Icon Datenschutzbeauftragter
Datenschutz

"Hey there, I am not using WhatsApp" - Messenger-Dienste als Datenschutzrisiko

Julian Lang
Verfasst von: Julian Lang
Berater für Datenschutz und IT-Sicherheit

Seit nunmehr 3½ Jahren ist die DSGVO in Kraft. War anfangs die Aufregung um das neue Datenschutzgesetz groß, ist sie inzwischen weitestgehend verklungen – ist doch die befürchtete Welle von Bußgeldern ausgeblieben.

Das hat bei vielen Unternehmen zu einem Gefühl der Sicherheit geführt, das nicht ganz nachvollziehbar ist, denn die Anzahl ausgesprochener Bußgelder beziehungsweise laufender Gerichtsverfahren hat sich in den letzten Monaten kontinuierlich gesteigert. Ein Beispiel ist der Alltag in vielen Pflegeeinrichtungen: Auch als Folge der pandemischen Situation nutzen einige Pflegeeinrichtungen WhatsApp oder andere Messenger und Videokonferenzlösungen, um den Bewohnern und Angehörigen die Möglichkeit zu geben, miteinander Kontakt zu halten.

Was aus sozialen Gesichtspunkten mehr als verständlich ist, birgt für die Unternehmen hohe datenschutzrechtliche Risiken.

Wo liegt das Problem?

Einige Messenger-Dienste (wie WhatsApp, Facetime, Snapchat und Co.) synchronisieren nach der Installation automatisch alle auf dem Gerät vorhandenen Kontakte (Name, Telefonnummer, E-Mail-Adresse) – auch diejenigen, die den Dienst selbst nicht nutzen.

Zusätzlich werden in der Regel Bilddaten und sog. Metadaten unverschlüsselt an diese Dienste übermittelt. Hierzu zählen, neben der Telefonnummer, auch Informationen wie Art und Häufigkeit der Nutzung und die IP-Adresse.

Helmut Eiermann, stellvertretender Datenschutzbeauftragter im Land Rheinland-Pfalz, sagt dazu: „Wird WhatsApp geschäftlich und damit etwa auch im Bereich Pflege eingesetzt und werden solche Kontaktdaten ohne Einwilligung der Betroffenen in die USA übermittelt, ist das ein ganz klarer Datenschutzverstoß“.

Seit Inkrafttreten der DSGVO wurden mindestens 23 Bußgelder (Quelle: https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php) im Zusammenhang mit der unzulässigen Verwendung von Messenger-Diensten und Videokonferenzlösungen ausgesprochen.

Was ist zu tun?

Generell stellen Messenger-Dienste und Videokonferenzlösungen ein sinnvolles Element der Kommunikationskultur dar.

Eine rechtssichere Lösung ist es, umstrittene Dienste wie WhatsApp auf dienstlichen Geräten zu verbieten und eine datenschutzkonformere Anwendung einzuführen. Folgende Kriterien sollte ein Messenger-Dienst mindestens erfüllen, bzw. von einsetzenden Unternehmen berücksichtigt werden:

  • Gruppen und Mitglieder sollten nach Möglichkeit zentral von einem kleinen Administrations-Kreis verwaltet werden
  • Wird eine Gruppe eingerichtet, sollte der Administrator nicht mehr benötigte Chatverläufe und -inhalte auf allen Endgeräten löschen
  • Die wirksame Ende-zu-Ende-Verschlüsselung (nur auf den Endgeräten ist der Inhalt lesbar) ist zwingend notwendig
  • Die Nutzungsbedingungen müssen dienstliche Kommunikation erlauben. Die meisten Dienste dienen nur der Privatkommunikation 
  • Ein Auftragsverarbeitungsvertrag sollte abgeschlossen werden
  • Der Messenger-Dienst darf Kontaktdaten im Kontaktbuch des Handys nicht automatisch ohne Einwilligung der Betroffenen auslesen und weiterleiten, was jedoch einige Dienste nicht ermöglichen.
  • Eine Drittlandübertragung in die USA sollte generell nicht erfolgen. Sollten US-Dienstleister in die Datenverarbeitung involviert sein (z.B. als Subauftragnehmer), gilt es diese Verarbeitungen intensiv zu prüfen

Sie haben Fragen zum aktuellen Thema? Kontaktieren Sie uns gerne.

Jetzt Kontakt aufnehmen!

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.