Die Nutzung von WhatsApp auf dienstlichen Mobilgeräten birgt neben datenschutzrechtlichen Problemen auch die Gefahr von hohen Ordnungsgeldern.
Über die Nutzungsbedingungen lässt sich WhatsApp und der dahinterstehende Facebook-Konzern den Zugriff auf die Kontaktdaten auf dem mobilen Endgerät des WhatsApp-Nutzers einräumen. Man könnte jetzt meinen, dass diese Nutzungserlaubnis unproblematisch ist, weil sie nur den jeweiligen WhatsApp-Nutzer betrifft. Diese Annahme geht jedoch fehl, die Zugriffe erfolgen auf sämtliche auf den mobilen Endgeräten gespeicherten Kontaktdaten, egal ob diese jetzt aktive WhatsApp-Nutzer betreffen oder nicht. Dies bedeutet, dass sämtliche auf den dienstlichen Endgeräten an WhatsApp Inc. in die USA weitergeleitet werden und nach dortigen Datenschutzstandards ausgewertet werden können.
Neben den datenschutzrechtlichen Bedenken gegen eine solche Weitergabe der Nutzerdaten ist auch eine weitere Problematik rechtlicher Art für die Unternehmen, die die Nutzung von WhatsApp auf dienstlichen Geräten zulassen, verbunden. Damit zulässigerweise die Weitergabe der kompletten Nutzerdaten auf den jeweiligen Endgeräten an WhatsApp und den damit verbundenen Facebook-Konzern erfolgen dürfte, benötigt ein Unternehmen jeweils von jedem einzeln betroffenen Kontakt eine Einverständniserklärung zur Weitergabe seiner Daten an WhatsApp. Sofern somit nicht von allen Kontakten die schriftliche Einverständniserklärung dem Unternehmen vorliegt, die die WhatsApp-Nutzung auf dienstlichen Geräten zulässt, setzt sich das Unternehmen einem hohen Bußgeldrisiko aus.
Die ungenehmigte Weitergabe dieser Nutzerdaten ohne Vorliegen der entsprechenden rechtswirksamen Einwilligungserklärung (wenn sie denn von allen Kontakten überhaupt zu erhalten ist) würde schon jetzt nach den deutschen Datenschutzregelungen einen Verstoß darstellen. Es stellt einen nicht unerheblichen Überprüfungsaufwand für die Unternehmen dar, festzustellen, ob für sämtliche Kontakte, die auf den dienstlich genutzten Mobilgeräten vorhanden sind, tatsächlich auch eine wirksame Einverständniserklärung zur Weitergabe der Daten vorliegt. Neben dem hohen administrativen Aufwand stellt sich aber noch ein anderes Problem, dass durch eine Zusammenführung der Daten (ob dies nun datenschutzrechtlich nach den Bestimmungen in den USA zulässig ist, mag dahinstehen) ein umfassendes Bild über die Kontakte des Unternehmens insgesamt hergestellt werden kann. So könnte derjenige, der die Daten insgesamt für ein Unternehmen auswertet, Aufschlüsse über Kunden und Lieferantenbeziehungen eines Unternehmens erhalten. Aber auch für Unternehmen, die „Bring your own device“-BYOD-Geräte zugelassen haben, bietet sich hier eine Angriffsfläche, da in diesen Fällen die Unternehmen gar nicht wissen, ob auf den Privatgeräten der Mitarbeiter WhatsApp installiert wurde oder nicht.
Eine App-Prüfung muss streng genommen bei allen Installationen auf den Dienstgeräten erfolgen, da die Nutzungsbedingungen immer auch eine Datenauswertungserlaubnis beinhalten könnten, selbst wenn man es zunächst nicht vermuten würde.
Den künftig, nach dem Inkrafttreten der europäischen Datenschutzgrundverordnung am 25.05.2018, noch weitaus erhöhten Bußgeldvorschriften wird auch noch eine persönliche Haftung der verantwortlichen Vorstände und Geschäftsführer mit ihrem Privatvermögen angedroht (bisher max. 300.000,00 €, künftig 20 Mio. € oder 4 % vom Umsatz).
Es sollte daher sehr genau überlegt werden, ob eine bereits schon genehmigte Installation von WhatsApp und anderer Apps auf dienstlichen Geräten weiterführt oder in Zukunft überhaupt erst erlaubt wird. Hier sollte nach Absprache mit den Datenschutzexperten eine sorgfältige Risikoabwägung erfolgen.
