WhatsApp aktualisiert seine Nutzungsbedingungen sowie Datenschutzrichtlinien und steht aufgrund dieser Neuerungen (mal wieder) im datenschutzrechtlichen Fokus. Und dann ist die App „Clubhouse“ aktuell in aller Munde – und befindet ebenfalls direkt im datenschutzrechtlichen Rampenlicht. Grund genug für unseren Rechtsanwalt für Datenschutz- und IT-Recht Markus Knuth, diese aktuellen Diskussionen unter die datenschutzrechtliche Lupe zu nehmen.
Eines vorweg: Die rechtliche und technische Datenschutzproblematik von WhatsApp, Clubhouse & Co. könnte sicherlich ein ganzes Buch füllen. Dieser Beitrag soll allerdings nicht alle technischen Nuancen und rechtlichen Fallstricke diskutieren – es geht um eine verständliche Zusammenfassung und Darstellung der wesentlichen datenschutzrechtlichen Fragen.
WhatsApp – Welche Daten werden überhaupt verarbeitet?
WhatsApp ist der wohl bekannteste Messenger-Dienst überhaupt. 2 Milliarden (!) Menschen weltweit nutzen WhatsApp. Damit WhatsApp feststellen kann, wer von den eigenen Kontakten auch diesen Messenger nutzt, werden alle auf dem Smartphone gespeicherten Kontaktdaten an WhatsApp übermittelt – und zwar auch die Kontakte, die WhatsApp überhaupt nicht nutzen.
Daneben erhebt WhatsApp sog. Meta-Daten. Das sind z.B. Standortdaten, die IP-Adresse, Informationen über das Smartphone sowie Sender und Empfänger von Nachrichten oder Anrufen nebst Ort und Zeitpunkt, an dem die Nachricht geschickt oder der Anruf getätigt wurde. Auch das sind personenbezogene Daten.
Aber WhatsApp nutzt doch eine Ende-zu-Ende-Verschlüsselung? Das ist richtig, aber das verhindert nur, dass der Inhalt der Nachricht oder des Gesprächs mitverfolgt werden kann. Wichtig ist auch: Diese Verschlüsselung ist nicht mehr aktiv, wenn – was häufig der Fall ist – ein automatisches Backup aktiviert ist und die Inhalte z. B. in einer Cloud gespeichert werden. Etwa um im Falle eines Verlustes des Smartphones diese Daten wiederherstellen zu können.
WhatsApp greift nicht nur selbst auf diese Daten zu, sondern gibt diese auch weiter – u.a. an ihren Mutterkonzern facebook.
Nutzung von WhatsApp im privaten Bereich
Die Verarbeitung und Weitergabe dieser Daten durch WhatsApp muss sich natürlich u.a. an den datenschutzrechtlichen Vorgaben der Datenschutz-Grundverordnung (DSGVO) messen lassen. Wer allerdings als Privatperson WhatsApp auf dem privaten Smartphone nutzt, ist jedoch von den datenschutzrechtlichen Vorgaben der DSGVO befreit. Hier gilt das sog. „Haushaltsprivileg“ des Art. 2 Abs. 2 lit. c) DSGVO: Die Datenverarbeitung für rein persönliche und familiäre Zwecke wird nicht von der DSGVO erfasst.
Einsatz von WhatsApp im Unternehmen oder zu beruflichen Zwecken erlaubt?
Doch Vorsicht: Wer sein Smartphone auch für geschäftliche Interessen nutzt oder geschäftliche Kontakte abspeichert, für den sind die Vorschriften der DSGVO uneingeschränkt bindend. Das eben genannte „Haushaltsprivileg“ dann nicht mehr.
Hier sieht die DSGVO eine Reihe an gesetzlichen Vorgaben und rechtliche Problematiken vor, die eine Nutzung im Unternehmen rechtlich kaum zulassen dürften. Aus Platzgründen können wir hier nicht jedes juristische Problem vertiefen, daher nur so viel: Für die oben geschilderte Weitergabe von (geschäftlichen) Kontakten, die keinen WhatsApp-Account haben, müsste eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO vorliegen – es fehlt an einer datenschutzrechtlichen Befugnis zum Abgleich der Kontaktdaten. Für die Verarbeitung der so. Meta-Daten wäre wohl ebenfalls eine Einwilligung der geschäftlichen Kontakte erforderlich. Für die Erstellung von Backups gibt es ebenfalls keine datenschutzrechtliche Rechtfertigung. Hinzu kommt, dass die Daten zusätzlich in die USA übermittelt werden. Dem steht zusätzlich das kürzlich gefällte Urteil des EuGH vom 16.07.2020 (Schrems-II) zu Datenübermittlungen in die USA im Weg – darüber hatten wir bereits berichtet. Übrigens erlauben selbst die Vertragsbedingungen von WhatsApp keine Nutzung zu betrieblichen Zwecken…
Eine andere Frage (die hier jedoch nicht weiter vertieft werden soll) ist, ob zumindest WhatsApp Business eine Kommunikation mit Kunden oder Geschäftspartnern erlaubt. WhatsApp Business ist ein 2018 geschaffener Dienst, der die Kommunikation mit Kunden oder Geschäftspartner per Chat erleichtern soll.
Welche Neuerungen hat WhatsApp überhaupt eingeführt?
Im Januar erhielten WhatsApp-Nutzer eine Aufforderung zur Einwilligung in die aktualisierten Nutzungsbedingungen sowie Datenschutzrichtlinien. Ursprünglich war dieses Einwilligungserfordernis bis zum 08.02.2021 befristet – nach massenhaften Protesten wurde diese Frist nun bis Mitte Mai 2021 verlängert. Laut WhatsApp seien falsche Informationen über die neuen Datenschutzregeln verbreitet worden, die man bis Mitte Mai verstärkt ausräumen wolle.
Doch was hat es mit den neuen Regeln auf sich? Die neue Datenschutzrichtline von WhatsApp spricht u.a. davon, dass „bestimmte Informationen benötigt werden, um Dienste bereit stellen zu können“. Daneben finden sich einige ungenaue Angaben, wie WhatsApp welche Daten an „Facebook-Unternehmen“ weitergibt. Hier bleibt vor allem unklar, ob die WhatsApp-Daten zu eigenen Zwecken der Facebook-Unternehmen genutzt werden.
Diese Unklarheiten haben Millionen WhatsApp-Nutzer dazu bewegt, auf andere, datenschutzfreundlichere Messenger-Dienste wie zum Beispiel Signal oder Threema auszuweichen. Es bleibt in jedem Fall spannend, wie WhatsApp die Zeit bis Mitte Mai 2021 nutzen wird, um eine größere Transparenz zu schaffen.
Und jetzt noch „Clubhouse“ – die nächste „Datenkrake“?
Kaum eine App wird derzeit so gehypt wie „Clubhouse“. Doch was ist das? „Clubhouse“ ist ein soziales Netzwerk, das wie ein Live-Podcast funktioniert. „Clubhouse“-Nutzer können sich in Online-Talkrunden verabreden und über beliebige Themen diskutieren. Auch für viele Unternehmen, Politiker, Veranstalter und Selbstständige scheint die App interessant zu sein, insbesondere zu Marketingzwecken oder Kundeninformationen und/oder -akquise. Selten hat ein soziales Netzwerk so schnell so viel mediale Aufmerksamkeit erregt.
Derzeit steht die App nur für iOS-Nutzer zur Verfügung. Zudem ist eine persönliche Einladung erforderlich, um „Clubhouse“ überhaupt nutzen zu können. Ungeachtet dieser „Verknappung“ (sicherlich auch zu Marketingzwecken…) verzeichnet die App weltweit rasant steigende Nutzerzahlen.
Datenschutzrechtlich bedenklich ist hier – wie auch bei WhatsApp –, dass „Clubhouse“ Zugriff auf die im Adressbuch gespeicherten Kontaktdaten erhält. Dies Daten werden nach den Datenschutzbestimmungen von Clubhouse für eine Vielzahl von unterschiedlichen Zwecken verarbeitet. Das eigene Profil bei „Clubhouse“ lässt sich auch mit dem eigenen Instagram- oder Twitter-Profil verbinden. Auch hier erfolgt eine Verarbeitung der Kontaktdaten und Profilinformationen. Wie und zu welchen Zwecken diese personenbezogenen Daten im Einzelnen verarbeitet werde, bleibt zwar nicht an allen, aber doch an vielen Stellen unklar. Dies kann sich natürlich in Zukunft noch ändern, sollte „Clubhouse“ seine Datenschutzbestimmungen anpassen.
Gespräche bei „Clubhouse“ werden zudem mitgeschnitten. Allerdings erfolgt eine Speicherung laut der Datenschutzbestimmungen nur, wenn währenddessen ein Verstoß gegen die Nutzungsbedingungen gemeldet wird. Dies dürfte datenschutzrechtlich wohl nicht bedenklich sein. Problematisch ist jedoch, dass auch hier (wie bei WhatsApp) Daten in die USA übertragen werden und die hierfür erforderlich Rechtsgrundlage, die „Clubhouse“ scheinbar in einer Einwilligung auf Grundlage von Art. 49 Abs. 1 lit. a) DSGVO sieht, derzeit unklar ist.
Insgesamt gelten aber auch hier die o.g. Unterscheide zwischen einer privaten und geschäftlichen Nutzung. Bei einer rein privaten Nutzung gelten die strengen Vorgaben der DSGVO tendenziell nicht (siehe oben, sog. „Haushaltsprivileg“). Insbesondere für eine geschäftliche Nutzung dürften daher einige Vorgaben zu beachten sein.
Bei Fragen zur privaten und geschäftlichen Verwendung von WhatsApp, Clubhouse oder anderen sozialen Netzwerken steht Ihnen Herr RA Markus Knuth als Ansprechpartner zur Verfügung.