Oft genutzt aber selten zulässig

WhatsApp hat sich zum Chat-Standard entwickelt. Laut Bitkom nutzten im ersten Quartal 2019 insgesamt 50 Millionen deutsche Internetnutzer den Messenger. Auch die geschäftliche Kommunikation in Unternehmen und Kanzleien erfolgt nun häufig mit der Applikation der in Kalifornien ansässigen WhatsApp Inc., seit 2014 zum Facebook-Konzern zugehörig.

Die App wird auf den Mobiltelefonen der Mitarbeiter installiert, sei es auf privaten oder vom Unternehmen gestellten Smartphones. Schnell noch Mobilfunknummer und einige Profilinformationen eingeben und fertig ist der WhatsApp-Account für den Chat mit einem oder mehreren Kontakten in eigens kreierten WhatsApp-Gruppen. Praktischerweise hat man die Telefonnummern der möglichen Chatpartner bereits im Adressbuch des Telefons, regelmäßig auch Geschäftskontakte sowie die Nummern der Kollegen. Die App greift automatisch auf das Adressbuch auf dem Mobiltelefon des jeweiligen Nutzers zu. WhatsApp tauscht laut Datenschutzerklärung Informationen mit anderen Unternehmen des Facebook-Konzerns und zwar weltweit.

Wenig bekannt und vermutlich oft ignoriert: WhatsApp gestattet in den Nutzungsbedingungen nur die private Nutzung, es sei denn eine "nicht-private Nutzung" ist genehmigt. Für kleinere Unternehmen, insbesondere für deren Kundeninteraktion, gibt es seit dem vergangenen Jahr WhatsApp Business, wo separate Unternehmensprofile erstellt und genutzt werden können. WhatsApp Business ist allerdings nicht "sicherer" als die normale Version. Zudem verlangt WhatsApp Business eine separate Telefonnummer. Auf einem Mobiltelefon können daher nicht beide Versionen der App laufen.

Messenger in Anwaltskanzleien

Messenger-Dienste scheinen auch in der Kanzleiwelt längst angekommen zu sein. Zu verlockend sind offenbar der schnelle Chat unter Kollegen, die Arbeitsorganisation (einschließlich WhatsApp-Krankmeldung), der schnelle Bericht direkt aus dem Gerichtstermin, die Versendung von Bildern an den Sachverständigen, der Austausch mit Mandanten (inklusive Dokumentenanhang) sowie die Bewerber- und Werbekommunikation. Genutzt werden - wie in den Unternehmen - dazu in der Regel die persönlichen Accounts der Mitarbeiter, häufig auf rein privaten Telefonen oder Bring your own device (BYOD)-Geräten. Auf vom Arbeitgeber bereitgestellten Smartphones (COPE) findet sich der Messenger seltener, aber er findet sich, denn ein Download der App bleibt häufig auch auf Diensttelefonen technisch möglich.

Ein mulmiges Gefühl chattet mit

Messenger-Dienste, allen voran WhatsApp, sind im Hinblick auf ihre rechtliche Compliance schon länger in der Kritik. Datenschutzrechtlich werden von Gerichten und Datenschutzbehörden insbesondere die automatische Weitergabe aller Kontaktdaten des Adressbuchs auf dem Telefon an WhatsApp, die Datenübermittlung in die USA und der Datenaustausch zwischen Facebook-Konzernunternehmen bemängelt.

Das Bayerische Landesamt für Datenschutzaufsicht etwa hat bereits in seinem Tätigkeitsbericht 2015/16 zu WhatsApp ausgeführt: "Eine WhatsApp-Kommunikation innerhalb eines Unternehmens unter den Beschäftigten bewerten wir allerdings als kritisch und schwer durchführbar. Es bestehen viele grundsätzliche Datenschutzbedenken". Das Amtsgericht (AG) Bad Hersfeld hatte im März 2017 als erstes Gericht entschieden, dass WhatsApp-Nutzer aufgrund der automatischen Datenübermittlung einen Rechtsverstoß begehen, wenn nicht von jedem Kontakt aus dem Telefonbuch eine Einverständniserklärung für die WhatsApp-Kommunikation eingeholt wurde (Urt. v. 20.03.2017, Az. F 111/17 EASO). 

Ähnlich positionierten sich bereits im Datenschutz spezialisierte Rechtsanwälte in Fachpublikationen, einschließlich in Mitteilungen der Rechtsanwaltskammern. Diese Bedenken sind gleichwohl noch nicht flächendeckend bekannt. Für Rechtsanwälte ist neben dem Datenschutz zudem die Berufsordnung relevant. Gemäß § 2 Abs. 7 Berufsordnung der Rechtsanwälte (BORA) gebietet die Verschwiegenheitspflicht dem Rechtsanwalt, die zum Schutze des Mandatsgeheimnisses erforderlichen organisatorischen und technischen Maßnahmen zu ergreifen, die risikoadäquat und für den Anwaltsberuf zumutbar sind. Gemäß § 203 Strafgesetzbuch (StGB) ist die Verletzung des - digitalen - Mandatsgeheimnisses durch Offenbarung strafrechtlich sanktioniert. Zum geschützten Mandatsgeheimnis gehört bereits der Name des Mandanten und die Tatsache der Inanspruchnahme anwaltlicher Dienste. Strafbares Unterlassen kann hier gegeben sein, wenn der mögliche Zugang Dritter zum digitalen Geheimnis nicht verhindert wird.

Dann kam die DSGVO

Seit Ende Mai 2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) anwendbar und hat - auch im Hinblick auf Messenger - alles verändert. Weniger datenschutzrechtlich als hinsichtlich der Aufmerksamkeit, die datenrelevante Applikationen seitdem genießen. Denn es drohen nunmehr bei unzulässiger Messenger-Nutzung hohe Bußgelder, schlimmstenfalls in Millionenhöhe, ferner Schadensersatzansprüche.

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) fasst in ihrem Merkblatt aus November 2018 die datenschutzrechtliche Kritik an der Nutzung von WhatsApp durch Unternehmen nach der DSGVO übersichtlich zusammen. Problematisch sind:

1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
2. Die Übermittlung von personenbezogenen Daten in die USA.
3. Die Nutzung von personenbezogenen Daten durch WhatsApp.
4. Die Übermittlung der Nutzerdaten an andere Unternehmen des Facebook-Konzerns.

Nach der DSGVO ist die Übermittlung von Kontaktdaten aus dem Adressbuch an WhatsApp in der Regel unzulässig, weil die dafür nach Art. 6 Abs. 1 DSGVO erforderliche Rechtsgrundlage fehlt. Insbesondere liegt eine Einwilligung sämtlicher Adressbuchkontakte zur WhatsApp-Nutzung selten vor.

Fragwürdige Datenübertragung in die USA

Die Datenübermittlung in die USA erfolgt bei WhatsApp unter dem Privacy Shield-Abkommen, einer aktuell gemäß Art. 45 Abs. 3 DSGVO gültigen Rechtsgrundlage für Datentransfers in die USA. Die LfD Niedersachsen weist jedoch richtigerweise darauf hin, dass seit dem spektakulären Schrems-Urteil des EuGH gegen Facebook aus 2015 (Rechtssache C-362/14)  gegen die Rechtmäßigkeit des Privacy Shields als Nachfolger der damals zu Fall gebrachten Safe-Harbor-Regelung erhebliche Bedenken bestehen. Stichworte sind: Snowden, NSA und Prism-Projekt. Zumal der EuGH wohl Anfang 2020 in einem weiteren Verfahren von Schrems gegen Facebook über US-Datentransfers entscheiden wird.

Nach Ansicht der LfD Niedersachsen stellt der Einsatz von WhatsApp einen Verstoß gegen Art. 25 Abs. 1 DSGVO dar, nach dem der Datenschutz durch die Gestaltung der Technik und durch datenschutzfreundliche Voreinstellungen gewährleistet werden muss. Das automatische Synchronisieren der Adressbuchdaten durch WhatsApp verstoße gegen das Gebot der Datensparsamkeit aus Art. 5 Abs. 1 c DSGVO.

WhatsApp stellt keine Möglichkeit bereit, diese Übermittlung zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren. Zum anderen werde mit WhatsApp ein Anbieter ausgewählt, der personenbezogene Daten in einer Art und Weise verarbeitet, die mit dem geltenden Recht nicht in Einklang zu bringen sei. Unternehmen, die WhatsApp ohne Weiteres einsetzen, ergreifen damit gerade nicht geeignete und angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO. Das gilt ebenso für Kanzleien, auf die die DSGVO natürlich Anwendung findet. Sie kommen ferner in Konflikt mit den Regelungen in § 2 Abs. 7 BORA und § 203 StGB und zwar nicht erst bei der Versendung von Mandanteninformationen im Chat, sondern bereits bei der Installation von WhatsApp auf dem Smartphone mit dienstlichen Kontakten.

Konsequenzen für Messaging in Kanzleien

Kanzleien können den vollen Funktionsumfang von WhatsApp nicht ohne zusätzliche Maßnahmen rechtmäßig nutzen. Solche Maßnahmen sind etwa technische Restriktionen bei der Adressbuchsynchronisation oder die Hardwaretrennung, beispielsweise auf einem eigens für WhatsApp vorgehaltenen Telefon ohne Adressbuch/Mailaccount. Funktionseinschränkung und Komfortverlust führen in diesen Fällen allerdings schnell zur Deinstallation von WhatsApp.

Wer wirklich rechtsicher kommunizieren will, nimmt diesen Schritt ohnehin vor oder verzichtet von vornherein auf WhatsApp im beruflichen Umfeld. Konzerne wie Continental, BMW oder die Commerzbank sind diesen Schritt längst gegangen. Neben datenschutzrechtlichen Problemen sind  der Geheimnisschutz, das arbeitsrechtlich geschützte Persönlichkeitsrecht und die betriebliche Mitbestimmung schon wegen Online-Status und Sende-/Lesebestätigung zu beachten.

Rechtsanwälte unterliegen noch strengeren Regeln in ihrer digitalen Kommunikation und sollten sich dazu ihrer Vorbildrolle beim Datenschutz bewusst sein. Eine alternative für Kanzleien können Messenger wie Threema sein, die grundsätzlich ohne Angabe von persönlichen Daten, datensparsam und mit starker Verschlüsselung genutzt werden können.

Der Autor Tobias Neufeld, LL.M., Solicitor (England & Wales) ist Fachanwalt für Arbeitsrecht, Datenschutzspezialist (CIPP/E, CIPM) und Gründer von neufeld Recht. Beratung. in Düsseldorf, einer Spezialkanzlei für den Bereich Human Resources. Er berät nationale und internationale Unternehmen an den Schnittstellen von Arbeitsrecht und Datenschutzrecht.