Geschrieben am 19.12.2022 von:
Dominik Piroth
Privacy Consultant | Datenschutzbeauftragter (TÜV)
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
In diversen Bereichen der Unternehmenskommunikation entstehen datenschutzrechtliche Probleme. So etwa im Bereich des mobilen Arbeitens. Messenger-Dienste sind aus Sicht des Datenschutzes als problematisch anzusehen. Denn diese sind in der Regel alles andere als datenschutzkonform.
Der Platzhirsch WhatsApp etwa wird von vielen Datenschutzexperten, aufgrund seiner Sammelwut in Bezug auf Telefonnummern und Metadaten, sehr kritisch gesehen. Meta (der Konzern hinter WhatsApp) hat zwar mittlerweile eine Ende-zu-Ende-Verschlüsselung hinzugefügt, was aber nichts am grundsätzlichen Problem der App ändert: WhatsApp synchronisiert regelmäßig automatisch das gesamte Adressbuch, um per Abgleich der Telefonnummern vorhandene WhatsApp-Nutzer*innen erkennen zu können. Dabei werden auch Kontaktdaten von Nicht-WhatsApp-Nutzern synchronisiert. Außerdem werden trotz Ende-Zu-Ende-Verschlüsselung regelmäßig Metadaten, wie z. B. Telefonnummer oder IP-Adresse, offengelegt und an Meta übermittelt.
Da Kundenkommunikation für Unternehmen immer wichtiger wird (und das reguläre WhatsApp sich grundsätzlich nur an Privatkunden richtet), bietet Meta Unternehmen WhatsApp Business und die (kostenpflichtige) WhatsApp-Business-Variante API (= Application Programming Interface) an. Bei WhatsApp Business ist die DS-GVO-Konformität (wie auch bei der regulären Variante) aufgrund der Synchronisation der Adressbuch-Kontakte und der damit verbundenen Drittstaatenübermittlung problematisch. In WhatsApp-Business API wird mittels eines sogenannten „Business Solution Providers“ (BSP) Zugriff auf die API-Schnittstelle erhalten. Diese BSP bieten für Unternehmen in der Regel Web-Applikationen an, über die mit WhatsApp-Nutzern kommuniziert werden kann. Somit entfällt zwar die automatische Kontaktsynchronisierung aus Telefonbüchern – allerdings werden weiterhin Metadaten übermittelt, und zwar in dem Moment der Auslieferung von Chats seitens des BSP über WhatsApp Business API in das WhatsApp-Netzwerk. Insoweit werden hier von WhatsApp dann doch wieder personenbezogene Daten verarbeitet. Diese Datenverarbeitung erfolgt dann allerdings aufgrund einer Einwilligung, da Nutzer hier den Nutzungsbedingungen und der Datenverarbeitung von WhatsApp vorher explizit zugestimmt haben.
Trotzdem wird hier das Ausweichen auf alternative „datenschutzfreundlichere“ Messenger-Dienste empfohlen. Hier wäre etwa „Threema Work“ zu nennen. Diese App ist eine der wenigen kommerziellen Lösungen, die einen datenschutzkonformen Einsatz in Unternehmen möglich machen. So lassen sich mit Threema etwa einzelne Kontakte vom Datenabgleich ausschließen. Die gesamte Kommunikation verläuft Ende-zu-Ende-verschlüsselt und auf dem Smartphone gespeicherte Chats und Medien sind ebenfalls verschlüsselt. Darüber hinaus hat Threema seinen Sitz in der Schweiz, wo gemäß Angemessenheitsbeschluss der Europäischen Kommission ein der EU vergleichbares Datenschutzniveau herrscht.