In den letzten Wochen wurde vor allem von dem thüringerischen Landesdatenschutzbeauftragten die Pressemitteilung veröffentlicht, dass 99,9% der WhatApp Nutzer dies rechtswidrig machen würden.

Die gute Nachricht zuerst. Laut Artikel 2 Abs. 2c der Datenschutzgrundverordnung (DSGVO) findet diese Verordnung keine Anwendung auf die Verarbeitung von personenbezogenen Daten durch natürliche Personen in ausschließlicher Ausübung persönlicher oder familiärer Tätigkeiten.

Dies bedeutet nichts anderes, dass eine Privatperson, welche privat WhatsApp nutzt, hierdurch keinen Datenschutzverstoß begeht, da die entsprechende Datenschutzgrundverordnung überhaupt nicht für Privatpersonen anwendbar ist.

WhatsApp Nutzung im Unternehmen

Anders stellt sich dies jedoch für Unternehmer dar. Jeder Unternehmer, welcher WhatsApp nutzt, gibt hierdurch automatisch WhatsApp einen Zugriff auf seine im Handy gespeicherten Kontakte, welche dann WhatsApp wiederum mit seiner eigenen Datenbank abspeichert, um so festzustellen, welcher dieser Kontakte bereits einen WhatsApp Account besitzt.

Dies stellt nichts anderes dar, als die Übertragung personenbezogener Daten, nämlich Name und Telefonnummer an ein Unternehmen in den USA. Dies ist grundsätzlich nur mit vorheriger Einwilligung des entsprechenden Kontaktes möglich.

Aber wer bitte hat als Unternehmer beim Einspeichern einer Telefonnummer eine Person in seinem Handy, diese darüber informiert, dass er die Daten entsprechend an WhatsApp weiterleiten wird und dann hierfür auch noch eine Einwilligung erhalten?

Die Konsequenz ist, dass es sich bei einer entsprechenden Datenweiterleitung um die Weitergabe personenbezogener Daten ohne Einwilligung handelt. Es fraglich ob einer der weiteren Rechtfertigungsgründe des Art. 6 I DSGVO vorliegt, da die Daten ja nicht zur Vertragsabwicklung oder auf Grund eines berechtigten Interesses des Unternehmers, welches die Interessen des Betroffenen überwiegt, weitergeleitet werden. Sondern einfach nur, weil diese zufällig auf dem gleichen Handy gespeichert sind, wie WhatsApp.

Darüber hinaus werden durch WhatsApp diese personenbezogenen Daten in der Gestalt verarbeitet, dass diese der Datenbank zugeführt werden und für den Unternehmer nutzbar sind. Dies stellt wiederum eine Auftragsdatenverarbeitung dar, welche für den Unternehmer zwingend den Abschluss eines Vertrages zur Auftragsdatenverarbeitung mit WhatsApp voraussetzt. Denn erst durch WhatsApp erhält der Unternehmer dann das dort veröffentlichte Bild seines neuen Kontaktes zur Verfügung gestellt.

Da der Unternehmer typischerweise diese Voraussetzungen nicht erfüllt hat, verbleibt es dabei, dass eine Nutzung von WhatsApp im Unternehmen rechtswidrig ist.

Konsequenzen

Es ist daher dringend zu raten, dass jeder Unternehmer (und dies betrifft jeden der WhatsApp nicht nur rein familiär und persönlich nutzt, sondern zum Beispiel auch als Freelancer zu Kontakten mit seinen Kunden) auf die Nutzung von WhatsApp verzichten sollte. Soweit er aber beabsichtigt, die Kommunikation über WhatsApp zu führen, muss er von seinen Kontakten eine entsprechende Einwilligung erhalten, bevor er diesen Kontakt seinem Handy zuführt.

Darüber hinaus muss der Unternehmer einen entsprechenden Vertrag zur Auftragsdatenverarbeitung mit WhatsApp abschließen, inwiefern dies unproblematisch möglich ist, kann hier derzeit nicht abschließend geklärt werden. Bis zum 25.05.2018 muss WhatsApp die Infrastruktur geschaffen haben, um entsprechende Verträge schließen zu können.

Wer sein Handy privat und gewerblich nutzt, muss WhatsApp deinstallieren. Wer WhatsApp unternehmerisch nutzen möchte, sollte zumindest eine eigene SIM-Karte mit entsprechendem eigenem Kontaktkreis anfertigen, in welchem lediglich die Kontakte sind, welche einer WhatsApp Nutzung zugestimmt haben.

Alternativ wird man ein eigenes Handy als Unternehmer und ein anderes Handy für seine private Kommunikation nutzen müssen.

Für meine Mandanten gilt daher der Grundsatz, dass meine Handynummer leider nicht herausgegeben wird, damit gar nicht erst ein Konflikt mit WhatApp auftritt, denn als Datenschutz-Anwalt bin ich natürlich verpflichtet, mit gutem Vorbild voranzugehen, auch wenn ich als Multimedia-Junkie natürlich jedes Netz und jede Plattform zur Kommunikation gerne nutze.

26 Antworten
  1. Christian Peytavi
    Christian Peytavi says:

    Hallo,
    darf ich Whatsapp auf meinem privaten Handy/Nummer verwenden obwohl ich die private Telefonnummer von einigen Arbeitskollegen (die wie Freunde sind) besitze. Kann der Arbeitgeber die private Nutzung von Whatsapp auf dem privaten Handy verbieten.

    Antworten
    • Cornelius Matutis
      Cornelius Matutis says:

      Solange Sie Arbeitnehmer und nicht der Unternehmer selbst sind, dürfen Sie auf Ihrem privaten Handy auch die private Telefonnummer von Arbeitskollegen speichern, soweit Sie diese Kontaktdaten von den Kollegen direkt erhalten haben und nicht z.B. das interne Adressverzeichnis des Unternehmens genutzt haben. Denn dann ist es alles nur in ihrem privaten Bereich und hat nichts mit dem Arbeitgeber bzw. dem Unternehmen zu tun. In diesem Fall ist die DSGVO nicht einschlägig, da diese nicht die Beziehungen von Privatpersonen untereinander regelt.

      Antworten
    • Cornelius Matutis
      Cornelius Matutis says:

      Hallo, die private Nutzung auf dem privaten Handy ist ok. Private Nutzung auf Geschäftshandy kann aber verboten werden.
      Wichtig ist immer, dass Sie die Kontaktdaten zur Nutzung von WhatsApp direkt von den Kollegen erhalten haben und aus der Datenbank oder den Adresslisten des Arbeitgebers.

      Antworten
  2. Ulrich Behrend
    Ulrich Behrend says:

    Als Vereinsvorstand habe ich einige engere Mitglieder in der WhatsApp Gruppe um so schnell Dinge zu kommunizieren, oder auch nur einem anderen Vorstandsmitglied eine Mitteilung zu kommen zu lassen.
    Muss ich mir von meinen Vereinskollegen eine schriftliche Zustimmung holen, oder mit WhatsApp einen Verarbeitungsvertrag besorgen?

    Antworten
  3. KeLis
    KeLis says:

    Hallo Herr Matutis,

    vielen Dank zunächst für den interessanten Beitrag. Ich kann nachvollziehen, dass eine Privatperson bei Führung eines Adressbuchs als auch der Übermittlung ebendieses zu Whatsapp keinen Datenschutzverstoß begeht, da das Gesetz (wie sie bereits schrieben) hier keine Anwendung findet.

    Nicht klar ist mir dagegen, wieso im Anschluss an diese Übermittlung die Datenverarbeitung durch Whatsapp nicht durch die DSGVO betroffen ist und wieso kein Verstoß gegen Artikel 6 DSGVO vorliegt. Der Text in Artikel 2 Abs. 2c DSGVO bezieht sich auf die „Verarbeitung personenbezogener Daten (…) durch natürliche Personen“. Dies ist im Fall von Whatsapp aber nicht gegeben. Dadurch dass die Personen in genannten Adressbuch keine Einwilligung zur Verarbeitung gegeben haben (zumindest solange sie nicht selbst bei Whatsapp angemeldet sind), müsste in diesem Fall doch ebenfalls ein Datenschutzverstoß seitens Whatsapp vorliegen. Dass die Datenherkunft privater Natur ist, dürfte hier ja keine Rolle spielen.

    Wie ist dies rechtlich zu beurteilen, speziell im Hinblick auf die Verarbeitung von Daten von Personen, welche nicht selbst bei Whatsapp angemeldet sind?

    Antworten
  4. Frank Roth
    Frank Roth says:

    Es ist ja möglich, in der Smartphone-Konfig von Whatsapp (bspw. beim iPhone) den Zugriff auf die Kontakte zu unterbinden. D.h. von Whatsapp genutze (und nach USA übertragene) Kontakte kommen NICHT aus der Smartphone-Kontaktliste, sondern werden in Whatsapp manuell (und somit bewusst) angelegt. Damit ist eine Übertragung personenbezogener Kontaktdaten vom Anwender kontrollierbar.
    Sofern man mit Whatsapp auf einen Diensthandy nur private Kontakte überträgt und sich von (den wenigen) Businesskontakten die Einwilligung holt, ist die Nutzung von Whatsapp dann auch rechtswidrig?
    Etwas widersprüchlich ist für mich die Auslegung: wenn mein Whatsapp-Kontaktpartner (ob nun Privatperson oder Geschäftskunde) Whatsapp nutzt, dann sind dessen Kontaktdaten ja bereits in den USA bei Whatsapp gespeichert. Warum muss ich ihn/sie dann noch um Einwilligung bitten, wenn die Daten doch schon dort sind?
    Für mich basieren viele Aussagen im Rahmen der DSGVO leider auf einer praxisfernen Rechtstheorie. Ähnlich der Webcams-Aufnahmen in Autos, die rechtswidrig sind, aber im Falle eines Unfalls nun plötzlich doch als Beweismittel genutzt werden dürfen… Einem normal denkenden Menscchen, Bürger oder Geschäftsmann ist der Sinn und Nutzen solcher Regelungen nicht mehr vermittelbar. GDPDU war auch mal eine rechtliche Vorschrift und wurde nun aufgehoben.
    Danke für Ihre Rückmeldung zu meinen Fragen.

    Antworten
    • Cornelius Matutis
      Cornelius Matutis says:

      Wenn Ihr WhatsApp-Partner selbst bereits WhatsApp nutzt, heißt das nicht zugleich, dass er auch von Ihnen WhatsApp will und der Nutzung von WhatsAPP durch Sie zugestimmt hat. Ich habe auch ein Fax und ein E-Mail-Programm. Aber ich habe nicht der Nutzung für jedes und jeden zugestimmt. Darüber hinaus ist es auch die Verknüpfung von WhatsApp zwischen Ihnen und Ihren Kunden die zu schützen ist. Erst durch Ihren Kontakt weiß WhatsApp, dass Ihr Kunde irgendetwas mit Ihnen und Ihrer Branche zu tun hat und kann dann dies wiederum für ein weiteres Profiling nutzen.

      Antworten
  5. Nutzer
    Nutzer says:

    Eine Antwort auf diese Frage würde mich auch interessieren. Wenn WhatsApp doch keinen Zugriff auf die Kontakte freigegeben bekommt, ist es dann noch rechtswidrig es zu nutzen?

    Antworten
    • Cornelius Matutis
      Cornelius Matutis says:

      Soweit WhatsApp keinen Zugriff auf die Kontakte freigegeben bekommt, ist es lediglich noch erforderlich einen AV-Vertrag mit WhatsApp abzuschließen und WhatsApp im Verzeichnis der Verarbeitungstätigkeiten entsprechend zu führen. Ansonsten ist es ok.
      Aber dann kann man selbst nicht mehr über WhatsApp Dritte anschreiben, sondern nur noch mit Personen kommunizieren, die selbst den ersten Schritt gemacht haben.

      Antworten
    • Cornelius Matutis
      Cornelius Matutis says:

      Ändert aber nichts an der Notwendigkeit eines Vertrags zur Auftragsverarbeitung und einer Einwilligung der Unternehmenskontakte zur Einwilligung.

      Antworten
  6. Philipp Weigel
    Philipp Weigel says:

    Hallo,
    wie verhält es sich bei der Nutzung von WhatsApp in Vereinen (z.B. um ehrenamtlichen Mitarbeit zu koordinieren)? Hier liegt kein geschäftliches Interesse vor. Wäre in diesem Fall das Nutzen von WhatsApp wie bei einer Privatperson zu sehen?
    1000 Dank für Ihre Antwort!

    Antworten
    • Cornelius Matutis
      Cornelius Matutis says:

      Leider nein. Nur der rein private familiäre Bereich ist von der DSGVO ausgenommen. Auch Vereine und Gemeinden (beide sind ja gerade keine natürliche, sondern juristische Personen) müssen die DSGVO einhalten. Also darauf achten, dass man von allen Kontakten die entsprechende Einwilligung hat. Deswegen sollte man idealerweise den Erstkontakt des Kunden mit dem Verein via WhatsApp vom Kunden ausgehen lassen und nicht vom Verein. Dann wird man zumindest eine konkludente Einwilligung in die Nutzung von WhatsApp und die damit verbundenen Weitergaben der personenbezogenen Daten über genau diese Nutzung vorliegen haben. Wichtig ist aber immer, dass man die personenbezogenen Daten nicht vermenkt. Das eigentliche Problem ist ja, dass WhatsApp bei entsprechender Freigabe (welche früher von allen immer erteilt wurde, wenn man WhatsApp installierte) ohne Einwilligung der Betroffenen das Handy etc. auslesen und auch von Nicht-WhatsApp-Nutzern so mit einer Profilerstellung starten konnte.

      Antworten
  7. Andre
    Andre says:

    Sehr interessante Fakten, vielen Dank dafür!
    Ich versuche gerade zu verstehen, wie es sich denn bei folgendem Szenario verhält: Wenn z.B. ein Freiberufler auf seiner Webseite die Möglichkeit der Kontaktaufnahme über WhatsApp ermöglicht, dann erfolgt der Erstkontakt ja von Seiten des potentiellen Kunden im Rahmen einer Geschäftsanbahnung. Wenn ich denjenigen dann frage, ob ich ihn als Kontakt im Handy speichern darf, sollte es doch eigentlich konform sein, oder?

    Antworten
    • Cornelius Matutis
      Cornelius Matutis says:

      Ja, dies wäre konform. Aber haben Sie denn auch mit WhatsApp den Vertrag zur Auftragsverarbeitung geschlossen?

      Antworten
      • Andre
        Andre says:

        Vielen Dank für Ihre Antwort!
        Meiner Meinung nach ist genau dieser Vertrag zur Auftragsverarbeitung die Hürde, die alle Anstrengungen eines Unternehmers zur konformen Nutzung von WhatsApp zunicht macht.
        Denn einen Vordruck für einen ADV mit WhatsApp gibt es meines Wissens nicht. Und ich kann mir sehr gut vorstellen, dass WhatsApp auf seinen Business Messenger verweist, wenn es um datenschutzrechtliche Diskussionen geht. Was dann wiederum heißt, dass der „normale“ Messenger grundsätzlich nicht zur geschäftsanbahnenden Nutzung geeignet ist.
        Oder ist Ihnen ein Fall bekannt, in dem WhatsApp einem Vertrag zur Auftragsverarbeitung für den WhatsApp Messenger zugestimmt hat?

        Antworten
          • Cornelius Matutis
            Cornelius Matutis says:

            Die Einwilligung hat nur etwas damit zu tun, dass ich die Daten überhaupt verarbeiten darf. Der Vertrag zur Auftragsverarbeitung gibt mir hingegen als Verantwortlichen das Recht und die Möglichkeit auf den Auftragsverarbeiter Einfluss zu nehmen. Beispiel: Es wird die Einwilligung vom Betroffenen widerrufen. Dann muss ich als Verantwortlicher den Auftragsverarbeiter anweisen, bei sich auch die Daten zu löschen.

  8. Steffen
    Steffen says:

    Hallo,

    wenn ich als Verein eine Whatsapp-Gruppe betreibe, habe ich ja mehr als 10 Personen (von denen natürlich alle das Einverständnis vorliegt) in der Gruppe die laut DSGVO als Verarbeiter gelten.
    Ab 10 Verarbeitern und mehr wird ja ein Datenschutzbeauftragter vorgeschrieben. Gilt dies in diesem Fall auch? Brauche ich dann einen Datenschutzbeauftragten?

    Vielen Dank!

    Antworten
    • Cornelius Matutis
      Cornelius Matutis says:

      § 38 BDSG sagt, soweit Sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, benötigen Sie einen Datenschutzbeauftragten. Wenn nun Ihr Verein eine WhatsApp-Gruppe startet, dann beschäftigen Sie nicht diese Gruppenmitglieder. Die WhatsApp-Gruppe allein kann somit nicht der Grund sein, weswegen Sie einen Datenschutzbeauftragten benötigen.

      Antworten
  9. Daniel Danubius
    Daniel Danubius says:

    Guten Tag Herr Matutis!
    Vielen Dank für den interessanten und topaktuellen Beitrag.
    Doch in meinem Fall bleibt eine Frage offen:
    Als Teamleiter in einem großen Unternehmen bin auch ich Mitglied in einer großen Arbeitsgruppe bei WhatsApp. Insgesamt zählt unser Team 24 Mitarbeiter, 21 davon besitzen Smartphones und als Teilnehmer dieser Gruppe, erfreuen sie sich über die Vorteile der ausgetauschten Informationen, zur 95% dienstlicher Natur. Es werden auch Bilder von täglichen Einsatzplänen gepostet, eine oder andere aktuelle Information über die Arbeitsabläufe ebenfalls, denn fast aller Teilnehmer sind im Außendienst als Fahrer unterwegs…
    Jahrelang haben wir alle die Vorteile der Kommunikation über diese Gruppe genossen, es gab einfach keine Ungereimtheiten.
    Das Unternehmen hat keine klare Position bezogen, wir haben auch nicht explizit um Erlaubnis gefragt.
    Nun stellt sich die Frage – dürfen wir ohne Weiteres diese Gruppe in der gleichen Form benutzen? Worauf müssen wir besonders achten?
    Auf eine entsprechende Antwort Ihrerseits würde ich mich sehr freuen und diese gleich mit meinen Arbeitskollegen (über die Gruppe) teilen.
    Vielen Dank im Voraus

    Antworten
    • Cornelius Matutis
      Cornelius Matutis says:

      Sehr geehrter Herr Danubius,

      der Arbeitgeber wird sicherlich eine solche Gruppe nicht genehmigen. Sie können diese lediglich privat führen, wenn Sie also als Kollegen sich dazu entscheiden zusammen eines solche Gruppe (nicht veranlasst durch den Arbeitgeber, sondern durch Sie alle zusammen privat) zu führen, dann dürfen Sie in dieser privaten Gruppe natürlich auch über dienstliche Dinge reden. Sobald aber ein Arbeitgeber – Arbeitnehmer bzw. Führungskraft – Mitarbeiter Verhältnis besteht und nicht alle in der Gruppe gleichrangig sind, könnte man wieder eine dienstliche Veranlassung annehmen, so dass dann der Arbeitgeber verantwortlich ist.

      Alternativ gibt es andere Messengerdienste oder Gruppensoftware, welche DSGVO-konform genutzt werden kann, da diese dann nicht das Adressbuch und Handy des jeweiligen Teilnehmers ausliest.

      Antworten
  10. Nadja
    Nadja says:

    Hallo,

    Darf ich mit meinem Privathandy weiterhin eine WhatsApp Gruppe mit meinen Arbeitskollegen führen, in welcher wir uns über organisatorische Themen wie z.b um rechtzeitig Bescheid zu geben wenn jemand krank ist?
    Darf ich Nummern von Eltern in meinem privaten Handy speichern ( arbeite im sozialen Bereich) wenn diese damit einverstanden sind?

    Gruß

    Antworten
    • Cornelius Matutis
      Cornelius Matutis says:

      Hallo, die private Nutzung auf dem privaten Handy ist ok. Private Nutzung auf Geschäftshandy kann aber verboten werden.
      Wichtig ist immer, dass Sie die Kontaktdaten zur Nutzung von WhatsApp direkt von den Kollegen erhalten haben und aus der Datenbank oder den Adresslisten des Arbeitgebers

      Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.