das Thema ist vielen sicher nicht neu, aber bei mir mal wieder auf dem Tisch.
Es geht um die Nutzung von WhatsApp in der Kommune
Meiner Meinung nach, hat WhatsApp im Arbeitsbereich einfach nichts zu suchen. Aber mein Arbeitgeber möchte einfach nicht auf eine Alternative umsteigen.
Ich habe dazu eine Erklärung vom LfDI Rheinlandpfalz gesehen, der den Einsatz von WhatsApp unter gewissen Voraussetzungen für in Ordnung hält.
Hier mal der Link dazu: https://www.datenschutz.rlp.de/de/themenfelder-themen/whatsapp/
Und auch die Landesbeauftragte in Saarland hat in ihrem Tätigkeitsbericht aus 2019 WhatsApp Business geprüft. Zumindest die Business Version soll der kommunalen Kommunikation nicht im Wege stehen.
Jetzt meine Frage: Wie steht ihr dazu?
Gerne würde ich von der Community ein paar weitere Belege über Pro und Contra hören. Schreibt auch welche Messenger bei euch so im Einsatz sind. So kann ich meinen Bedenken vielleicht wieder neuen Auftrieb geben und eventuell eine angenehmere Alternative präsentieren.
Zu den Alternativen: einfach mal hier schauen. https://www.kuketz-blog.de/empfehlungsecke/#messenger und mehr Details dazu:
hhttps://www.kuketz-blog.de/die-verrueckte-welt-der-messenger-messenger-teil1/
Mike ist Sicherheitsexperte, der die virtuellen Dinge sehr gut auseinandernehmen kann. Er hat auch noch eine Übersichtstabelle der Messenger mit Bewertung der Einzelpunkte erstellt: https://www.messenger-matrix.de/messenger-matrix.html
Vorweg, ich selbst würde mich gerne privat wie dienstlich von Facebook und WhatsApp trennen, als Vater von Kindern mit Sozialleben ist das jedoch privat eine komplette Utopie.
Im Unternehmen hingegen sind wir eines der wenigen, die konsequent (gegen viele Widerstände und Unverständnis auf allen Ebenen) die Nutzung von WhatsApp untersagen. Ich bin also nicht “der Feind”. Dennoch sollte man sich vor zu pauschalen Urteilen hüten.
Es handelt sich um keine News, sondern einen “Wissensartikel”, der so durchaus Gültigkeit hat. Unser Verbot stütze ich im wesentlichen auf folgende Argumente, die ich hier wiederfinde:
Die Datennutzung durch den Dienst ist unklar, die Beziehung von WhatsApp und Unternehmen auch, der angebotene Vertrag über die Datenverarbeitung im Auftrag ist bestenfalls belustigend und erkennbar unwahr, da WhatsApp die (zugegeben gar nicht konkret beschriebenen) Daten offenkundig für eigene Zwecke nutzt.
Aufgrund dieser Unklarheiten gibt es keine informierte Einwilligung und ich kann von abhängigen Beschäftigten oder Auftragnehmern auch keine Freiwilligkeit erwarten.
Mangels zentraler Administration oder Anbindung sind Rechenschaftspflichten, Kontrolle und Aufbewahrungspflichten kaum beherrschbar (nicht ausschließlich ein Datenschutzthema oder sogar nur am Rand)
Der Klassiker: Es fehlt an einer Rechtsgrundlage zur Übermittlung des kompletten Adressbuches.
Ich stimme zu, dass man das Geschäftsmodell nicht unterstützen sollte und keine Nutzer(innen)/Bürger(innen) diesem Dienst in die Arme treiben muss/sollte. Dass es ein hartes NoGo gäbe, sehe ich gleichwohl bei korrekter Implementierung nicht.
Soweit korrekt und abzulehnen, aber erst einmal formal nicht unbedingt ein Problem des Unternehmens.
Das hingegen stimmt nicht. WhatsApp implementiert - zugegeben nicht prüfbar - das Signal-Protokoll, damit sind Datenübertragungen inkl. Medien grundsätzlich Ende-zu-Ende verschlüsselt. Ja, WhatsApp hat aus dem Verfügbarkeit vs. Vertraulichkeits-Dilemma (und mutmaßlich auch zur Werbeausspielung am Endgerät) ein paar Designentscheidungen getroffen, die Daten gefährden können, insbesondere wenn Nutzer(innen) nicht wissen, was sie tun, aber Daten werden nicht unverschlüsselt übermittelt.
Total gut, XMPP nutze ich selbst, für einen breiten Unternehmenseinsatz und Kommunikation über dessen Grenzen hinaus praktisch jedoch allesamt völlig ungeeignet.
Ich empfehle grundsätzlich Signal (kostenlos und WhatsApp-like, benötigt allerdings Telefonnummer) und Threema (kostet was, aber ermöglicht auch Business-Administration und pseudonyme Nutzerkennung), früher auch mal Wire, aber da gibt es unnötige Fragezeichen und abgesehen von Multi-Devices keine Vorteile mehr.
Ein Highlight bzgl. WhatsApp ist nach wie vor das Urteil des AG Bad Hersfeld (F 120/17 EASO), in dem der Richter den Weg vom Grundrecht auf informationelle Selbstbestimmung ins BGB fand und eine lesenswerte Begründung für die Rechtswidrigkeit der Weitergabe von Kontaktdaten ablieferte. https://www.lareda.hessenrecht.hessen.de/bshe/document/LARE190000030
Diese Voraussetzung des LfDI RLP entspricht demnach nicht der Ansicht des Gerichts:
die Nutzung […] eines Telefonbuchs mit ausschließlich WhatsApp-Kontakten
Denn das Gericht sieht keine konkludente Einwilligung bei WhatsApp-Nutzern:
Es kann zur Auffassung des Gerichts gerade nicht generell von einer jeweils konkludent erteilten Einwilligung in eine Datenweitergabe durch diejenigen Personen ausgegangen werden, welche selbst ebenfalls das Messenger-Programm WhatsApp nutzen.
Denn die Erteilung einer konkludenten Einwilligung setzt voraus, dass ein Erklärungsbewusstsein im rechtlichen Sinne des insofern schlüssig Handelnden gegeben ist. (vgl. Palandt, a.a.O., Vor § 116 Rn. 6, 17). Dieses wiederum setzt voraus, dass der Handelnde bei Anwendung einer pflichtgemäßen Sorgfalt erkennen konnte, dass sein Verhalten von anderen Personen als rechtliche Willenserklärung aufgefasst werden könnte.
Die DSK hat ein Whitepaper für “Technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich” herausgegeben. Falls Gesundheitsdaten verarbeiten werden sollen, enthält dies jede Menge Anforderungen, die nicht ganz so einfach zu erfüllen sind.
Aus kommunaler Sicht wäre für mich die Ansicht des eigenen LfD vordergründig, weil er/sie schlussendlich die untersagende oder zustimmende Instanz ist und somit auch das größte Druckmittel darstellen kann.
Also untersagend (oder zustimmend) sind am Ende immer noch Gerichte, Aufsichtsbehörden haben - auch bei öffentlichen Stellen - erst einmal nur eine Rechtsauffassung. Und mit Gerichten würde ich hier nicht unbedingt das AG Bad Hersfeld als letzte Instanz nennen. Das Urteil ist doch eher etwas abseitig und - offenkundig - praktisch folgenlos. Auch Aufsichtsbehörden berufen sich nicht darauf und werden wissen, warum.
Dass es gleichwohl auch bei WhatsApp-Kontakten nicht unbedingt eine Einwilligung bedeutet, den Dienst zu nutzen, ergibt sich für mich daraus, dass WhatsApp mutmaßlich das gesamte Adressbuch abschnorchelt. Nur durch die Nutzung von WhatsApp stimme ich aber nicht zu, dass mein Klarname, mein Geburtsdatum, mein Beziehungsstatus samt Hochzeitstag, die Adresse und alles was sonst noch so gespeichert sein mag, Richtung Facebook gehen. Ob man bei einem beliebigen privaten WhatsApp Nutzer gleich das große Rad der informationellen Selbstbestimmung drehen sollte, steht auf einem anderen Blatt.
Natürlich kann man sich vor Gericht streiten, insofern ist “schlussendlich” eine unzutreffende Formulierung. Nichtsdestotrotz ist das Verbot der Verarbeitung durch die Aufsichtsbehörden in Art.58 geregelt.
Die Entscheidung des Amtsgerichtes wurde nicht als höchstrichterliches Urteil (letzte Instanz) eingeordnet. Das Amtsgericht liefert Argumente und danach wurde im Eingangspost gefragt. Die Ansicht des Gerichts stufe ich nicht als abseitig ein. Worin ist das Recht, Kontaktdaten Dritter an das Unternehmen zu übermitteln, begründet? Ich sehe keine Berechtigung meine Kontaktdaten an das Unternehmen zu übermitteln, ebenso wenig sehe ich eine Rechtsgrundlage für die Verarbeitung meiner Daten durch das Unternehmen. Ein jeder muss die Möglichkeit haben, sich gegen diese Praxis wehren zu können. OVG Hamburg zeigte einen Weg (Az: 5 Bs 93/17), das Amtgericht einen anderen. Wir werden bei der Klage der Verbraucherschützer sehen, welche Instanz welche Entscheidung treffen wird. Es würde mich überraschen, wenn sie beim Sachverhalt Einwilligung und rechtswidrige Datenverarbeitung von bisherigen Ansichten abwichen.
Weil Grundrechte nur für nicht-beliebige nicht-private WhatsApp-Nutzer gelten?
Ich danke euch für eure Beiträge. Da ist einiges dabei, dass ich in meine Argumentation mit einfließen lassen werde.
Ich denke nicht, dass die meisten Bürger etwas gegen WhatsApp haben. Es fehlt einfach die Erkenntnis, welche Daten wirklich alles abgeschnorchelt werden und wozu sie genutzt werden. Da hilft nur viel geduldiges aufklären und Augen öffnen.
Noch einmal ganz deutlich: WhatsApp implementiert da so mundgerecht, dass es hier viele Fallstricke gibt … auf einem stumpf konfigurierten Smartphone legt WhatsApp die verschlüsselt übertragenen Medien in den allgemeinen Gerätespeicher und von da wandern die als “Service” ratz-fatz in die Cloud als Backup. An welchem Glied die Kette reißt, ist dem freilaufenden Rottweiler egal … nichts liegt mir ferner, als WhatsApp selig zu sprechen.
Ich habe privat eine professionelle Jitsi-Instanz und betreibe unter meiner eigenen Domain eine XMPP/Jabber-Instanz. Das kann im Prinzip jede Firma und die Beschäftigten melden sich trivial mit Mailadresse als Nutzernamen und Passwort bei Conversations etc. an. Das ändert aber leider nichts daran, dass es nicht verbreitet ist und daher als Kommunikationskanal über die Grenzen des Unternehmens hinweg derzeit nicht fliegt. In der Sache muss ich nicht überzeugt werden.
Nein, sondern weil es etwas “zu viel” ist, von alleinerziehenden Sorgeberechtigten neben all den anderen Belastungen auch noch fundierte Grundrechtsabwägungen beim Medieneinsatz des Kindes zu treffen, für die es einer gewissen Expertise bedarf. Ansprüche und Anforderungen müssen sich IMHO an den Diensteanbieter richten, der nicht nur entsprechende Ressourcen haben sollte (19 Mrd. Kaufpreis, anyone?), sondern auch davon profitiert. Dies ist meine bescheidene moralische Bewertung, keine rechtliche.
Ich habe Antworten der irischen DPC auf Beschwerden gegenüber WhatsApp gesehen, was beispielsweise die Datenweitergabe im Facebook-Konzernvebund angeht. Hier wechselte die Rechtsgrundlage von einer Einwilligung, zum berechtigten Interesse und endete damit, dass Facebook Auftragsverarbeiter von WA ist. Das LfDI beschreibt die Datenübermittlung in Punkt zu 4):
(…) die Nutzungsbedingungen für den WhatsApp-Dienst zu ändern und die Übermittlung von Daten von WhatsApp an Facebook (erneut) aufzunehmen. (…)
Allerdings erwecken die Aussagen der DPC den Eindruck, dass es FB / WA bisher nicht gelungen ist (noch das der Konzern in der Lage wäre), den Datenaustausch datenschutzrechtlich zu regeln. Das ist schon ziemlich bezeichnend.
Das sehen viele Unternehmen inzwischen anders. Es gibt eine Reihe offen nutzbarer Jitsi-Instanzen und die DD-eG bietet ihren Mitgliedern kostenfrei und Kunden gegen moderate Gebühr die Nutzung ihrer eigenen BigBlueButton-Instanz. Das Angebot wird fleissig genutzt. Und ausserdem gibt es Signal, auf das viele schon gewechselt sind und das trotz einiger kleinen Haken noch einer der rundum besten Messengerdienste ist. Verbreitung ist dann kein Thema mehr, wenn der Verbreitung keine Steine und keine Stonies mehr im Weg stehen.
Die Nutzung eines Kommunikationsdienstes über Unternehmensgrenzen hinweg bezog sich auf die dezentralen Angebote die genannt wurden, Matrix, Rocket, Jabber … von der Architektur her wären die noch besser, klappt halt aber nicht. Signal ist zentralisiert und kein solcher Dienst.
Nutzt hier jemand WhatsApp API bzw. hat das bereits geprüft? Laut verschiedener Quellen soll dieses wohl datenschutzkonform / konformer genutzt werden können .
"Die WhatsApp Business API hingegen verlangt keine App-Installation. Vielmehr wird hier eine offizielle technische Schnittstelle (API) von WhatsApp an eine professionelle Kommunikationssoftware angedockt. Über diese können dann mehrere Mitarbeiter über verschiedene Endgeräte per WhatsApp mit den Kunden kommunizieren. Darüber hinaus kommt die Lösung mit weiteren Funktionen daher, wie Textbausteinen, einer Live-Übersetzung und umfangreichen Effizienz-Funktionen. Der Zugang zur API erfolgt einzig und allein durch von WhatsApp zertifizierte Partnerunternehmen, welche einen seriösen Umgang mit der technischen Infrastruktur sicherstellen.
Hier haben Unternehmen besonders viel Einfluss auf den Datenschutz, denn sie können einen Partner wählen, der in diesem Bereich sehr gut aufgestellt ist und z.B. einen Hauptsitz mit Serverstruktur in Deutschland hat. Denn die Chats mit den Kunden werden nicht auf amerikanischen Servern, sondern auf den Servern des jeweiligen Partners gespeichert. In Kombination mit der standardmäßigen Ende-zu-Ende-Verschlüsselung ergibt sich bei der WhatsApp Business API im Bezug auf den Datenschutz also ein völlig anderer Eindruck, als bisher verbreitet ist." (https://versicherungswirtschaft-heute.de/unternehmen-und-management/2021-02-08/whatsapp-im-kundenservice-ein-blick-auf-den-datenschutz-und-die-einhaltung-der-dsgvo/)
Was ist mit den Metadaten der Kommunikation, Adressbüchern, den Verarbeitungsvorgängen außer der Speicherung? Wie sind die externen Dienste rechtlich angebunden, wo verarbeiten sie und wie deutlich sind ihre Tätitgkeiten umrissen?
Man kann vielseitig verwendbaren Produkten nicht pauschal Datenschutzkonformität bescheinbigen. Es kommt immer darauf an… Wer was damit vorhat. Und was damit möglich ist. (Risiken). Die jeweils einsetzende Stelle müsste für jede einzelne Funktion (Zweck) einen Erlaubnistatbestand finden und alles Andere abschalten.
D., der nicht mehr weiterdenken möchte, wenn er (nur) “gespeichert in der EU” liest. Das lässt alle weiteren Aspekte ungelöst.
Da ist einiges dabei, dass ich in meine Argumentation mit einfließen lassen werde.
mehr im Weg stehen.