WhatsApp rechtssicher nutzen

Von Denny Gille

Auch die Kommunikation per WhatsApp fällt unter die Datenschutz-Grundverordnung (DSGVO), wenn der Messenger in Unternehmen genutzt wird. Dennoch lässt sich WhatsApp unter bestimmten Bedingungen weiter nutzen, ohne dass Sie Abmahnungen fürchten müssen. Welche Voraussetzungen Sie dafür erfüllen sollten, erklärt der Medienrechtsanwalt Tobias Röttger von der Kanzlei Gulden Röttger Rechtsanwälte.

Zunächst brauchen Sie eine Rechtsgrundlage, eine Einwilligung, um mit Kunden und Geschäftspartnern per WhatsApp kommunizieren zu können. Das ist mitunter einfacher, als es klingt. „Nutzen beide Gesprächspartner WhatsApp, haben beide Seiten bereits den AGBs und der Datenschutzrichtlinie des Messengers zugestimmt, in denen steht, dass Daten von Dritten erhoben und verarbeitet werden“, sagt Röttger. So kann man aus der bereits erfolgten Zustimmung der WhatsApp-AGBs die Einwilligung ableiten. Voraussetzung ist jedoch, dass die WhatsApp-AGB und Datenschutzrichtlinie selbst den Ansprüchen der DSGVO genügen. Dies sei unter Datenschützern umstritten, gerade im Hinblick auf die notwendige Transparenz. Wer komplett auf Nummer sicher gehen will, sollte sich immer eine Einwilligung einholen, rät der Anwalt.

Auch funktioniert diese Vorgehensweise nur, wenn auf Ihrem Telefon ausschließlich Kontakte von WhatsApp-Nutzern gespeichert sind. Aus diesem Grund ist es für Unternehmen ratsam, sich für die Messenger-Nutzung ein WhatsApp-Smartphone einzurichten, auf dem ausschließlich WhatsApp-Kontakte gespeichert sind.

Denn sind auf dem Telefon auch Kontakte von Kunden gespeichert, die kein WhatsApp installiert haben, handelt es sich bereits um einen Datenschutzverstoß wegen unerlaubter Datenverarbeitung. Grund: WhatsApp liest bereits bei Installation der App sämtliche Einträge aus Ihrer Adressliste aus und verarbeitet sie. „Von den Kontakten, die den Messenger nicht nutzen, müssten Sie sich eine zusätzliche Einwilligung einholen“, sagt Röttger. Diese Einwilligung müsse zwar nicht mehr zwingend schriftlich erfolgen, der Medienanwalt rät jedoch von rein mündlichen Vereinbarungen ab, da sich diese schwer beweisen lassen. Im Falle einer Abmahnung oder Überprüfung durch die Datenschutzbehörden muss das Unternehmen den Nachweis liefern, dass es eine ausreichende Einwilligung vorliegen hat.

Eine zusätzliche Rechtsgrundlage schaffen Betriebe laut Rechtsanwalt Tobias Röttger, wenn sie sich zuerst von ihren Kunden per WhatsApp anschreiben lassen, bevor sie über den Messenger kommunizieren, und die Kontaktdaten abspeichern. Das Abspeichern der neuen Kontaktdaten und das Antworten auf die WhatsApp-Nachricht des potenziellen neuen Kunden sei dann zur Durchführung vorvertraglicher Maßnahmen erforderlich. Dieser Verarbeitungszweck ist von der Datenschutz-Grundverordnung (Artikel 6 Abs. 1 lit. B DSGVO) gedeckt. „Ähnlich verhält es sich mit dem Kontaktformular auf der Website.“

Wer per WhatsApp kommuniziert, muss die Informationspflichten zur Datenverarbeitung einhalten, die sich aus Artikel 13 und 14 der DSGVO ergeben. Werden personenbezogene Daten durch ein Kommunikationsmittel gespeichert und verarbeitet, muss die Person darüber aufgeklärt werden. „Noch bevor beziehungsweise während ich einen neuen Kontakt im Telefon speichere, muss ich den Betroffenen über die Speicherung und geplante Datennutzung informieren“, sagt Medienanwalt Tobias Röttger. Wer WhatsApp als Kommunikationskanal schon auf der Website anbietet, hält die Informationspflichten über den Dienst ein, wenn er ihn in die Datenschutzerklärung auf der Website aufnimmt. „Schreibt mich ein Kunde an, weil der die Nummer von einem Bekannten bekommen hat, müsste ich ihm ein Merkblatt schicken, das die notwendigen Informationen zur Datenverarbeitung enthält.“

Dazu gehören laut Röttger sämtliche Pflichtangaben, die in Artikel 13 und 14 der DSGVO aufgeführt sind. Dazu zählen:

• Angaben über den Verantwortlichen (Handwerksunternehmen)

• Kontaktdaten des Datenschutzbeauftragten, sofern einer vorhanden beziehungsweise notwendig ist

• Verarbeitungszwecke und Rechtsgrundlage

• berechtigtes Interesse

• Empfänger der Daten

• Dauer der Speicherung

• Übermittlung in Drittstaaten

• Rechte der Betroffenen

• Widerrufbarkeit von Einwilligungen

• Beschwerderecht bei der Aufsichtsbehörde

• Verpflichtung zur Bereitstellung personen-
  bezogener Daten

• automatisierte Entscheidungsfindung
  und Profiling

Laut dem Medienrechtsexperten wird unter Datenschützern diskutiert, ob es ausreicht, nur einen Link zu dem Informationsblatt zur Datenverarbeitung zu übermitteln, welches etwa als PDF-Datei auf der Webseite des Unternehmens abgelegt sein könnte. Wenn man das Gesetz eng auslegt, genügt dies nicht, warnt Röttger. Somit bestehe bei dieser pragmatischen Lösung derzeit noch keine Rechtssicherheit.

„Nutzt ein Mitarbeiter sein Privathandy dienstlich, gilt es rechtlich als Mitarbeitertelefon – mit allen Konsequenzen für den Arbeitgeber“, sagt der Medienrechtsanwalt. Für alle privaten Kontakte auf dem Telefon seines Mitarbeiters müsste der Arbeitgeber demnach eine Einverständniserklärung einholen. „Deshalb würde ich grundsätzlich davon abraten, WhatsApp beruflich auf privaten Smartphones zu nutzen“, sagt Röttger. Stattdessen empfiehlt er Diensthandys für die Mitarbeiter. Auch hier müsse der Arbeitgeber jedoch von seinen Mitarbeitern eine Einwilligung für die Verwendung von WhatsApp einholen.

Grundsätzlich sind Unternehmen auf der sichersten Seite, wenn sie von jedem Kontakt eine Einverständniserklärung zur WhatsApp-Nutzung unterschreiben lassen. Für Werbezwecke gilt zudem: „Bei der allerersten Aufnahme der Daten sollten Sie darauf hinweisen, dass Sie künftig auch Werbung über den Kanal verschicken und dass der Empfänger jederzeit das Recht und die Möglichkeit hat, der Werbung zu widersprechen“, sagt der Medienanwalt. Ist das nicht geschehen, müsse man – wie auch beim E-Mail-Marketing üblich – eine Einwilligung für Werbezwecke einholen.