Teil zwei der Artikel-Trilogie zur Datenerfassung und Datensicherheit bei der Nutzung von Messengern am Beispiel von WhatsApp
Mit der Nutzung von Messengerdiensten auf einem Firmen- oder Privathandy werden direkt und automatisch personenbezogene Daten verarbeitet. Diese Art der Datenverarbeitung unterliegt strengen Regelungen. Gemäß Artikel 28 DSGVO (siehe https://dejure.org/gesetze/DSGVO/28.html) ist zum einen der Abschluss eines Vertrages zur Auftragsdatenverarbeitung notwendig. Zum anderen benötigen Sie die schriftliche Einwilligung ausnahmslos jeder Person, deren Kontaktdaten Sie gespeichert haben.
Um die umfangreichen Funktionen des Messengerdienstes zu ermöglichen, werden alle Kontaktdaten von Ihrem Handy mit den gespeicherten Daten auf den Servern von WhatsApp abgeglichen. Damit erhält WhatsApp Zugriff auf Ihre kompletten Kontakte, und zwar unabhängig davon, ob diese selber WhatsApp aktiv nutzen oder nicht. Dies ist gemäß Artikel 4 DSGVO (siehe https://dejure.org/gesetze/DSGVO/4.html) ein Zugriff auf personenbezogene Daten, der ohne die Einwilligung aller Betroffenen erst einmal unzulässig ist – es sei denn, Sie schließen entsprechende Verträge zur Auftragsdatenverarbeitung ab und holen vor der Nutzung von WhatsApp von jedem einzelnen Kontakt die schriftliche Einwilligung zur Weitergabe der Daten ein.
Quellen der Kontaktdaten
In den Adressbüchern Ihres Mobiltelefons finden sich selbstverständlich alle Kontakdate wieder, welche Sie selbst dort erfasst haben.
Zusätzlich können automatische Synchronisierungsfunktionen dafür sorgen, Ihre Kontakte auf allen Endgeräten auf dem gleichen Stand zu halten. So finden sich auf Ihrem Handy alle Ihre Kontakte wieder – unabhängig davon, auf welchem Gerät sie initial erfasst wurden.
Neben den von Ihnen direkt erfassten Kontaktdaten verfügen die Adressbücher einiger Softwarehersteller über automatische Erkennungsfunktionen, die beispielsweise Kontaktdaten aus eingehenden E-Mails automatisch in Ihre Adressbücher schreiben.
Die Automatismen führen schnell zur Vermischung privater und geschäftllcher Kontakdaten.
WhatsApp nutzt die von Ihrem Handy übermittelten Daten jedoch nicht nur intern, sondern gibt diese zusätzlich noch weiter:
„Wir arbeiten mit Drittanbietern und den Facebook-Unternehmen zusammen, die uns dabei helfen, unsere Dienste zu betreiben, anzubieten, zu verbessern, zu verstehen, zu individualisieren, zu unterstützen und zu vermarkten.“
(https://www.whatsapp.com/legal/#privacy-policy*).
Ihre Daten – oder genauer: alle Kontaktdaten aus Ihrem Adressbuch – können somit auf den Servern von Drittanbietern und von Facebook in den USA oder in weiteren Ländern gespeichert und verarbeitet werden. Das ist auf europäischer Ebene durch Artikel 6 DSGVO (siehe https://dejure.org/gesetze/DSGVO/6.html*) ausdrücklich untersagt, es sei denn, Sie holen die schriftliche Einwilligung aller Ihrer Kontakte ein und haben eine Vertrag zur Auftragsdatenverarbeitung abgeschlossen.
Nicht nur WhatsApp, sondern auch viele andere Messengerdienste greifen ungefragt auf Ihre gespeicherte Kontaktliste zu. Auch bieten die meisten Messengerdienste weder (wirkliche) Ende-zu-Ende-Verschlüsselung (E2EE) an noch lassen sie die anonyme Nutzung zu.
Die genannten Gründe machen klar: die Nutzung von WhatsApp und vergleichbaren Messengern auf dem Firmenhandy ohne die schriftlichen Einwilligungen ausnahmslos aller Ihrer Kontakte, sowie ohne Vertrag zur Auftragsdatenverarbeitung ist rechtlich unzulässig und verstößt gegen die DSGVO. Das gilt im übrigen auch für private Handys, die auch für geschäftliche Kontakte genutzt werden, auch dann, wenn Sie ein Handy mit zwei parallel nutzbaren SIM-Karten besitzen, da die meisten Messenger alle auf Ihrem Handy gespeicherten Kontaktlisten abgleichen.
Einige Messengerdienste bewerben ihre Lösungen als DSGVO-konform, darunter Signal*, Telegram* oder Threema* (kostenpflichtiger Dienst).