Datenschutz und IT-Sicherheit

Das WhatsApp-Urteil von Bad Hersfeld

Im Mai 2017 entschied zum ersten Mal ein deutsches Gericht, dass die unbedachte WhatsApp-Nutzung nicht mit deutschem Recht vereinbar ist (das Urteil kann man z. B. hier finden).

Konkret wurde die Mutter eines Elfjährigen verpflichtet, sich von allen im Telefon des Kindes gespeicherten Kontakten eine schriftliche Einwilligung zu holen, dass diese mit der Übermittlung ihrer Daten in die USA zu WhatsApp einverstanden sind.

Da dies für die Praxis wohl wenig realistisch ist, wird wohl der Ausstieg aus WhatsApp die naheliegende Lösung sein.

Cybersecurity of network of connected devices and personal data security

Was ist das Problem mit WhatsApp?

WhatsApp funktioniert nur, wenn man der App den Zugriff aufs Adressbuch des Smartphones gibt. Und dann werden alle Kontakte – auch die von Menschen, die Whatsapp nicht nutzen – an WhatsApp übermittelt.

Das ist aber ohne Einwilligung der Betroffenen verboten. Und weil WhatsApp das anscheinend weiß, verpflichtet es in seinen AGB auch die Nutzer, sicherzustellen, dass diese Erlaubnisse der Betroffenen vorliegen.

Liegen die Einwilligungen nicht vor, können die Nutzer abgemahnt werden.

Wie hoch ist die Gefahr rechtlicher Konsequenzen?

Die Gefahr für private Nutzer wird mehrheitlich für eher gering eingestuft. Ausgeschlossen können rechtliche Konsequenzen, nun da es ein Gegenbeispiel gibt, aber nicht mehr.

Für dienstliche Handys ist die Gefahr höher. Während bei Privatpersonen ein Diskussionspunkt bezüglich des Urteils ist, inwiefern das BDSG als Vorschrift für das Kind einschlägig ist, so steht dies für Unternehmen außer Zweifel. Die Kontaktdaten der Kollegen, Lieferanten und Kunden im Handy eines Mitarbeiters dürfen nicht ohne Einwilligung übermittelt werden – schon gar nicht in ein unsicheres Drittland wie die USA.

Was tun?

WhatsApp darf auf dienstlichen Handys und solchen, die auch für dienstliche Zwecke genutzt werden, nicht installiert sein. Es gibt Messenger-Dienste, die ohne die Übermittlung funktionieren, z. B. der Schweizer Dienst Threema. Da sich dieser Dienst aber durch den Dienst selbst und nicht durch Datenhandel finanziert, kostet die App etwas (derzeit ca. 3,50 €).

Das sollte für den Unternehmenseinsatz kein Problem sein. Doch wie sieht es mit der Kundenseite (oder anderen Externen) aus, wenn das Unternehmen auch mit diesen über Messenger kommunizieren möchte? Hier kann man nur hoffen, dass die nun erstmal erfolgte Verurteilung einer Privatperson motivatorisch dazu beiträgt, einen anderen Messenger-Dienst zu nutzen – und sei es nur parallel zu WhatsApp, um Verständnis zu zeigen, dass zumindest das Unternehmen nicht illegal handeln möchte.

Übrigens:

Weil Messenger-Dienste wie Threema und inzwischen auch WhatsApp eine sehr gute Verschlüsselung der Kommunikation anbieten (Ende-zu-Ende, also vom Absendergerät bis zum Empfängergerät), sind sie prinzipiell deutlich sicherer als zum Beispiel die Nutzung unverschlüsselter E-Mail. Es gibt also neben der Bequemlichkeit durchaus Argumente für Messenger – nur muss die Auswahl eben richtig erfolgen.