201920.02.

Der Einsatz von WhatsApp auf Diensthandys – Rechtliche Herausforderungen und Lösungsansätze (update)

Viele Unternehmen dulden die Nutzung von Messengerdiensten auf Diensthandys. Dabei können Dienste wie WhatsApp Haftungsrisiken für Unternehmen darstellen.

Rechtlich ergeben sich sowohl arbeitsrechtliche, datenschutzrechtliche als auch urheberrechtliche Herausforderungen.

Arbeitsrechtliche Aspekte:

Nutzungspflicht im Arbeitsverhältnis

Während die Weisung des Arbeitgebers zur Nutzung von Messengern auf bereitgestellten Diensthandys grundsätzlich auch vom Direktionsrecht des § 106 GewO umfasst ist, ist für die Fälle, bei denen der Arbeitnehmer den Messenger auf seinen eigenen Geräten nutzen soll, („Bring-Your-Own-Device“) die Zustimmung des Arbeitnehmers einzuholen.

Hierbei ist jedoch zu beachten, dass die Duldung der privaten Nutzung des bereitgestellten Messengers und Handys zu einer betrieblichen Übung führen kann, auf die der Arbeitnehmer ohne vorherigen Hinweis vertrauen darf. Deshalb ist zu empfehlen, die private Nutzung des Diensthandys von vornherein auszuschließen, oder konkrete Regelungen für die Nutzung des Messengers zu treffen.

Kontroll- und Zugriffsmöglichkeiten des Arbeitgebers

Der Arbeitgeber kann jedenfalls dann stichprobenartig auf die Kommunikation zugreifen, wenn die private Nutzung des Messenger-Dienst verboten wurde, der Arbeitnehmer über die Kontrolle informiert wurde, ein legitimer Grund vorliegt und die Kontrolle der Kommunikation das mildeste zur Verfügung stehende Mittel darstellt (siehe Entscheidung vom EGMR v. 5.9.2017, 61496/08).

Bei Kontrollen zur Aufdeckung von Straftaten im Rahmen des Arbeitsverhältnisses sind die Voraussetzung des § 26 Abs. 1 S. 2 BDSG zu berücksichtigen. Zudem empfiehlt es sich, bei solchen Kontrollen den betrieblichen Datenschutzbeauftragten hinzuzuziehen.

Betriebsrat – Beteiligung und Betriebsvereinbarung

Vor der Einführung von Messenger-Diensten ist der Betriebsrat zu beteiligen, da die Messenger dazu geeignet sind, die Leistungen der Arbeitnehmer zu überwachen und deswegen das Mitbestimmungsrecht des Betriebsrats eingreift, § 87 Abs. 1 Nr. 6 BetrVG.

Denkbar ist in diesem Zusammenhang der Abschluss einer Betriebsvereinbarung, die den Umgang mit dem Messenger im Unternehmen regelt (siehe dazu Art. 88 Abs. 1 DS-GVO, Erwägungsgrund 155 DS-GVO, § 26 Abs. 4 BDSG).

Aufgrund der Tatsache, dass solche Nutzungsregelungen nur mit der Zustimmung der Arbeitnehmer geändert werden können, sollte schon im Zuge der ohnehin mitbestimmungspflichtigen Einführung des Messengers die entsprechenden Nutzungsregelungen in Form einer Betriebsvereinbarung geregelt werden, sodass künftig bei Änderungen nur noch das „zentrale“ Einvernehmen des Betriebsrates notwendig wird.

Es empfiehlt sich folglich bei der Einführung eine umfassende Nutzungsregelung für den Umgang des betrieblich genutzten Messenger-Dienstes einzuführen, in der möglichst nicht nur die private Nutzung untersagt wird und der zu nutzende Messenger vorgeschrieben wird, sondern auch darüber hinaus Kontrollen und Mitwirkungspflichten (Updates, End-to-End-Verschlüsselungen etc.) definiert werden und Regelungen zur Sicherung von relevanten Informationen (Speicherung von relevanten PDFs etc.) bestimmt werden. Neben den allgemeinen Grundsätzen für die Verarbeitung personenbezogener Daten (Art. 5 DS-GVO) sollten hier insbesondere auch Regelungen zur Transparenz (Art. 12 ff. DS-GVO) aufgenommen werden.

Datenschutzrechtliche Aspekte:

Besonders am Beispiel von WhatsApp wird ein kritisches datenschutzrechtliches Risiko bei der dienstlichen Nutzung von Messengern deutlich.

Durch die Nutzung von WhatsApp wird die gesamte Telefon- und Adressliste samt Namen und Telefonnummern durch den für Europa zuständigen Verantwortlichen „WhatsApp Ireland Limited“ auf amerikanische Server übermittelt und verarbeitet (siehe dazu auch: Die Landesbeauftragte für den Datenschutz Niedersachsen: Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen).

Dies erfolgt unabhängig davon, ob die Telefonkontakte selbst WhatsApp-Nutzer sind, sodass eine datenschutzrechtliche Rechtfertigung für die Übermittlung der Daten nach Art. 6 DS-GVO fehlt:

Datenschutzrechtlich lässt sich diese Übermittlung, zumindest in der standardmäßigen Ausgestaltung von WhatsApp, nicht nach Art. 6 DS-GVO rechtfertigen und ist daher unzulässig.

Eine Einwilligung sämtlicher Kontakte nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO in die Übertragung ihrer personenbezogenen Daten an WhatsApp und Facebook scheidet offensichtlich aus.

Selbst wenn man eine Rechtfertigung der Übermittlung aufgrund berechtigter Interessen von WhatsApp nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO für Personen, die ein Konto bei WhatsApp haben, annimmt, kann sich eine Rechtfertigung für Personen, die kein WhatsApp Konto haben, gerade nicht aus den berechtigten Interessen von WhatsApp ergeben.

Im Übrigen würden sich bei einer Lösung über Art. 6 Abs. 1 S. 1 lit. f DS-GVO weitere Herausforderung, wie das dann einschlägige Widerspruchsrecht aus Art. 21 DS-GVO sowie die spannende Begründung des berechtigten Interesses, insbesondere auch für die Übermittlung in die USA sowie das Teilen der Daten mit der Konzernmutter Facebook, im Rahmen der Informationspflichten nach Art. 13 Abs. 1 lit d. DS-GVO, ergeben.

Diese den Nutzungsbedingungen von WhatsApp entsprechende Funktionsweise stellt nach dem AG Bad Hersfeld (Urteil v. 20.3.0217 F 111/17 EASO, und 15.5.2017 F 120/17 EASO) ohne entsprechende Einholung der Einwilligung der Betroffenen eine deliktische Handlung dar, die abgemahnt werden kann.

Die vorgenannte Entscheidung des AG Hersfeld stammt zwar aus einer familienrechtlichen Angelegenheit, ist aber auch für Unternehmen relevant, da der Arbeitgeber Verantwortlicher im Sinne von  Art. 4 Nr. 7 DS-GVO ist. Er hat ebenfalls dafür zu sorgen, dass die sich auf dem Diensthandy des Arbeitnehmers befindlichen personenbezogenen Daten datenschutzkonform verarbeitet werden, vgl. Art. 5, Art. 24, 25 DS-GVO.

Bei Verstößen drohen Geldbußen nach Art. 83 DS-GVO, sodass dringend zu empfehlen ist, für die dienstliche Nutzung von Messengern einen datenschutzkonformen Messenger einzusetzen oder sich anderer technischer Lösungen (sog. Workaround) zu bedienen.

Als Workaround für die Nutzung von WhatsApp bieten sich technische Lösung wie der Einsatz von Containern, eines Mobile Device Managements oder das Verwenden eines separaten Telefons zur Kommunikation via WhatsApp, auf dem keine oder nur ausgewählte Kontakte gespeichert sind, an.

Zu letztgenannter, zugegeben relativ unpraktischer, Option führt die Landesbeauftragte für den Datenschutz Niedersachsen im Merkblatt für die Nutzung von „WhatsApp“ in Unternehmen vom November 2018 aus:

Es ist aber erstens denkbar, dass ein Smartphone mit einem leeren Adressbuch verwendet wird. Zweitens ist es möglich, durch Einstellungen zum Beispiel in dem Android-Betriebssystem von Smartphones ab der Version 6.0 den Zugriff auf die Kontakte durch die WhatsApp-Anwendung auszuschließen. Insbesondere bei dieser Konfiguration des Smartphones ist allerdings die Funktionalität der Anwendung wie folgt eingeschränkt:


  • Wird WhatsApp die Berechtigung zum Zugriff auf die Kontakte nach der Installation, aber vor der ersten Anwendung, nicht erteilt, so kann der Nutzer von sich aus keine Kommunikation starten, er kann nur selbst angeschrieben werden.
  • Eine manuelle Eingabe einer Telefonnummer, die für eine Kommunikation verwendet werden soll, ist nicht möglich.
  • Sobald WhatsApp zu einem späteren Zeitpunkt die Berechtigung zum Zugriff auf die Kontakte erteilt wird, werden wiederum die Telefonnummern aus den Kontakten an WhatsApp übertragen.

Eine datenschutzkonforme Nutzung von WhatsApp ohne Übertragung von Telefonnummern ist also nur bei dauerhafter Deaktivierung des Zugriffs auf die Kontakte direkt nach der Installation möglich.

Als alternative Messenger kommen insbesondere Dienste wie Threema oder Signal in Betracht. Diese Dienste übermitteln keine Telefonnummern sondern lediglich Hashwerte auf ihre Server und arbeiten verschlüsselt.

Der  Dienst Threema wird von mehreren deutschen Aufsichtsbehörden empfohlen (siehe Tätigkeitsbericht 2015 des ULD, S. 137 ff.; Jahresbericht 2017 des Berliner Beauftragten für den Datenschutz und Datensicherheit, S. 162):

Tätigkeitsbericht 2015 des ULD, S. 137

Das Schweizer Unternehmen Threema bezeichnet seine gleichnamige Software als besonders sichere Alternative. Eine Verschlüsselung zwischen den Kommunikationspartnern ist hier immer aktiv. Interaktionsdaten über versendete Nachrichtenwerden nach Betreiberangaben nicht länger als für die Auslieferung notwendig gespeichert. Ein Telefonbuchabgleich ist bei Threema optional; wenn der Nutzer diesen aktiviert, werden die Daten nur als Hash übertragen. Die Nutzung von Threema ist im Unterschied zu WhatsApp und Telegram bei Bedarf auch gänzlich ohne Telefonnummer möglich. Adressiert werden Nutzer hier über eine sogenannte Threema-ID, die pseudonyme Kommunikation ermöglicht. Internetkontakten muss somit nicht zwangsweise die Handynummer anvertraut werden. Echte Ende-zu-Ende-Verschlüsselung ist gut. WhatsApp-Nutzende sind damit eine Sorge los. Unbeobachtet oder pseudonym kommunizieren können sie trotzdem nicht. Der Anbieter kennt mit der Telefonnummer mindestens einen eindeutigen Identifikator. Ein Wechsel des Messengers ist also aus Datenschutzsicht nach wie vor sinnvoll.

Urheberrechtliche Aspekte:

Schließlich ergeben sich auch urheberrechtliche Fragestellungen im Zusammenhang mit dem Einsatz von Messenger-Diensten.

Vor dem Einsatz im Unternehmen sollten in jedem Fall die jeweiligen Nutzungsbedingungen des Messengers dahingehend geprüft werden, ob eine geschäftliche Nutzung zulässig ist (§ 31 Abs. 1 Satz 1 UrhG).

Dies wird leider häufig übersehen. Beispielsweise untersagt der Marktführer WhatsApp ausdrücklich die nicht-private Nutzung ohne entsprechende Lizenz. In den Nutzungsbedingungen von WhatsApp heißt es dazu unter dem Punkt “Zulässige Nutzung unserer Dienste”:

Rechtmäßige und zulässige Nutzung. Du darfst auf unsere Dienste nur für rechtmäßige, berechtigte und zulässige Zwecke zugreifen bzw. sie für solche nutzen. Du wirst unsere Dienste nicht auf eine Art und Weise nutzen (bzw. anderen bei der Nutzung helfen), die: […] eine nicht-private Nutzung unserer Dienste beinhaltet, es sei denn, dies wurde von uns genehmigt.

Folglich ist die dienstliche Nutzung von WhatsApp ohne gesonderte Genehmigung unzulässig (anders bei WhatsApp Business).

Die dienstliche Nutzung führt dann zu einer Urheberrechtsverletzung, die Unterlassungs- und Schadensersatzansprüche (§ 97 UrhG) gegen den Arbeitgeber auslöst und im schlimmsten Fall zu Geldstrafen führen kann (§ 106 UrhG).

Rechtsanwalt Sebastian Schwiering
Wissenschaftlicher Mitarbeiter Badr Eddine Adamou