Social Media Wirtschaft

Kann man WhatsApp im Unternehmen rechtskonform nutzen?

WhatsApp, WhatsApp-Aus, Messenger, Kommunikation, WhatsApp im Unternehmen, WhatsApp für Unternehmen, WhatsApp Business
Pixabay.com / HeikoAL
geschrieben von Marinela Potor

WhatsApp ist Deutschlands beliebtester Messenger. Doch taugt WhatsApp auch für die Mitarbeiterkommunikation im Unternehmen? Und kannst du Alternativen wie Signal oder Telegram problemlos nutzen? IT-Rechtsanwalt Karsten U. Bartels erklärt, worauf du bei Messengern im Unternehmen genau achten musst.

Vor Kurzem verkündete der Deutsche Fußballbund (DFB): Angestellte können WhatsApp nicht mehr im Unternehmen für die interne Kommunikation nutzen. Der Grund?

„Dem DFB ist es wichtig, die datenschutzrechtlichen Bestimmungen einzuhalten und dabei insgesamt ein hohes Datenschutzniveau zu gewährleisten“, sagte der DFB gegenüber BASIC thinking.

Das sei bei WhatsApp nicht unbedingt der Fall. Jetzt sucht der Verband Alternativen. Doch ist es überhaupt bei irgendeinem Dienst möglich, Datenschutz, Messenger und einfache Mitarbeiterkommunikation miteinander zu vereinbaren?

Genau darüber haben wir mit IT-Rechtsanwalt und dem Vorsitzendem der Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein e.V. Karsten U. Bartels gesprochen.

Bartels erklärt, welche Aspekte zum Datenschutz Unternehmen bei der internen Messenger-Kommunikation beachten müssen, warum kein Messenger ohne Bedenken genutzt werden kann und warum ein vollständig rechtssicherer Datenschutz mit Messengern eigentlich nie möglich ist.

WhatsApp im Unternehmen: Diese Rechtsgrundlagen gelten

BASIC thinking: Herr Bartels, wie bewusst sind sich Unternehmen eigentlich, dass Messenger wie WhatsApp im Unternehmen ein Datenschutzproblem darstellen? 

Die Unternehmen, die wir mit unserer Kanzlei HK2 beraten, sind durchaus sehr sensibilisiert für das Thema und gehen damit nicht unbedacht um. Doch das heißt nicht, dass sie eine Lösung für das Problem Messenger-Nutzung im Unternehmen und Datenschutz hätten.

Wenn wir uns lediglich auf die interne Mitarbeiterkommunikation beschränken, worauf müssen Unternehmen generell achten, wenn sie einen Messenger-Dienst einführen möchten?

Karsten Bartels, Rechtsanwalt, HK2

IT-Anwalt Karsten U. Bartels berät unter anderem Unternehmen im Umgang mit Messengern.
(Foto: Steffen Jänicke)

Zunächst einmal sollte man sich bewusst sein, dass es neben der Datenschutz-Grundverordnung (DSGVO) auch andere rechtliche Aspekte bei Messengern im Unternehmen zu beachten gilt – nämlich zivilrechtliche wie etwa das Arbeitsrecht oder auch das Vertragsrecht.

Doch mit Bezug auf die DSGVO und den Datenschutz muss man als Unternehmen zunächst schauen, was die Rechtsgrundlage ist, um Messenger-Dienste in dieser Hinsicht datenschutzkonform nutzen zu können. Das gilt auch dann, wenn Messenger nur für die interne Mitarbeiterkommunikation genutzt werden.

Die wichtigsten Rechtsgrundlagen dafür finden sich in Artikel sechs der DSGVO sowie im Paragraph 26 des Paragraf 26 im Bundesdatenschutzgesetzes, der sagt:

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Das Wort „erforderlich“ ist hier sehr wichtig. Denn erforderlich heißt – verkürzt gesagt – es gibt datenschutzrechtlich keine bessere Option, die geplante Verarbeitung umzusetzen. Und das ist etwa bei WhatAapp in der Regel eben nicht der Fall. Dass ein Messenger-Dienst im Unternehmen überhaupt gebraucht wird, lässt sich aber meist gut begründen.

WhatsApp im Unternehmen: Ein rechtliches Risiko?

Wo genau liegen denn dann die Risiken oder Hürden in Bezug auf die DSGVO? 

Häufig fällt die Wahl beim Messenger auf WhatsApp. Und WhatsApp verarbeitet personenbezogene Daten, etwa im Rahmen des Uploads des auf dem Smartphone abgelegten Adressbuchs.

Technisch kann man diesen Upload zwar unterbinden. Das wird aber in der Praxis nicht gemacht, da WhatsApp dann praktisch nicht mehr sinnvoll genutzt werden kann. Sobald personenbezogene Daten verarbeitet werden, gibt es aufgrund der Datenschutzgesetze in Deutschland und der EU strikte Vorgaben zu jeglicher Verarbeitung und Nutzung.

Im geschäftlichen Kontext müsste man also nicht nur darlegen können, dass der Dienst im Rahmen der Durchführung der Beschäftigung erforderlich ist. Der Messenger sollte auch ausschließlich für geschäftliche Zwecke genutzt werden. Mitarbeitende dürften also beispielsweise keine privaten Gespräche damit führen oder mit ihren privaten WhatsApp-Kontakten sprechen.

Das gilt, soweit die Nutzung ohne eine Einwilligung des Mitarbeitenden umgesetzt werden soll. Wer mit Einwilligungen arbeiten möchte, hat grundsätzlich mehr Spielräume, jedoch das Problem, dass die Einwilligungen von Mitarbeitenden datenschutzrechtlich schwierig wirksam einzuholen sind – und diese ja jederzeit widerrufen werden könnten.

VPN-Server und Duale SIM

Könnten Angestellte nicht einfach auf einem Firmenhandy einen separaten WhatsApp-Account erstellen und diesen lediglich für die interne Kommunikation nutzen? 

Theoretisch ja. In der Praxis kenne ich kein Unternehmen, bei dem das wirklich funktioniert. Das fängt damit an, dass viele Angestellte die Nutzung von zwei Handys zu umständlich finden und am Ende doch nur bereit sind, ihr eigenes Smartphone zu nutzen.

Da, wo Diensthandys verwendet werden, hat man immer noch die Herausforderung, dass sich viele Angestellte mit ihrem privaten WhatsApp-Konto einloggen und dann wiederum private Kontaktdaten, die nicht rein geschäftlich sind, mit in die Geschäftskommunikation einfließen.

Eine solche oder auch weitergehende Vermischung von privater und geschäftlicher Nutzung von dienstlichen Geräten ist datenschutzrechtlich komplex und kaum sauber aufzulösen.

Auch wenn alle Angestellten wirklich nur mit Diensthandys ausschließlich über Unternehmenskonten und nur mit ihren Kolleg:innen kommunizieren, hat der Arbeitgeber als datenschutzrechtlich Verantwortlicher sicherzustellen, dass die Nutzung nur im Rahmen der DSGVO von statten geht. Das ist möglich, aber mit diversen Anforderungen verbunden.

Rechtlich einfacher ist es, wenn die Datenverarbeitung technisch getrennt wird. Das setzen Unternehmen zum Beispiel mit Dual-SIM-fähigen Smartphones und VPN-Zugängen um, die die gesamte unternehmensrelevante Verarbeitung auf den Server des Arbeitgebers verlagert.

Der verschlüsselte Kanal lässt sich jederzeit per remote abschalten, wenn Mitarbeitende das Unternehmen verlassen. Geht das Handy verloren, sind Unternehmensdaten auch nicht in Gefahr, da sie nicht auf dem Gerät abgelegt sind. Diese Lösung ist aber technisch etwas aufwändiger und mag deshalb nicht für jedes Unternehmen infrage kommen.

Signal, Telegram und Co.: Gute Alternativen zu WhatsApp im Unternehmen?

Wenn das Hauptproblem bei WhatsApp im Unternehmen die Verarbeitung von personenbezogenen Daten ist, wären Unternehmen mit anderen Messengern wie Signal oder Telegram, die Daten anonymisieren, auf der sicheren Seite?

Sie haben damit jedenfalls einige Probleme weniger, was den Datenschutz angeht. Denn je klarer ein Messengerdienst sagt, welche Daten er wie verschlüsselt überträgt oder verschlüsselt speichert, desto eher können Unternehmen abschätzen, ob die Dienste DSGVO-konform sind und welches rechtliche Risiko sie bei der Nutzung eingehen.

Hier muss man sich also die einzelnen Messenger-Dienste vornehmen und genau prüfen, ob und inwiefern eine Datenschutz-Compliance machbar erscheint. Allein zu beurteilen, ob eine Verschlüsselung technisch nach dem Stand der Technik umgesetzt wird und zum Beispiel der Dienste-Anbieter keinen Zugriff auf den Schlüssel hat, wird kaum ein Unternehmen allein der Produktbeschreibung entnehmen können.

Hingegen sind die vom Anbieter zur Verfügung gestellten Vereinbarungen zum Datenschutz einfacher zu finden. Es ist aber schwierig, diese ohne IT-anwaltliche Hilfe valide zu prüfen.

Problem: Server-Standort USA

Der DFB hat angegeben, dass für die Messenger-Nutzung im Unternehmen der Server-Standort der Dienste in den USA rechtlich problematisch ist. Das liegt daran, dass die USA aus EU-Datenschutzsicht als „unsicheres Drittland“ gilt. Lässt sich dieses Problem überhaupt lösen?

Oftmals nicht. Denn selbst wenn ein Unternehmen die geschäftliche Nutzung eines Messenger-Dienstes mustergültig intern nach den Vorgaben der DSGVO umsetzen könnte, ist der Datenexport zu einem Unternehmen mit Sitz in den USA problematisch.

Grund dafür ist, dass die vom Europäischen Gerichtshof aufgestellten Anforderungen an den Datenexport in die USA sich nicht erfüllen lassen. Es fehle ja in den USA an staatlichen Strukturen und Maßnahmen zum Schutz des Grundrechts der EU-Bürger auf Datenschutz. Dieser Versatz lässt sich auch nicht durch durch Standardvertragsklauseln der EU-Kommission ausgleichen, die sonst durchaus gut einsetzbar sind.

Einige US-Unternehmen bieten etwa im Rahmen von Cloud-Diensten zumindest an, die technische Verarbeitung innerhalb der EU zu gewährleisten. Das zahlt auf die datenschutzrechtliche Risikobewertung ein. Eine Lösung der datenschutzrechtlichen Probleme ist es nicht. Und Messenger-Dienste könnten das auch kaum gewährleisten.

Es gibt aber auch einige Messenger wie Threema oder Wire, die europäische Server nutzen.  

Das stimmt. Das bedeutet zwar nicht, dass jeglicher Einsatz einfach rechtskonform ist. Doch die datenschutzrechtliche Risikobewertung der Unternehmen fällt hier kürzer aus. Nur: Im Alltag sind diese Messenger-Dienste vor allem im Vergleich zu WhatsApp nicht relevant. Leider.

Messenger-Nutzung im Unternehmen: Lieber nicht?

Wenn es all diese Probleme mit Messengern und insbesondere WhatsApp im Unternehmen gibt, warum sagen Unternehmen dann nicht einfach: Wir nutzen keine Messenger?

Das sagen Unternehmen durchaus. Viele haben aber praktisch kaum die Wahl. Wenn das operative Geschäft davon abhängt – und es schon im Pitch die Frage nach den Kommunikationskanälen gibt – kann man entweder viel über Datenschutz reden oder den Auftrag bekommen.

Da viele Auftraggeber an anderer Stelle gleichzeitig deutlich höhere Ansprüche haben, ist es eine Herausforderung, hier den richtigen Weg zu finden.

Zudem gibt es häufig eine Erwartungshaltung der Angestellten. Viele, vornehmlich jüngere Mitarbeitende, erwarten, dass sie Messenger und allen voran WhatsApp nutzen können.

Die Unternehmen können aber inzwischen gut damit umgehen, dass bestimmte Dienste datenschutzrechtlich nicht unproblematisch sind. Wichtig ist, nicht untätig zu bleiben – etwa, weil ja jeder den Dienst nutze und man hier nichts machen könne. Wichtig ist: die konkret geplante Nutzung beschreiben und prüfen.

Eine Risikobewertung in textlicher Form hilft. Denn die kann man auch gelegentlich nachführen oder auch der prüfenden Aufsichtsbehörde zeigen. Viele Dienste werden ja mit der Zeit datenschutzrechtlich besser vom Anbieter „eingestellt“.

Wenn ein Messenger-Dienst zum Einsatz kommt, ist es auch wichtig, die Mitarbeitenden darüber zu informieren, wie ihre Daten verarbeitet werden. Oftmals gibt es auch Schulungen in Unternehmen, um Mitarbeitenden für die rechtskonforme Nutzung von WhatsApp und Co. zu sensibilisieren. Eine IT-Policy ist hier ein nützliches Tool, um klare und nachlesbare Leitplanken zu definieren.

Doch, und darüber muss man sich auch im Klaren sein, wenn man Messenger im Unternehmen nutzt: Null Risiko gibt es im Datenschutzrecht nicht. Nur Schattierungen von Grau.

Vielen Dank für das Gespräch!

Auch interessant: 

Über den Autor

Marinela Potor

Marinela Potor ist Journalistin mit einer Leidenschaft für alles, was mobil ist. Sie selbst pendelt regelmäßig vorwiegend zwischen Europa, Südamerika und den USA hin und her und berichtet über Mobilitäts- und Technologietrends aus der ganzen Welt.