01.03.2023

Datenschutz auf dem Firmenhandy trotz WhatsApp

Geschäftskontakte DSGVO-konform verwalten und Bußgelder vermeiden

Für Privatpersonen ist die Kommunikation über WhatsApp kostenfrei, im geschäftlichen Kontext kann sie dagegen sehr kostspielig sein. Diese Erfahrung haben kürzlich Mitarbeitende zahlreicher Großbanken gemacht, die sich über Messenger-Dienste wie WhatsApp über geschäftliche Angelegenheiten ausgetauscht haben. Das sahen die Aufsichtsbehörden der Finanzinstitute als schwerwiegenden Regelverstoß an und verhängten Ende letzten Jahres Geldbuße in Höhe von zwei Milliarden Dollar. Davon betroffen waren insgesamt 16 Wall-Street-Banken, darunter auch die Deutsche Bank.

 

Der Fall Deutsche Bank: Warum ist die geschäftliche Nutzung von WhatsApp rechtswidrig?

Einer der von den Aufsichtsbehörden aufgeführten Gründe, liegt in den gesetzlichen Aufbewahrungspflichten. Auf Basis des Handelsgesetzbuches und der Abgabenordnung bestehen im geschäftlichen Verkehr Aufbewahrungspflichten soweit die Kommunikation vertragsrelevante Informationen wie Bestellungen, Auftragsbestätigungen, Vertragsabschlüsse und Bezahlungsvorgänge umfasst. Erfolgt eine solche Kommunikation über einen Messenger-Dienst, werden die verschlüsselten Nachrichten oft nur für kurze Zeit auf den Servern gespeichert und sind danach auf dem Mobilfunkgerät nicht mehr ohne weiteres abrufbar. Somit sind eine hinreichende Dokumentation und ordnungsgemäße Erfüllung der Aufbewahrungsplichten nicht gegeben.

Doch das ist noch längst nicht alles. Die Datenschutzbehörden sehen bei der geschäftlichen Nutzung von WhatsApp eindeutige Verstöße gegen Compliance-Richtlinien. Nach DSGVO gilt bei Geschäfts- bzw. Kundendaten nicht nur die Vorgabe, dass der jeweilige Kontakt der Speicherung seiner Daten zustimmen muss, die automatische Weitergabe der Daten an Dritte muss ebenfalls verhindert werden. Dies kann tückisch sein, denn die Auftragsverarbeitung betrifft somit auch die automatische Synchronisation von gespeicherten Kontaktdaten mit Messenger-Diensten. Was für die User praktisch ist, da sie die Daten nicht noch einmal händisch in der App einspeichern müssen, versetzt Datenschutzbeauftragte in Alarmbereitschaft. Hier fehlt es nämlich zum einen an der Möglichkeit einen Auftragsverarbeitungsvertrag abzuschließen, zum anderen ist es im geschäftlichen Alltag praktisch unmöglich von sämtlichen geschäftlichen Kontakten eine entsprechende schriftliche Einwilligung zu holen. Noch komplizierter wird es, wenn nicht alle Kontakte ihre Zustimmung erteilen. In diesem Fall müsste für alle Kontakte, die ihre Zustimmung nicht erteilt haben, ein Smartphone ohne WhatsApp betrieben werden.

 

Datenschutz vs. Usability: Dürfen Messenger-Dienste auf dem Firmenhandy bleiben?

Die Nutzung von WhatsApp zu geschäftlichen Zwecken ist also aus datenschutzrechtlicher Sicht kaum möglich. Bedeutet dies das Aus für WhatsApp auf Firmenhandys?

Wir haben vier Lösungsansätze für eine DSGVO-konforme Smartphone-Nutzung unter die Lupe genommen:

1. WhatsApp auf dem Firmenhandy verbieten

Um hohe Bußgelder zu vermeiden, haben viele deutsche Unternehmen reagiert und die Nutzung von Messenger-Diensten auf dem Diensthandy kurzer Hand untersagt. Werden WhatsApp & Co. dennoch installiert, drohen den Mitarbeitenden Abmahnungen. Während das Verbot auf COBO-Geräten, die ausschließlich der geschäftlichen Nutzung dienen, problemlos umsetzbar ist, birgt es bei BYOD- oder COPE-Geräten, die sowohl privat als auch geschäftlich genutzt werden, für die Anwender*innen wesentliche Einschränkungen. Unternehmen verbieten ihren Mitarbeitenden damit praktisch auch die private Nutzung von WhatsApp.

 

2. Die Nutzung von Messenger-Diensten mit Compliance-Richtlinien regeln

Im Fall der Deutschen Bank wurde die Installation von Messenger-Diensten nicht verboten, sondern versucht, der Problematik mittels einer geregelten Nutzung her zu werden. So wurden die Mitarbeitenden regelmäßig daran erinnert, Messenger-Dienste nicht für berufliche Zwecke zu nutzen. Wer darauf trotz aller Richtlinien nicht verzichten wollte, sollte zumindest eine ausreichende Dokumentation des relevanten Nachrichtenaustauschs sicherstellen. Hiervon völlig unberührt bleiben jedoch Verstöße gegen Datenschutzrichtlinien, die bereits bei Installation der Anwendungen, durch die automatische Weitergabe von Kontaktdaten an Unternehmen wie Meta, begangen werden. Diese können ebenfalls behördlich abgemahnt werden.

3. Auf das Abspeichern von Kontaktdaten im Firmenhandy verzichten

Nun lässt sich weder ein Verbot von WhatsApp für alle geschäftlich genutzten Smartphones sinnvoll umsetzen, noch können interne Nutzungsrichtlinien jeden rechtlichen Verstoß beseitigen. Was übrig bleibt, wäre eine Regelung, mit der die Speicherung von geschäftlichen Kontakten im Adressbuch des Firmenhandys nur mit zuvor abgeschlossenem Auftragsverarbeitungsvertrag erlaubt ist oder ein komplettes Speicherverbot für geschäftliche Daten. Dies geht jedoch für die Mitarbeitenden mit einer enormen Verringerung der Usability einher, denn bei eingehenden Anrufen von Geschäftspartnern oder Kunden, kann der Anrufer nicht mehr namentlich identifiziert werden. Auch für ausgehende Anrufe muss zunächst die Nummer aus dem CRM oder dem Outlook-Adressbuch herausgesucht werden. Dies kostet nicht nur Zeit, sondern auch Nerven.

 

4. Mit einer sicheren Zusatzapp den ungewollten Datenabfluss verhindern

Die Lösung des Problems liegt in einer zusätzlichen Anwendung, in der alle Unternehmenskontakte aus Outlook, dem Unternehmensadressbuch, MS Teams und dem CRM zusammengeführt und zentral verwaltet werden, während die Synchronisation mit Drittanbieterapps verhindert und damit das Risiko eines ungewollten Datenabflusses beseitigt wird.

Die Secure Contacts App macht dies möglich. Durch die Konsolidierung der Daten aus verschiedenen Speicherorten, werden alle Kontakte auf dem neusten Stand gehalten und es muss keinerlei Aufwand für das händische Einspeichern neuer Kontakte betrieben werden. Indes können im Adressbuch des Smartphones alle Kontakte gespeichert werden, die rein privat genutzt werden. Diese unterliegen dem Privileg persönlicher und familiärer Tätigkeiten und sind nicht DSGVO-relevant. Somit ist die Installation und private Nutzung von WhatsApp auf dem Firmenhandy ohne Compliance-Risiken möglich.

Weitere Beiträge

Datenschutz
Zentrale und sichere Geräteverwaltung mit Microsoft Intune
Erfahren Sie, wie Sie mit Microsoft Intune die Geräte Ihrer Mitarbeitenden zentral verwalten und sensible Daten schützen.
->
Unkategorisiert
Zentrale und DSGVO-konforme Kontaktverwaltung mit der Secure Contacts App
Mit der Secure Contacts App haben die Erlanger Stadtwerke ein zentrales und DSGVO-konformes Kontaktmanagement eingeführt.
->
Use Case
Unkompliziertes Networking und effiziente Kommunikation
Dr. Falk Pharma war auf der Suche nach einer Anwendung für die Verwaltung geschäftlicher Kontaktdaten auf den Unternehmensgeräten.
->
How to
Microsoft Outlook Kontakte mit iPhone und Android synchronisieren 
In diesem Beitrag stellen wir drei Möglichkeiten zur Synchronisation von Businesskontakten.
->
Datenschutz
Kundenkontakt leicht gemacht
Um ihre rund 13.000 Kontakte DSGVO-konform und sicher auf dem Firmenhandy verwalten zu können, entschieden sich die Geries Ingenieure für die Secure Contacts App.
->
Use Case
Cleveres Kontakt-Management für einen erfolgreichen Vertrieb
Mit der Secure Contacts App können Prozesse vereinfacht und die Effizienz der Mitarbeitenden gesteigert werden.
->
Datenschutz
Businesskontakte auf dem Firmenhandy effizient und DSGVO-konform verwalten
Wie funktioniert Datenschutz auf dem Firmenhandy? Wir klären auf!
->
Neues Feature
Secure Contacts App: Jetzt auch mit vCard
Die digitale Visitenkarte ist flexibel und nachhaltig – und als QR-Code immer verfügbar. Wie Sie funktioniert, erfahren Sie im Beitrag.
->
Datenschutz
Datenschutz-Albtraum Mietwagen & Carsharing
Mietautos und Carsharing erfreuen sich ebenfalls immer größerer Beliebtheit. Damit jedoch ein erhebliches Datenrisiko einher.
->
Interview
Secure Contacts App: Mehr als ein Telefonbuch
Wir haben jetzt eine App. Die Anwendung ist aus einer scheinbar einfachen, internen Provectus-Anforderung entstanden.
->

Jetzt testen

30 TAGE KOSTENFREIE TESTLIZENZ – VOLLER FUNKTIONSUMFANG OHNE VERTRAGSBINDUNG

Fordern Sie jetzt Ihre kostenlose Testlizenz mit vollem Funktionsumfang direkt bei uns an und überzeugen Sie sich selbst von den vielen Vorteilen für Ihren Arbeitsalltag.

Testlinzenz anfordern