Niedersachen klar Logo

Merkblatt für Verantwortliche zur Nutzung von „WhatsApp“ bei Behörden und sonstigen öffentlichen Stellen in Niedersachsen

Die Kommunikation über WhatsApp ist nicht nur bei Privatpersonen sehr weit verbreitet. Auch die Nutzung dieses Messenger-Dienstes von Beschäftigten von Behörden und sonstigen öffentlichen Stellen in Niedersachsen auf den ihnen dienstlich zur Verfügung gestellten Mobiltelefonen (Handy, Smartphone) nimmt zu. Messenger-Dienste, insbesondere WhatsApp, werden zur dienstlichen Kommunikation mit Bürgerinnen und Bürgern, wie z. B. zur Vereinbarung von Terminen, zum schnellen Nachrichtenaustausch oder zur internen Kommunikation mit Kolleginnen und Kollegen genutzt.

Seit Anfang des Jahres 2018 wird in Deutschland die Version WhatsApp Business in den App-Stores angeboten. Diese weist gegenüber der herkömmlichen App zusätzliche Funktionen auf, es sind allerdings keine datenschutzrechtlich relevanten Unterschiede zur herkömmlichen App-Version bekannt.

WhatsApp ist ein Messenger, der von der WhatsApp Inc. mit Sitz in Kalifornien betrieben wird und zum Facebook-Konzern gehört. Die Nutzer registrieren sich bei dem Dienst mit ihrer Mobilfunknummer. Anschließend wird regelmäßig das Adressbuch der Nutzer ausgelesen und es werden mindestens Namen und Mobilfunknummern an die Server von WhatsApp übermittelt. Dieser Adressbuchabgleich wird unter anderem dazu genutzt, den Nutzern anzuzeigen, welche ihrer Kontakte ebenfalls WhatsApp nutzen. Der Abgleich wird in regelmäßigen Abständen wiederholt, so das auch bei neu aufgenommenen Kontakten geprüft wird, ob sie bereits WhatsApp-Kunden sind. Dabei werden immer auch die Daten von Personen an WhatsApp übermittelt, die WhatsApp nicht nutzen. WhatsApp verlangt von seinen Nutzern, dass sie für die Rechtmäßigkeit der Übermittlung an WhatsApp garantieren. Zugleich legt WhatsApp in seiner Datenschutzrichtlinie dar, dass sie Daten nutzen, um Unternehmen zu helfen,

„die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu messen und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren“ und „Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern, unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.“

Ausweislich seiner Datenschutzrichtlinie behält sich WhatsApp eine umfassende Verwendung von vorliegenden Informationen vor, z. B. für „Messungen, Analysen und sonstige Unternehmens-Dienste“. Darüber hinaus teilt WhatsApp grundsätzlich Informationen mit anderen Facebook-Unternehmen.

WhatsApp verfügt über eine Ende-zu-Ende-Verschlüsselung, sodass eine Kenntnisnahme der übermittelten Inhalte während des Übermittlungsvorgangs nur durch die Kommunikationspartner möglich ist. Es ist WhatsApp aber weiterhin möglich, zu erfassen, wer mit wem und wie oft (sogenannten Metadaten) kommuniziert.

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat bereits mehrfach öffentlich betont, dass der Einsatz von WhatsApp durch Behörden und sonstige öffentliche Stellen zur dienstlichen Kommunikation im Rahmen der ihnen obliegenden öffentlichen Aufgaben gegen datenschutzrechtliche Regelungen verstößt.

Bei der Nutzung von WhatsApp ergeben sich im Wesentlichen vier datenschutzrechtliche Problemstellungen:

  1. Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
  2. Übermittlung von personenbezogenen Daten in die USA.
  3. Nutzung von personenbezogenen Daten durch WhatsApp.
  4. Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns.

Zu 1:

Die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp ist regelmäßig unzulässig. Die Verantwortlichkeit für die Übermittlung von Adressbuchdaten an WhatsApp liegt bei dem jeweiligen Verantwortlichen der Behörde oder sonstigen öffentlichen Stelle, in der WhatsApp zur Kommunikation genutzt wird. Nach Art. 6 Abs. 1 Datenschutz-Grundverordnung (EU) 2016/679 (DS-GVO) bedarf es für eine solche Übermittlung einer Rechtsgrundlage oder Einwilligung. Besondere Rechtsvorschriften zur dienstlichen Nutzung von WhatsApp-Diensten gibt es in Niedersachsen nicht.

Bezogen auf die Kontaktdaten kommt für Behörden und sonstige öffentliche Stellen als Rechtsgrundlage für die Datenübermittlung insofern nur die Einwilligung nach Art. 6 Abs. 1 lit. a) DS-GVO in Verbindung mit Art. 7 und ggf. in Verbindung mit Art. 8 DS-GVO (Einwilligung Kinder) in Betracht. Zu den Anforderungen an wirksame Einwilligungserklärungen wird auf Art. 7 DS-GVO verwiesen.

Es ist regelmäßig davon auszugehen, dass die Verantwortlichen nicht über Einwilligungserklärungen aller betroffenen Personen verfügen, die nicht WhatsApp nutzen, deren Kontaktdaten aber regelmäßig mittels Nutzung von WhatsApp übermittelt werden. Viele Betroffene nutzen bewusst gar keinen oder einen anderen Instant-Messenger-Dienst. Die Einholung einer Einwilligung von den betroffenen Personen ist zwar denkbar, wird aber regelmäßig praktisch nicht durchführbar sein. Verweigert nur eine Person, deren Daten im Adressbuch gespeichert sind, die Einwilligung, ist eine Übermittlung des Adressbuchs zudem nicht mehr auf der Grundlage von Einwilligungen möglich, es sei denn, der nicht einwilligende Kontakt wird zuvor aus dem Adressbuch gelöscht.

Für die Funktionsfähigkeit sind diese Übermittlungen an WhatsApp und der vollständige Datenabgleich aller im Adressbuch gespeicherten Kontaktdaten nicht zwingend. Dies belegen zahlreiche andere Messenger-Dienste mit alternativen Möglichkeiten der Kontaktaufnahme mit anderen Nutzern desselben Messenger-Dienstes, wie zum Beispiel über einen QR-Code. Sofern andere Messenger-Dienste das gleiche Abgleichverfahren wie WhatsApp vornehmen, löschen zumindest einige nach eigenen Angaben die nicht registrierten Kontakte unmittelbar nach dem Negativabgleich.

Es ist zwar denkbar, dass ein Smartphone mit einem leeren Adressbuch verwendet wird. Auch ist es möglich, durch Einstellungen zum Beispiel in dem Android-Betriebssystem von Smartphones ab der Version 6.0 den Zugriff auf die Kontakte durch die WhatsApp-Anwendung auszuschließen. Bei dieser Konfiguration des Smartphones ist allerdings die Funktionalität der Anwendung wie folgt eingeschränkt:

  • Wird WhatsApp die Berechtigung zum Zugriff auf die Kontakte nach der Installation, aber vor der ersten Anwendung nicht erteilt, so kann der Nutzer von sich aus keine Kommunikation starten, er kann nur selbst angeschrieben werden.
  • Eine manuelle Eingabe einer Telefonnummer, die für eine Kommunikation verwendet werden soll, ist nicht möglich.
  • Sobald WhatsApp zu einem späteren Zeitpunkt die Berechtigung zum Zugriff auf die Kontakte erteilt wird, werden wiederum alle Telefonnummern aus dem Adressbuch an WhatsApp übertragen.

Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern ist also nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich. Damit ist allerdings der Nutzen von WhatsApp als Kommunikationsmittel erheblich eingeschränkt.

Zu 2:

Die Übermittlung von personenbezogenen Daten in die USA ist bei WhatsApp grundsätzlich gerechtfertigt, da WhatsApp am sogenannten Privacy Shield teilnimmt. Das Privacy Shield-Abkommen ist aktuell in Kraft und damit eine gültige Rechtsgrundlage. Auf der Grundlage von Privacy Shield hat die EU-Kommission beschlossen, dass personenbezogene Daten in die USA übermittelt werden dürfen, wenn das empfangende Unternehmen sich zertifiziert hat, d. h. vereinfacht gesagt sich auf die Einhaltung der Privacy Shield-Grundsätze verpflichtet hat und auf der Webseite des U.S. Department of Commerce als aktiver Teilnehmer geführt wird.

Auf der Grundlage des Privacy Shields dürfen personenbezogene Daten in die USA gemäß Art. 45 Abs. 3 DSGVO übermittelt werden. Daher bestehen gegen die Übermittlung von personenbezogenen Daten in die USA bei der Nutzung derzeit keine Bedenken. Die LfD Niedersachsen weist dennoch darauf hin, dass die Rechtmäßigkeit des Privacy Shields aus Sicht des Datenschutzes noch nicht endgültig geklärt ist. Es besteht das Risiko, dass das Privacy Shield-Abkommen gerichtlich angegriffen und durch den EuGH unmittelbar für unwirksam erklärt wird. Dies ist bereits beim Vorgänger, dem sogenannten Safe-Harbor-Abkommen, passiert.

Zu 3:

Der Einsatz von WhatsApp stellt in jedem Fall einen Verstoß gegen Art. 25 Abs. 1 DS-GVO dar. Danach muss der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel der Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete und angemessene technische und organisatorische Maßnahmen ergreifen, um die Datenschutzgrundsätze wirksam umzusetzen. Das bedeutet, schon bei der Auswahl der Verarbeitungsmittel muss die Wahl dahingehend getroffen werden, dass unter Verwendung des Verarbeitungsmittels die Datenschutz-Grundverordnung eingehalten werden kann.

Die Auswahl von WhatsApp stellt einen Verstoß gegen diese Pflicht dar. Zum einen widerspricht die regelmäßige Übermittlung von Daten aus dem Adressbuch dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 Buchstabe c DS-GVO. WhatsApp stellt keine Möglichkeit bereit, diese Übermittlung zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren. Zum anderen wird mit WhatsApp ein Diensteanbieter ausgewählt, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen ist. WhatsApp legt selbst in seiner Datenschutzrichtlinie dar, dass sie ihnen vorliegende Informationen zu kaum eingegrenzten Zwecken verwenden.

Zu 4:

WhatsApp und Facebook haben die Geltung der DS-GVO und die damit veränderte aufsichtsbehördliche Struktur zum Anlass genommen, die Nutzungsbedingungen für den WhatsApp-Dienst zu ändern und die Übermittlung von Daten von WhatsApp an Facebook (erneut) aufzunehmen. In der Vergangenheit konnte diese Weitergabe von Daten von WhatsApp an Facebook durch eine für sofort vollziehbar erklärte Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HambBfDI), die durch Entscheidungen deutscher Gerichte bestätigt wurde, zum Schutz nationaler Nutzer unterbunden werden. Gleichzeitig hatten auch die Europäischen Aufsichtsbehörden mit ihrer klaren Kritik dazu beigetragen, dass diese Pläne gestoppt wurden. WhatsApp und Facebook erkennen diese Untersagungsverfügung nicht mehr an, da seit der Geltung der DS-GVO die irische Aufsichtsbehörde federführend für Anordnungen gegenüber diesen Unternehmen zuständig ist. Bislang ist die irische Aufsichtsbehörde trotz der Aufforderung durch den HambBfDI nicht tätig geworden. Es ist daher davon auszugehen, dass der Datenaustausch wie in den Nutzungsbedingungen beschrieben erfolgt.

zum Seitenanfang
zur mobilen Ansicht wechseln