Seit gut einem Monat gilt die DSGVO in der ganzen Europäischen Union. Die restliche IT-Welt außerhalb von Deutschland schmunzelt über den Wahn, der bei uns momentan stattfindet. Deshalb zu Anfang erst mal Entwarnung, was Verstöße und deren Folgen angeht: Es sind bisher kaum Abmahnungen aufgekommen. Die Bundesregierung hat außerdem vor, die Abmahnungen aufgrund des Wettbewerbsrechts durch Missachtung der DSGVO aufzuheben oder abzumildern. Onlinebeschwerden sind bisher ebenfalls kaum bei den zuständigen Behörden eingegangen. Sie treffen die Aussage, dass momentan an Mittelstand und Kleingewerbe lediglich Verwarnungen ausgesprochen werden.
Die DSGVO soll ja bekanntlich vor allem die großen Unternehmen treffen: Google, Amazon, Facebook und auch Apple. Diese mächtigen Konzerne sind aber mit guten Anwälten bestückt und haben sogar die Budgets, um Rechtsstreitigkeiten zu verlieren. Meiner Meinung nach haben sie bereits ähnlich viel Macht wie eine Regierung. Im Fall von WhatsApp kommt erschwerend dazu, dass noch nie nennenswert damit Geld verdient wurde. Die Vermutung der Datenschützer, dass Facebook als Eigentümer von WhatsApp an der Weiterverwertung der Daten seiner Kunden verdient, ist deshalb nur zu berechtigt.
Warum hat der Datenschutz ein Problem mit WhatsApp?
Die Datenschutz-Grundverordnung soll personenbezogene Daten besser schützen und gegen Missbrauch abschirmen, also z. B. Name, Adresse, Handynummer, Hobbys oder Wünsche der Person. Dazu zählen aber auch alle Infos und Verbindungen, die mit der Person verknüpft werden können. Die DSGVO bestraft aber nicht die illegale Verwendung dieser Daten, sondern sie regelt das Speichern und sogar bereits das Notieren dieser Infos. Grundsätzlich gilt: Die Verarbeitung von personenbezogenen Daten muss einem Zweck dienen, den die DSGVO erlaubt.
Daher ist die Speicherung der Daten zur Durchführung eines Auftrags und zum Erstellen eines Angebots weiterhin erlaubt, da sie zweckgebunden ist. Aber dies muss dokumentiert sein und nach einem definierten Prozess ablaufen.
Im Fall von WhatsApp ist das leider nicht immer klar ersichtlich. Denn hier ist noch ein dritter Beteiligter im Spiel, der Daten auswerten könnte – Facebook. Der Konzern erzielt auf seiner Kontaktplattform weltweit gigantische Gewinne durch Werbung, die an eine klar definierbare Zielgruppe ausgespielt wird. WhatsApp sammelt ebenfalls Daten und kostet daher auch keine Gebühren, Stand heute. Gesammelt werden laut Angaben des Anbieters lediglich Metadaten. Um welche es sich handelt, das kann jeder Nutzer in der neuen WhatsApp-Version unter „Account/Account-Info“ anfordern. Nach etwa drei Tagen steht der Bericht bereit. WhatsApp liefert jetzt alle Metadaten, wie Telefonnummer, wann zuletzt online, verwendeter Handytyp und welche Handynummern der persönlichen Kontakte erfasst sind. Im besten Fall liefert die Liste folgende Angaben:
- Telefonnummer
- Verbindungsstatus
- die letzte IP-Adresse
- Gerätetyp, Hersteller und Betriebssystem
- App-Version
- Profilbild (plus Datum des Uploads) und Profilspruch
- Status zur Nutzung der Web-Version von WhatsApp
- Gruppen
- wann und ob man den Nutzungsbedingungen und Erklärungen zugestimmt hat
- Mobilfunkbetreiber, über den die Internetverbindung bezogen wird
- das Registrierungsdatum des WhatsApp-Accounts
- die Einstellungen zur Sichtbarkeit von „Zuletzt online“, Profilbild und Profilspruch sowie alle blockierten Kontakte.
Bei den hohen Strafen und der aktuellen Aufmerksamkeit auf dieses empfindliche Thema sollte das dann der Wahrheit entsprechen, aber eine Prüfung und Kontrolle sind schwierig. Aus diesen Metadaten werden vermutlich die persönlichen Profile jedes Nutzers erstellt. Man wird „gläsern“. So trägt auch WhatsApp dazu bei, dass Unternehmen, Parteien und andere Institutionen oder Gruppierungen sehr zielgerichtet maßgeschneiderte Werbung platzieren können, z. B. über Facebook, den Mutterkonzern von WhatsApp. Es könnte sogar sein, dass demnächst auch in WhatsApp Werbung auftaucht. Das zumindest war Thema eine Entwicklerkonferenz von Facebook.
Hauptproblem liegt im Zugriff aufs Adressbuch
Gerade Handynummern sind das DSGVO-Hauptproblem bei der Verwendung. WhatsApp greift auf die Kontakte zu und verarbeitet sie. Sogar von Kontakten aus dem lokalen Adressbuch des Nutzers, die WhatsApp ihrerseits tatsächlich nicht nutzen.
Wie gefährlich ist es jetzt, WhatsApp einzusetzen?
Solange es keinen klaren Gerichtsentscheid gibt und sich eine daraus resultierende Geldbuße ableiten lässt, können wir nur von einer Grauzone bei der Verwendung sprechen. Sie lässt sich aber hellgrau gestalten durch:
- Einwilligung
- weitere Datenschutzmaßnahmen.
Die Wahrscheinlichkeit, jetzt eine Beschwerde oder eine Abmahnung zu erhalten, ist dadurch deutlich verringert. Und sollte es wider Erwarten zu einem Prozess kommen, ist zumindest der gute Wille hinreichend dokumentiert.
Eine Einwilligung der Kontakte einholen
So mache ich es als Unternehmer: Da mittlerweile die meisten Webseiten mobil per Smartphone geöffnet und besucht werden, gelangen neue WhatsApp-Kontakte nur über meine Website zu mir. Auf der Seite ist ein Link hinterlegt, der sie in mein WhatsApp Business weiterleitet. Ganz wichtig: Der Kontakt erfolgt aber ausschließlich über eine vorhergehende Einwilligung auf der Internetseite oder über eine E-Mail, die ebenfalls über die darin enthaltenen Angaben nach DSGVO Art 6a informiert.
Ich schreibe keinen Kontakt von mir aus an, die Aktion löst immer erst der Kunde aus. Bevor wir dann per WhatsApp in Kontakt treten, erteilt er mir auf diese Art belegbar seine Einwilligung. Diese Einwilligung muss kopplungsfrei sein und kann digital erfolgen. Kopplungsfrei bedeutet, dass die Einwilligung nicht an andere Vorteile wie Rabatte oder Gewinnspiele gekoppelt ist. Ich halte es aktuell für die beste Lösung. Das Vorgehen lehnt sich an das sogenannte Double-Opt-in Verfahren an, nach dem Newsletter-Anmeldungen datenschutzkonform erfolgen.
Eigentlich ist dieser Kontaktaufnahmeprozess einfacher, als zuerst eine Nummer abzutippen, anzulegen und dann in den Kontakten zu speichern, nur eben etwas neu und ungewohnt.
Weitere Datenschutzmaßnahmen
So geht es auch: WhatsApp hatte zwischen dem 25. und 28. Mai einfach keinen Zugriff auf meine Kontakte. Das lässt sich einstellen auf Android und auf IOS unter Einstellungen/Apps/WhatsApp/Berechtigung. Es funktioniert, aber WhatsApp lässt sich dann schwerer bedienen. Es werden nur noch Telefonnummern angezeigt, ich kann nur angeschrieben werden und auch Kontakte konnte ich nicht mehr in WhatsApp weiterleiten.
Also bin ich einen Schritt weitergegangen: Ich habe alle Kontakte in meinem Telefonbuch gelöscht, die nicht WhatsApp verwenden. Außerdem nutze ich, bewusst des Risikos und des Aufwands, WhatsApp ausschließlich geschäftlich, um eine klare Grenze zwischen „privaten Kontakten“ und Geschäftskontakten ziehen zu können. Das habe ich in dem Verzeichnis der Verarbeitungstätigkeiten dokumentiert, wie von der DSGVO gefordert.
Ich nutze zudem dafür die Variante WhatsApp Business (eigene App! Siehe dazu der Artikel in der SBZ-Ausgabe 06/2018). Unter „Unternehmenseinstellungen/Profil“ habe ich in dieser Variante einige Links und Texte zum Datenschutz und zu meinem Unternehmen eingefügt, um der Informationspflicht nahezu gerecht zu werden – in meinen Augen. Deinstallieren und löschen ist auch eine Lösung, nur eben wird die eigene Effizienz damit gebremst. Kunden und Mitarbeiter sind eventuell verärgert. Alternativ empfiehlt sich der Wechsel zu einem anderen Messenger. Aber: Andere sind meist nicht viel besser, was den Datenschutz angeht, es sind kaum Nutzer drin, sie sind halt nicht weit verbreitet. Technisch kommen sie nicht an die Einfachheit und die Möglichkeiten von WhatsApp-Web und WhatsApp-Business heran.
Ab August 2018 bietet sich außerdem die Anwendung „Securecontact“ an, um Kontakte zu schützen, die kein WhatsApp verwenden. Securecontact ist momentan nur auf IOS verfügbar, aber laut Anbieter bald auch für Android.
Des Weiteren empfiehlt sich die Verwendung von „UpdatU“ als weitere Datenschutzebene. Die Anwendung schaltet sich als DSGVO-konformer Auftragsverarbeiter ein und bildet die Informationspflichten nach DSGVO Art. 13/14 ab.
Fazit
Die meisten Handwerker sind mobil und smart unterwegs. Das Smartphone ist als Werkzeug nicht mehr zu entbehren und der Messenger WhatsApp ist DIE Kommunikationsapp unserer Zeit, um Kunden zu beraten, Mitarbeiter zu finden und die Belegschaft zu koordinieren. Es ist ein Messenger für dokumentierte und einfache Kommunikation. In einer komplexen juristischen und technisch schwierigen Welt sollte wenigstens die Kommunikation so einfach wie möglich sein.
Info
Neu bei WhatsApp
Konferenztelefonie ist jetzt endlich möglich. Es gibt zwei Varianten: Drei Personen telefonieren mit Bildübertragung miteinander, zu viert nur mit Ton. Somit ist WhatsApp jetzt Telefonanlage und fast Skype in einem. Das Organisieren von Bildern und Dateien ist ebenfalls verbessert worden. Es ist jetzt einstellbar, welche Bilder in der lokalen Galerie gespeichert werden sollen. So lässt sich die „Bilderflut“ etwas eindämmen. Mit „Google Wallet“ kommt außerdem demnächst ein digitaler, bargeldloser Bezahldienst.
Autor
Michael Elbs ist Unternehmensberater, Redner und Onlinetrainer aus Ravensburg. Er führt auch förderfähige Beratungen durch. Er freut sich über eine Kontaktaufnahme, gerne auch unter www.e4buero.de/whatsappmichaelelbs. elbs@e4buero.de (0751) 76 96 23 82
Unter gewissen Bedingungen lässt sich WhatsApp weiter nutzen. Ein kleines Restrisiko hinsichtlich DSGVO-Konformität jedoch bleibt.
1 Nicht in Ordnung: Die App liest auch die Nummern von Kontakten aus, die WhatsApp gar nicht nutzen.
2 So geht‘s: Bevor der eigentliche Kontakt zustande kommt, erteilt der WhatsApp-Nutzer seine Einwilligung.
3 Einwilligung, welche vor dem Start in WhatsApp gelesen werden muss.
4 Vorschlagstext, welcher erneut die Einwilligung dokumentiert, dann in WhatsApp.
5 In den Prozess der Kontaktaufnahme wird eine Einwilligung quasi eingebettet.
Was macht WhatsApp bereits und was sollte noch gemacht werden (kein Anspruch auf Vollständigkeit).
