Ausprägung des verfassungsrechtlich geschützten allgemeinen Persönlichkeitsrechts und umfasst das Recht des Einzelnen, über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu bestimmen. Der deliktische Anspruch aus § 823 Abs. 2 BGB iVm. einem Schutzgesetz ist auch nicht von § 7 BDSG-alt gesperrt (vgl. BT-Drs. 14/4458). Zudem kann der Nutzer keine Ausführungen zu den konkreten Datenverarbeitungen machen und damit nicht die Betroffenenrechte aus der Datenschutz-Grundverordnung (DS-GVO) wie beispielsweise das Auskunftsrecht nach Art. 15 Abs. 1 DS-GVO erfüllen.

Des Weiteren speichert WhatsApp auch alle Metadaten. Das sind Informationen darüber, wer mit wem wann mit welcher Speichergröße und welcher Art kommuniziert hat.

2. Datenverarbeitungen durch WhatsApp

Zunächst empfängt die WhatsApp Ireland Limited die gespeicherten Daten. Von dort aus werden die Daten zunächst intern mit den Facebook-Unternehmen geteilt, denen WhatsApp seit 2014 unterliegt. Zu guter Letzt verlässt ein Teil der Daten das Unternehmen und nimmt den Weg zu externen Partnern von Facebook auf. Hier kommt es auch zu Datenübermittlungen außerhalb der EU in Drittländer, wo sie wiederum verarbeitet und gespeichert werden.

III. Verantwortlichkeit bei einem Geschäftshandy

Grundsätzlich liegt die Verantwortlichkeit in datenschutzrechtlicher Hinsicht bei dem Nutzer des Messenger-Dienstes. Danach könnte also der Arbeitnehmer für die Einhaltung des Datenschutzrechts verantwortlich sein. Stellt ein Arbeitgeber seinem Angestellten ein Geschäftshandy zur betrieblichen Verwendung zur Verfügung, so liegt die Verantwortlichkeit jedenfalls diesbezüglich nicht bei dem Nutzer des Smartphones, sondern bei dem Arbeitgeber. Dieser muss diverse datenschutzrechtliche Pflichten erfüllen und haftet im Falle eines Verstoßes gegen geltendes Datenschutzrecht. Aus diesem Grund sollte der Arbeitgeber sich bereits vor der Einführung von betrieblichen Smartphones über die datenschutzkonforme Nutzung der Geräte und der Kommunikationsmöglichkeiten informieren.

Besonderheiten können sich jedoch dann ergeben, wenn der Arbeitgeber dem Arbeitnehmer eine private Nutzung des betrieblichen Smartphones gestattet. Der Arbeitnehmer sollte auf Anweisung des Arbeitgebers die private von der betrieblichen Nutzung strikt trennen und mithilfe technischer Mittel wie beispielsweise einem Mobile Device Management die Trennung von privaten und betrieblichen Daten sicherstellen. Dies dient beispielsweise dem Zweck, dass zu betrieblichen Zwecken verarbeitete Kontaktdaten nicht übermittelt werden.

Dennoch haften primär Arbeitgeber gegenüber dem Betroffenen nach Art. 82 DS-GVO. Der Arbeitnehmer haftet dem Arbeitgeber gegenüber im Innenverhältnis nach den Grundsätzen des innerbetrieblichen Schadensausgleichs, in der Regel vollumfänglich jedoch nur im Falle von grober Fahrlässigkeit oder von Vorsatz.

IV. WhatsApp Business - Die betriebliche Version von WhatsApp

WhatsApp Business ist ein für Unternehmen spezifizierter Kanal zur Kommunikation zwischen Händlern und ihren Kunden. Während es bislang unklar war, ob die Nutzung von WhatsApp nach den Lizenzbestimmungen auch zu geschäftlichen Zwecken gestattet war, bestehen nun im Hinblick darauf keine Unklarheiten mehr.

Im Unterschied zum „normalen“ WhatsApp kann in der Business-Version ein Profil des Unternehmens hinterlegt werden, das Unternehmen kann Chats in Kategorien wie beispielsweise Neukunden etc. sortieren, sowie automatische Antworten einrichten. WhatsApp Business ist lediglich kundenfreundlich gestaltet, hat sich datenschutzrechtlich gesehen aber nicht wirklich verändert. Der Nutzer des Messenger-Dienstes braucht nach wie vor eine rechtliche Grundlage für jede Datenverarbeitung. Diese kann in einer eingeholten DS-GVO-konformen Einwilligung des Kunden liegen, oder aber die Datenverarbeitung wird von einem anderen Rechtfertigungsgrund getragen. Greift kein Rechtsfertigungsgrund ein, handelt auch der Nutzer der Business-Version des Messenger-Dienstes unberechtigt und haftet.  

V. Handlungsmöglichkeiten

Datenschutzrechtliche Verstöße nach der DS-GVO werden streng geahndet und sollten daher nicht unterschätzt werden. Die drohenden Bußgelder können bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten unternehmerischen Umsatzes betragen. Aus diesem Grund verbieten bereits zahlreiche Unternehmen ihren Arbeitnehmern die Nutzung von Messenger-Diensten auf dem betrieblichen Smartphone. Wer auf WhatsApp und Co trotz der datenschutzrechtlichen Bedenken nicht verzichten kann, kann einen datenschutzrechtlichen Verstoß gegen die DS-GVO nur dann vermeiden, wenn die Kontaktdaten von Kunden nicht im Kontaktbuch eingetragen und gespeichert werden, sondern beispielsweise nur eine Speicherung in einem internen und verschlüsselten Container erfolgt. Eine alternative Handlungsmethode der Zugriffsverweigerung auf das Adressbuch durch WhatsApp hätte eine beeinträchtigende Funktionsweise zur Folge, indem anstelle des Namens der Kontaktperson nur seine Telefonnummer angezeigt wird oder der Nutzer bei Zugriffsverweigerung zum Zeitpunkt der Installation der App überhaupt keine Kontakte angezeigt bekäme und somit auf eine Kontaktaufnahme durch den Chatpartner warten müsste. Für jeden Anruf wäre die Telefonnummer des Kunden händisch einzutippen. Diese Lösung ist allerdings nicht sehr praktikabel, und in der Praxis bei einem großen Unternehmen mit vielen Kunden auch realistisch kaum umzusetzen.

WhatsApp ist aber nicht der einzige Messangerdienst auf dem Markt. Alternative Möglichkeiten stellen beispielsweise die Messanger Threema, Teamwire, Wire, Signal, Hoccer, Siilo, Beekeeper und SIMSme dar. Diese Dienste geben vor, die Kommunikationsdaten zu verschlüsseln  und im Anschluss, ohne sie abzufangen, zu löschen. Die Dienste unterscheiden sich in der konkreten Ausformung, stellen jedoch WhatsApp gegenüber den Nachteil dar, dass die Dienste in der Regel für die Nutzer kostenpflichtig sind, oder aber die Kommunikation nicht über die Telefonnummer des Kunden abläuft, sondern mittels einer eigen für den Dienst entwickelten ID. Im Einzelnen sind die Dienste jeweils auf einen bestimmten speziellen Markt ausgerichtet, wie zum Beispiel Siilo sich speziell an Ärzte, Kliniken und Zahnmediziner richtet und die sensiblen Patientendaten entsprechend behandelt.

VI. Fazit

Zusammenfassend kann man sagen, dass die Benutzung von Messenger-Diensten datenschutzrechtlich nicht unproblematisch ist und daher ein hohes Haftungspotential mit sich bringt. Vorreiter der datenschutzrechtlich kritisiertesten Nachrichtendienste ist WhatsApp, durch welches sich der Nutzer einer hohen Gefahr der Haftung aussetzt. Bei der Bereitstellung eines betrieblichen Smartphones tritt an Stelle des App-Nutzers die Verantwortlichkeit des Arbeitgebers. Neben der ausreichenden Berücksichtigung des Beschäftigtendatenschutzes sollte der Arbeitgeber sich bereits im Vorfeld verschiedene technische Sicherungsmittel der Daten und sichere Kommunikationsmöglichkeiten überlegen.