WhatsApp: Sicherheitsrisko beim Einsatz im Unternehmen

Fachbeitrag

WhatsApp wird mit steigender Tendenz auch zur unternehmensinternen Kommunikation verwendet. Die damit verbundenen datenschutzrechtlichen Sicherheitsrisiken werden in diesem Artikel aufgezeigt. Auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) äußerte sich kritisch zum Einsatz des Messengers in Unternehmen.

Nutzung des Messengers im Unternehmen

WhatsApp bietet zahlreiche Möglichkeiten der Kommunikation. Die Versendung von Textnachrichten, Bildern, Videos und anderen Mediendaten über den Kommunikationsdienst machen sich mittlerweile auch viele Unternehmen zunutze.

Doch scheinen sich viele davon dem datenschutzrechtlichen Ausmaß nicht recht bewusst zu sein. Schließlich läuft mit dem Einsatz des Messengers jeglicher Datentransfer über das kalifornische Unternehmen Whatsapp Inc. und damit über einen Drittanbieter.

Wie RDV Online, die Fachzeitschrift für Datenschutzrecht berichtete, wurde das BayLDA von der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD Erfa-Kreis Würzburg) zu dieser Thematik befragt. Aufgrund der Angaben der Aufsichtsbehörde und weiteren datenschutzrechtlichen Bedenken, sollten sich betroffene Unternehmen gut überlegen, ob sie WhatApp tatsächlich weiter verwenden möchten.

WhatsApp als datenschutzrechtliches Sicherheitsrisiko

Nach Ansicht des BayLDA ist der Einsatz von WhatsApp im Unternehmen nicht datenschutzkonform, da damit viele grundsätzliche Datenschutzbedenken einhergehen (Nr. 22.1 des Tätigkeitsberichts 2015/2016). Doch wie kommt die Aufsichtsbehörde zu diesem Schluss?

Telefonnummern

Wird WhatsApp auf Diensttelefonen verwendet, so werden alle Telefonnummern im Telefonbuch des Handys (dh. auch geschäftliche Kontakte) an die Server von WhatsApp in den USA übertragen. USA gilt bezüglich Datenschutz als unsicheres Drittland, da die dortigen gesetzlichen Datenschutz-Regelungen um einiges schwächer gelegt sind, als in Deutschland und der EU.

Kommunikationsdaten

Jegliche Nachrichten, die (bspw. aufgrund einer fehlenden Netzverbindung) nicht unverzüglich zugestellt werden können, werden auf den Servern von WhatsApp bis zu 30 Tage gespeichert. Dazu zählen natürlich dann auch jegliche Informationen über das Unternehmen und die jeweiligen Geschäftsprozesse, falls sich hierrüber ausgetauscht wird.

Erschwerend kommt folgender Sachverhalt hinzu:

Facebook

Facebook räumt sich nach einer Änderung der WhatsApp-Nutzungsbedingungen im Sommer 2016 das Recht ein, für alle Unternehmen seiner Gruppe Daten aus dem 2014 zugekauften Messenger WhatsApp zu ziehen.

Account-Informationen (u.a. Profilname, Profilbild, Status, Handynummer) seiner Nutzer sowie deren Adressbücher kann das Unternehmen damit unter anderem für Werbezwecke nutzen und kommt so an noch mehr sensible Daten von Personen heran, die das soziale Netzwerk gar nicht nutzen.

WhatsApp informiert seit Ende August 2016 über diesen Schritt und hatte eine 30-Tage-Frist gesetzt, den neuen Nutzungsbedingungen und der Datenschutzrichtlinie zuzustimmen.

Die von Facebook mitgeteilten Informationen sind leider nur sehr vage. Man räume den Nutzern zwar ein Widerspruch gegen die Auswertung ein, jedoch würde in jedem Fall Daten zur Nutzung des Dienstes sowie die Telefonnummer an Facebook in die USA übertragen werden.

Weitere Sicherheitsrisiken

Trotz der relativ neu eingeführten Ende-zu-Ende-Verschlüsselung der Nachrichten bestehen weitere technische Risiken, wie beispielsweise eine bekanntgewordene Sicherheitslücke, die das Mitlesen von Gruppenchats ermöglichte.

Viele Unternehmen schauen sich daher nach Alternativen um, wie Signal, Threema, Wire und Telegram.

Leistungs- und Verhaltenskontrolle

Ein weiterer Gesichtspunkt sollte auch nicht vernachlässigt werden. Durch die Statusanzeige von WhatsApp kann stets nachvollzogen werden, wann der Mitarbeiter das letzte Mal online war. Ebenso wird festgehalten, zu welcher Uhrzeit, welche Nachricht gesendet wurde.

Eine Möglichkeit dies einzuschränken, wäre, wenn man die Mitarbeiter anweist, die Status-Funktion zu deaktivieren. Allerdings wird danach immer noch angezeigt, welcher Mitarbeiter gerade online ist, wann er die Nachrichten gesendet und damit zu diesen Zeitpunkten (vermeintlich) gerade nicht gearbeitet hat.

Verhaltens- und Leistungskontrollen jeglicher Art bringen stets datenschutzrechtliche Probleme mit sich. Insbesondere sind solche nur zulässig, wenn Sie in irgendeiner Weise tätigkeitsbezogen, dh. bspw. zur Steigung der Arbeitsfähigkeit oder Entscheidung über eine Beförderung stattfinden.

Gesamtbewertung

In Anbetracht der obigen Ausführungen, ist von der Nutzung des Messengers WhatsApp innerhalb eines Unternehmens abzuraten.

Entsprechende Regelungen lassen sich durch eine Betriebsvereinbarung zur Nutzung von Internet und E-Mail aufstellen oder in diese integrieren. Eine weitere Möglichkeit wären schriftliche Individualabreden mit den einzelnen Mitarbeitern. Die Verhinderung einer Installation von Apps könnte auch technisch durch Voreinstellungen der Handys erreicht werden.

Dem gegenüber kann der Arbeitgeber natürlich nicht verhindern, dass die Mitarbeiter WhatsApp auf ihren eigenen mobilen Endgeräten verwenden.

Bereits durch die Verpflichtung auf das Datengeheimnis ist jeder Mitarbeiter angehalten, Daten die das Unternehmen betreffen von der Kommunikation über den Messenger auszuschließen. Zusätzlich dazu könnten aber auch Anweisungen in den angesprochenen Regelungen oder in einer allgemeinen schriftlichen Datenschutz-Policy enthalten sein.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

13 Kommentare zu diesem Beitrag

  1. Ist es tatsächlich noch so mit WhatsApp, dass ich es strikt verbieten muss im Unternehmen? Ich halte das für überholt. Hinzu kommt noch der Umstand, dass ein Verbot der App ohne Mobile Device Management-Lösung kaum durchsetzbar ist.

    M.E. ist es viel wichtiger zu regeln, was über den Dienst kommuniziert werden darf: Betriebsinterna, einem Berufsgeheimnis unterliegende Daten usw. haben in WhatsApp nichts zu suchen. Eine einfache Terminvereinbarung o.ä. – was ist dagegen einzuwenden?

    Die Kommunikation ist in der Zwischenzeit Ende-zu-Ende-verschlüsselt und WhatsApp verfügt seit März 2018 über eine Privacy-Shield-Zertifizierung (https://www.privacyshield.gov/participant?id=a2zt0000000TSnwAAG&status=Active). Letzteres nicht perfekt, bildet dies aber doch eine Rechtsgrundlage für die Verwendung.

    • Der Artikel zeigt die derzeitigen Risiken beim Einsatz von WhatsApp auf, weshalb von einem Einsatz abgeraten wird, um auf der rechtssichersten Seite zu sein. Die Entscheidung, ob die beschriebenen Risiken in Kauf genommen werden, bleibt letztlich beim Unternehmen. WhatsApp generell zu erlauben, jedoch Einzelverbote für jegliche Eventualitäten aufzustellen, scheint m. E. nur schwer umsetzbar.

      Die Geschäftsleitung kann bei einem Verbot von WhatsApp ohne den Einsatz technischer Hilfsmittel natürlich nicht ausschließen, dass einzelne Mitarbeiter WhatsApp verwenden. Dies sollte von den Aufsichtsbehörden jedoch auch nicht erwartet werden. Wichtig ist nur, dass eine explizite Anweisung an die Mitarbeiter besteht, dies nicht zu tun.

      Die geschilderten Zugriffsmöglichkeiten von WhatsApp und Facebook bestehen trotz der Ende-zu-Ende-Verschlüsselung, welche auch zur Zeit der Bedenken der Aufsichtsbehörde bereits bestand. Die Privacy-Shield-Zertifzierung ist zwar ein gutes Aushängeschild für WhatsApp, steht aber wie sie sagen von Beginn an unter Kritik.

  2. Die Frage nach WhatsApp zu stellen, ist zu kurz gegriffen – der Ansatz müsste schon sein: Darf ein Handy mit Google-Betriebssystem Android überhaupt für firmeninterne und externe Anrufe benutzt werden – die Daten landen hier auf dem Server von Google?

    • Eine datenschutzrechtliche Absicherung durch einen ADV wäre auf jeden Fall begrüßenswert, um Rechte und Pflichten der Parteien zu definieren. Allerdings kommt es natürlich stark auf den Inhalt der Vereinbarung an. WhatsApp wird sich sicherlich viele Möglichkeiten offenhalten, um das bisherige Geschäftskonzept nicht einschränken zu müssen.

  3. Hallo, wie verhält es sich denn mit WhatsApp Business und Kundenanfragen und deren Daten??? Beispiel wäre das Kunden benötigte Personalausweiskopien o.ä. an Unternehmen bereitstellen!!!
    Danke im Voraus

    • Sind sie mir nicht böse, aber wenn ein Unternehmer von mir verlangen würde, dass ich ihm per WA ein Photo meines PA schicken soll, hätte er mich als Kunden schon verloren.
      Zudem steht in den DS Richtlinien von WA folgender Satz: „…Dritte. WhatsApp kann Daten innerhalb der Facebook-Unternehmensgruppe und an Dritte einschließlich Dienstleister und andere Partner übertragen….“
      Leider wird nicht weiter ausgeführt, um welche Daten es sich handelt. Aber bei amerikanischen Unternehmen gehe ich davon aus, dass es alle Daten sind.

  4. Das erwähnte Textsecure wurde übrigens zu Signal umbenannt bzw. dort integriert. Und ich verstehe auch nicht wo das Problem ist sich für eine Übergangszeit, in der noch viel WhatsApp nutzen, sich einen zweit-Messenger wie Signal zu installieren. Wenn dann alle umgestiegen sind kann man ja WhatsApp löschen :-)

  5. Whatsup will den Zugriff auf alle Telefonnummern meines Handys. Das ist für den Whatsupbetrieb nicht erforderlich. Es reicht, dass Whatsup prüft, wenn ich ihm einen Kontakt anbiete, mit dem ich über Whatsup kommunizieren möchte, ob dieser Kontakt über Whatsup kommuniziert. Alles weitere ist Spionage und sollte von unserer staatlichen Seite verboten werden.

    • Für interne Kommunikation als auch externe mit Kunden würde ich Slack empfehlen. Läuft sicher und bietet unendlich viele Erweiterungen an. Bis zu einem gewissen Punkt sogar kostenfrei.

      • Die gesamte Kommunikation bei Slack läuft ebenfalls über US-Server. Stattdessen am besten selbst gehostete Lösungen wie Mattermost verwenden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.