WhatsApp auf betrieblichen Smartphones – datenschutzrechtlich ein erhebliches Risiko
Häufig gehört es schon zum Alltag – die Nutzung von WhatsApp im beruflichen Kontext. Es werden Termine vereinbart, schnell und unkompliziert Informationen ausgetauscht oder kurz der Screenshot eines neuen Entwurfes verschickt.
Doch wie sicher ist dieses Kommunikationsmedium, welches schon häufig im Fokus von Datenschützern stand?
Die Einführung einer Ende-zu-Ende-Verschlüsselung Anfang April 2016 ermöglicht eine für den Laien zunächst sicher erscheinende Möglichkeit zum Nachrichten- und Datenaustausch, denn nach Angaben von WhatsApp werden
- sämtliche Texte, Bilder, Videos und Tonaufnahmen zwischen zwei Kommunikationspartnern verschlüsselt und
- sind lediglich dem Sender und Empfänger zugänglich.
Die Verschlüsselung wird dabei mit dem sog. Signal-Protokoll (hieß zuvor Axolotl-Protokoll) durchgeführt, welches aktuell als sicher einzustufen ist.
Das wirkt auf den ersten Blick sicher und zuverlässig – allerdings werden Daten wie der Status eines Nutzers, wann ein Nutzer zuletzt online war, sowie die Metadaten der WhatsApp Nutzer weiterhin in Klartext gespeichert, weiterverarbeitet und genutzt.
Dabei sollte man im Hinterkopf haben, dass WhatsApp kein Rechenzentrum in der Europäischen Union besitzt. Es werden also jegliche via WhatsApp ausgetauschten Daten und die zugehörigen Metadaten in den USA gespeichert. Das Datenschutzniveau in den USA ist deutlich niedriger und mit dem der EU und besonders Deutschlands aktuell nicht zu vergleichen.
Zusätzlich bietet WhatsApp eine automatische Datensicherung der Chatverläufe an. Die Chatverläufe werden je nach Betriebssystem entweder bei Google Drive für Android-Geräte oder in der iCloud bei iOS-Geräten gespeichert und liegen auf Servern im Ausland. Eine Übermittlung personenbezogener Daten ins Ausland (vgl. §4b BDSG) findet somit trotzdem statt!
Besonders kritisch zu betrachten ist die Speicherung und Übermittlung des gesamten Telefonbuches, welches natürlich eine Vielzahl personenbezogener Daten beinhaltet. WhatsApp wertet das Telefonbuch aus, um Kontakte in WhatsApp-Nutzer und Nicht-Nutzer einzuteilen. Während die Nutzer, bei denen WhatsApp bereits im Einsatz ist, schon den AGB’s und Datenschutzhinweisen zugestimmt haben müssen, ist von den Nicht-Nutzern eine Einverständniserklärung erforderlich. Diese hat sich jedoch kaum ein Nutzer von WhatsApp vorher bei seinen Kontakten eingeholt.
Zwar werden die Telefonnummern der Nicht-Nutzer nach Angaben von WhatsApp mittels sog. kryptologischer Hashfunktionen pseudonymisiert und gespeichert, allerdings werden die Telefonnummern erst auf den Servern von WhatsApp pseudonymisiert, sodass eine Übermittlung personenbezogener Daten ins Ausland (§4b BDSG) bereits vorher stattfindet. Zusätzlich wird es WhatsApp wohl mit geringem Aufwand möglich sein, auch mithilfe des Beziehungsnetzes seines Mutterkonzerns Facebook, die pseudonymisierten Telefonnummern auf eine Person zurückzuführen.
Auch die Tatsache, dass das Landgericht Berlin die AGB’s von WhatsApp für unzulässig befand (LG Berlin AZ 15 O 44/13) - da diese nicht in deutscher Sprache verfasst wurden und die Angaben im Impressum unzureichend sind (vgl. §5 TMG) – sollte kritisch stimmen.
Fazit: Insbesondere Personen, die berufsrechtlich zur Verschwiegenheit verpflichtet sind, sollten von einer WhatsApp Nutzung im beruflichen Kontext absehen, da eine vollständige Datensicherheit trotz der eingangs erwähnten Ende-zu-Ende-Verschlüsselung nicht gewährleistet werden kann.
Auch ein Verstoß gegen § 9 II der BS WP/vBP ist nicht auszuschließen.
Unter den geschilderten Gegebenheiten scheint ein Verbot von WhatsApp im Kanzleiumfeld sinnvoll zu sein.
Ein Verbot kann über eine Mitarbeitervereinbarung (vergleichbar zur privaten E-Mail- und Internetnutzung) in Verbindung mit einer Mobilgeräteverwaltung durchgesetzt werden und dafür sorgen, dass Apps wie WhatsApp vollständig von den betrieblichen Smartphones verbannt werden.(klh/dh)