Für Privatpersonen ist die Kommunikation über WhatsApp kostenfrei, im geschäftlichen Kontext kann sie dagegen sehr kostspielig sein. Diese Erfahrung haben kürzlich Mitarbeitende zahlreicher Großbanken gemacht, die sich über Messenger-Dienste wie WhatsApp über geschäftliche Angelegenheiten ausgetauscht haben. Das sahen die Aufsichtsbehörden der Finanzinstitute als schwerwiegenden Regelverstoß an und verhängten Ende letzten Jahres Geldbuße in Höhe von zwei Milliarden Dollar. Davon betroffen waren insgesamt 16 Wall-Street-Banken, darunter auch die Deutsche Bank.
Der Fall Deutsche Bank: Warum ist die geschäftliche Nutzung von WhatsApp rechtswidrig?
Einer der von den Aufsichtsbehörden aufgeführten Gründe, liegt in den gesetzlichen Aufbewahrungspflichten. Auf Basis des Handelsgesetzbuches und der Abgabenordnung bestehen im geschäftlichen Verkehr Aufbewahrungspflichten soweit die Kommunikation vertragsrelevante Informationen wie Bestellungen, Auftragsbestätigungen, Vertragsabschlüsse und Bezahlungsvorgänge umfasst. Erfolgt eine solche Kommunikation über einen Messenger-Dienst, werden die verschlüsselten Nachrichten oft nur für kurze Zeit auf den Servern gespeichert und sind danach auf dem Mobilfunkgerät nicht mehr ohne weiteres abrufbar. Somit sind eine hinreichende Dokumentation und ordnungsgemäße Erfüllung der Aufbewahrungsplichten nicht gegeben.
Doch das ist noch längst nicht alles. Die Datenschutzbehörden sehen bei der geschäftlichen Nutzung von WhatsApp eindeutige Verstöße gegen Compliance-Richtlinien. Nach DSGVO gilt bei Geschäfts- bzw. Kundendaten nicht nur die Vorgabe, dass der jeweilige Kontakt der Speicherung seiner Daten zustimmen muss, die automatische Weitergabe der Daten an Dritte muss ebenfalls verhindert werden. Dies kann tückisch sein, denn die Auftragsverarbeitung betrifft somit auch die automatische Synchronisation von gespeicherten Kontaktdaten mit Messenger-Diensten. Was für die User praktisch ist, da sie die Daten nicht noch einmal händisch in der App einspeichern müssen, versetzt Datenschutzbeauftragte in Alarmbereitschaft. Hier fehlt es nämlich zum einen an der Möglichkeit einen Auftragsverarbeitungsvertrag abzuschließen, zum anderen ist es im geschäftlichen Alltag praktisch unmöglich von sämtlichen geschäftlichen Kontakten eine entsprechende schriftliche Einwilligung zu holen. Noch komplizierter wird es, wenn nicht alle Kontakte ihre Zustimmung erteilen. In diesem Fall müsste für alle Kontakte, die ihre Zustimmung nicht erteilt haben, ein Smartphone ohne WhatsApp betrieben werden.
Datenschutz vs. Usability: Dürfen Messenger-Dienste auf dem Firmenhandy bleiben?
Die Nutzung von WhatsApp zu geschäftlichen Zwecken ist also aus datenschutzrechtlicher Sicht kaum möglich. Bedeutet dies das Aus für WhatsApp auf Firmenhandys?