Messaging-Dienste und DSGVO Teil 1
Messaging Dienste sind immer weiter verbreitet
Rund 120.000.000 Menschen weltweilt nutzen jeden Monat WhatsApp. Diese Software stellt somit – ex aequo mit dem Facebook Messenger – den global am weitesten verbreiteten Instand Messaging Dienst dar.
Betrachtet man den deutschen und österreichischen Markt, ist in den letzten Jahren hingegen eine deutliche Dominanz von WhatsApp festzustellen; die Marktanteile des Facebook Messengers liegen deutlich tiefer, sonstige Messaging-Dienste wie Viber oder Skype liegen weit abgeschlagen zurück.
Datenschutzrechtliche Fragen bei der Nutzung von Messaging-Diensten
Mit der Nutzung von Messaging-Diensten für unternehmerische Zwecke gehen zahlreiche rechtliche Fragestellungen einher, die zuletzt durch die Einführung der Datenschutz-Grundverordnung (DSGVO) verschärft wurden.
Die in Zusammenhang mit neuen Technologien häufig festzustellen, läuft die Rechtsprechung der Praxis hinterher. Dies hat zur Folge, dass die praktische Bedeutung neuer Rechtsgrundlagen für moderne Technologien oftmals Monate und Jahre in Anspruch nimmt und Rechtsunterworfene in diesem Zeitraum mitunter eine unklare Rechtslage zu beachten haben. Dies trifft gerade auch auf die Nutzung von Messaging-Diensten für betriebliche Zwecke zu.
Während ich in meinem Beitrag auf Unternehmerweb vom Mai 2018 bereits auf grundlegende Folgen der DSGVO für den Alltag von Unternehmern einging, soll nunmehr skizziert werden, unter welchen Voraussetzungen die aktuelle Rechtslage die Verwendung von WhatsApp und Co für betriebliche Zwecke erlaubt. Da eine Auseinandersetzung mit der konkreten Funktionsweise aller relevanten Messaging-Dienste den Rahmen dieses Newsletters sprengen würde, wird hier ausschließlich auf den nationalen Marktführer WhatsApp eingegangen.
Systematische Datensammlung
Betrachtet man die Nutzungsbedingungen von WhatsApp, zeigt sich, dass dieses Unternehmen Daten seiner Nutzer in weitem Umfang sammelt und somit verarbeitet. Hierunter fallen etwa
- Nutzungsdaten wie etwa Standortinformationen, Gerätedaten, Verbindungsdaten und Logdateien;
- die persönlichen Daten des Nutzers, die dieser Nutzer WhatsApp zur Verfügung stellt;
- die persönlichen Daten des Nutzers, die andere WhatsApp-Nutzer über den erstgenannten Nutzer zur Verfügung stellen;
- das gesamte Telefonbuch des Nutzers einschließlich aller darin enthaltener Informationen wie etwa von Telefonnummern, E-Mail-Adressen, Funktionen bzw Tätigkeiten der gespeicherten Personen und Fotos;
- unter Umständen auch der Inhalt der vom Nutzer versendeten Nachrichten. Zwar werden solche Nachrichten End-zu-End-verschlüsselt und auf WhatsApp-Servern grundsätzlich nur für den kurzen Zeitraum des Versandes gespeichert. Ist ein sofortiger Versand jedoch aus technischen Gründen ausnahmsweise nicht möglich, werden die Nachrichten bis zu 30 Tage lang auf WhatsApp-Servern gespeichert.
Wenngleich WhatsApp seine Dienstleistungen an Nutzer mit Sitz oder Wohnsitz im Europäischen Wirtschaftsraum durch ein dort ansässiges Unternehmen der WhatsApp-Gruppe, und zwar WhatsApp Ireland Limited, erbringt, bedeutet dies nicht, dass all die von WhatsApp erhobenen Daten auch ausschließlich innerhalb der Europäischen Union verarbeitet werden. Denn WhatsApp Ireland Limited teilt Informationen sowohl intern mit anderen Unternehmen des Facebook-Konzerns, als auch mit externen Partnern und überhaupt mit all jenen Personen, mit denen der Nutzer selbst kommuniziert. Den Datenschutzmitteilung von WhatsApp zufolge werden Informationen, die von WhatsApp Ireland kontrolliert werden, außerdem uneingeschränkt „in die USA oder andere Drittländer“ (welche dies sind, bleibt offen) übertragen oder übermittelt und werden dort gespeichert und verarbeitet.
Datenschutzrechtliche Problematik
Aufmerksame Medienkonsumenten wird es nicht verwundern, dass eine Nutzung von WhatsApp unter Berücksichtigung der weiter oben beschriebenen Datenverwendung datenschutzrechtlich höchst problematisch sein kann.
Dies gilt prinzipiell nicht, wenn WhatsApp rein für private oder familiäre Zwecke verwendet wird: Denn diesfalls gelangt die DSGVO nicht zur Anwendung. Wer allerdings selbst unternehmerisch tätig ist und auf seinem zumindest auch beruflichen Zwecken dienenden Mobiltelefon, Tablet oder PC WhatsApp installiert hat (was wohl auf die meisten klein- und mittelständischen Unternehmen zutrifft), sollte sich darüber bewusst sein, dass
- WhatsApp Zugriff auf das gesamte Telefonbuch des Unternehmers – also auch auf alle Geschäftskontakte – und außerdem unter Umständen temporär auch auf den Inhalt der versendeten Nachrichten erhält; und
- diese Daten nicht nur innerhalb der Europäischen Union gespeichert und verarbeitet werden, sondern in die USA und überhaupt nicht näher bestimmte Drittländer weitergeleitet werden. Dass das Datenschutzrecht der USA – und der meisten anderen Staaten außerhalb der Europäischen Union – weitaus liberaler ist als das innerhalb der Europäischen Union geltende Datenschutzrecht, sei am Rande angemerkt.
Im zweiten Teil, der nächste Woche erscheinen wird, befasse ich mich dem theoretischen Hintergrund und den faktischen Folgen der datenschutzrechtlichen Problemstellung.