WhatsApp ist in Deutschland laut Umfrage der Messenger mit der größten Reichweite. Diesen Umstand wollen sich natürlich auch Unternehmen zunutze machen. Sei es in der externen Kommunikation mit den Kunden oder in der internen Kommunikation.
Allerdings, wenn WhatsApp im unternehmerischen Sinne verwendet werden soll, gelten mitunter die Regeln der Datenverarbeitung. Somit gelten auch hier die Bestimmungen der DSGVO.
Ein datenschutzrechtliches Problem bei der Nutzung ist, dass uneingeschränkt sämtliche Kontakte im Adressbuch an WhatsApp gesendet werden. Darüber hinaus weist WhatsApp in seiner Datenschutzrichtlinie darauf hin, dass diese innerhalb des Konzerns (Facebook Inc.) für die weitere Verarbeitung weitergegeben werden. In der Richtlinie heißt es explizit:
„WhatsApp Inc. teilt Informationen weltweit, sowohl intern mit den Facebook-Unternehmen als auch extern mit Unternehmen, Dienstleistern und Partnern und außerdem mit jenen, mit denen du weltweit kommunizierst. Deine Informationen können für die in dieser Datenschutzrichtlinie beschriebenen Zwecke beispielsweise in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet werden.“
Daraus ergibt sich nach Art. 6 DSGVO, dass die Weitergabe von personenbezogenen Daten ohne eine Einwilligung oder vorliegenden gesetzlichen Grundlagen für diese Datenverarbeitung verboten ist.
Daher stellt sich für Unternehmen oft die Frage: wie können die Vorteile der großen Reichweite von WhatsApp unter Berücksichtigung der datenschutzrechtlichen Bestimmung nutzbar gemacht werden?
Bis heute sind nur wenige brauchbare Lösungsmöglichkeiten verfügbar. Der Einsatz der WhatsApp Business API lässt zwar einen datenschutzkonformen Einsatz zu, allerdings ist die Verwendung von entsprechenden Diensten sehr kostenintensiv und kann monatlich schon mal mehrere 100,- € kosten. Zudem benötigt man entsprechende Wissensträger im Unternehmen, die diesen Dienst einrichten und betreiben können. Daher sind diese Lösungen eher auf mittlere bis große Unternehmen ausgerichtet.
Ist das Unternehmen nicht bereit oder hat nicht die Möglichkeit diese Kosten zu tragen oder liegt kein angemessenes Kosten-Nutzen-Verhältnis vor, wird diese Option oft ausgeschlossen.
Im weiteren Verlauf dieses Artikels zeigen wir eine Möglichkeit auf, welche den Einsatz ohne die zusätzliche Anschaffung von Software oder Diensten unter Berücksichtigung der datenschutzrechtlichen Bestimmungen möglich macht.
Im Besonderen werden hier Lösungsalternativen aufgezeigt, um der Problematik bei der Verwendung von WhatsApp und der damit einhergehenden Übertragung der Kontaktliste aus dem Mobiltelefon an WhatsApp entgegen zu wirken.
Datenschutzkonforme Nutzung von WhatsApp mit Samsung-Endgeräten
Der Hersteller Samsung bietet hierzu die Funktionalität „Sicherer Ordner“, welche unter Berücksichtigung von einzelnen Parametern eine Option für den Einsatz von WhatsApp sein könnte, ohne dass die geschäftlichen Kontakte im Mobiltelefon an WhatsApp übertragen werden.
Seit der Modell-Reihe 7 stellt Samsung einen Bereich auf dem Endgerät bereit, welcher grundsätzlich von außen nicht erreichbar ist. Seit der Modell-Reihe 8 wird dieser Bereich vorinstalliert zur Verfügung gestellt.
Laut Samsung handelt es sich um den Bereich „Sicherer Ordner“, welcher die Privatsphäre der Nutzer schützen soll, indem sensible Daten in dem Bereich passwortgeschützt abgelegt werden können. Eine Übertagung der Daten aus dem Ordner über Wi-Fi Direct oder USB ist nicht möglich. Zudem wird der Ordner sofort gesperrt, wenn Änderungen beziehungsweise Manipulationen am Betriebssystem Android vorgenommen werden.
Für die Verwendung ist ein Samsung Account erforderlich, mit dem sich der Nutzer während der Einrichtung anmelden muss. Eine Nutzung ohne einen Account von Samsung ist nicht möglich.
Unter folgendem Link, finden Sie Hilfestellung bei der datenschutzkonformen Einrichtung von WhatsApp auf einem Samsung Smartphone.
Hilfestellung für die datenschutzkonforme Einrichtung von WhatsApp auf einem Samsung Smartphone
Alternative Lösungen für Android und iOS
Für den Fall, dass WhatsApp mit einem anderen Android Gerät als in der Hilfestellung beschrieben oder einem Gerät von Apple eingesetzt wird, gibt es auch hierzu schon alternative Lösungen für einen datenschutzkonformen Einsatz. Allerdings handelt es sich hier um Lösungen, welche zum einen mit kostenpflichtiger Software oder Diensten von Drittanbietern realisiert werden. Kostenfreie Lösungsalternativen bieten nur eingeschränkte Möglichkeiten für eine datenschutzkonforme Nutzung von WhatsApp im Unternehmen.
Anhand der erstellten SoA sollten nun die einzelnen Maßnahmen zu den Controls kritisch überprüft und angepasst werden. Besonders bei den ENR-Controls, welche ab dem 01.01.2021 das erste Mal geprüft werden, sollten zeitnah Maßnahmen definiert werden, welche die Umsetzung bis zum Audit sicherstellen.
Android
Für Endgeräte mit dem Android-Betriebssystem, welche die Funktionalität eines separaten Bereichs nicht bereitstellen, wäre eine weitere Lösung der Einsatz eines PIM-Containers für die geschäftlichen Daten. Bei dieser Variante befinden sich die geschäftlichen Daten in einem geschlossenen Bereich auf dem Endgerät. Somit hätte WhatsApp keinen Zugriff auf die geschäftlichen Daten. Diese Lösung bietet sich an, wenn im Unternehmen die privaten Endgeräte der Mitarbeiter für geschäftliche Zwecke eingesetzt werden (BYOD). Zum einen handelt es sich oftmals um kostenpflichtige Anwendungen. Zum anderen muss der Mitarbeiter für die Installation dieser Applikation seine Einwilligung geben, welche er auch jederzeit widerrufen kann.
Android – MDM (Mobile Device Management) oder EMM (Enterprise Mobility Management)
Werden im Unternehmen firmeneigene Endgeräte mit Android eingesetzt, bietet sich der Einsatz eines MDM (Mobile Device Management) oder EMM (Enterprise Mobility Management) an. Somit können Funktionen von Applikationen gesteuert und eingeschränkt werden. Dadurch kann zentral verhindert werden, dass Applikationen wie WhatsApp auf geschäftliche Daten zugreifen könnten. Im Gegensatz zu der Variante „Sicherer Ordner“ von Samsung ist der Einsatz einer zusätzlichen Software erforderlich. Hierbei handelt es sich in der Regel um eine kostenpflichtige Lösung. Zudem werden für einen sicheren Einsatz oftmals Fachkenntnisse für die Einrichtung und dem Betrieb benötigt.
Apple
Endgeräte von dem Hersteller Apple, wie das iPhone oder das iPad, bieten standardmäßig keine Lösung an, WhatsApp in einem geschlossenen Bereich zu verwenden. Laut Aussage von Apple wurde dennoch einiges für den Datenschutz auf den Endgeräten getan. Somit ist es durch den Einsatz von zusätzlichen Einstellungen oder Software von Drittanbiertern möglich, dass WhatsApp keinen Zugriff auf personenbezogene Daten erhält.
Apple – MDM (Mobile Device Management) oder EMM (Enterprise Mobility Management)
Apple hat nach eigenen Angaben bei seinen Endgeräten zum Thema Datenschutz einiges getan. So hat Apple in der Vergangenheit die feste Implementierung von Facebook im Betriebssystem iOS aufgelöst. Seit der Version iOS11 ist es auch bei Endgeräten von Apple möglich mit dem Einsatz eines MDM (Mobile Device Management) oder EMM (Enterprise Mobility Management) WhatsApp datenschutzkonform zu nutzen. Im Wesentlichen unterscheidet sich der Einsatz nicht von einer Lösung mit Android Geräten. Dies gilt auch für die Bedingungen einer derartigen Lösung. (siehe andere Android Geräte → MDM)
Apple – iOS Einstellung – Datenschutz
Apple bietet auch eine einfache Lösung an, WhatsApp davon abzuhalten auf die Kontakte im Gerät zuzugreifen. Hierzu kann unter den Einstellungen zum Datenschutz der Zugriff auf die Kontakte für WhatsApp deaktiviert werden. Hierbei ist zu beachten, dass die Deaktivierung vor dem ersten Start der Anwendung erfolgen muss. Diese Möglichkeit zur Beschränkung gilt natürlich auch für Bereiche, wie Fotos, Kamera und Mikrofon. Dabei ist zu erwähnen, dass die Beschränkungen für WhatsApp gleichermaßen die Funktionalität der Anwendung einschränken. So ist es beispielsweise nicht möglich, Kontakte für WhatsApp zu speichern, beziehungsweise Konversationen mit Kontakten aus einem Adressbuch zu führen. Zudem weist WhatsApp stets darauf hin, dass kein Zugriff auf die Kontakte besteht und bietet häufig die Möglichkeit die Beschränkung aufzuheben. Wurde die Beschränkung einmal aufgehoben, werden sofort alle Kontakte synchronisiert. Dieser Vorgang kann nicht mehr rückgängig gemacht werden.
Hinweis zu iOS Einstellung – Datenschutz
Mit der Nutzung der Beschränkung der Kontakte für WhatsApp entsteht ein erhöhtes Risiko, dass während der Nutzung von WhatsApp diese Beschränkung versehentlich aufgehoben wird. Somit wird eine Synchronisation der Kontakte riskiert. .
Zum Autor:
Thobias Schadow ist seit Anfang 2017 Berater für Datenschutz und Informationssicherheit der Firma migosens GmbH. Er hat einen Master für Unternehmensrecht, sowie eine IT-Ausbildung absolviert. Zu seinen Aufgaben gehören unter anderem die Beratung, Betreuung und Schulung von externen Mandaten in den Themen Datenschutz und Informationssicherheit, sowie die Funktion des Datenschutzbeauftragten der migosens GmbH.