Die Europäische Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union (EU) in Kraft. Die DSGVO ersetzt die Datenschutzrichtlinie 95/46/EG und wurde entwickelt, um die Datenschutzgesetze in ganz Europa zu harmonisieren.

Das Ziel der DSGVO ist es, den Datenschutz von EU-Bürgern zu gewährleisten und die Art und Weise zu verbessern, wie Unternehmen in der EU den Datenschutz handhaben und persönliche Nutzerdaten schützen. Das Gesetz betrifft alle Unternehmen, die die personenbezogenen Daten von Nutzern in der EU verarbeiten oder speichern, und ist insofern unabhängig vom Standort eines Unternehmens.

Das bedeutet, dass die DSGVO nicht nur für Unternehmen gilt, die sich innerhalb der EU befinden, sondern es gilt auch für Firmen außerhalb der EU, wenn sie Nutzern in der EU Waren oder Dienstleistungen anbieten. Es ist auch wichtig zu beachten, dass die DSGVO sowohl für die „Controller“ als auch für die „Prozessoren“ von Benutzerdaten gilt. Um dieses Ziel ab Mai 2018 durchzusetzen, werden Unternehmen bei der Nichteinhaltung mit hohen Geldstrafen konfrontiert.

Für die Verletzung der DSGVO können Unternehmen mit Strafen bis zu 4% des Jahresumsatzes oder 20 Millionen € verurteilt werden.

Das WhatsApp-Problem von Unternehmen

Aufgrund der DSGVO und der damit verbundenen Datenschutzanforderungen für Unternehmen führt die Nutzung von WhatsApp für geschäftliche Zwecke zu verschiedenen kritischen Problemen:

1. Das Adressbuch eines Nutzers mit allen Kontakten einschließlich E-Mails und Telefonnummern wird an WhatsApp und damit an Facebook übertragen. Es ist völlig unklar, wohin und zu welchem Zweck diese Daten übertragen und verarbeitet werden. Ein Unternehmen, welches WhatsApp für geschäftliche Zwecke einsetzt, kann seinen Kunden nicht mitteilen, wie und wo diese Daten verarbeitet werden. Das „Recht auf Information“ der DSGVO kann insofern von Unternehmen nicht erfüllt werden. Darüber hinaus, wenn ein Kunde von dem „Recht auf Vergessenwerden“ Gebrauch machen will und alle damit zusammenhängenden Daten löschen möchte, kann dies bei WhatsApp nicht erzwungen werden.

2. Ein Unternehmen hat keine ausdrückliche Zustimmung zur Übermittlung der persönlichen Daten der Kunden an WhatsApp. Zum Beispiel überträgt das Unternehmen aber durch die Verwendung von WhatsApp das Adressbuch und damit die Kontaktdaten der Kunden an WhatsApp. Dies ist nicht konform mit der DSGVO.

3. Während die Nachrichten angeblich „end-to-end“ verschlüsselt werden, sammelt WhatsApp Metadaten von Nutzern. Damit sind verschiedene persönliche Daten verbunden: WhatsApp hat nicht nur Zugriff auf persönliche Identifikatoren, sondern mit welchen Nutzern man kommuniziert, wie oft sich die Nutzer mit bestimmten Kontakten verbinden, wie lange die Nutzer einander Nachrichten schreiben und so weiter. Diese Daten sind perfekt, um persönliche Benutzerprofile zu erstellen und soziale Beziehungen zu verstehen. Auch hier ist es völlig intransparent, welche Metadaten WhatsApp sammelt, wie diese verarbeitet werden und wem diese übertragen werden. Wenn ein Unternehmen WhatsApp verwendet um mit Kunden zu kommunizieren, kann es auch bei diesen Themen nicht das „Recht auf Information“ oder „Recht auf Vergessenwerden“ der DSGVO erfüllen.

4. Durch die Verwendung von WhatsApp für geschäftliche Zwecke überträgt ein Unternehmen Kundendaten in die USA. Dies steht im Widerspruch zu der Verpflichtung der DSGVO, personenbezogene Daten nicht außerhalb der EU zu übertragen oder zu speichern. Ein ausreichender Schutz von Kundendaten kann in den USA mit seinen schwächeren Datenschutzgesetzen nicht gewährleistet werden.

5. Es ist unwahrscheinlich, dass „Datenschutz by Design“ und „Pseudonymisierungs“-Prinzipien der DSGVO von WhatsApp erfüllt werden. Die Verbindung der Nutzer durch das Hochladen und Speichern des Adressbuchs entspricht nicht dem Konzept des „Datenschutz by Design“. Aufgrund des Werbegeschäftsmodells von Facebook ist es ebenfalls unwahrscheinlich, dass die Pseudonymisierung bei WhatsApp weit verbreitet ist.

6. Wenn ein Unternehmen alle Daten eines Kunden auf einen anderen Dienst übertragen muss, ist dies mit WhatsApp nicht möglich. Die personenbezogenen Daten eines Kunden sind grundsätzlich nicht aus WhatsApp raus zu bekommen. Im Hinblick auf die „Datenportabilität“ der DSGVO sind Unternehmen also nicht konform, wenn sie WhatsApp verwenden.

Zusammenfassend ist klar, dass WhatsApp nicht den Datenschutzbestimmungen der DSGVO entspricht und ein Unternehmen nicht konform ist, wenn es WhatsApp für geschäftliche Zwecke nutzt.

Alternativen:

https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/whatsappalternativen-die-datenschutzregeln-im-ueberblick-13055

Fazit hieraus: Außer Threema sind alle Alternativen nicht konform zur EU DSGVO.

Vergleich siehe auch hier:
https://threema.ch/press-files/content/the-threema-advantage_de.html

Mehr Informationen über DSGVO hinden Sie hier: https://www.datenschutz-grundverordnung.eu/