Es häufen sich Anfragen von Mandanten, ob deren Mitarbeiter die Software WhatsApp auch im Betrieb einsetzen dürfen. Der Hamburgische Landesdatenschutzbeauftragte Prof. Caspar hat hierzu kürzlich in seinem Tätigkeitsbericht Stellung genommen, worüber ich Sie gern nachfolgend informiere.
Was ist passiert?
WhatsApp wird derzeit von ca. 1,5 Milliarden Nutzern verwendet. Mitarbeiter von Unternehmen wünschen sich zunehmend, dass sie die App auch zur Kommunikation mit Kunden verwenden dürfen, wovon Datenschützer allerdings infolge des Datentransfers auf US-Server bisher abrieten. Der Landesdatenschutzbeauftragte in Hamburg Prof. Caspar hat sich nun zuletzt hierzu in seinem Tätigkeitsbericht 2017 auf Seite 61 geäußert. Hierin stellt dieser klar, dass eine Nutzung von WhatsApp durch Unternehmen nicht gänzlich ausgeschlossen ist. Unzulässig ist es jedoch, wenn die App bei der Installation automatisch die gesamten Kontaktdaten des mobilen Endgerätes auf den WhatsApp-Server hochlädt. Die Kontaktdaten von Kunden, Lieferanten, Herstellern und Kooperationspartnern stellen teilweise personenbezogene Daten dar und dürfen nicht an WhatsApp ohne Rechtsgrundlage transferiert werden. Aber … wenn das mobile Endgerät im Zeitpunkt der Installation keine Kontaktdaten im Adressbuch aufweist, dieses also leer ist, dann erfolgt nach Aussage der Behörde keine Übermittlung personenbezogener Daten. Und wenn später manuell Kontakte hinzugefügt werden, so könne wohl von einer konkludenten Einwilligung ausgegangen werden. Wörtlich heißt es hierzu: „Der HmbBfDI würde das Hinzufügen des Kontakts in das Adressbuch und die weitere Kommunikation über den Dienst der WhatsApp Inc. unter diesen Vorgaben nicht beanstanden.“
Warum ist das wichtig für Sie?
Meine bisherige Empfehlung war, die Verwendung von WhatsApp im Unternehmen zu vermeiden, denn a.) liegen die Daten auf US-Servern und b.) ist die Geschäftsführung nur eingeschränkt in Kenntnis über die personenbezogenen Daten auf den eigenen, mobilen Endgeräten. Aufgrund obiger Einschätzung der Aufsichtsbehörde könnte nun angedacht werden, die Nutzung von WhatsApp im Unternehmen doch zu erlauben, denn die Einwilligung der Mitarbeiter zum Datentransfer auf US-Server und die konkludente Einwilligung des Kommunikationspartners wird von der Behörde nun als rechtswirksam akzeptiert. Dies könnte vielleicht auch für {FIRMA} interessant sein.
Was ist zu tun?
Falls Ihre Mitarbeiter heute WhatsApp beruflich nutzen, so dürfte bereits eine Datenschutzverletzung vorliegen, denn das volle Adressbuch wurde an WhatsApp ohne Rechtsgrundlage übermittelt. Falls nicht, dann können Sie nun damit unter Einhaltung der Voraussetzungen im Tätigkeitsbericht anfangen. Allerdings muss das mobile Endgerät bei Installation von WhatsApp über ein leeres Adressbuch verfügen. Zudem sollte per Mitarbeiterrichtlinie klar festgelegt werden, zu welchen Zwecken WhatsApp beruflich genutzt werden darf und eine Einwilligung von den Mitarbeitern eingeholt werden, auf das mobile Endgerät trotz Vorhandenseins privater Daten als Arbeitgeber zugreifen zu dürfen (MDM-Richtlinie -> Mobile Device Management).
