What's App & Datenschutz

Nutzen Sie What´s APP auf dem Firmensmartphone?

 

Dann stellt dies ein (erhebliches) Risiko aus datenschutzrechtliche Sicht dar.

 

Ihr Unternehmen verarbeitet personenbezogene Daten nicht in Übereinstimmung mit den Verpflichtungen aus dem Datenschutzgesetz bzw. der Datenschutzgrundverordnung.

 

Ist die private Nutzung von What´s APP ein Datenschutzrisiko?

 

NEIN.

 

Viele Personen nutzen What´s APP privat, und das ist dann kein datenschutzrechtliches Problem, denn die Verarbeitung von personenbezogenen Daten im (ausschließlich) familiären und privaten Kontext ist von den restriktiven Bestimmungen des Datenschutzgesetzes (und in Hinkunft auch der DSGVO) ausgenommen.

 

Das ist die sog. „Haushaltsausnahme“ oder „house-hold-exemption“ (siehe insbes. Art 2 Abs 2 lit c DSGVO: Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher und familiärer Tätigkeiten).

 

 

 

 

Darf What´s APP unternehmerisch genutzt werden?

 

 

NEIN.

 

Die Nutzung von What´s App im unternehmerischen Kontext, birgt mE unüberwindliche datenschutzrechtliche Probleme und ist nicht zulässig.

 

In den Nutzungsbedingungen von What´s App findet sich u.a. folgende Klausel:

 

Rechtmäßige und zulässige Nutzung. Du darfst auf unsere Dienste nur für rechtmäßige, berechtigte und zulässige Zwecke zugreifen bzw. sie für solche nutzen. Du wirst unsere Dienste nicht auf eine Art und Weise nutzen (bzw. anderen bei der Nutzung helfen), die: (…) (f) irgendeine nicht-private Nutzung unserer Dienste beinhaltet, es sei denn, dies wurde von uns genehmigt.
(https://www.whatsApp.com/legal/?l=de#terms-of-service, abgerufen am 24.11.2017)

 

What´s APP selbst beschränkt daher die Nutzung auf den privaten Kontext, sodass eine Nutzung im unternehmerischen Umfeld schon deshalb ausscheidet, weil What´s APP dies eben nicht gestattet, sofern es nicht „genehmigt wurde“.

 

Was macht What´s APP mit den Daten auf dem Mobiltelefon? Auf welche Daten greift What´s APP zu?

 

Unter „Über unsere Dienste“ findet sich bei What´s APP folgende Aussage:

 

„Adressbuch. Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“
(https://www.whatsApp.com/legal/?l=de#terms-of-service, abgerufen am 24.11.2017)

 

Jeder User von What´s APP übermittelt daher Kontaktdaten (Telefonnummern sämtlicher Kontakte auf dem Mobiltelefon) an WhatsApp Inc in Kalifornien (USA).

 

Dies stellt eine Übermittlung von personenbezogenen Daten an einen Empfänger außerhalb der EU dar, und eine derartige Übermittlung ist nur unter besonderen (Schutz-)Bedingungen, z.B. Standard-Vertragsklauseln (Vereinbarung mit dem Empfänger der Daten) zulässig. Wenn eine derartige Vereinbarung nicht vorliegt, oder nicht den notwendigen Voraussetzungen der datenschutzrechtlichen Regelungen (ab 25.05.2018 daher den Regelungen des Art 28 DSGVO entspricht), dann ist diese Übermittlung (aus Sicht des „Daten-Exporteurs“ eine unzulässige Übermittlung von personenbezogenen Daten).

 

Weiters bestätigt jeder User, dass er von den Personen, deren Kontaktdaten, die im Smartphone gespeichert sind, die Autorisierung, dh die Einwilligung dazu hat, die Kontaktdaten an What´s App zu übermitteln.  

 

Die Übermittlung der Kontaktdaten der auf dem Mobiltelefon gespeicherten Personen an What´s App in den USA stellt daher eine Verletzung der datenschutzrechtlichen Bestimmungen dar. Diese Übermittlung bedarf einer Grundlage für deren Rechtmäßigkeit, und What´s App sichert sich insofern ab, als der User von What´s App erklärt, die „Autorisierung“, dh eine Einwilligung gem. Art 6 Abs 1 lit a DSGVO zu haben.

 

Es stellt sich die Frage, ob der User sich auf andere Grundlagen für die Rechtmäßigkeit der Übermittlung der Daten an den Diensteanbieter What´s App stützen kann.

 

Art 6 Abs 1 lit a bis f DSGVO definieren die Grundlagen für die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten, wenn es sich nicht um besondere Datenarten des Art 9 DSGVO (z.B. Gesundheitsdaten, Gewerkschaftszugehörigkeit, biometrische Daten … handelt).

 

Welche Daten werden an What´s App übermittelt? Könnten dabei auch besondere Datenarten des Art 9 DSGVO dabei sein?

 

Wenn es sich bei den übermittelten Daten um Name, Telefonnummer und sonstige Kontaktdaten handelt, dann fallen diese Daten nicht in die besonderen Datenarten des Art 9 DSGVO und die Verarbeitung ist bei Erfüllung einer der Voraussetzungen des Art 6 Abs 1 lit a bis f DSGVO möglich.

 

Wenn auch das Foto übermittelt wird, dann könnte man davon ausgehen, dass auch biometrische Daten dabei übermittelt werden, die in die Kategorie der besonderen Datenarten des Art 9 DSGVO fallen.

 

Biometrische Daten werden in Art 4 Z 14 DSGVO definiert und beinhalten auch „Gesichtsbilder“:

biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten

 

 

ErwG 51 der DSGVO bringt jedoch die „Auflösung“ bzw. „Entwarnung“. Bilddaten (dh auch Gesichtsbilder) sind nur dann als biometrische Daten zu qualifizieren, „wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.“

 

Die Speicherung von derartigen Bilddaten, die nicht mit diesen technischen Schritten zur Identifizierung bzw. Authentifzierung von natürlichen Personen verbunden sind, ist daher keine Speicherung von biometrischen Daten.

 

Bilddaten könnten aber uU Gesundheitsdaten beinhalten, wenn darauf auf den Gesundheitszustand der abgebildeten natürlichen Person geschlossen werden kann (z.B. Foto aus dem Krankenhaus oder Foto, auf dem eine Beeinträchtigung ersichtlich ist). Üblicherweise ist es jedoch so, dass das Kontaktfoto, welches im Adressbuch gespeichert wird, ein Foto ist, das von der betreffenden Person selbst „veröffentlicht“ oder zur Verfügung gestellt wurde, sodass sich der Verwender auf Art 9 Abs 2 lit e DSGVO bei der Verwendung dieser „Gesundheitsdaten“ berufen kann.

 

Gesundheitsdaten dürfen (u.a.) dann verarbeitet werden, wenn sich die Verarbeitung auf Daten bezieht, die die betroffene Person offensichtlich öffentlich gemacht hat (Art 9 Abs 2 lit e DSGVO). Die betroffene Person hat dann kein Schutzbedürfnis mehr, wenn die Daten durch Handlungen, die die betroffene Person selbst setzt, in die Öffentlichkeit gelangen. Auch Soziale Medien zählen zu dieser Öffentlichkeit, wenn die Daten dort von der Allgemeinheit zugänglich sind. Die Veröffentlichung muss „offensichtlich“ sein, dh von der betroffenen Person veranlasst sein, und dieser muss die Tatsache, dass die Daten dann allgemein verfügbar sein werden, bewußt sein.

 

Zusammenfassend lässt sich daher sagen, dass auch die Bilddaten, die üblicherweise in den Kontaktdaten auf Smartphones gespeichert sind, „allgemeine“ Daten darstellen und nicht unter die Kategorie der besonderen Datenarten des Art 9 DSGVO fallen.

 

 

Grundlagen für die Rechtmäßigkeit der Verarbeitung der „allgemeinen“ Daten nach Art 6 Abs 1 DSGVO

 

1.     Eine Grundlage für die mögliche Verarbeitung (Übermittlung der Kontaktdaten an What´s App) wurde bereits genannt, nämlich die „Einwilligung“ (Art 6  Abs 1 lit a DSGVO). Diese wird mit großer Wahrscheinlichkeit nicht in Anspruch genommen werden können, denn nahezu niemand versichert sich einer derartigen freiwilligen Einwilligung von Personen, die er/sie in sein Adressbuch auf dem Mobiltelefon aufnimmt.        

2.     Eine weitere Möglichkeit, ist ein Vertrag mit der betroffenen Person oder eine Vertragsanbahnung der betroffenen Person mit dem Verantwortlichen, dh mit dem Verwender von What´s App bzw. dem Unternehmen, der Person, die What´s App verwendet (Art 6 Abs 1 lit b DSGVO). Dies scheidet vermutlich auch (meist) aus, da eine vertragliche Beziehung mit der betroffenen Person z.B. im unternehmerischen Kontext zwar möglich ist, aber diese meist keine Notwendigkeit beinhaltet, dass die Kontaktdaten einerseits auf dem Mobiltelefon gespeichert werden und andererseits an What´s App übermittelt werden.

3.     Eine rechtliche (gesetzliche) Verpflichtung zur Übermittlung von Kontaktdaten an What´s App ist (mir) nicht bekannt, sodass auch diese Möglichkeit (Art 6 Abs 1 lit c DSGVO) ausscheidet.

4.     Lebenswichtige Interessen des Verwenders der betroffenen Person oder einer dritten Person sind durch die Übermittlung von Kontaktdaten an What´s App auch nicht betroffen, sodass auch diese Variante (Art 6 Abs 1 lit d DSGVO) ausscheidet.

5.     Der Verwender von What´s App wird in den seltensten Fällen eine Aufgabe im Rahmen des öffentlichen Interesses wahrnehmen oder öffentliche Gewalt ausüben (Art 6 Abs 1 lit e DSGVO). Diese Möglichkeit kann daher auch nicht genutzt werden.        

6.     Die ultima ratio der DSGVO ist das sog. berechtigte Interesse (siehe Art 6 Abs 1 lit e DSGVO), auf das sich der Verwender von What´s App stützen könnte, um die Verarbeitung der Daten (dh in diesem Fall die Übermittlung der Kontaktdaten in die USA) auf eine rechtmäßige Grundlage zu stellen:

a.     Es ist daher zu hinterfragen, was das berechtigte Interesse sein könnte, dass What´s App im unternehmerischen Kontext verwendet werden darf. Zu den berechtigten Interessen zählen rechtliche, wirtschaftliche oder auch ideele Interessen. Das Interesse der Person, die What´s App verwendet liegt mE darin, mit anderen Personen über diesen Dienst „bequem“ oder effizient kommunizieren zu können, und die Person hat keine Möglichkeit, die Übermittlung der Kontaktdaten aus dem Adressbuch in die USA zu unterbinden.         Dies stellt mE ein wirtschaftliches Interesse des Verwenders von What´s App dar, und die Tatsache, dass der Dienst weit verbreitet ist, und von vielen Personen als Informationskanal genutzt wird, spielt hier ebenfalls eine Rolle.

Ein Interesse daran, dass die Kontaktdaten aus dem Smartphone an What´s App übertragen werden, und zwar alle Kontaktdaten, dh nicht nur diejenigen der Personen, die What´s App auch selbst nutzen, ist sicherlich vorhanden. Es ist das Interesse von What´s App, Zugang zu diesen Daten zu erhalten. Auch Interessen dritter Personen, dh nicht nur des Verantwortlichen (= diejenige Person oder das Unternehmen, deren Person What´s App verwendet), sind in die Betrachtung einzubeziehen.

Ein wirtschaftliches Interesse, diese Daten übermittelt zu erhalten, ist daher identifiziert.

b.     Der zweite „Test“ ist, welche Interesse oder Grundrechte und Grundfreiheiten der natürlichen Personen, die im Adressbuch gespeichert sind, durch die Übermittlung der Kontaktdaten an What´s App beeinträchtigt werden. Durch die Tatsache, dass Kontaktdaten (auch von unbeteiligten Personen) in die USA übermittelt werden, werden bestimmte Identifikationsmerkmale der Personen (Name, Adresse, Bild, Mobiltelefonnummer) an einen (fremden) Empfänger, der gesellschaftsrechtlich mit Facebook verbunden ist, übermittelt. Vielen Personen fühlen sich nicht wohl, wenn ihre „privaten“ Daten, und sei es auch nur eine Telefonnummer in die USA übermittelt und dort gespeichert werden. Daten des Privatlebens (eine Telefonnummer) werden an einen Empfänger in den USA offengelegt.   

c.     Letztlich stellt sich die Frage, ob die Interessen der natürlichen Personen die Interessen des Verwenders von What´s App überwiegen oder nicht. Eine Offenlegung von Daten an einen Empfänger in den USA stellt insbes. auch im Licht der Schrems-Entscheidung des EuGH oder der Wertungen der Bestimmungen zur internationalen Datenübermittlung eine wesentliche Beeinträchtigung von persönlichen Interessen von natürlichen Personen dar, da in den USA das Datenschutzniveau nicht dasselbe ist, wie in der EU. Es ist daher mE davon auszugehen, dass das Interesse der natürlichen Person, daran, dass die Kontaktdaten nicht in die USA übermittelt werden, das Interesse des Verwenders des Dienstes (effiziente Kommunikation) überwiegt. Dies insbesondere auch deshalb, da es andere Möglichkeiten gibt, auf datenschutzrechtlich korrekte Weise mit Personen aus dem Adressbuch im Mobiltelefon zu kommunizieren, wobei die Funktionsweise derjenigen von What´s App ähnlich ist.

7.     Schlussfolgerung:
Meines Erachtens findet sich keine taugliche Grundlage für die Verarbeitung der Daten, dh für die Übermittlung der Kontaktdaten aus dem Mobiltelefon an den Dienstebetreiber in den USA, da das Interesse unbeteiligter Personen, die mit What´s App nicht in Kontakt sind, und den Dienst nicht nutzen an der Geheimhaltung ihrer Daten und Nichtoffenlegung der Kontaktdaten an What´s App Inc in den USA überwiegen.