Wie der Hamburgische Beauftragte für den Datenschutz in seinem frisch erschienenen Tätigkeitsbericht feststellt, hat der Einsatz von Diensten zur Individualkommunikation wie WhatsApp hat nicht nur im Privatbereich im Berichtszeitraum rasant zugenommen. Auch Unternehmen wollen über diesen Dienst mit ihren Kunden kommunizieren. Es gibt zu diesem Themenfeld auch verschiedentlich Anfragen und Beschwerden bei der Behörde.

ZUSTÄNDIGKEIT DER BUNDESBEAUFTRAGTEN

Allerdings ist der LAndesdatenschutzbeauftragter weder für das Unternehmen Whats-App Inc. mit Sitz in den USA, noch für andere vergleichbare Anbieter derartiger Dienste der Individualkommunikation zuständig. Die Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben durch dieses Unternehmen wird durch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wahrgenommen. Denn hier handelt es sich nach dem gemeinsamen Verständnis der deutschen Aufsichtsbehörden um sog. OTT (Over-the-top)-Dienste, und damit um Telekommunikation. Sie unterfallen dem Telekommunikationsgesetz (TKG) und ihre datenschutzrechtliche Kontrolle obliegt gemäß § 115 Abs. 4 TKG der BfDI.

EINSATZ IM UNTERNEHMEN

Anders sieht es jedoch aus, wenn ein Unternehmen in unserem Zuständigkeitsbereich WhatsApp z.B. für den Kundenkontakt nutzt. Eine Übermittlung personenbezogener Daten erfolgt an solche Anbieter immer dann, wenn dieser z. B. Telefonnummern oder andere Kontaktdaten erhält, damit eine Kommunikation überhaupt stattfinden kann. Dies erfolgt in der Regel über einen sogenannten Adressbuchupload, bei dem die gesamte Kontaktinformation eines Geräts an den Anbieter übermittelt wird. Nach unserer Ansicht stellt eine solche Übermittlung zu unternehmerischen Zwecken eine vom Grundsatz her datenschutzrechtlich unzulässige Verarbeitung personenbezogener Daten dar. Denn aus den Nutzungsbedingungen der WhatsApp Inc. wird deutlich, dass sie ihre Nutzer auffordert, die Legitimität der Übermittlung der Daten eigenständig sicherzustellen. Zudem ist nicht vollständig gewährleistet, dass die WhatsApp Inc. die Adressbuchdaten ausschließlich und abschließend für die Erbringung der eigentlichen Kommunikationsdienstleistung verwendet. Die Datenschutzerklärung von WhatsApp ist in diesem Zusammenhang zu unbestimmt und lässt den Schluss zu, dass übermittelte Daten auch über den unmittelbaren Zweck der Diensterbringung hinaus durch das Unternehmen verwendet werden, etwa zu eigenen wirtschaftlichen Zwecken.

NUTZUNG NUR ÜBER EINWILLIGUNG

Soweit Unternehmen und Behörden meinen, dennoch nicht auf die Verwendung des Dienstes von WhatsApp verzichten zu können, sollte die Nutzung über ein Endgerät abgewickelt werden, welches bei der Installation der App über ein leeres Adressbuch verfügt. Werden die Unternehmen und Behörden dann direkt über WhatsApp von den Betroffenen kontaktiert, kann (konkludent) von einer Einwilligung der Betroffenen ausgegangen werden. Hier kann eine Ausnahme vom Schriftformerfordernis der Einwilligung gemäß § 4a Abs. 1 S. 3 BDSG gesehen werden, wonach von dieser Formvorschrift abgesehen werden kann, wenn dies wegen der besonderen Umstände angemessen ist. Der HmbBfDI würde das Hinzufügen des Kontakts in das Adressbuch und die weitere Kommunikation über den Dienst der WhatsApp Inc. unter diesen Vorgaben nicht beanstanden.
Rechtssicherer und mit den gesetzlichen Vorgaben zweifelsfrei im Einklang wäre es, wenn die Unternehmen direkt die Nummern mit dem Kunden und Geschäftspartnern austauschen und sich dabei die schriftliche Einwilligung durch die Betroffenen erteilen lassen. Eine Übermittlung bereits vorhandener Adressdaten an WhatsApp wäre nach unserer Ansicht nur zulässig, wenn dafür gemäß § 4 Abs. 1 BDSG eine entsprechende Rechtsgrundlage existiert. Diese könnte neben der Einwilligung des Betroffenen, bei bestimmten Sachverhaltskonstellationen aufgrund von zivilrechtlichen Verträgen in der Erfüllung eigener Geschäftszwecke oder ausnahmsweise in der Wahrung berechtigter Interessen des jeweiligen Unternehmens liegen. Für öffentliche Stellen wäre eine gesetzliche Rechtsgrundlage erforderlich, die nach unserer Kenntnis allerdings nicht existiert. In jedem Fall sind bei der Übermittlung der Daten vorab immer die schutzwürdigen Interessen der betroffenen Kundinnen und Kunden bzw. der Bürgerinnen und Bürger zu beachten. In der Regel können Unternehmen und Behörden nicht davon ausgehen, dass Betroffene die Übermittlung z. B. ihrer Telefonnummer für nicht genauer spezifizierte Zwecke der Whats-App Inc. hinnehmen müssen. Gerade im Bereich der Verarbeitung personenbezogener Daten zum Zwecke der Werbung und des Marketings setzt das Wettbewerbs- und Datenschutzecht der Datenverarbeitung enge Grenzen und erfordert in der Regel die Erteilung einer Einwilligung der Betroffenen. Dies steht auch im Einklang mit der deutschen Rechtsprechung, die immer wieder den belästigenden Charakter von Werbung festgestellt hat und die Nutzung von Kontaktdaten zu Werbezwecken einem Einwilligungsvorbehalt unterstellt. Die Einwilligung muss jeweils von der Person, deren Kontaktdaten aus dem Adressbuch an die WhatsApp übermittelt werden, unter den Bedingungen des § 4a BDSG erteilt werden. Die Annahme, dass schon deshalb eine Einwilligung in die Übermittlung von Adressdaten an die WhatsApp Inc. vorliegt, weil der Betroffene selbst Nutzer von WhatsApp ist, ist abzulehnen. Denn Dienste wie WhatsApp ziehen aus der Information, wer mit wem verbunden ist, zusätzliche Schlüsse.