Mit mehr als einer Milliarden Nutzer ist Whatsapp einer der größten Messaging-Dienste weltweit. Auch Unternehmen nutzen ihn, um etwa mit Kunden zu kommunizieren. Jedoch könnte die Verwendung rechtlich problematisch sein, da sie gegen die Datenschutzgrundverordnung (DSGVO) verstößt.

Konkret liegt das Problem darin, dass Whatsapp, wie das Unternehmen in seinen Datenschutzbestimmungen schreibt, Daten international nutzt: "WhatsApp Inc. teilt Informationen weltweit, sowohl intern mit den Facebook-Unternehmen als auch extern mit Unternehmen, Dienstleistern und Partnern und außerdem mit jenen, mit denen du weltweit kommunizierst. Deine Informationen können […] beispielsweise in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet werden."

Adressbuch ist kritisch

Zwar werden aufgrund der Ende-zu-Ende-Verschlüsselung keine konkreten Nachrichteninhalte, Fotos oder Sprachnachrichten weiterverarbeitet, wohl aber etwa Informationen darüber, dass sich die Person in den Kontakten befindet, wann kommuniziert wurde, Statusnachricht und Profilbild. Zudem werden, und gerade dieser Punkt ist kritisch, Adressbücher hochgeladen – auch von Nummern, die kein Whatsapp nutzen und dem somit nicht zugestimmt haben.

Opt-out praktisch nicht umsetzbar

Die Datenweitergabe ins EU-Ausland ist laut DSGVO nicht grundsätzlich verboten. Eine mögliche Variante wäre es, eine Einwilligung einzuholen – jedoch ist das kaum umsetzbar, nachdem jeder Kontakt vor dem Einspeichern im Adressbuch, wie auch jene, die bereits eingespeichert sind, gefragt werden müssten. Hier weist die WKO zudem darauf hin, dass die österreichische Rechtsprechung fordert, dass bei der Einwilligung in die Datenübermittlung in ein "unsicheres" Drittland auf diesen Umstand hingewiesen" werden muss. Dieses Land müsste genannt werden, Whatsapp selbst gibt aber nur an, die Daten "weltweit" zu teilen. Auch problematisch ist, dass Betroffene die Möglichkeit haben, die Löschung der Daten einzufordern. Hier gibt es seitens Whatsapp, auch nicht in der Business-Version, keine der Grundverordnung konforme Lösung.

Es braucht einen Musterfall

Die Wirtschaftskammer weist in ihrem FAQ zur Umsetzung für Unternehmen auf einen Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht. Dieses urteilt, dass die Nutzung dann nicht bemängelt wird, wenn Unternehmen ausdrücklich auf die Datenschutzbedenken hinweisen und einen anderen Kommunikationsweg anbieten. Dann könne sich der Kunde frei für eine andere Kommunikation entschieden. Hier wird aber die mögliche Problematik mit der Weitergabe der Daten aus dem Adressbuch nicht berücksichtigt. Letztlich werden wohl Höchstgerichte in ersten Präzedenzfälle die tatsächliche Rechtslage klären müssen.

Letztlich gibt es aber viele Alternativen zu Whatsapp, die DSGVO-konform sind. Eine davon ist etwa die App Signal, die sehr ähnlich wie Whatsapp funktioniert, zugleich aber auch Schutz vor Überwachung bietet. Signal agiert zwar in mehreren Ländern, verschlüsselt aber das Adressbuch und löscht die Daten wieder, sobald sie verifiziert wurden. (muz, 31.5.2018)