Theorie & Praxis: WhatsApp und die Datenschutzgrundverordnung

Recht

Neues Datenschutzrecht, neue Fragestellungen: Wie sieht es mit der Nutzung von WhatsApp auf der Baustelle aus?

Was noch vor wenigen Jahren die SMS war, ist vor einiger Zeit durch den Instant-Messaging- Dienst WhatsApp abgelöst worden: die schnelle, schriftliche und einfache Kommunikation über das Mobiltelefon. Das, was privat ideal ist zum Verabreden oder zum Austausch von Bildern, findet zunehmend auf der Baustelle Eingang. Architekten, Fachplaner, Handwerker, Bauherren – viele tauschen sich mittlerweile eher über WhatsApp aus, als dass sie miteinander reden. Teilweise nimmt dies fragwürdige Züge an, die mehr schaden, als den Parteien nutzen. Von der Baustelle ist WhatsApp aber nicht mehr wegzudenken.

DSGVO findet Anwendung

Seit 25. Mai 2018 gilt europaweit ein neues Datenschutzrecht. Die Datenschutz-Grundverordnung (DSGVO) regelt zwar nicht alles neu, führt aber dazu, dass Selbstverständlichkeiten hinterfragt und – unter datenschutzrechtlichen Aspekten – überprüft werden. So manches datenschutzrechtliche Ergebnis mag antiquiert, abstrus und absurd sein: Zumindest werden liebgewonnene, aber nicht immer vorteilhafte Gewohnheiten kontrolliert.

WhatsApp steht schon länger im Blickpunkt der Datenschützer. Bislang wurde es WhatsApp untersagt, personenbezogene Daten an den Mutterkonzern Facebook weiterzugeben. Erstaunliches Ergebnis der DSGVO ist, dass Facebook die neuen Regelungen so auslegt, dass der Datenaustausch erlaubt wäre. Marit Hansen, Landesdatenschutzbeauftragte von Schleswig-Holstein, sagte der Tageszeitung „Die Welt“ dazu: „Das ist schon grotesk: Die Datenschutz-Grundverordnung verspricht ein besseres Datenschutz-Niveau und nun teilen Facebook und WhatsApp die Daten der Nutzerinnen und Nutzer, was ihnen vorher vom hamburgischen Datenschutzbeauftragten mit guten Gründen untersagt worden war.“ Daten, die WhatsApp besitzt, erhält nun auch Facebook. Alles wird dann auf Servern in den USA gespeichert – fernab der DSGVO und datenschutzrechtlicher Vorgaben.

WhatsApp auf der Baustelle? Schwierig!

Grotesker wird das Ergebnis dann noch, wenn die WhatsApp-Nutzung auf deutschen Baustellen datenschutzrechtlich nicht mehr ohne weiteres erlaubt ist. WhatsApp lässt sich von seinen Nutzern zusichern, auf alle Kontakte des jeweiligen Telefonbuchs zugreifen zu können. Bei den Kontakten, die über einen eigenen WhatsApp-Account verfügen, könnte dies möglicherweise noch gerechtfertigt sein, da jeder WhatsApp-Kunde weiß, worauf er sich bei WhatsApp einlässt. Anders ist es aber bei den Telefonbuchkontakten, die gar nicht bei WhatsApp sind: Deren Datenweitergabe ist sicherlich nicht gerechtfertigt. Denn für die DSGVO geht das grundsätzliche Verbot der Datenverarbeitung mit Erlaubnisvorbehalt. Daten dürfen demnach nur verarbeitet werden, wenn dies explizit erlaubt ist oder ein anderer, bestimmter Erlaubnisgrund vorliegt (Art. 6 DSGVO). Eine Einwilligung zur WhatsApp-Datenweitergabe liegt aber gerade nicht vor, wenn man gar nicht bei WhatsApp-Kunde ist.

Eine Möglichkeit ist die Verwaltung von Messenger Apps durch ein Mobile Device Management (MDM)-System, das ggf. den automatischen Upload von Adressbüchern verhindern kann. Damit kann bei Appvirtualisierung bei manchen MDM-Systemen WhatsApp für die geschäftliche Nutzung von den privaten Adressen und ggf. anderen Geschäftsadressen getrennt werden.

Mit Einwilligungen des Berechtigten zu arbeiten, z. B. durch eine Einwilligungserklärung bei der Installation von WhatsApp, ist schwierig, da nicht nur WhatsApp-Kontakte hochgeladen werden, sondern alle Kontakte, auch diejenigen, die gar kein WhatsApp installiert haben. Derzeit sehen die Geschäftsbedingungen von WhatsApp ausschließlich eine private Nutzung vor. Daher ist die dienstliche Nutzung von WhatsApp per se unzulässig.

DSGVO-konforme Alternativen zur Datenübermittlung

WhatsApp ist durch die seit 1. April 2016 standardmäßige Verschlüsselung der Daten wesentlich sicherer als die unverschlüsselte E-Mail. Dennoch sollte man sich aus obengenannten Gründen für die geschäftliche Kommunikation eine vollständig DSGVO-konforme Lösung für die Datenübermittlung suchen, die keine allzu großen Vorkenntnisse benötigt, für alle Nutzerinnen und Nutzer verfügbar ist, von PC- und mobilen Betriebssystemen unterstützt wird und einfach benutzbar ist. Damit fallen klassische Verschlüsselungslösungen wie PGP und S/MIME aus, da sie für Laien nicht praktikabel sind. Hier stellen wir daher drei Möglichkeiten vor, die diesen Anforderungen unseres Erachtens genügen:

Eine Möglichkeit des gemeinsamen Datenzugriffs bieten Secure-File-Sharing-Systeme wie Owncloud oder Nextcloud, die sogar lizenzkostenfrei heruntergeladen und installiert werden können. Beide Systeme können sowohl die Datenspeicherung als auch den Transportweg verschlüsseln. Links auf neu hochgeladene Daten können per Mail verschickt werden, das Passwort für die jeweilige Datei auf einem getrennten Verbindungsweg (SMS oder Telefon). Für gemeinsame Projekte können auch für alle Projektbeteiligten eigene Accounts angelegt werden, mit denen sie Zugriff auf ganze Verzeichnisse erhalten und auch selbst Uploads vornehmen können. Die Passwörter sollten ebenfalls auf einem getrennten Verbindungsweg übermittelt werden. Owncloud und Nextcloud können auf jedem Webserver installiert werden, für die Verschlüsselung ist noch ein offizielles Webserver- SSL/TLS-Zertifikat erforderlich. Für Owncloud und Nextcloud sind Clients für PC, Macintosh, iOS und Android verfügbar.

Für NAS-Systeme wie z. B. von Synology oder QNAP gibt es sowohl für PCs (häufig auch Macintosh) als auch für mobile Geräte unter iOS und Android Clients, mit denen man nach Setzen entsprechender Berechtigungen auf verschlüsselte Projektverzeichnisse zugreifen kann. Zusätzlich kann dieser Zugriff mit einer weiteren Verschlüsselung eingerichtet werden.

Wenn die Daten bereits verschlüsselt hochgeladen werden, können sie prinzipiell auch auf jedem unsicheren Cloudserver innerhalb oder außerhalb der Europäischen Union gespeichert werden. Vorausgesetzt, die Verschlüsselung ist so stark, dass es keine Möglichkeit der Dateneinsicht ohne Kenntnis des Schlüssels mehr gibt und es sich damit bei den verschlüsselten Daten nicht mehr um personenbezogene Daten handelt. Dann können auch Ablagesysteme wie z. B. Google Drive, iDrive oder Amazon AWS datenschutzkonform genutzt werden. Als Tools zur sogenannten clientseitigen Verschlüsselung gibt es z. B. Boxcrypt, PanBox oder Tresorit.

Eric Zimmermann / Ulrich Emmert / 25.06.2018