RECHTLICHES UND DATENSCHUTZ RUND UM APPS, INSBESONDERE MESSENGERDIENSTE
AUTO-SERVICE-PRAXIS VOM 16.09.2021
Seit Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) ist das Thema Datenschutz in aller Munde und zu einem festen Bestandteil des alltäglichen und des unternehmerischen Lebens geworden. Sei es die Anpassung einer Homepage an die neuesten datenschutzrechtlichen Standards, die Unterzeichnung einer Einwilligung zur Datenverarbeitung, der Umgang mit Mitarbeiter- und Kundendaten oder dass Unternehmen wegen DSGVO-Verstößen abgemahnt werden.
Welche Grundsätze gelten nach der DSGVO?
- Rechtmäßigkeit der Datenerhebung:
Grundsätzlich dürfen personenbezogene Daten nur nach freiwillig und ausdrücklich abgegebener Einwilligung des Betroffenen erhoben werden. Ausnahmsweise ist die Datenerhebung auch ohne Einwilligung möglich, wenn die Daten zu Vertragszwecken verarbeitet werden oder der Unternehmer ein berechtigtes Interesse an der Datenerhebung hat.
- Verarbeitung nach Treu und Glauben
Der Umgang mit den personenbezogenen Daten muss vernünftig, transparent und einfach nachvollziehbar sein.
- Datensparsamkeit und Zweckbindung
Es dürfen nur so viele Daten erhoben werden, die für den Vorgang tatsächlich gebraucht werden und diesem Zweck dienen.
- Datenrichtigkeit
Die verarbeiteten Daten müssen inhaltlich und sachlich richtig und aktuell gehalten werden. Unrichtige Daten müssen sofort gelöscht oder korrigiert werden.
- Recht auf Vergessen
Der Kunde hat ein Recht darauf, dass seine personenbezogenen Daten gelöscht oder gesperrt werden. Personenbezogene Daten dürfen also nur so lange gespeichert werden, wie es für die Verwendung und den Zweck erforderlich ist.
- Datensicherheit
Alle Unternehmen müssen geeignete technische und organisatorische Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit treffen.
- Informationsrechte des Nutzers
Kunden, deren personenbezogene Daten verarbeitet werden, haben zu jedem Zeitpunkt ein Recht darauf zu erfahren, welche personenbezogenen Daten wofür und wo gespeichert sind.
- Rechenschaftspflicht
Die Einhaltung der vorgenannten Grundsätze muss jederzeit durch das Unternehmen nachgewiesen werden können.
Messengerdienste, wie z.B. WhatsApp und die DSGVO
Ein besonders heikles datenschutzrechtliches Thema für viele Unternehmer ist die geschäftliche Nutzung von WhatsApp und anderen Messengerdiensten. Insbesondere Kfz-Werkstätten und Autohäuser nehmen häufig Kontakt zu ihren Kunden über WhatsApp auf, um beispielsweise Fotos von Schäden am Pkw oder Bilder von Ersatzteilen zu verschicken. Was vielen dabei nicht bewusst ist. Die geschäftliche Nutzung von WhatsApp stellt eine Datenverarbeitung im Sinne der DSGVO dar und deshalb sind auch die Vorgaben der DSGVO zu beachten.
Die Frage, ob eine datenschutzkonforme Nutzung von WhatsApp für Unternehmer unter Geltung der DSGVO überhaupt möglich ist, lässt sich nicht eindeutig beantworten, wobei vieles gegen eine Verwendung spricht.
Die DSGVO sieht einige Maßnahmen zum Schutz personenbezogener Daten von Nutzern vor, die von WhatsApp momentan nicht eingehalten werden. Die mit europäischem Datenschutzrecht unvereinbaren Praktiken sind u. a.:
- Alle lokal gespeicherten Kontakte des WhatsApp-Nutzers werden zum Abgleich auf Server in den USA geschickt. Die Übermittlung dieser personenbezogenen Daten erfordert eine rechtswirksame Einwilligung jeder Kontaktperson, welche schlichtweg fehlt und den Datentransfer damit verbietet.
- Obwohl die Kommunikationsinhalte Ende-zu-Ende verschlüsselt sind, beanstandet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), dass Metadaten von WhatsApp in den USA verarbeitet werden. Metadaten sind alle Daten, außer dem eigentlichen Inhalt der Nachricht, d. h. auch Informationen zu Sender und Empfänger der WhatsApp-Nachricht.
- In seinen FAQ zum Datenschutz bestätigt WhatsApp, dass Informationen wie Telefonnummer, Informationen zu den genutzten Geräten sowie Art und Häufigkeit der Nutzung an Facebook weitergegeben werden. Dieser Austausch wird von den Datenschutzbehörden als kritisch eingestuft.
- Die Nutzungsbedingungen erlauben den geschäftlichen Einsatz der App nur mit voriger Einwilligung von WhatsApp. WhatsApp hat kürzlich sein neues Produkt „WhatsApp Business“ veröffentlicht, welches allerdings nicht wirklich datenschutzrechtlichen Verbesserungen bringt.
Das Hauptproblem bei der betrieblichen Nutzung von WhatsApp ist, dass der Messengerdienst sämtliche Kontaktdaten im Telefonbuch des Smartphones ausliest. Wer den Messenger auf dem Mobiltelefon installiert, stimmt zu, dass die Tochterfirma von Facebook Zugriff auf das gespeicherte Adressbuch erhält. Sämtliche Kontaktdaten werden an den US-Konzern übermittelt. Dieser erhält somit auch Telefonnummern von Kontakten, die WhatsApp selbst überhaupt nicht nutzen. Was mit den Daten in den USA geschieht, ist nicht bekannt. Einigkeit besteht jedoch darüber, dass die Telefonnummern ohne Berechtigung an WhatsApp übermittelt werden und dies nach den Bestimmungen der DSGVO einen Datenschutzverstoß darstellt.
Auch die Landesbeauftragte für Datenschutz in Niedersachsen, hat wie viele weitere Datenschutzbeauftragte schon mehrmalsbetont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die Datenschutz-Grundverordnung (DSGVO) verstößt.
Aufgrund dieser erheblichen datenschutzrechtlichen Bedenken untersagen einige große Konzerne ihren Mitarbeitern die geschäftliche Nutzung von Messengerdiensten wie WhatsApp vollständig. Im Hinblick auf den Datenschutz wäre das die sicherste Methode, ob, aber praktikabel muss jeder Unternehmer für sich entscheiden.
Maximilian Appelt
Rechtsanwalt | Steuerberater
Kommentar:
Aus datenschutzrechtlichen Aspekten muss eher davor gewarnt werden, WhatsApp in der Kfz-Werkstatt zur Kommunikation u.a. mit den Kunden zu verwenden, ob Unternehmen dieses Medium aber doch verwenden, ist dann eine unternehmerische Entscheidung.
Maximilian Appelt
Rechtsanwalt | Steuerberater