Viele Firmen nutzen Messenger-Dienste wie zB. WhatsApp oder Telegram, meist ohne sich der gravierenden Datenschutzverstösse bewusst zu sein, die ihren Einsatz eigentlich verbieten.

© pixabay.de, Gerd Altmann

Seit der Corona-Pandemie nahm die Nutzung von Instant-Messenger-Diensten auch in Unternehmen stark zu - eine Umfrage des deutschen Bitkom erhob, dass zwei Drittel aller Unternehmen sie häufig oder sehr häufig zur internen und externen Kommunikation nutzen. Immer öfter kommunizieren Unternehmen auch mit ihren Kunden über Messenger-Dienste - einfach weil es praktisch und unkompliziert ist.

In der EU ansässige Unternehmen tragen aber ein hohes Risiko, wenn sie selbst oder ihre Mitarbeiter Instant-Messenger-Dienste nutzen, die eigentlich für den privaten Gebrauch konzipiert wurden und ihren Sitz außerhalb der EU haben, weshalb sie den hier gültigen Datenschutzanforderungen meist nicht genügen.

Der Instant-Messenger-Einsatz widerspricht meist der DSGVO

Vielen, und hier vor allem vor allem kleineren, Unternehmen ist nicht bewusst, dass sie damit die Datenschutz-Grundverordnung (DSGVO)  verletzen. Vor allem (aber nicht nur) bei kostenlosen Diensten "bezahlt" man die Nutzung häufig mit Daten, eigenen oder - was noch viel kritischer ist - Daten von Dritten.

Wird in einen Messengerdienst beispielsweise das eigene Adressbuch importiert, geschieht dies wohl im Regelfall ohne die (notwendige!) Zustimmung aller(!) Betroffenen, deren Daten darin enthalten sind. Doch bereits die Speicherung einzelner Kontakdaten in solchen Diensten (ohne die deren Nutzung ja gar nicht möglich ist) verletzt die DSGVO-Regeln, denn es findet dabei eine Übertragung von personenbezogenen Daten in ein Nicht-EU-Land statt, das nicht über ein angemessenes Datenschutzniveau verfügt.

In letzter Zeit reagieren zB. US-Dienstbetreiber darauf mit dem Argument, die Daten würden auf Servern in Europa gespeichert. Doch selbst innerhalb der EU gespeicherte Daten müssen auf Verlangen von US-Behörden herausgegeben werden und die Nutzung widerspricht deshlab klar der DSGVO.

Derartige Verletzungen der Datenschutz-Grundverordnung können richtig teuer und sogar existenzbedrohend werden: bis zu € 20 Millionen oder 4 % des weltweiten Vorjahresumsatzes kann der Strafrahmen, je nach Schwere des Vergehens, betragen.

Beispiel: Ein Auszug aus den WhatsApp-AGB

Ohne Zustimmung zu folgenden Regelungen ist eine WhatsApp-Nutzung nicht möglich:

  • Mit Annahme der AGB erlaubt man WhatsApp, Telefonnummer, Profilnamen und Profilbild sowie E-Mail-Adresse für beliebige eigene Zwecke zu verwenden.
  • Neben den eigenen Daten werden auch die Daten aller Kontakte übertragen und verwendet. Durch den Datentransfer in die USA öffnet man die Daten aller Kontakte für den Zugriff durch jedwede US-Behörde inkl. Geheimdiensten. Wem die Preisgabe der eigenen Daten egal ist, sollte hier jedenfalls aufhorchen, denn ohne ausdrückliche und nachweisbare(!) Zustimmung zu dieser Datenweitergabe von jedem einzelnen(!) Ihrer Geschäftskontakte ist dies verboten.
  • Zusätzlich greift WhatsApp auch auf Informationen zu, die mit der eigentlichen Nutzung der Chat-App wenig zu tun haben: Nutzungs- und Log-Informationen, welche Funktionen Sie innerhalb der App nutzen, etwa die Telefonie usw.
  • Außerdem speichert WhatsApp Ihr Smartphone-Modell sowie, welches Netz Sie nutzen, welche Zeitzone und Sprache Sie eingestellt haben und Ihre Standort-Informationen.
  • Mit der Zustimmung zu den AGBs verzichtet man aber nicht nur auf Privatsphäre, sondern v.a. auf Datenschutz: Die gesammelten Daten und Informationen bleiben nämlich nicht bei WhatsApp, sondern sie werden "zur Analyse" an nicht näher genannte "andere Unternehmen" weiter gebeben.
  • Seit Inkrafttreten der DSGVO kann man in WhatsApp der Datenweitergabe an Facebook widersprechen, was Facebook aber auch verweigern kann. Viel Spaß dabei... !
  • Außerdem kann man Einsicht in gespeicherte Daten oder deren Löschung verlangen

Die Verantwortung liegt beim Nutzer selbst!

Dienste, deren Betreiber ihren Sitz außerhalb Europas haben, sollten von EU-Unternehmen daher derzeit nicht genutzt werden. Zwar sind Dienste aus Drittländern nicht prinzipiell verboten, jedoch müssten bei ihrer Nutzung erhöhte Schutzmaßnahmen ergriffen werden, zB. zusätzliche Verschlüsselung oder Anonymisierung / Pseudonymisierung von Daten. Vielfach können gerade dies aber die Nutzer nicht sicherstellen bzw. bieten die Dienstbetreiber gar nichts dafür an, da die Dienste ja nicht für die Unternehmensnutzung konzipiert wurden und sie sich daher nicht um die entsprechende EU-Rechtslage kümmern müssen. Die Verantwortung liegt hier klar beim Nutzer selbst!

Und eines muss hier ebenfalls klar gestellt werden: die DSGVO ist kein Instrument der EU-Bürokratie, mit dem europäischen Unternehmen das Leben schwer gemacht werden soll, wie das gerne (und kurzsichtig) argumentiert wird! Ganz im Gegenteil ist die DSGVO das Bollwerk, um die Datenhohheit und damit das geistige Potenzial, letztlich also die unternehmerische DNA europäischer Unternehmen vor dem ungezügelten Überwachungskapitalismus vornehmlich US-amerikanischer Prägung zu schützen. Es geht genau nicht darum, Europa in's "digitale Hintertreffen" zu bugsieren, sondern unser wirtschaftlich eigenständiges Überleben in einer zunehmend digitalisierten und virtualisierten Welt zu sichern. Das sollte man immer mit bedenken, wenn man Facebook, Instagram, WhatsApp - und wie sie alle heißen - nutzt.

Update: ab 10. Juli 2023 kann die berufliche Whatsapp-Nutzung möglich sein

Durch die Einigung der USA mit der EU auf ein neues Datenschutzabkommen könnte es seit Juli 2023 möglich sein, zB. Whatsapp auch im beruflichen Umfeld zu nutzen. Jedenfalls solange nicht eine neue Klage auch dieses Abkommen wieder zu Fall bringt.

DERZEIT ist also der Einsatz von Whatsapp BUSINESS (besser noch statt der kostenlosen Business App die kostenpflichtige Business Plattform) unter gewissen Voraussetzungen auch beruflich legal möglich, darunter u.a. die nachweisbare(!) Einwilligung der betroffenen Kommunikationspartner. Besonders schützenswerte Daten (Gesundheitsdaten!) sollten darüber nicht verarbeitet werden. Es sollte ein Smartphone NUR für Whatsapp genutzt werden, auf dem keinerlei andere Aps irgendwelche Kontakte ablegen, da die gefahr besteht, dass Whatsapp diese Daten ohne Zustimmung der Betroffenen "absaugt" und Sie damit verantwortlich für eine unerlaubte Datenweitergabe wären. Und es sollte mit WhatsApp ein Auftragsdatenverarbeitungsvertrag geschlossen werden.

Da die aktuellen Regelungen zwischen EU und USA im Grunde wieder weitgehend auf den vorherigen, zu Fall gebrachten basieren und bereits neuerliche Klagen dagegen angekündigt sind, die mit größter Sicherheit wieder erfolgreich sein werden, ist abzusehen, dass es nicht allzu lange dauern wird, bis wieder genau der gleiche Zustand gegeben ist, wie vor wenigen Monaten und es wieder nicht legal einsetzbar ist. Deshalb haben wir gegenüber unseren Kunden auch keine Empfehlung zur Nutzung irgendwelcher US-Dienste ausgesprochen.

Die US-Firmen haben nichts Wesentliches an Ihren Datenschutz-Bestimmungen geändert bzw. mussten/konnten sie auch gar nicht, denn das Problem ist die weltweite Zugriffsmöglichkeit von US-Behörden auf alle durch US-Firmen verarbeiteten Daten. Das ist (nach wie vor) in den USA geltendes Gesetz und dagegen können die Firmen genau gar nichts machen, sie müssen es befolgen. Die USA haben mit den USA nur zuletzt vereinbart, dass das bei EU-Bürgern "nur sehr zurückhaltend" eingesetzt werden wird und man eine Beschwerdemöglichkeit in den USA erhält...