WhatsApp gilt als der populärste Kommunikationskanal. Nicht nur privat sondern auch im Unternehmen nutzen ihn Millionen von Angestellten und Mitarbeitern. Die einfache Unternehmenskommunikation leidet jedoch unter den neuen Anforderungen der EU-DSGVO. Viele Unternehmen und Betriebe unterbinden und verbieten die weitere Nutzung von WhatsApp für die Kontaktaufnahme mit Kunden und Partnern. Der Messenger verstößt ganz klar gegen die Datenschutzgrundverordnung sobald er dienstlich genutzt wird. Doch viele Unternehmen wickeln seit Jahren viele Geschäftsbeziehungen über den Messenger ab. Was kann hier nun getan werden? Zum Glück gibt es einige alternativen.

EIGENTLICHE PROBLEMATIK VON WHATSAPP

Eine Übermittlung personenbezogener Daten erfolgt an solche Anbieter immer dann, wenn dieser z. B. Telefonnummern oder andere Kontaktdaten erhält, damit eine Kommunikation überhaupt stattfinden kann. Dies erfolgt in der Regel über einen sogenannten Adressbuchupload, bei dem die gesamte Kontaktinformation eines Geräts an den Anbieter übermittelt wird. Nach unserer Ansicht stellt eine solche Übermittlung zu unternehmerischen Zwecken eine vom Grundsatz her datenschutzrechtlich unzulässige Verarbeitung personenbezogener Daten dar. Denn aus den Nutzungsbedingungen der WhatsApp Inc. wird deutlich, dass sie ihre Nutzer auffordert, die Legitimität der Übermittlung der Daten eigenständig sicherzustellen. Zudem ist nicht vollständig gewährleistet, dass die WhatsApp Inc. die Adressbuchdaten ausschließlich und abschließend für die Erbringung der eigentlichen Kommunikationsdienstleistung verwendet. Die Datenschutzerklärung von WhatsApp ist in diesem Zusammenhang zu unbestimmt und lässt den Schluss zu, dass übermittelte Daten auch über den unmittelbaren Zweck der Diensterbringung hinaus durch das Unternehmen verwendet werden, etwa zu eigenen wirtschaftlichen Zwecken. WhatsApp verstößt alleine gegen die Art.5, Art.6 und Art.7 DS-GVO. Um die datenschutzkonforme Nutzung zu gewährleisten, bräuchte man Einwilligungen aller Nutzer, die in den jeweiligen Adressbüchern gespeichert sind.
Zwar gibt es mittlerweile bei WhatsApp eine „Ende-zu-Ende“-Verschlüsselung, jedoch war es das auch schon mit den sicheren „Features“, welche der Messenger zu bieten hat.

WAS IST DIE GENERELLE PROBLEMATIK VON MESSENGERN?

Viele populäre Messenger-Methoden bieten gar keine „Ende-zu-Ende“-Verschlüsselung an. Auch wenn gleich mehrere Apps mit Sicherheit werben: Welche Messenger lösen das Versprechen beim Umgang mit den Nutzerdaten ein? Einige bekannte Messenger sind damit gleich durch unser Raster gefallen: Der Facebook-Messenger und Snapchat bieten laut jeweiliger Datenschutzerklärung keine standardmäßig aktivierte Ende-zu-Ende-Verschlüsselung oder sagen nichts Konkretes dazu in den Erklärungen (Stand Sommer 2018). Auch Googles Messenger Allo verschlüsselt aktuell nur im sogenannten Inkongnito Ende-zu-Ende, einem optionalen Modus, den man selbst für jeden Chat einschalten muss. Der Ende-zu-Ende-verschlüsselte Dienst iMessage ist wiederum nur für Apple-Geräte verfügbar.

ANONYM NUTZBARE MESSENGER-ALTERNATIVEN

Hoccer und Threema können Sie grundsätzlich anonym, also ohne Angabe von persönlichen Daten nutzen. Für die Kundenkommunikation also mehr als geeignet!
Hoccer
Speichert nach der eigenen Datenschutzerklärung ausschließlich eine zufällig generierte „Client“-ID nebst automatisch generiertem Passwort des Nutzers dauerhaft, um einen Abgleich mit Gruppen, Freunden und Profilen vornehmen zu können. Eine klassische Funktion, um die Kontakte mit dem eigenen Adressbuch „automatisch“ zu synchronisieren, ist dabei nicht vorgesehen. Wenn Sie Freunde bei Hoccer finden möchten, müssen Sie selbst tätig werden und ihnen eine Einladung z.B. per E-Mail schicken.
Wenn Sie die „In der Nähe“-Funktion nutzen, sollten Sie sich bewusst sein, dass Nachrichten und Daten (z.B. Fotos) an alle Personen in der Umgebung innerhalb der Gruppe geschickt werden – auch wenn plötzlich neue Hoccer-Nutzer dazu kommen – und Sie dabei auch Ihren ungefähren Standort offenbaren.
 
Threema
Speichert die Telefonnummer und/oder (verschlüsselte) E-Mail-Adresse des Nutzers nur auf Wunsch und nur zur automatischen Kontaktsynchronisation. Außerdem können die Telefonnummern bzw. E-Mail-Adressen der Kontakte abgeglichen werden, um Freunde zu finden. Hierzu werden die Daten aus dem eigenen Adressbuch nicht dauerhaft gespeichert, sondern es erfolgt ein Abgleich über einen temporären Hash (eine Verschlüsselungs- bzw. Pseudonymisierungs-Technik). Threema bekommt das Adressbuch mit E-Mail-Adressen und Telefonnummern von Freunden also nur anonymisiert und verspricht, sie zu keinem Zeitpunkt auf einen Datenträger zu schreiben und sofort wieder zu löschen.
Auffällig: Wer bei Threema anderen im Chat zeigen möchte, wo er sich gerade befindet, muss seinen Standort ermitteln und bei Vorhandensein von Google-Play-Diensten auf dem Smartphone mit Google zum Beispiel für nahe Geschäfte und Sehenswürdigkeiten über die entsprechende Schnittstelle abgleichen lassen. Hier verweist Threema auf Google und deren Datenschutzerklärung. Wenn Sie nicht wollen, dass Daten an Google gehen, verzichten Sie besser darauf, Ihren Standort zu übermitteln und deaktivieren Sie die Funktion. Vergleichbares gilt für den Fall, dass Ihr Gerät nicht auf Google-Play-Dienste zurückgreift z.B. im Falle Google freier Android Costum-Roms. Dann kommt eine Schnittstelle der OpenStreetMap Foundation sowie deren Datenschutzbestimmungen zum Einsatz.
 

ALTERNATIVEN MIT NUTZERREGISTRIERUNG

SIMSme, Wire, Signal und Telegram lassen sich nur unter Registrierung mit persönlichen Daten nutzen.
Wire
Lässt sich anders als Threema nicht ohne Angabe eines Namens und einer Handynummer oder E-Mail-Adresse nutzen. Da Wire übergreifend auf Smartphone und Rechner genutzt werden kann, werden Nachrichteninhalte verschlüsselt auf Servern zwischengespeichert bis diese zugestellt sind. Die Kontakte synchronisiert der Messenger, indem er verschlüsselte Telefonnummern aus dem eigenen Kontaktbuch verwendet. Das ist jedoch freiwillig – auch ohne Zugriff aufs Adressbuch lässt sich Wire nutzen.
Aber: Der Anbieter behält sich explizit die Datenweitergabe an Dritte unter gewissen Voraussetzungen vor, z.B. im Zusammenhang mit der Durchsetzung der Nutzungsbedingungen oder um seine Rechte zu schützen. Auch weist er auf eine mögliche Weitergabe im Falle eines Unternehmenskaufs hin, der auch zu einer anderen Datenverarbeitung führen könnte.
Auf mögliche Drittanbieterdienste z.B. von Youtube oder Spotify wird ebenfalls in der Datenschutzerklärung hingewiesen. Für deren mögliche Datennutzung seien die jeweiligen Anbieter verantwortlich. Auf diese Features sollten Sie verzichten, wenn Sie nicht wollen, dass die Unternehmen möglicherweise Daten erhalten.
Signal
Benötigt ebenfalls eine Verknüpfung mit der eigenen Telefonnummer. Auch ein Nutzername wird verlangt – hier kann man aber anonym bleiben, denn der Messenger gibt sich auch mit Pseudonymen oder sogar einem Emoji zufrieden. Der Anbieter der Verschlüsselungstechnik, Open Whispers System, stellt keine Datenschutzerklärung auf Deutsch zur Verfügung und räumt sich das Recht ein, unter bestimmten Voraussetzungen, insbesondere im Zusammenhang mit vollstreckbaren Regierungsanfragen, Nutzerdaten mit Dritten zu teilen. Das Unternehmen sitzt in den USA.
Telegram
Hat ebenfalls keine Datenschutzerklärung auf Deutsch. Auch die Umsetzung der Informationen, die die EU-Datenschutzgrundverordnung fordert, scheint nach eigenen Angaben in den FAQ noch anzudauern.  Neben der Notwendigkeit der Verknüpfung mit der Telefonnummer fordert die App die Angabe eines Vornamens. Die Funktion des Cloud-Chats mag zur geräteübergreifenden Nutzung praktisch sein, hierfür müssen aber sämtliche Chatinhalte verschlüsselt auf Servern gespeichert werden. Eine Ende-zu-Ende-Verschlüsselung bieten nur die „Secret-Chats“. Dazu kommt, dass Telefonnummern sowie Vor- und Nachnamen von Kontakten aus dem Adressbuch gespeichert werden, wenn die Kontaktsynchronisation genutzt wird. Ohne Zugriff auf das Adressbuch ist aber kein Start eines Chats möglich. Die Synchronisation kann an- und abgeschaltet werden und Kontakte können gelöscht werden. Bei Inaktivität von sechs Monaten werden die Nutzerdaten automatisch gelöscht. Der Zeitraum lässt sich in den Einstellungen ändern.

MESSENGER-ALTERNATIVE MIT ISO 27001 ZERTIFIZIERUNG – BEEKEEPER

Neu auf dem Markt der Messenger ist die Mitarbeiter-App der Schweizer Beekeeper AG. Diese App wurde speziell für die Kommunikation im Unternehmen und zwischen Unternehmen und Kunden konzipiert. Sie unterstütze die Datensicherheit in der internen Kommunikation u.a. mit sicherem Group-Messaging, vollständig überwachten Benutzersteuerelementen, 256-Bit-TLS-Verschlüsselung und Einhaltung der DSGVO. Im Gegensatz zu Consumer-Messaging-Apps, bei denen die persönlichen Daten des Nutzers für die kostenlose Nutzung der App ausgetauscht würden, mildere Beekeeper das Non-Compliance-Risiko der DSGVO durch eine abonnementbasierte, sichere interne Kommunikationslösung, die von Grund auf speziell als Mitarbeiter-App entwickelt wurde.