WhatsApp auf dem Diensthandy Was die neuen WhatsApp-AGBs für die geschäftliche Nutzung bedeuten

Millionen Nutzer kehren WhatsApp den Rücken, weil sie die neuen Nutzungsbedingungen nicht akzeptieren wollen. Dabei ist unsicher, ob sich durch die neuen AGBs überhaupt etwas für sie ändern würde. Was es mit den geplanten Änderungen auf sich hat und ob sich diese auch auf die geschäftliche Nutzung auswirken, erläutert Datenschutzexperte Hauke Hansen im Interview.

Max Frehner

Nutzer müssen die neuen AGBs akzeptieren, um WhatsApp nach dem 15. Mai weiter verwenden zu können. – © tashatuvango – stock.adobe.com

Wer WhatsApp weiter nutzen will, muss bis Anfang Februar den neuen Datenschutzregeln zustimmen. So hieß es in einer Aufforderung, die WhatsApp-Nutzer kürzlich als Pop-Up in ihrem Messenger angezeigt bekamen. Zahlreiche Nutzer reagierten verärgert, alternative Anbieter verzeichneten Zuwächse in Millionenhöhe.

Allein der Messengerdienst Telegram habe weltweit binnen 72 Stunden rund 25 Millionen neue Nutzer dazugewonnen, teilte App-Gründer Pawel Durow am 12. Januar mit. Zum Vergleich: Im vergangenen Jahr luden sich den Dienst rund 1,5 Millionen neue Nutzer pro Tag auf das Smartphone. Nach eigenen Angaben zählt Telegram inzwischen rund 500 Millionen monatlich aktive Nutzer.  Auch der Schweizer Messengeranbieter Threema teilte mit, dass sich die täglichen Download-Zahlen seit der vergangenen Woche „vervielfacht“ hätten. Eine weitere WhatsApp-Alternative profitierte darüber hinaus von einer Empfehlung des Tesla-CEO Elon Musk. Er twitterte: „Benutzt Signal“.

Inzwischen hat WhatsApp die Deadline auf den 15. Mai verschoben. Es seien falsche Informationen über die neuen Datenschutzregeln verbreitet worden, die man bis Mitte Mai verstärkt ausräumen wolle, teilte die Facebook-Tochter mit. Nach diesem Stichtag wird WhatsApp zwar keine Accounts löschen oder sperren. Wie bisher weiterchatten geht aber nur, wenn man den neuen Regeln zugestimmt hat.

Was sich durch die neuen AGBs ändert – auch für Nutzer auf dem Diensthandy

Darüber, welche Änderungen die neuen AGBs tatsächlich mit sich bringen und ob diese auch Auswirkungen auf die WhatsApp-Nutzung auf dem Diensthandy haben, sprach Hauke Hansen, Datenschutzexperte und Fachanwalt für IT-Recht bei der Kanzlei FPS, mit der Deutschen Handwerks Zeitung (DHZ):

DHZ: Welche Änderungen in den AGBs sieht WhatsApp vor?

Hauke Hansen: WhatsApp gehört seit 2014 zu Facebook, und in den neuen Nutzungsbedingungen wird vor allem geregelt, wie Facebook auf die Daten zugreifen und sie verwenden darf. Dort heißt es beispielsweise, WhatsApp arbeite auch mit den anderen Facebook-Unternehmen zusammen und teile Informationen, um zu helfen, die „Dienste zu betreiben, bereitzustellen, zu verbessern, zu verstehen, anzupassen, zu unterstützen und zu vermarkten“. Weiter kann man es kaum formulieren – und zum Konzern gehören nicht nur Social-Media-Dienste wie WhatsApp, sondern auch die wegen des Schnüffelns in der Kritik stehende App Onavo und das Monitoring-Tool CrowdTangle.

DHZ: War das bisher nicht der Fall?

Hansen: Ob sich durch die neuen Nutzungsbedingungen wirklich so viel ändert, ist nicht einmal sicher. Schon nach den seit 2018 geltenden Bestimmungen teilt WhatsApp Information mit anderen Unternehmen des Facebook-Konzerns.

DHZ: Welche Daten werden denn konkret geteilt?

Hansen: Die Inhalte der Nachrichten kann WhatsApp wegen der End-to-End-Verschlüsselung nicht mitlesen und daher auch nicht an Facebook weitergegeben. Nach Aussage von WhatsApp würden die geteilten Informationen auch nicht genutzt, um die Werbung bei Facebook zu optimieren, sondern ausschließlich für statistische Zwecke und die Verbesserung der Sicherheit. Grundsätzlich nachverfolgbar sind für WhatsApp aber beispielsweise Informationen über das Handy und das Betriebssystem, zudem Kontakte aus dem Adressbuch, Profilbilder und Standardinformationen. Es wird unterschiedliche Datenschutzbestimmungen für die EU und den Rest der Welt geben. Hier erzielt die EU Datenschutzgrundverordnung (DSGVO) also die von ihr beabsichtigte begrenzende Wirkung in Bezug auf die Datennutzung insbesondere innerhalb internationaler Konzerne.

DHZ: Wird die Nutzung von WhatsApp durch die Änderungen DSGVO-konform(er)?

Hansen: Die Wirksamkeit der von den Nutzern erteilten Einwilligung ist angesichts der von der DSGVO aufgestellten sehr strengen Voraussetzungen zweifelhaft. Schon vor Inkrafttreten der DSGVO hatte der Hamburgische Datenschutzbeauftragte Facebook den Zugriff auf die WhatsApp-Daten untersagt. Hiergegen hat sich Facebook zwar gewehrt, aber das Oberverwaltungsgericht Hamburg hat die Entscheidung der Datenschutzaufsicht mit der Begründung bestätigt, die Einwilligung sei nicht wirksam.

Schon, dass man sich durch mehrere Seiten und Links klicken muss, um die Änderungen einsehen zu können, spricht aus formalen Gründen gegen eine rechtsgültige Einwilligung. Auch dürften in einzelnen Datenverarbeitungen Verstöße gegen die generelle Pflicht zur Datenminimierung liegen. Dieser Grundsatz besagt, dass nur so viele Daten verarbeitet werden, wie für die jeweiligen Dienst erforderlich sind. Ob die inzwischen für WhatsApp zuständige irische Datenschutzbehörde allerdings genauso strenge Kriterien anlegt wie die deutschen oder niederländischen Behörden es tun, ist nicht gesagt.

DHZ: Was bedeutet die Änderung der AGBs für die geschäftliche Nutzung des Messaging-Dienstes?

Hansen: Nichts. Die Datenschutzbehörden begründen die Unzulässigkeit der Nutzung durch Arbeitnehmer mit der Synchronisierung des Adressbuchs zwischen dem Smartphone und WhatsApp. Denn sobald ein Mitarbeiter den Namen und weitere Informationen über einen geschäftlichen Kontakt in Outlook einträgt, wird das Adressbuch zunächst mit dem Handy synchronisiert, und WhatsApp greift dann auf diese Daten zu – was natürlich bequem, aber wegen der in aller Regel fehlenden Einwilligung des Geschäftspartners und der Datenspeicherung in den USA datenschutzwidrig ist. Auf diese Situation haben die neuen AGB keinen Einfluss.

DHZ: Kann WhatsApp trotzdem DSGVO-konform eingesetzt werden?

Hansen: Das ist möglich. Hierfür muss die automatische Synchronisierung des Adressbuchs mit WhatsApp technisch unterbunden werden. Das kann durch eine „Container-Lösung“ mithilfe eines Mobile Device Managements umgesetzt werden. Dabei wird der Speicher des Endgerätes in einen privaten und einen geschäftlichen Bereich getrennt. Apps, die im privaten Bereich genutzt werden, wird so der Zugriff auf alle Daten, die im geschäftlichen Bereich abgelegt sind, verwehrt.

DHZ: Besteht ein realistisches Haftungsrisiko für Unternehmen?

Hansen: Durchaus. Wie inzwischen allseits bekannt ist, können aufgrund der DSGVO drastische Bußgelder verhängt werden. Und die Datenschutzbehörden machen davon inzwischen immer mehr Gebrauch, auch wenn es starke Unterschiede zwischen den einzelnen Bundesländern gibt. Und erst kürzlich hat mit dem Landgericht Bonn erstmals ein deutsches Gericht entschieden, dass Unternehmen nahezu uneingeschränkt für das Fehlverhalten ihrer Angestellten haften.

Gegenüber kleineren Unternehmen zeigen sich die meisten Datenschutzbehörden allerdings eher großzügig und honorieren die Bemühungen der Unternehmen, sich datenschutzkonform zu verhalten. Die dienstliche Nutzung von WhatsApp wird zwar regelmäßig von Datenschutzbehörden in Pressemitteilungen oder Jahresberichten kritisiert. Von einem konkreten Vorgehen gegen Unternehmen ist mir aber nichts bekannt.

DHZ: Welche anderen Dienste sind alternativ verfügbar und DSGVO-konform?

Hansen: Es gibt diverse alternative Messenger-Dienste: Beispielsweise Threema, Telegram oder das deutsche Ginlo. Diese Dienste führen zwar in den letzten Tagen die Download-Ranglisten an, einen nennenswerten Marktanteil haben Sie bisher trotz aller seit Jahren andauernden Kritik an WhatsApp nicht erlangen können.

Threema stammt aus der Schweiz, für die Nutzung sind weder eine Telefonnummer noch sonstige personenbezogene Angaben erforderlich. Die Synchronisierung der Kontaktdaten kann unterbunden werden. Wenn man sich selbst dafür entscheidet, wenn die Daten nicht dauerhaft, sondern über eine temporäre Anonymisierungstechnik gespeichert. Der Dienst ist allerdings kostenpflichtig.

Bei Telegram handelt es sich um einen russisch-dubaischen Dienst. Neben einer klassischen Chat-Funktion bietet der Dienst auch öffentliche und geschlossene Kanäle an. Telegram ist in autoritären Staaten unter Oppositionellen sehr beliebt, hat in letzter Zeit aber auch eine zweifelhafte Berühmtheit erlangt, da er ein Hort von Verschwörungs-Theoretikern und Fake News ist.

Signal stammt aus den USA und wurde kürzlich bekannter, weil Elon Musk es empfohlen hat und Edward Snowden ihn nutzt. Die Nachrichten werden End-to-End verschlüsselt und die Synchronisierung der Kontaktdaten kann durch den Nutzer manuell unterbunden werden.

Die deutschen Alternative Ginlo hat es wirtschaftlich schwer und wurde zwischenzeitlich schon einmal geschlossen. Der für Unternehmen kostenpflichtige Dienst speichert die Daten in Deutschland und bietet eine End-to-End-Verschlüsselung an. Für jeden Chat kann eine automatische Selbstzerstörung eingerichtet werden.

Hauke Hansen, zertifizierter Datenschutzbeauftragter (TÜV®) und Fachanwalt für IT-Recht, ist Partner der Kanzlei FPS. Er betreut Unternehmen bei der datenschutzkonformen Umsetzung ihrer Digitalisierungsstrategien.