Die nachfolgenden Informationen beruhen auf unseren Erfahrungen und Meinungen und wurden nach bestem Wissen und Gewissen verfasst. Wir sind jedoch keine Anwälte, deshalb erfolgt die Verwendung der hier beschriebenen Sachverhalte auf eigene Gefahr. Wir übernehmen keinerlei Haftung! Wenn Sie Rechtssicherheit wollen, dann wenden Sie sich bitte an einen Anwalt!
Einleitung
WhatsApp ist ein Messenger-Programm vorzugsweise für Smartphones und andere Mobilgeräte. Durch den Einsatz von Messengern, insbesondere WhatsApp, entstehen Risiken im Hinblick auf den Datenschutz. Dieser Leitfaden soll über die Risiken informieren und gleichzeitig Handlungsempfehlungen zum Umgang mit WhatsApp im Verein geben. Risiken In diesem Kapitel sind die datenschutzrechtlichen Risiken beschrieben, welche sich durch die Verwendung von WhatsApp ergeben. Die Risiken müssen vor der Verwendung im Vereinsumfeld zur Kenntnis genommen werden.
- WhatsApp ist Teil der Facebook-Unternehmensgruppe und hat seinen Hauptsitz in den USA. Aus diesem Grund ist es äußerst schwierig, einen Vertrag zur Auftragsdatenverarbeitung zu etablieren.
- Aufgrund des Firmensitzes und der Unternehmensphilosophie der Facebook-Unternehmensgruppe, ist es kaum möglich Betroffenenrechte durchzusetzen, geschweige denn überprüfbar.
- Jegliche Kommunikation wird aufgezeichnet, weiterverarbeitet, zu Werbezwecken eingesetzt und im schlimmsten Fall an Dritte weitergegeben. Laut Unternehmensaussage sind zwar die Nachrichten selbst verschlüsselt, jedoch ist die Applikation und die Server Infrastruktur dahinter eine Black-Box, sodass nicht nachvollziehbar ist, was im Hintergrund passiert. Zu den aufgezeichneten Daten gehören jegliche Metadaten von Uhrzeit, Standort, Absender, Empfänger, IP Adressen, usw., sodass daraus ein detailliertes Nutzerprofil erstellt werden kann.
- Sobald WhatsApp installiert wurde, hat es automatisch Zugriff auf das gesamte Telefonbuch und verarbeitet die dort vorhandenen persönlichen Daten in Form von Telefonnummern, Namen, Adressen und E-Mail Adressen ohne Nachfrage. D.h. bereits durch die Installation auf einem Smartphone ist ein Verstoß gegen die DSGVO gegeben.
- Personen können zu Gruppen hinzugefügt werden. Sobald eine Person zu einer Gruppe hinzugefügt wurde, können alle Teilnehmer die Telefonnummer und unter Umständen Name und andere persönliche Daten sehen. Es ist jedoch keine Einwilligung bei der Einladung in eine Gruppe notwendig. Der zwingende Opt-In den die DSGVO vorschreibt, ist dadurch nicht gegeben. Auch dadurch ergibt sich ein Verstoß gegen die DSGVO.
- Das Mindestalter für die Benutzung von WhatsApp beträgt 16 Jahre. Bei jüngeren Anwender/innen ist die explizite Einwilligung durch die Erziehungsberechtigten erforderlich. Diese Vorgabe erfordert zusätzliche Aufwände für die Verwaltung und ist im Zweifelsfall schwer durchsetzbar.
Empfehlungen
WhatsApp ist wie im vorigen Kapitel beschrieben, aus Datenschutzgründen nicht zu empfehlen. Soll WhatsApp trotzdem verwendet werden, dann sind in diesem Kapitel die Möglichkeiten beschrieben.
Es gibt grundsätzlich zwei empfohlene Varianten zur Verwendung im Verein:
- Es erfolgt ein Vorstandsentscheid über die Verwendung von WhatsApp nach Unterrichtung durch den Datenschutzbeauftragten und Abwägung der Risiken. Es ist zusätzlich die Haftungsfrage bei auftretenden Problemen zu klären. Ist der Vorstandsentscheid vorhanden, dann müssen im Nachgang die Mitglieder und Nutzer darüber informiert werden. Dazu eignet sich die Beschreibung in der Datenschutzordnung. Darin wird die Verwendung und die damit verbundenen Verhaltensregeln dokumentiert. Im Nachgang ist es notwendig alle Mitglieder und Nutzer über die Änderung in der Datenschutzordnung zu informieren.
- Eine Verwendung durch Privatpersonen im Zusammenhang mit dem Verein ist möglich. Es handelt sich dann allerdings um keine offizielle Gruppe des Vereins, sondern eine Gruppe von Privatpersonen. Dann darf jedoch kein Zusammenhang zwischen Verein und der WhatsApp-Gruppe erkennbar sein. D.h. der Name der Gruppe darf in keinem Zusammenhang zum Verein stehen. Zusätzlich darf kein Vereinslogo oder anderes eindeutiges bildliches Erkennungsmerkmal als Gruppenlogo verwendet werden. Zusätzlich sollte kein Amtsträger, Kursleiter oder Trainer eine besondere Rolle in Form von „Gruppenadministrator“ oder Ähnlichem einnehmen.
Verhaltensregeln bei der Verwendung
Wird eine Verwendung angestrebt, dann sollten trotzdem Verhaltensregeln innerhalb der WhatsApp Gruppen etabliert werden, um die Preisgabe von persönlichen Informationen zu minimieren. Diese sind im Nachfolgenden beschrieben.
- Keine persönlichen Daten im Chat schreiben. Das betrifft auch Zeiten und Orte, die eine eindeutige Zuordnung einer Person zulassen.
- Besonders keine besonders Geschützten persönlichen Daten über sich oder andere preisgeben. Besonders sensible Daten sind z.B. Gesundheitsdaten.
- Bevor eine Person zur Gruppe hinzugefügt wird, diese explizit um Einverständnis fragen.
- Die Gruppe auf die notwendigen Personen beschränken und somit den Personenkreis möglichst klein halten. Nach dem Prinzip: „Need to know“.
Fazit
Von der Verwendung von WhatsApp ist in jedem Fall abzuraten! Ggf. sollte durch eine Risikobetrachtung der Markt nach Alternativprodukten geprüft werden und ein möglicher Umstieg auf ein Konkurrenzprodukt von WhatsApp bewertet werden. Soll WhatsApp trotz aller datenschutzrechtlicher Bedenken eingesetzt werden, dann muss das entweder durch einen Vorstandsentscheid legitimiert werden oder eine reine private Nutzung angestrebt sein. Zusätzlich sollte unabhängig vom verwendeten Messenger ein Verhaltenskodex innerhalb der Gruppen etabliert werden, um die Weitergabe von persönlichen Daten zu minimieren.
Weiterführende Links
https://www.whatsapp.com/legal/?l=de