Der zum Facebook-Konzern gehörende Messenger-Dienst fordert derzeit seine Nutzer weltweit dazu auf den neuen Nutzungsbedingungen zuzustimmen. In Kraft treten sollen diese ab dem 15. Mai. Was sich tatsächlich ändert, wird durch WhatsApp trotz eigens eingerichteter FAQ-Seite leider nicht gründlich erklärt. Die Erläuterungen von WhatsApp halten sich hier durchweg vage. Vielmehr Aufwand wird darauf verwendet zu erklären, dass beispielsweise keine zusätzliche Datenübertragung an Facebook ermöglicht wird.
Keine Änderung für private User
Dies mag so auch für die Nutzer in Europa korrekt sein. In den USA lässt sich der Messenger das Recht einräumen, Daten von WhatsApp-Nutzern für Werbezwecke einzusetzen. Doch auch ohne zusätzliche Rechte hält die Privacy Policy[2] von WhatsApp bereits jetzt zahlreiche Möglichkeiten und Rechte für die Datenübertragung an Facebook und Facebook-Unternehmen vor. Beispielsweise können heute schon Informationen von WhatsApp mit Facebook geteilt werden, um Angebote von Facebook-Produkten zu verbessern und zu individualisieren. Die aktuelle Änderung der Privacy Policy hat dennoch bereits den Hamburgischen Datenschutzbeauftragten tätig werden lassen.[3]
Durch die neuen Nutzungsbedingungen ändert sich für private Nutzer von WhatsApp wenig. Es wird ab dem 15. Mai die Kommunikation mit Unternehmen über eigens dafür eingerichtete Channels ermöglicht. Darüber hinaus sollen von nun an Informationen zu Bestellungen, Transaktionen, Terminen sowie Liefer- und Versandbenachrichtigungen, aber auch Marketinginformationen über WhatsApp möglich sein.
Kein Vorbild im Datenschutz
Auch wenn sich durch die neuen Nutzungsbedingungen und Datenschutzrichtlinien für die europäischen Kunden keine dramatischen Einschnitte ergeben, handelt es sich bei WhatsApp dennoch nach wie vor um einen datenschutzrechtlich sehr problematischen Dienst. So bietet zwar WhatsApp eine Ende-zu-Ende-Verschlüsselung, wodurch der Zugriff auf versendete Texte, Bilder Sprachnachrichten für WhatsApp nicht möglich ist – dadurch erfüllt der Messenger jedoch auch nur die absoluten Minimalanforderungen des Post- und Fernmeldegeheimnisses gemäß § 88 TKG[5].
Dem gegenüber stehen zahlreiche Mankos in puncto Sicherheit und Datenschutz. So ist die Nutzung von WhatsApp ohne eine Telefonnummer nicht möglich; diese stellt – sofern hierunter eine bestimmte Person erreichbar ist – ebenfalls ein personenbezogenes Datum dar.
Zudem will WhatsApp das Telefonbuch des Mobiltelefons, auf dem es installiert wird, auslesen, in die Cloud laden und mit vorhandenen Datensätzen abgleichen. Dies ist deswegen besonders kritisch, da der Upload von Kontaktlisten ebenfalls eine Verarbeitung personenbezogener Daten darstellt. Dieser müssten jedoch die betroffenen Personen gemäß Artikel 6 Abs. 1 S. 1 lit a DSGVO[6] in jedem einzelnen Fall zugestimmt haben. Bei Kontaktlisten mit zumeist mehreren hundert Einträgen lässt sich dies real nicht umsetzen. Zwar lässt sich diese Funktion auch unterdrücken, jedoch verliert WhatsApp damit jeglichen praktischen Nutzen und kann so gut wie gar nicht mehr sinnvoll zur Kommunikation eingesetzt werden.
Zu guter Letzt gehört WhatsApp nach wie vor zum US-amerikanischen Facebook-Konzern und hat damit einen Großteil seiner Server-Infrastruktur in den USA. Eine Datenübertragung in die Vereinigten Staaten ist somit bei der Nutzung des Messengers quasi garantiert. Dies ist seit dem sogenannten „Schrems II Urteil“ des EuGH[7] nicht mehr ohne weiteres legal.
Fazit: Im Unternehmen nicht zu empfehlen
Diese und weitere Umstände haben zur Folge, dass Unternehmen die WhatsApp zur internen Kommunikation nutzen wollen, zuvor wenigstens einen Auftragsverarbeitungsvertrag (AVV) mit WhatsApp abschließen müssten. Auch dies ist mit WhatsApp nach derzeitigem Stand nicht möglich und anscheinend auch nicht geplant. Es kann daher nach wie vor nur davon abgeraten werden WhatsApp innerhalb des eigenen Unternehmens einzusetzen.
[2] https://www.whatsapp.com/legal/updates/privacy-policy-eea.
[3] https://datenschutz-hamburg.de/pressemitteilungen/2021/04/2021-04-13-facebook
[5] https://dejure.org/gesetze/TKG/88.html
[6] https://dsgvo-gesetz.de/art-6-dsgvo/
[7] https://curia.europa.eu/juris/liste.jsf?language=de&num=C-311/18