WISSENSWERTES | 11.09.2017

WhatsApp und Datenschutz im Unternehmen

Mit Beschluss vom 20. März 2017 hat das Amtsgericht Bad Hersfeld (Az. F 111/17 EASO) entschieden, dass Nutzer, die den allgemeinen Geschäftsbedingungen („Nutzungsbedingungen“) der WhatsApp Inc. („WhatsApp“) zustimmen, welche eine Weitergabe personenbezogener Daten an WhatsApp vorsehen, gegen datenschutzrechtliche Vorgaben verstoßen, wenn nicht vorab eine diesbezügliche Einwilligung der betroffenen Kontakte eingeholt wurde.

Verwendung von Kontaktdaten aus dem Telefon-Adressbuch durch WhatsApp

Ursprung der zugrunde liegenden Entscheidung war eine familienrechtliche Auseinandersetzung zwischen zwei Elternteilen den Umgang mit dem gemeinsamen Kind betreffend. Hierbei war unter anderem auch die Benutzung des WhatsApp-Dienstes durch das 10-jährige Kind Gegenstand des Verfahrens. Die WhatsApp-Nutzungsbedingungen enthalten unter anderem folgende Regelungen:

Adressbuch. Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“

Lizenzen. […] Du musst über die erforderlichen Rechte in Bezug auf solche von dir für deinen WhatsApp-Account bzw. über unsere Dienste übermittelten Informationen sowie über das Recht zur Gewährung der Rechte und Lizenzen gemäß unseren Bedingungen verfügen.“

Informationen, die du teilst bzw. die wir teilen.
Du teilst deine Informationen, wenn du unsere Dienste nutzt und über sie kommunizierst, und wir teilen deine Informationen damit wir unsere Dienste betreiben, anbieten, verbessern, verstehen, individualisieren, unterstützen und vermarkten können.“

Datenschutzverstöße und Schadensersatzrisiken durch WhatsApp-Nutzung

Das Amtsgericht Bad Hersfeld gab der Kindsmutter in seinem Beschluss vom 20. März 2017 verschiedene Handlungsanweisungen im Umgang mit ihrem Kind und insbesondere in Bezug auf dessen Nutzung sozialer Medien mit auf den Weg. Ganz allgemein bestünde eine Pflicht der Erziehungsberechtigten, die Nutzung eines „smarten Gerätes“ durch das Kind bis zu dessen Volljährigkeit ordentlich zu begleiten und zu beaufsichtigen, wenn sie ihrem Kind ein solches Gerät zur Verfügung stellen. Verfügen die Eltern selbst bislang nicht über hinreichende Kenntnisse hinsichtlich „smarter“ Technik und die Welt der digitalen Medien, haben sie sich – der Auffassung des Amtsgerichts Bad Hersfeld folgend – die erforderlichen Kenntnisse unmittelbar und kontinuierlich anzueignen, um ihrer vorgenannten Pflicht in ausreichendem Umfang nachkommen zu können.

Das Gericht führt weiter aus, dass das Kind mögliche Rechtsverletzungen begehe, wenn es an WhatsApp Telefonnummern und andere Daten von Kontakten aus dem Telefon-Adressbuch weitergibt, ohne deren vorherige Zustimmung einzuholen.

WhatsApp-Nutzung für die Erfüllung eigner Geschäftszwecke nach § 28 BDSG 

In einem solchen Nutzer-Verhalten kann eine generelle Verletzung von § 28 Bundesdatenschutzgesetz (BDSG) in mehreren möglichen Tatbestandvarianten zu sehen sein, wobei diese datenschutzrechtliche Vorschrift als Schutzgesetz im Rahmen von § 823 Abs. 2 BGB auch als Grundlage für mögliche Schadensersatzansprüche dienen kann. Hierbei wird argumentiert, dass der Nutzer sich im Rahmen der Installation der WhatsApp-Dienstes und der im Zuge dessen akzeptierten Allgemeinen Geschäftsbedingungen (siehe oben) – ohne diese freilich regelmäßig aktiv zur Kenntnis zu nehmen – aktiv zum „Datenmittler“ von WhatsApp macht. Hierin liege durch den einzelnen Nutzer stets eine – zumindest auch – geschäftliche Verwendung von WhatsApp, für die der Nutzung als sogenannte nicht-öffentliche Stelle im Sinne der vorgenannten datenschutzrechtlichen Bestimmungen ebenfalls einzustehen habe.

Selbst wenn man nicht von einem derart weiten Anwendungsbereich der §§ 27ff. BDSG hinsichtlich der Nutzung von WhatsApp oder verwandten Social-Media-Diensten ausgehen würde und eine pauschale Verknüpfung abzulehnen wäre, könne in jedem einzelnen Fall nach individueller Prüfung hinsichtlich der tatsächlichen Verwendung der Dienstes die Anwendbarkeit der datenschutzrechtlichen Vorschriften gegeben sein. Hinzutreten müssten lediglich wenige weitere Umstände, die dann auf eine geschäftliche oder zumindest geschäftsähnliche Verwendung der personenbezogenen Daten auch durch den Nutzer selbst schließen lassen. Hierbei ist eine Vielzahl von möglichen Konstellationen denkbar. Man denke nur an den alltäglichen Fall, dass auf einem vom Arbeitgeber bereitgestellten Mobiltelefon, sowohl das geschäftliche Adressbuch als auch WhatsApp installiert ist.

Im vorliegenden Fall hat das Gericht auf Grundlage der letztgenannten Argumentation eine Anwendbarkeit und mögliche Verletzung von Datenschutzrecht (§§ 27ff. BDSG) verneint und erst im Anschluss eine Verletzung des Rechts auf informationelle Selbstbestimmung der betroffenen Personen (Kontakte im Adressbuch) durch das Kind bejaht.

Risiken der Nutzung sozialer Medien im Unternehmen

Viel relevanter ist diese Entscheidung allerdings für Unternehmen, bei denen eine geschäftliche oder geschäftsähnliche Verwendung der personenbezogenen Daten eher die Regel als die Ausnahme sein wird.

Die Entscheidung des Amtsgerichts Bad Hersfeld hat bis zur Ebene der Lokalzeitungen ein Echo erfahren, das teilweise nur noch mit übersteuerter Hysterie beschrieben werden kann. Unabhängig von den familienrechtlichen Implikationen der konkreten Entscheidung sollten jedoch insbesondere auch Unternehmen diesen ausführlich begründeten Beschluss zum Anlass nehmen und die internen Richtlinien im Umgang mit sozialen Medien auf den Prüfstand stellen. Nicht zuletzt weil diese vielbeachtete Entscheidung auch die Aufmerksamkeit der Aufsichtsbehörden erweckt haben dürfte.

Hier gilt es zunächst ein Bewusstsein dafür zu schaffen, in welchem Umfang sich die verschiedensten Applikationen – nicht lediglich auf WhatsApp beschränkt – Rechte einräumen und Zugriff auf sämtliche Daten vorbehalten lassen. Im privaten Bereich ist hier eine Rückausnahme über § 1 Abs. 2 Nr. 3 BDSG denkbar, der ausschließlich familiäre oder persönliche Tätigkeiten vom Anwendungsbereich des BDSG ausschließt. Darauf können sich Unternehmen allerdings nicht berufen. Hier wird zu konstatieren sein, dass Kontakte in aller Regel nicht in die umfassende Weitergabe ihrer personenbezogenen Daten eingewilligt haben. Ohne eine solche oder einen sonstigen Erlaubnistatbestand – so kann etwa nach § 28 BDSG eine Datennutzung „als Mittel für die Erfüllung eigener Geschäftszwecke“ auch ohne Einwilligung privilegiert sein – drohen allerdings – insbesondere vor dem Hintergrund der ab dem 25. Mai 2018 geltenden Datenschutzgrundverordnung und der in diesem Zusammenhang erheblich erhöhten Bußgelder – kostspielige Verfahren der Aufsichtsbehörden. Zuvorderst sind daher unternehmensintern mögliche Datenschutzrisiken im Rahmen der Nutzung verschiedener Applikationen aufzudecken und Richtlinien im Umgang mit sozialen Medien sowie ein Problembewusstsein bei den Mitarbeitern zu schaffen.

Aktuelle Beiträge von Dr. Knut Karnapp

WISSENSWERTES | 12.11.2019

Verjährung von Datenschutzverstößen nach DSGVO

In jüngerer Vergangenheit ist die Frage nach der Verjährung von Datenschutzverstößen vermehrt in den Fokus von Unternehmen geraten. Die Datenschutzgrundverordnung (DSGVO)  selbst trifft zur Verjährung keine Regelung. Nach dem deshalb einschlägigen deutschen Recht unterliegen Verstöße gegen Datenschutzvorschriften alle...

WISSENSWERTES | 06.11.2019

DSGVO: Rekordbußgeld gegen Deutsche Wohnen – Löschbedarf bei unstrukturierten Datenbeständen

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in einer gestern veröffentlichten Pressemitteilung (Az.: 711.412.1) den Erlass eines „Millionen-Bußgeldes“ gegen eine Immobiliengesellschaft bekannt gemacht. Die Deutsche Wohnen SE soll dem...