WhatsApp: Nutzung im Betriebsrat erlaubt?
Ohne WhatsApp geht privat oft fast gar nichts mehr in Sachen Kommunikation, könnte man meinen. Doch wie sieht es mit der beruflichen Nutzung aus, insbesondere auch aus Betriebsratssicht? Schließlich könnten auch Interessenvertretungen sich in Gruppen bequem austauschen. Doch die datenschutzrechtlichen Anforderungen sind beträchtlich – und das ist eigentlich noch untertrieben.
Geschäftsführung Betriebsrat. Im privaten Lebensbereich ist das Bewusstsein für die Preisgabe der persönlichen Daten bei einigen Menschen nicht besonders ausgeprägt, doch zumindest wenn es um dienstliche Kontakte und Fakten geht, gilt es, sich vor Augen zu halten, welche Risiken hier lauern. Nur die wenigsten Unternehmen (und Betriebsräte) sind sich bewusst, welche umfassenden Rechte sich WhatsApp einräumen lässt. In den Nutzungs- und Datenschutzbedingungen steht z. B.: „Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“ Damit sind Verstöße gegen die Datenschutzgrundverordnung (DSGVO) fast unvermeidlich. Sie regelt klar und unmissverständlich die Voraussetzungen, die für einen dem Gesetz entsprechenden Datenschutz erfüllt sein müssen.
Verarbeitung und Weitergabe personenbezogener Daten
Das Hauptproblem bei der Anwendung von WhatsApp oder auch bei anderen Messengerdiensten liegt in der Verarbeitung personenbezogener Daten. Denn WhatsApp greift automatisch auf alle im Smartphone gespeicherten Kontakte zu und gleicht diese Nummern mit denjenigen ab, die auf den WhatsApp-Servern liegen. So werden auch all die Kontaktdaten abgefischt von Personen, die den Dienst überhaupt nicht nutzen und nur als reine Kontakte im Adressbuch hinterlegt sind. Dieses Vorgehen von WhatsApp stellt datenschutzrechtlich einen Zugriff auf personenbezogene Daten im Sinne von Art. 4 DSGVO dar. Als ob das nicht schon genug wäre, werden diese Daten von WhatsApp dann auch noch munter weiterverteilt: Zumindest an den Mutterkonzern Facebook, wahrscheinlich darüber hinaus auch an andere Unternehmen. Diese Weitergabe ist gemäß Art. 6 DSGVO grundsätzlich verboten. Auch das von der DSGVO geforderte „Recht auf Information“ wird durch WhatsApp vernachlässigt und die komplette Löschung der Daten, also das „Recht auf Vergessen“, dürfte schwer durchzusetzen sein.
Zwei Voraussetzungen zur DSGVO-konformen WhatsApp-Nutzung
Damit diese Geschäftspraxis von WhatsApp datenschutzrechtlich zulässig wäre, müssten zum einen alle „abgefischten“ Kontakte in die Erhebung, Verarbeitung und Weitergabe ihrer personenbezogenen Daten einwilligen. Das erscheint im Grunde unmöglich, da es zudem kaum praktikabel ist. Denn wie gesagt, alle Kontakte im Smartphone müssten dann zustimmen, nicht nur diejenigen, die selbst WhatsApp nutzen oder mit denen man überhaupt aktiv kommuniziert. Diese Einwilligung müsste auch lückenlos dokumentiert werden. Zum anderen verlangt die DSGVO, dass das Unternehmen, in dem WhatsApp beruflich genutzt wird, einen Vertrag mit WhatsApp schließt. Darin ist die sogenannte Auftragsverarbeitung der personenbezogenen Daten geregelt. Auch ein solcher Vertrag kommt praktisch „im wahren Leben“ nicht vor. Aber nur, wenn der Vertrag bestünde und zudem alle Kontakte eingewilligt hätten, wäre die berufliche Nutzung von WhatsApp DSGVO-konform.
Hinweis: Vorsicht bei dienstlicher Nutzung des Privathandys
Wer das Privathandy auch dienstlich nutzt (und sei es auch nur selten), muss diese Nutzung DSGVO-konform gestalten. Besondere Aufmerksamkeit erfordern dabei die Smartphones, die die Möglichkeit bieten, zwei oder sogar mehrere SIM-Karten parallel zu benutzen: WhatsApp greift die gesamte Kontaktliste ab und gleicht sie mit den eigenen Servern ab. Somit werden bei einer dienstlich-privaten „Mischnutzung“ automatisch auch die auf dem Telefon gespeicherten privaten Kontakte erfasst. Daher ist dies unter keinen Umständen ratsam.
Folgen von DSGVO-Verstößen
Wenn Betriebe für die dienstliche Nutzung weder eine wirksame Einwilligung aller Kontakte in den Adressbüchern aller genutzten Smartphones vorweisen können und keine anderen Schutzvorkehrungen getroffen haben, sind diese Verstöße durchaus folgenschwer: Durch die DSGVO haben sich die Bußgelder bei Datenschutzverstößen auf bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes erhöht. Kläger könnten Verbraucherzentralen oder Datenschutzbehörden sein. Klar ist zwar, dass diese Strafen eher dann aufgerufen werden, wenn die Unternehmen mit den Kundendaten unvorsichtig umgehen, aber dennoch ist es klüger, von vorneherein jede Eventualität eines Verstoßes auszuschließen.
Mehrere mögliche Lösungsansätze
Die klarste und von vielen als beste empfohlene Lösung lautet: Nutzen Sie WhatsApp überhaupt nicht beruflich, sondern ausschließlich privat. Damit lassen sich die Datenschutzprobleme ohne Frage wirksam vermeiden. Eine weitere Option: Zusätzlich zum Privathandy mit WhatsApp wird ein Diensthandy genutzt – und zwar ohne WhatsApp. Dies ist im Grunde sowieso empfehlenswert, weil das Datenschutzrecht vorsieht, dass geschäftliche und private Daten streng getrennt voneinander verarbeitet werden müssen. Allerdings haben längst nicht alle Beschäftigten ein Diensthandy und das Mitführen und Bedienen zweier Smartphones ist auch nicht jedermanns Sache.
Aufwendig, aber wirksam: die Container-Lösung
Sogenannte Exchange-Container ermöglichen, dass geschäftliche und private Daten auch auf einem Smartphone völlig getrennt voneinander verarbeitet werden können. Richtig installiert und eingesetzt, können sie eine DSGVO-konforme WhatsApp z. B. für Betriebsratsgremien gewährleisten. Bei der Container-Lösung werden bestimmte Daten in einen geschützten Bereich (= Container) gepackt. Dabei wird verhindert, dass Daten innerhalb des Containers mit Apps außerhalb des Containers synchronisiert werden. Das hat den Vorteil, dass dann kein Abgleich mit den Kontaktdaten aus dem Adressbuch außerhalb des Containers erfolgt. Ein Nachteil daran ist, dass WhatsApp-Kontakte in diesem Fall von Hand gespeichert werden müssen, da ein Abgleich ja gerade nicht mehr stattfindet. In der Regel wird die Container-Lösung vor allem in größeren Betrieben eingesetzt, da sie nicht nur zeit-, sondern auch kostenintensiv ist.
Beispiel SecurePIM
Eine Container-App wie SecurePIM sichert die dienstlichen Daten in ihrem geschützten Bereich, auf den andere Apps wie z. B. WhatsApp nicht zugreifen können. So sind Kontakte, Kalendereinträge, Fotos, E-Mails und Dokumente geschützt. Datenschutzverstöße werden auf ´diese Art und Weise verhindert. Dies hat den Vorteil, dass auf nur einem Smartphone dienstliche und private Daten entsprechend den Anforderungen der DSGVO voneinander getrennt werden können.
Die meisten Smartphones erlauben das Stoppen der Datensynchronisierung
Wenn Container-Lösungen nicht zur Verfügung stehen, gibt es eine weitere Option, dem Datenschutz Rechnung zu tragen: Bei iPhones lässt sich die Synchronisation über die Einstellungen unterbinden. Beim Menüpunkt Datenschutz ist erkennbar, welchen Apps der Zugriff auf Kontaktdaten gestattet wurde. Hier lässt sich die Synchronisation individuell für ausgewählte Apps deaktivieren. Zumindest auf älteren Android-Geräten gibt es diese Möglichkeit nicht. Allerdings lässt sich in diesen Fällen mit speziellen Apps Abhilfe schaffen. Neuere Android-Smartphones erlauben das Deaktivieren der Synchronisation über diesen Weg: Einstellungen, Konten, WhatsApp, Sync Einstellungen, deaktivieren.
Hinweis: WhatsApp synchronisiert sofort
Die Methode der manuellen Deaktivierung der Synchronisation bietet jedoch keinen vollständigen Schutz: Denn WhatsApp greift sofort auf bereits bestehende Kontakte zu und synchronisiert diese, ehe der Zugriff vom Nutzer deaktiviert werden kann. Daher ist hier Vorsicht geboten. Wegen der immer noch bestehenden Lücken ist bei diesem Vorgehen keine 100%tige DSGVO-Konformität gegeben.
Welche alternativen Messengerdienste gibt es?
Bei all diesen Schwierigkeiten stellt sich fast zwangsläufig die Frage nach möglichen Alternativen zu WhatsApp – und in der Tat wird man hier durchaus fündig: Für die dienstliche Kommunikation ist hier etwa Teamwire zu nennen. Außerdem gibt es Dienste, die sich in die Firmenkommunikation insgesamt integrieren lassen, z. B. von Microsoft oder Cisco.