Datenschutz, Smartphone und WhatsApp - Kolumne von Michael Elbs
Die Einführung der DSGVO hat viele Unternehmer verunsichert, was in Sachen Datenschutz nun gilt. Viele schrecken daher vor dem Einsatz von WhatsApp als Kommunikationsmittel zurück. Um das Schreckgespenst DSGVO etwas abzumildern, zeigen Michael Elbs und Anna Rehfeldt ein paar Wege, wie Unternehmer WhatsApp in der Praxis nutzen können.
In der alltäglichen Kommunikation hat WhatsApp den gleichen Stellenwert wie E-Mail, Fax und Telefon. Seit Inkrafttreten der DSGVO am 25. Mai 2018, sind viele Nutzer aber verunsichert, ob oder wie die App datenschutzkonform verwendet werden kann. Viele schrecken deshalb davor zurück, WhatsApp im Unternehmen konsequent zu nutzen und einzusetzen. Nach über einem Jahr DSGVO ist immer noch nicht klar, wie Betriebe WhatsApp rechtlich sicher einsetzen können. Ausgeschlossen ist die Nutzung von WhatsApp aus datenschutzrechtlicher Sicht aber nich t. Online gibt es die komplette DSGVO zum nachlesen. Für Deutschland wurde die DSGVO im Bundesdatenschutzgesetz, kurz BDSG, umgesetz t.
Wie Sie - nach aktuellem Stand -WhatsApp für die Kommunikation mit Kunden und Mitarbeitern verwenden können, erklären wir in dieser Kolumne.
WhatsApp und Datenschutz: Was sagt die Rechtsprechung?
Unter Juristen herrscht bislang keine Einigkeit darüber, wie WhatsApp hundertprozentig datenschutzkonform verwendet werden kann. Wegen der kurzen Geltungsdauer der DSGVO, gibt es noch keine richterliche Entscheidung, die zur Klärung herangezogen werden kann. Die Rechtslage bleibt deshalb weiterhin verworren. Auch die Aufsichtsbehörden positionieren sich hier nicht klar, sondern warten vielmehr auf eine technische Lösung von WhatsApp.
Was ist die Herausforderung bei der betrieblichen Verwendung von WhatsApp?
Wer WhatsApp auf seinem geschäftlich genutzten Smartphone installiert, stimmt zunächst den AGB und den Datenschutzbestimmungen von WhatsApp zu. Das Problem: Nach der Installation gleicht WhatsApp das Telefonbuch des Nutzers ab, um zu prüfen, welche der Kontakte ebenfalls WhatsApp nutzen. Gerade im Hinblick auf die Gruppe der Kontakte, die kein WhatsApp nutzen, fangen die rechtlichen Schwierigkeiten an. Denn die Weitergabe von deren Daten an WhatsApp - etwas anderes stellt der Abgleich von WhatsApp nicht dar – muss rechtlich abgesichert werden.
Dazu ist ein Unternehmen aber im Regelfall nicht in der Lage. Denn dafür müsste sich das Unternehmen die Einwilligung der „Nicht-WhatsApp-Kontakte“ einholen, dass diese damit einverstanden sind, dass sie im Telefonbuch gespeichert werden und somit dem Zugriff durch WhatsApp ausgesetzt zu sein. Auch ein berechtigtes Interesse des Unternehmers als Legitimationsgrundlage, wiegt hier weniger schwer, als die Interessen der „Nicht-WhatsApp-Kontakte.
In Bezug auf die Kontakte, die WhatsApp selbst installiert haben, sieht die Rechtslage nicht ganz so prekär aus. Hier kann unter Umständen auf das berechtigte Interesse des Unternehmers als Legitimation verwiesen werden. Allerdings ist diese Möglichkeit rechtlich noch nicht abschließend bejaht aber auch noch nicht abgelehnt worden.
Neben der Legitimation tauchen bei der Nutzung von WhatsApp im geschäftlichen Verkehr noch weitere rechtliche Fallstricke auf. Unter anderem muss auch die Informationspflicht nach Ar t. 13 und Ar t. 14 DSGVO beachtet werden. Ebenso gilt die Dokumentationspflicht gemäß Ar t. 30 DSGVO, wenn WhatsApp verwendet wird. Das heißt konkret, dass Unternehmen ihr Vorgehen bei der Verarbeitung von Daten – auch WhatsApp – in einem Verzeichnis dokumentieren müssen.
Die Rechtslage in Bezug auf die Nutzung von WhatsApp im beruflichen Kontext ist folglich verstrick t. Trotzdem gibt es einige Tools, die den Einsatz von WhatsApp auch datenschutzrechtlich als möglich erscheinen lassen.
Whats-App API Solution – die Lösung?
Whats-App API Solution funktioniert ähnlich wie eine Servicehotline bzw. eine zentrale Telefonnummer und ist vergleichbar mit einer zentralen Mailadresse, wie "info@ihrefirma.de". API läuft allerdings nicht auf einem Smartphone. Sie dient dazu, WhatsApp-Kontakte online zu verwalten.
Alle Funktionen der Whats-App-Business-Version sind in API Solution enthalten und die Daten daraus, können komplett ausgelesen werden. Auch sehr komplexe Bots oder Antwortstrecken sind mit API umsetzbar. Der größte Vorteil liegt aber darin, dass API Solution auch mit einer Festnetznummer verwendet werden kann.
Große Firmen, Handwerkszulieferer oder auch Mittelständler können diese API Solution ganz individuell gestalten und effizient einsetzten. Mit dieser WhatsApp-Version wird ein verifizierter WhatsApp-Firmen-Kontakt erstell t. Für den Kommunikationspartner, z.B. den Kunden oder Mitarbeiter, wird hinter dem Unternehmensnamen ein grüner Haken angezeig t. In meinen Donnerstagswebinaren zeige ich live das Backend der WhatsApp API Solution.
WhatsApp Business: Besser als das reguläre WhatsApp, aber nicht gut
Auch bei WhatsApp Business müssen die Vorgaben der DSGVO eingehalten werden. WhatsApp Business gibt in seinen AGB als Verantwortliche Stelle Dublin 2, Irland, also einen EU Mitgliedsstaat an. Ein Datentransfer in die USA erfolgt laut AGB also nicht. Da die DSGVO als Verordnung grundsätzlich in allen EU-Mitgliedstaaten gilt, muss sich somit auch WhatsApp Dublin 2 daranhalten.
Für Betriebe heißt das, dass die rechtliche Legitimation für die Nutzung von WhatsApp im geschäftlichen Verkehr eher auf das „berechtigte Interesse“ gemäß Ar t. 6 Abs. 1 S. 1 li t. f DSGVO gestützt werden kann, als bei einem Transfer in die USA.
Achtung: Wollen Betriebe „vorsorglich“ oder zusätzlich zum berechtigten Interesse noch eine Einwilligung einholen, ist hier Vorsicht geboten. Denn nach überwiegender Ansichtder Aufsichtsbehörden schließt die Einwilligung einen Rückgriff auf gesetzliche Legitimationsgrundlagen, zu denen das „berechtigte Interesse“ zählt, aus. Das heißt, widerruft der Kunde zum Beispiel seine Einwilligung in die Nutzung von WhatsApp, kann sich der Betrieb nicht mehr auf das berechtigte Interesse zurückgreifen. Ihm bleibt dann keine Legitimationsgrundlage mehr übrig.
Wichtig ist außerdem, dass der Erstkontakt immer vom Kunden bzw. vom Geschäftspartner ausgehen sollte. Um bei diesem Erstkontakt, dann auch noch die Informationspflichten zu erfüllen, stehen Handwerksbetrieben Muster auf der Seite des Handwerksmagazins zur Verfügung.
Transparenz und WhatsApp-Business-Informationspflicht: Artikel 12, 13 und 14 der DSGVO sollen Transparenz schaffen
Auch unter der DSGVO gilt weiterhin der Grundsatz der Transparenz. Das heißt, nach den Regelungen in Ar t. 12 ff. DSGVO sind entsprechende Informationen über die Datenverarbeitung den betroffenen Personen transparent zu machen.
In Ar t. 12 DSGVO heißt es hierzu:
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.
Aufgrund des Artikel 12 der DSGVO haben nahezu alle ihre Internetseite um eine Datenschutzerklärung erweiter t. Cookie-Warner und Formulare dienen ebenfalls dazu, dieser Informationspflichten nachzukommen.Was für Internetseiten gilt, gilt auch für WhatsApp Business: Bevor in WhatsApp Business mit einem Kunden kommuniziert wird, muss die Informationspflicht erfüllt werden. Ich habe das über ein Informationsportal gelös t. Dort ist ein Informationstext hinterlegt, auf den ich in der Willkommensnachricht verweise. Auch in den Unternehmenseinstellungen, wird auf diese zweite Domain mit der Datenschutzerklärung zur Kommunikation in WhatsApp verwiesen .
Gerne helfe ich Ihnen über einen Onlinezugriff dabei, dieses Informationsportal für Ihr WhatsApp Business nach Artikel 12-14 der DSGVO einzurichten.
Artikel 30 der DSGVO: Jeder muss dokumentieren
In Artikel 30 der DSGVO geht es um die Dokumentationspflicht, die jedes Unternehmen ha t. In Absatz 1 heißt es „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“ Artikel 30 legt im zweiten Absatz außerdem fest, welche Angaben in diesem Verzeichnis aufgeführt werden müssen.
Für Handwerksunternehmer wesentlich interssannter scheint für mich jedoch Absatz 5. Dort heißt es:
- 5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.
Nach erstem Lesen könnte man annehmen, dass alle Handwerksbetriebe mit weniger als 250 Mitarbeitern (was die Regel sein dürfte), kein Verarbeitungsverzeichnis erstellen müssen. Aber der Schein trüg t. Denn jeder Betrieb verarbeitet in der Regel nicht nur gelegentlich Daten. Das beginnt mit der regelmäßigen Lohnabrechnung der Mitarbeiter und geht bis hin zur Kundenbetreuung, einschließlich geordneter Rechnungslegung. Praktisch ist die Ausnahme also eher die Regel. Deshalb kann grundsätzlich von einer Dokumentationspflicht ausgegangen werden, auch bei weniger als 250 Mitarbeitern.
Insbesondere die Kommunikation mit WhatsApp erfordert deshalb eine gewissenhafte Dokumentation und den Aufbau von technisch organisierten Maßnahmen – kurz TOM’s. Nutzen Sie secure contakt oder WhatsBox zum sicheren Abspeichern der Kundentelefonnummern, müssen Sie dies ebenfalls im Verarbeitungsverzeichnis in den TOM’s und der Verfahrensdokumentation vermerken. Auch dabei sind wir Ihnen gerne behilflich.
WhatsApp-Nutzung im Betrieb: Mit einigen Sicherheitsmaßnahmen möglich
Die Frage nach der rechtlich sicheren Nutzung von WhatsApp kann (noch) nicht beantwortet werden. Es bestehen noch zu viele Unsicherheiten. Trotzdem können Betriebe WhatsApp nutzen, wenn sie einige Besonderheiten beachten und Sicherheitsmaßnahmen ergreifen.
Eine Möglichkeit ist, auf einem Smartphone ausschließlich Kontakte zu speichern, die bereits bei WhatsApp sind. Das ist allerdings nur machbar, wenn ein neues Smartphone verwendet wird, auf dem WhatsApp Business installiert ist und das ausschließlich für die WhatsApp-Kommunikation im Betrieb verwendet wird.
Alternativ kann man auf den Firmen- und Mitarbeiterhandys die WhatsApp-Kontakte mit WhatsBox oder secure contact zu sichern. Wie das funktioniert, habe ich in der 7. Ausgabe meiner WhatsApp-Kolumne bereits erklär t.
Da die DSGVO juristisch gesehen noch sehr jung ist, gibt es aktuell keine Fälle, die die Nutzung von WhatsApp aus datenschutzrechtlicher Sicht abschließend klären. Was sich jedoch nach dem ersten Jahr klar abzeichnet ist, dass neben den Datenschutzerklärungen auf der Website weitere Dokumentationsaufgaben notwendig sind. J eder Betrieb sollte die Verarbeitungen von Daten hinterfragen und klare Verarbeitungsschritte festlegen und anwenden. Wenn es dann wirklich zu einer Datenpanne oder einem Datenschutzverstoß kommt, helfen diese Dokumentationen, den Ausnahmefall darzustellen.
Sicher ist jedoch, dass die Nutzung des Standard-WhatsApp ohne eine Einschränkung zum Zugriff auf die Kontakte, einen klaren Datenschutzverstoß darstellt. Dieser Verstoß kann von jeder betroffenen Person bei der zuständigen Landesbehörde gerügt werden und zu empfindlichen Geldstrafen führen.
Meine Tipps für Sie sind daher:
- WhatsApp Business verwenden
- Kontakte schützen
- und bei Bedarf Hilfe in Anspruch nehmen (Wir helfen beispielsweise gerne)
Zusätzlich verschenken wir die informierte Portallseite oder einen Sticker, die Sie für Ihre Firma einsetzten können. Kontaktieren Sie mich dafür einfach über meine Website. Oder besuchen sie eines meiner Gratis-Webinare, die immer donnerstags um 17:00 Uhr stattfinden. Für den tiefen, praktischen und detaillierten Überblick kann ich Ihnen folgendes Seminar ans Herz legen:
Seminar "WhatsApp for Business"
Wie lässt sich WhatsApp am effektivsten im Betrieb nutzen? Wie funktioniert WhatsApp Business? Lohnt sich das für mein Unternehmen? Fragen, die unser handwerk magazin-Kolumnist, Unternehmensberater und Messenger-Experte Michael Elbs auch ausführlich in einer unserer Veranstaltungen „handwerk magazin seminar" beantworte t. Melden Sie sich jetzt an!
Über Anna Rehfeldt – handwerk magazin-Expertin
Die Autorin, Rechtsanwältin Anna Rehfeldt, LL.M. mit Sitz in Berlin, berät Unternehmen in den Bereichen Zivil- und Vertragsrecht, Arbeitsrecht sowie im Marken-, Patent- und Wettbewerbsrech t. Etabliert haben sich insbesondere ihre Inhouse-Schulungen sowie der Service einer externen Rechtsabteilung. Frau Rehfeldt ist zudem seit Januar 2018 TÜV-zertifizierte Datenschutzbeauftragte.
