Praxis-Tipps für die Umsetzung der DSGVO in der Praxis?
B2B-Newsletter > NL 2/25
WhatsApp: 3 Fragen aus der Praxis beantwortet.
WhatsApp ein DSGVO-Minenfeld.
Doch was, wenn Kunden mir unaufgefordert Unterlagen via WhatsApp sendet? Wie darf ich das verarbeiten?
Seit Jahren warnt der auf Versicherungs- und Datenschutz-Recht spezialisierte Anwalt Mag. Stephan Novotny davor WhatsApp auf beruflich genutzten Geräten zu nutzen, weil dadurch Daten in die USA übertragen werden, das gesamte Telefonbuch „kopiert“ wird, usw. usf.
Dies ist bedenklich, da es keinen Datenschutz für Europäer in den USA gibt – das hat der Europäische Gerichtshof (EuGH) nach Klagen von Datenschützer Max Schrems bereits zwei Mal so entschieden. Schlagworte dazu – zum Erinnern sind Aufhebung von Privacy Shield-“ bzw. „Safe-Harbour-Abkommen“.
Aber viele Menschen (Kunden) nutzen WhatsApp.
Aber viele Menschen (Kunden) nutzen WhatsApp.
Daher sehen wir uns heute 3 typische – immer wieder herangetragene – Fragen zu WhatsApp aus der Praxis an:
- Wie schaut es mit WhatsApp Business aus? Ist das DSGVO-konform?
- Ich nutze selber WhatsApp nicht (offensiv), bin dort nur angemeldet, weil Kunden mir Unterlagen senden wollen (viele von den Jungen nutzen kein Mail mehr, sondern WhatsApp). Ist das ein Problem?
- Wenn ich unaufgeforderte Daten – z.B. Arzt-Befunde – von Kunden erhalte und ich mir das via WhatsApp selbst weiterleite, kann das wohl nicht problematisch sein, weil WhatsApp die Daten „eh schon kennt“…
Was sagen Sie als Datenschutz-Anwalt zu diesen Fragen aus der Praxis?
Wie bekomme ich DSGVO-konform diese WhatsApp-Mail samt Inhalten in das eigene Unternehmensnetzwerk, um es weiterverarbeiten zu können?
Zu den Antworten kommen Sie unten anbei.
Sie möchten auch künftig topaktuell informiert werden?
Und - bis auf Widerruf - unsere kostenlosen Info-Newsletter zugesandt erhalten?Dann senden Sie uns Ihre Zustimmung per Mail mit dem Betreff "Ja zu Infos" an g.wagner@b2b-projekte.at!
WhatsApp: 3 Fragen aus der Praxis beantwortet.
WhatsApp ein DSGVO-Minenfeld.
WhatsApp ein DSGVO-Minenfeld.
Hier folgt der Beitrag, den wir mit dem auf Versicherungs- und Datenschutz-Recht spezialisierte Anwalt Mag. Stephan Novotny erstellt haben.
Daher sehen wir uns heute 3 typische – immer wieder herangetragene – Fragen zu WhatsApp aus der Praxis an:
- Wie schaut es mit WhatsApp Business aus? Ist das DSGVO-konform?
- Ich nutze selber WhatsApp nicht (offensiv), bin dort nur angemeldet, weil Kunden mir Unterlagen senden wollen (viele von den Jungen nutzen kein Mail mehr, sondern WhatsApp). Ist das ein Problem?
- Wenn ich unaufgeforderte Daten – z.B. Arzt-Befunde – von Kunden erhalte und ich mir das via WhatsApp selbst weiterleite, kann das wohl nicht problematisch sein, weil WhatsApp die Daten „eh schon kennt“…
Wie bekomme ich DSGVO-konform diese WhatsApp-Mail samt Inhalten in das eigene Unternehmensnetzwerk, um es weiterverarbeiten zu können?
Es stimmt, ich warne bereits seit Jahren vor WhatsApp, weil es nicht DSGVO-konform ist. Leider hat auch der WhatsApp-Mutterkonzern Meta zum Misstrauen der Datenschützer selbst beigetragen, weil er mehrmals auf das Akzeptieren neuer Nutzungsbedingungen bei WhatsApp drängte, worin die Rede war, dass Daten an Meta-Töchter wie Facebook weitergeleitet werden können, „um ein besseres Nutzererlebnis zu ermöglichen“.
Ja, es gibt seit dem Vorjahr im Internet immer wieder mal Beiträge, die behaupten, dass das Hauptproblem gelöst sei, weil die EU nun nicht mehr so genau hinschaut oder bewusst ignoriert, dass die strengen europäischen Datenschutzerfordernisse in den USA für Europäer nicht gelten.
Aber Fakt ist: Amerikanische Unternehmen sind verpflichtet, aufgrund des USA PATRIOT Acts den US-Sicherheitsbehörden und Geheimdiensten Zugriff auf die in den Vereinigten Staaten gespeicherten Daten zu gewähren.
Dennoch scheint es mit „WhatsApp Business“ einen neuen Versuch zu geben, WhatsApp für DSGVO-konform „zu erklären“…
a) Also zur Frage 1: „Wie schaut es mit WhatsApp Business aus? Ist das DSGVO-konform?“
a) Also zur Frage 1: „Wie schaut es mit WhatsApp Business aus? Ist das DSGVO-konform?“
Meine Datenschutz-Kollegen von „meineberater.at“ haben sich die App genau angesehen und einen detaillierten Beitrag verfasst. Kern-Satz: „WhatsApp im Business: Ein Minenfeld für Datenschutz und Compliance“. Den gesamten Beitrag können Sie hier nachlesen...
Da nach ihrer Analyse auch WhatsApp Business nicht die DSGVO erfüllt („…Metadaten werden nicht verschlüsselt und können heikle Kommunikationsdetails preisgeben, während auch die Business-Version Schwachstellen zeigt, etwa im Auftragsverarbeitungsvertrag und der Datenverarbeitung auf US-Servern“), empfehlen sie Signal als Messenger. Also Hände weg von WhatsApp und WhatsApp Business.
Übrigens warum Signal? Dazu wieder „meineBerater.at“
- Ende-zu-Ende-Verschlüsselung: Signal verschlüsselt nicht nur die Nachrichteninhalte, sondern auch die Metadaten. Das bedeutet, dass weder Signal selbst noch Dritte Einblick in die Kommunikation erhalten.
- Open-Source und transparent: Signal ist Open-Source, was bedeutet, dass der Code öffentlich einsehbar ist und regelmäßig von unabhängigen Experten überprüft wird. Diese Überprüfungen sorgen für ein hohes Maß an Sicherheit.
- Pseudonymisierung von Daten: Signal setzt auf Pseudonymisierung von Nutzerdaten, um die Rückverfolgbarkeit zu minimieren.
- DSGVO-Konformität: Signal erfüllt die Anforderungen der DSGVO in vielen Bereichen besser als WhatsApp. Das macht Signal zur besseren Wahl für Unternehmen, die datenschutzkonform kommunizieren wollen.
MeineBerater-Tipp: „Wir bleiben bei Signal. Reduzieren Sie die Nutzung von WhatsApp auf das unbedingt Notwendigste, am besten auf Ihr Privatleben“.
b) Nun zur 2. Frage, die uns Nutzer gestellt hatten: „Ich nutze selber WhatsApp nicht (offensiv), bin dort nur angemeldet, weil Kunden mir Unterlagen senden wollen (viele von den Jungen nutzen kein Mail mehr, sondern WhatsApp). Ist das ein Problem?“
Antwort: Dies ist ein leider untauglicher Versuch, sich die Nutzung von WhatsApp schön zu reden. Bei der Datenschutzbehörde wird die Nutzung trotzdem nicht durchgehen.
Antwort: Dies ist ein leider untauglicher Versuch, sich die Nutzung von WhatsApp schön zu reden. Bei der Datenschutzbehörde wird die Nutzung trotzdem nicht durchgehen.
Fakt ist: WhatsApp greift – sobald man es installiert – auf ALLE Kontaktdaten zu und überspielt sie in die USA. Dazu wieder die Datenschutz-Spezialistin Mag.a von Maurnböck von meineberater.at:
„Gerade die Kommunikationsdienstleister werden von den Geheimdiensten überwacht und davor soll uns die DSGVO schützen“.
Achtung: Ich höre immer wieder die Aussage: „Wenn der Kunde – unaufgefordert – beschließt, mir etwas über WhatsApp (womöglich sogar sensible Gesundheitsdaten!) zu senden, ist der Kunde selber schuld“.
Diese Aussage oder ähnlich lautende kann ich aus Datenschutz-Gründen nicht „gutheißen“. Wer WhatsApp auf einem beruflichen Handy installiert hat, hat der Datenkrake Meta bereits alle Daten aller Kontakte auf diesem Handy in den Rachen geworfen.
Daher kann ich nur empfehlen, von WhatsApp-Kommunikation in jedem Fall Abstand zu nehmen.
c) Frage 3: Wenn ich unaufgeforderte Daten – z.B. Arzt-Befunde – von Kunden erhalte und MIR SELBST die UNTERLAGEN via WhatsApp weiterleite, kann das wohl nicht problematisch sein, weil WhatsApp die Daten „eh schon kennt“…
Denn wie sonst soll ich diese WhatsApp-Mail samt Inhalten in das eigene Unternehmensnetzwerk bekommen?
Antwort: Auch diese Aussage ist ein Trugschluss, und das Vorgehen keinesfalls DSGVO-konform.
Zusatzfrage: Was tue ich dann mit den via WhatsApp erhaltenen Unterlagen?
Antwort: Also wenn Sie solche Unterlagen auf IHREM PRIVATEN WHATSAPP-Kanal erhalten haben – nicht auf einem beruflich genutzten Gerät – dann können Sie die Daten nur lokal am Smartphone speichern und sich dann diese selbst via E-Mail an ihre berufliche Mail-Adresse als Anhang weiterleiten. Keinesfalls via WhatsApp weiterleiten.
Reden Sie sich also keinesfalls WhatsApp schön, es gibt keine Rechtfertigung für die Nutzung von WhatsApp im beruflichen Bereich.
Meine Datenschutzkollegin Mag.a von Maurnböck fasst das Problem kurz und bündig wie folgt zusammen:
„Die ständige Spruchpraxis unseres Bundesverwaltungsgerichts, das ja auch öfter in Datenschutzverfahren angerufen wird, betont immer, dass WhatsApp ausschließlich für die private, familiäre Kommunikation verwendet werden darf. Auf keinen Fall für geschäftliche und auch eine „Einwilligung“ der Kunden ändert daran nichts.“
Dem ist nichts hinzuzufügen.
Beste Grüße von Mag. Novotny und Günter Wagner
-
- https://ec.europa.eu/commission/presscorner/detail/de/ip_23_3721
- https://germany.representation.ec.europa.eu/news/datenverkehr-zwischen-der-eu-und-den-usa-europaische-kommission-erlasst-neuen-2023-07-10_de
- Schrems prüft Klage: Neues Datenschutzabkommen zwischen EU und USA
- https://de.wikipedia.org/wiki/EU-US_Privacy_Shield
- https://de.wikipedia.org/wiki/Safe_Harbor
- https://www.zeit.de/news/2023-07/10/neues-datenschutzabkommen-zwischen-eu-und-usa-in-kraft?utm_referrer=https%3A%2F%2Fduckduckgo.com%2F
- https://www.lhr-law.de/magazin/datenschutzrecht/schrems-ii-urteil-eugh-erklaert-eu-us-privacy-shield-fuer-ungueltig/
Alle bisherigen IDD und DSGVO-Praxisbeiträge von Mag. Novotny finden Sie hier... und können Sie als PDF anfordern. Dazu einfach ein E-mail an g.wagner@b2b-projekte.at mit Betreff "Ja zu Infos".
RA Mag. Stephan Novotny, copyright Foto: Stephan Huger
RA Mag. Stephan Novotny
1010 Wien, Landesgerichtstraße 16 / 12
Sie möchten auch künftig topaktuell informiert werden?
Und - bis auf Widerruf - unsere kostenlosen Info-Newsletter zugesandt erhalten?Dann senden Sie uns Ihre Zustimmung per Mail mit dem Betreff "Ja zu Infos" an g.wagner@b2b-projekte.at!