Die DSGVO und die gewerbliche Nutzung von WhatsApp und anderer Messenger – Was Sie dabei beachten müssen.

Messenger-Dienste wie WhatsApp, Telegram, Facebook Messenger, Threema, Signal und alle anderen sind praktisch und weit verbreitet. Sie finden sich auf nahezu jedem Smartphone und mittlerweile auch bereits in den ersten Fahrzeugen. Mit ihnen kann man einfach Nachrichten, Bilder, Dokumente oder Audio-Nachrichten austauschen. Diese Vorteile nutzen natürlich auch Unternehmen und Freiberufler. Sie kommunizieren über diese Messenger mit Kunden und Mitarbeitern. Doch damit verstoßen sie gegen geltendes Recht. Im Grundsatz stellt die Nutzung der meisten dieser Messenger ein Unternehmen vor die Tatsache, dass es damit die Auflagen der DSGVO nicht erfüllen kann, ja sogar grob verletzt. Für Privatpersonen entstehen dabei keine Probleme, denn lediglich die gewerbliche Nutzung unterliegt der DSGVO.

Bei der Nutzung des beliebten WhatsApp-Dienstes beginnen die Probleme bereits damit, dass die gespeicherten Kontakte auf dem Telefon des Benutzers durchforstet werden und die Daten an einen Server, meist mit Standort in Asien oder USA, übertragen werden. Durch den Abgleich mit seiner eigenen Datenbank ermittelt WhatsApp, welche der übermittelten Kontakte ebenfalls den Dienst nutzen und welche nicht. All diejenigen, die die App nutzen, haben bereits den Datenschutzerklärungen von WhatsApp zugestimmt. Die anderen allerdings nicht! Dennoch geraten ihre personenbezogenen Daten an das Unternehmen, das seit 2014 zum Facebook-Konsortium gehört. Die Datenweitergabe, die Sie mit der Nutzung des Dienstes für alle Ihre eingetragenen Kontakte durchführen, ist allerdings ohne vorherige Zustimmung jedes Einzelnen strikt untersagt und stellt einen groben Verstoß gegen die DSGVO dar.

Auch wenn Sie als Gewerbetreibender oder Freiberufler z.B. einen Kundentermin mit einem Ihrer Mitarbeiter oder Geschäftspartner über einen Messenger-Dienst absprechen, werden in diesem Fall ebenfalls bereits explizit personenbezogene Daten des Kunden darüber ausgetauscht, ohne dass dieser davon Kenntnis hat. Die verschickten Daten, egal ob als Textnachricht oder als Datei jedweder Art, werden an die Dienste zur Übermittlung weitergegeben und dort auch zwischengespeichert und verarbeitet. Für den Austausch der Daten zwischen Ihnen und Ihrem Mitarbeiter oder Geschäftspartner müsste aber unbedingt vorher die Einwilligung des Kunden eingeholt werden.

Die schriftliche Einwilligung des Kunden ist erforderlich

Gleiches gilt, wenn z.B. bei der Baustellenbesichtigung Innenräume, Gewerke oder Häuser mit einem Foto festhalten werden. Das ist in einigen Bereichen gängige Praxis, ist aber ohne die Zustimmung des Inhabers des Hauses bzw. der Räumlichkeiten schlicht verboten. Egal, ob das Foto lediglich auf dem Smartphone gespeichert bleibt oder tatsächlich per Messenger an beteiligte Parteien gesendet wird.

Wer WhatsApp, oder einen anderen Messenger benötigt, um Arbeitsabläufe zu gestalten, muss sich auf jeden Fall zuerst die schriftliche Zustimmung der Person holen, bevor er überhaupt ihre Daten im System erfasst. Denn sind die Adressen von Kunden und Interessenten in einer zentralen Datenbank angelegt, mit der sich auch die Smartphones synchronisieren, kann schon früh die erste Verletzung der neuen Datenschutz Grundverordnung vorliegen. Selbst für die theoretisch rein interne Nutzung eines Messenger-Dienstes ohne Kundendaten müssen Sie sich zwingend die Einwilligung Ihrer Mitarbeiter holen, da Sie zwangsweise deren Daten weitergeben.

Nun kann es natürlich auch sein, dass WhatsApp und Co. gar nicht offiziell auf den Diensthandys der Mitarbeiter installiert ist. Die Kollegen haben die Apps dennoch installiert, um sich einfacher untereinander austauschen und absprechen zu können. Das jedoch muss vom Unternehmen in der Art unterbunden werden, dass Anwendungen auf dem Diensthandy nur vom Verantwortlichen installiert werden können. Facebook, das neben WhatsApp und Facebook Messenger, auch die Plattform Instagram betreibt, gehört neben Google zu den Firmen, die personenbezogene Daten am intensivsten sammeln und bearbeiten. Angesichts der Tatsache, dass immer häufiger bekannt wird, das Daten von Facebook unkontrolliert weitergegeben oder durch Sicherheitslecks abgegriffen werden, sollte man die Nutzung dieser Dienste im gewerblichen Bereich sehr genau bedenken. Gemäß der DSGVO trifft Sie als Auftraggeber, und das sind Sie im rechtlichen Sinne, die gleiche Schuld und Strafe, wie den von Ihnen beauftragten Dienstleister.

In Ihrer Datenschutzerklärung können Sie darauf hinweisen, dass Sie WhatsApp oder einen anderen Messenger zur Kommunikation betriebsintern oder auch mit dem Kunden selbst nutzen. Sie müssen hier aber auch die Möglichkeit vorsehen, dass Ihr Kunde dem widersprechen kann. Ob Sie daraufhin Ihre Dienstleistungen einschränken oder mit Aufpreis anbieten dürfen, ist fraglich. Die DSGVO bestimmt ausdrücklich, dass Dienste nicht in Abhängigkeit zur Datenpreisgabe angeboten werden dürfen.

Wo die weiteren Fallstricke liegen

Selbst wenn Sie die Nutzung von Messengern in Ihrer Datenschutzerklärung ausdrücklich nennen und Ihre Kunden dem zustimmen, bekommen Sie spätestens in dem Fall Probleme, in dem einer Ihrer Kunden seine ihm aus der DSGVO zustehenden Rechte Ihnen gegenüber wahr nimmt. Es wird Ihnen vermutlich nicht gelingen, alle über den Messenger-Dienst speziell zu dem Kunden gespeicherten Daten herausgeben zu können. Selbst wenn Sie Ihren Chatverlauf mit dem Kunden noch exportieren können, wird es schwierig, wenn Sie mit Ihren Mitarbeitern, oder diese untereinander, über diesen Kunden Daten ausgetauscht haben. Gleiches gilt, wenn Ihr Kunde sein Recht auf Löschung der Daten in Anspruch nimmt. Sie werden bei WhatsApp und den anderen Diensten auf ziemlich taube Ohren stoßen, wenn Sie dort die Löschung aller Kommunikation und der (Adress)Daten speziell des einen Kunden verlangen.

Als Unternehmer sind Sie verpflichtet, mit allen externen Datenverarbeitern einen Auftragsverarbeitungsvertrag zu schließen und den Dienstleister regelmäßig zu prüfen und damit zu gewährleisten, dass er die Vorgaben der DSGVO einhält. WhatsApp z.B. untersagt erstmal grundsätzlich die gewerbliche Nutzung des Dienstes. Hier müssen Sie sich bei WhatsApp zuvor die Erlaubnis einholen. WhatsApp wird mit Ihnen aber aus den o.g. Vorgaben der DSGVO niemals einen Auftragsverarbeitungsvertrag schließen.

Welche Alternativen gibt es?

Grundsätzlich ist im gewerblichen Bereich von der Nutzung von Messenger-Diensten, die für den privaten Gebrauch konzipiert sind, dringend abzuraten. Mit Ihnen können in keiner Weise die Vorgaben der DSGVO umgesetzt werden. Ein unzufriedener Kunde kann Sie mit Forderung auf die Einhaltung der DSGVO in große Probleme bringen. Dabei dürften die verhängten Bußgelder noch zu den geringsten davon zählen.

Der Messenger Threema des gleichnamigen Schweizer Unternehmens bietet eine spezielle Business-Version seines Dienstes an. Threema ist nach der DSGVO zugelassen. Bei Threema werden keine Daten des Telefonbuches Ihres Smartphones an den Dienst übertragen, sondern lediglich eine verschlüsselt erzeugte mathematische „Threema-ID“, die zwar einen Kontakt eindeutig macht, aber aus der zurück keine Daten abgeleitet werden können. Außerdem werden bei Threema nur diejenigen Threema-IDsim Zusammenhang mit Ihnen gespeichert, die dort bereits registriert sind. Threema lässt sich zudem ohne die Angabe einer Telefonnummer völlig anonym nutzen. Die über den Dienst übermittelten Nachrichten und Daten sind wie bei WhatsApp auch Ende-zu-Ende verschlüsselt. Im Fall eines Löschungs- oder Herausgabeverlangens können Sie darauf hinweisen, dass eine Ermittlung der Daten aufgrund der Anonymisierung und Verschlüsselung nicht möglich ist. Die Daten gelten dann rechtlich als bereits gelöscht. Die Nachteile von Threema sind, dass die App nicht kostenlos ist und das auch die Firma Threema keinen Auftragsverarbeitungsvertrag mit Ihnen schließen wird.

Einen ähnlichen Ansatz verfolgt der Messenger „Signal“. Signal setzt den Schwerpunkt ebenso wie Threema auf Privatsphäre und starker Verschlüsselung. Auch hier werden keine Kontaktdaten als solches auf den Servern von Signal gespeichert. Jedoch steht im Gegensatz zu WhatsApp oder Threema hinter Signal keine kommerzielle Firma, sondern die gemeinnützige Signal-Stiftung. Der Programmcode der App ist frei verfügbar und kann von jedem eingesehen (und bei entsprechenden Kenntnissen) geprüft werden. Bemerkenswert ist, dass die Stiftung 2018 vom WhatsApp-Gründer Brian Acton ein Startkapital von 50 Millionen US-Dollar erhielt. Aber auch bei Signal werden Sie keinen Auftragsverarbeitungsvertrag erhalten.

Speziell für Handwerker und andere Gewerbetreibende wurde von der Firma myCraftnote Digital GmbH die Messaging-Anwendung „myCraftnote“ entwickelt, die ebenfalls die Vorgaben der DSGVO umsetzt, einschließlich des benötigten Auftragsverarbeitungsvertrages. Die App lässt sich wie WhatsApp und Signal kostenfrei nutzen, bietet aber in einem Abo-Modell speziell für Gewerbetreibende zusätzliche Funktionen, die weit über einen reinen Messenger hinausgehen und nahezu an ein Projektmanagement heranreichen.

Fazit

Sehen Sie als Gewerbetreibender oder Freiberufler von der Nutzung von WhatsApp und Co. ab. Wenn Sie auf die moderne Kommunikation nicht verzichten wollen, nutzen Sie unbedingt Anwendungen, die der DSGVO entsprechen. Mit Threema und myCraftnote sind Sie hier in jedem Fall auf der sicheren Seite. Sie müssen nur Ihre Kunden davon überzeugen, sich auf eine andere Messaging-App einzulassen.

Links:

https://work.threema.ch/de und https://threema.ch/de

https://signal.org/de

https://www.mycraftnote.de