Dieser Artikel basiert auf unserer Erfahrung im täglichen Geschäft mit Kunden, die uns zum Einsatz von WhatsApp im Unternehmen kontaktieren. Der Bericht wurde nicht bezahlt. Der Beitrag kann aber im Einzelfall als Werbung für verschiedene Produkte, die erwähnt werden, verstanden werden.
Im Juli 2018, kurz nach dem „DSGVO-Stichtag“, hat WhatsApp die Nutzungsbedingungen aktualisiert. Im Dezember 2019 kam eine weitere Neuerung des Messenger-Betreibers zur Verwendung von Broadcast Listen.
Was bedeutet das für den Einsatz des Messengers in Firmen? Ist die App DSGVO-konform und darf WhatsApp im Unternehmen verwendet werden? Gibt es eigentlich (sinnvolle und praktikable) Alternativen zu WhatsApp?
Auf diese und weitere Themen rund um den Messenger WhatsApp in Unternehmen möchte ich in diesem Artikel eingehen.
Inhaltsverzeichnis
Darf WhatsApp im Unternehmen für Geschäftskommunikation weiterhin verwendet werden?
Es gibt wenige Kunden oder Interessenten, die uns diese Frage noch nicht gestellt haben. Gleich vorweg: Das „Weiterhin“, wie es viele verstehen, gibt es eigentlich gar nicht. WhatsApp war schon vor den Zeiten der DSGVO nicht datenschutzkonform. Es entsprach auch vor der Datenschutzgrundverordnung nicht den Anforderungen des damaligen Bundesdatenschutzgesetzes (BDSG).
Ich weiß, ich weiß, (fast) Jeder nutzt WhatsApp und es ist ja quasi beinahe ein essentielles Mittel, um Informationen auszutauschen. Aber da zitiere ich wieder einen meiner Lieblingssätze (frei interpretiert):
„Nur weil Viele etwas tun, muss es noch lange nicht das Richtige oder das Beste sein.“
Natürlich bemühe ich mich auch, die Seite der Firmen zu verstehen, die den Einsatz von WhatsApp als wichtigen Baustein in der Kommunikation sehen. Hier kam zum Beispiel das Argument, dass man gerade in der Kommunikation mit Endverbrauchern auf die Medien setzen muss, die tatsächlich in Verwendung sind. (Fast) Jeder nutzt die App, und sie ist einfach zu bedienen. Zudem können darüber relativ kostengünstig und benutzerfreundlich kurze Informationen übermittelt werden. Einfacher und ganz offen gesagt auch billiger als per E-Mail (aus Firmensicht).
Welche Kriterien sind ausschlaggebend, ob WhatsApp im Unternehmen eingesetzt werden kann?
Natürlich ist hier ein wesentliches Kriterium, ob WhatsApp die Anforderungen der DSGVO erfüllt. Weiter sehe ich für einen Messenger aber noch andere Faktoren, die jede Firma selbst beurteilen sollte:
- Kann der Dienst durch das Unternehmen administriert oder konfiguriert werden?
- Lässt sich eine Trennung privater und dienstlicher Kommunikation arrangieren?
- Und wie schon erwähnt – erfüllt der Service die Anforderungen des Datenschutzes?
- Können weitere (interne) Compliance Anforderungen, z.B. nach Verfügbarkeit und Vertraulichkeit gewährleistet werden?
Warum ist WhatsApp nicht datenschutzkonform?
Um WhatsApp sinnvoll einsetzen zu können, müssen Sie der App Zugriff auf Ihre Kontakte geben. Das heißt, als allererste Aktion packt WhatsApp Ihre ganzen Kontakte in seinen Rucksack und transportiert (überträgt) es nach Hause zu seinem Server in den USA. Dort passiert der Abgleich mit den bereits registrierten WhatsApp Nutzern. So können Sie nun sehen, wer von Ihren Kontakten die App ebenfalls nutzt und mit ihm (oder ihr) in Kontakt treten.
Was ist „das Problem“ beim Datenabgleich?
- Mit der Datenübertragung in die USA hat man plötzlich laut DSGVO ein „Drittland“, an welches die Daten übermittelt werden.
- Wenn man davon ausgeht, dass der Zweck der Datenübermittlung der Abgleich der WhatsApp User ist, müsste anschließend eine Löschung des Adressbuchs am Server erfolgen. Dies ist aber leider nicht der Fall. Selbst Kontakte, die nicht als WhatsApp User identifiziert wurden, bleiben trotzdem auf den Servern des Anbieters gespeichert.
Aber nicht nur das. Da WhatsApp zum Unternehmen Facebook gehört, findet auch eine Übermittlung der Information der genutzten Dienste statt (so der Wortlaut aus der Facebook-Richtlinie „Facebook und Dienste von Dritten“). Dieser interessante Punkt ist in der Richtlinie leider sehr allgemein formuliert. Man könnte aus diesen Informationen und aus den anderen Absätzen der Datenschutzrichtlinie schließen, dass durchaus das persönliche Profil einer jeden gespeicherten Person erstellt, aktualisiert, gespeichert und für weitere Zwecke verwendet wird.
Das heißt also, Ihre WhatsApp Nutzung und Ihre Facebook Gewohnheiten werden verbunden. Für den Konzern Facebook sind Sie in den Datensätzen aus WhatsApp und Facebook – wie auch in der Realität – eine Person. Was und vor allem mit wem Sie über WhatsApp kommunizieren, wird direkt mit Ihrem Facebook Profil in Verbindung gebracht. Das glauben Sie nicht? Dann gehen Sie doch mal auf Datensuche! Wir haben in einer detaillierten Anweisung zusammen gefasst, wie Sie die in Facebook gespeicherten Daten einsehen können. Sie werden überrascht sein, welche Informationen in Ihrem Profil auftauchen, die Sie vielleicht nie über Facebook kommuniziert oder angegeben haben.
Aber WhatsApp verfügt doch über eine Ende-zu-Ende Verschlüsselung
Ja, richtig. Der Nachrichtendienst verschlüsselt inzwischen auch die Nachrichten. Das heißt, nur Empfänger und Versender können den Inhalt lesen. Die Nachricht liegt verschlüsselt auf den Servern des Anbieters.
Was ist dann also das Problem fragen Sie sich. Selbst wenn der eigentliche Inhalt verschlüsselt ist, sind die Metadaten der Kommunikation trotzdem für den Anbieter zugänglich. Und diese werden entsprechend ausgewertet und analysiert. Das heißt, auch wenn nicht ersichtlich ist, was Sie schreiben, ist doch klar, mit wem Sie wie oft und zu welchen Zeiten Nachrichten austauschen oder telefonieren. Allein durch diese Metadaten lässt sich ein interessantes Profil formen.
Private und dienstliche Kommunikation über einen Messenger
Wie schon eingangs angesprochen, kann WhatsApp nur sinnvoll genutzt werden, wenn Sie der App Zugriff auf Ihr Adressbuch geben. Das bedeutet aber im Umkehrschluss auch, eine geschäftliche und private Nutzung von WhatsApp bedingt geschäftliche und private Kontakte in einem Adressbuch. Möchten Sie das? Diese Frage kann ich Ihnen nicht beantworten. Das sollten Sie nach reiflicher Abwägung der Vor- und Nachteile selbst entscheiden.
Grundsätzlich ist zur Beantwortung dieses Themas ein wichtiger Faktor, ob es sich um ein Diensthandy oder ein privates Mobiltelefon handelt. Bei einem Diensthandy, welches auch privat genutzt werden darf, haben Sie letztendlich die Hoheit über das Gerät. Wenn der Mitarbeiter ausscheidet, bekommen Sie es zurück. Was aber, wenn es sich um ein privates Gerät handelt? Gerade im Fall des Austrittes eines Mitarbeiters haben Sie keine Möglichkeit, die geschäftlichen Kontaktdaten im Adressbuch zu löschen.
Einhaltung von Compliance Vorgaben bei der Kommunikation über einen Messengerdienst wie WhatsApp
Auch wenn Sie es nicht für möglich halten -wir haben schon einiges an geschäftlichem Content gesehen, der über WhatsApp verteilt wurde. Angebote, Passwörter und auch noch so ein paar andere als vertraulich geltende Unternehmensdaten, die per WhatsApp kommuniziert wurden.
Wenn es keine Vorgaben zum Dokumentenhandling im Betrieb gibt, muss es ja nicht gleich ein absichtliches Fehlverhalten der Mitarbeiter sein. Das möchte ich auch nicht so darstellen. Vielmehr möchte ich Ihnen ans Herz legen, sich ein paar Regeln zu überlegen, welche Art der Kommunikation über einen Messengerdienst erfolgen darf.
Vertrauliche Informationen gehören nicht in WhatsApp und Co.!
WhatsApp im Privateinsatz
Ja, aber wenn das alles so streng ist und WhatsApp nicht DSGVO konform ist, dann ist doch eine Nutzung im Privaten ebenfalls untersagt, oder? Wo ist der Unterschied zwischen WhatsApp im Unternehmen und im Privaten?
Ganz einfach, die DSGVO gilt nicht für Privatpersonen. Hier liegt der ganze Unterschied. Das heißt aber auch: WhatsApp wird in der privaten Anwendung deshalb kein bisschen mehr datenschutzkonform.
Wenn Sie sich als Endverbraucher dazu entscheiden, die App privat zu nutzen, dann ist das erst mal Ihre eigene Entscheidung. Als Unternehmen geht das nicht so einfach. Sie müssen im Unternehmen dafür Sorge tragen, dass nur datenschutzkonforme Applikationen und Dienste eingesetzt werden.
Doch auch im Privaten hat die WhatsApp Nutzung einen Beigeschmack. Das Hochladen Ihrer Kontakte erfolgt ohne Einwilligung der betroffenen Personen. Die Datenschutzexperten haben dazu unterschiedliche Meinungen. Auch wenn die DSGVO für Privatpersonen nicht gilt, ist es nicht auszuschließen, dass dieses Vorgehen auch für Privatpersonen Konsequenzen haben kann.
Auf jeden Fall stellt es ein Datenschutz-Problem dar, wenn Sie in Ihrem privaten Adressbuch geschäftliche Kontakte gespeichert haben.
Neue WhatsApp Vorgaben
Datenschutzrichtlinien
Im Juli 2018 haben WhatsApp Nutzer beim Öffnen der Anwendung neue Datenschutzrichtlinien angezeigt bekommen. Natürlich liegt es nahe zu denken, neue Richtlinien in Sachen Datenschutz in Zeiten der DSGVO bedeutet auch zugleich eine datenschutzkonforme Anwendung. Es wird zwar in der Policy darauf eingegangen, dass die Datenschutzrichtlinie nun an die DSGVO angepasst ist, aber es findet sich nirgends ein expliziter Hinweis, dass der Dienst nun DSGVO konform sei.
Wenn man sich die Datenschutzrichtlinie mal tatsächlich durchliest (was, wirklich? Eine Nutzungs- bzw. Datenschutzrichtlinie LESEN??), kommt man an einigen Stellen auf Informationen, die einen zweifeln lassen, ob das überhaupt DSGVO bzw. datenschutzkonfom sein kann.
Verbot von „Broadcast-Listen“
Im Dezember 2019 gab es nun eine neue Ankündigung des Herstellers der beliebten App. Zukünftig ist es untersagt, über den Dienst Broadcast Listen zu bedienen. Während manche gar nicht wissen, um was es dabei geht, bricht für Andere dadurch ein kleines Geschäftsmodell zusammen.
Broadcast Listen sind quasi „kleine“ Newsletter über WhatsApp. Über diese Listen können Nachrichten an einen großen Verteilerkreis automatisch übermittelt werden.
Der Grund für das Verbot liegt weniger im Datenschutz begründet, sondern laut Angabe des Herstellers in der Thematik der Falschnachrichten. Die Einschränkung der Massenverteilung soll die virale Verbreitung von Fake-News über WhatsApp unterbinden.
Wenn Ihr Unternehmen über diese Broadcast Funktion Nachrichten an einen großen Verteilerkreis von Interessenten und / oder Kunden geschickt hat, müssen Sie dies nun beenden. WhatsApp reagiert mit der Sperrung des Accounts, wenn weiterhin große Verteilerlisten bespielt werden.
Unter welchen Bedingungen ist der Einsatz von WhatsApp in Unternehmen möglich?
Der Kunde / Interessent willigt ein, dass er Informationen per WhatsApp übermittelt bekommt
Der Kunde oder Interessent stimmt aktiv zu, dass ihm über WhatsApp Informationen zugesendet werden. Ist dies dann in Ordnung?
Wie schon oben erwähnt, sind Sie als Unternehmen verantwortlich, dass die Dienste und Applikationen, die Sie einsetzen, den Anforderungen des Datenschutzes entsprechen. Da WhatsApp diese Vorgaben nicht erfüllt, ist aus unserer Sicht auch eine Einwilligung nicht ausreichend. Es mag natürlich Ihr Risiko mindern, da der Empfänger bewusst zugestimmt hat, dass seine Daten an die Facebook Unternehmen weitergegeben werden. Trotzdem ist die grundsätzliche Anforderung eines datenschutzkonformen Dienstes nicht erfüllt.
WhatsApp läuft auf einem Unternehmenshandy, das nur ein leeres Adressbuch enthält
Auch diese Konstellation ist in manchen Firmen im Einsatz. Sie schreiben den Empfänger nicht aktiv an, sondern nutzen WhatsApp auf einem Endgerät, das keine Kontakte im Adressbuch hat. Das bedeutet, dass Sie auch keine Kontaktdaten an WhatsApp übermitteln. In diesem Punkt wären sie also konform.
Der Empfänger kontaktiert Sie aktiv über WhatsApp und Sie antworten ihm. Das heißt, seine aktive Anfrage kommt auch einer impliziten Einwilligung gleich, den Dienst zu nutzen. Wunderbar, auch dieser Punkt wäre erledigt.
Trotzdem, nach wie vor erfüllt der Messengerdienst nicht die Anforderungen an den Datenschutz. Aus unserer Sicht ist es die Lösung mit dem geringsten Risiko für Sie als Unternehmen. Trotzdem würden wir Ihnen raten, auf einen anderen Messenger zu wechseln.
WhatsApp für die Privatnutzung soll erlaubt sein, geschäftliche Nutzung aber nicht
Ihre Mitarbeiter haben ein Mobilgerät für private und dienstliche Nutzung. Auf diesem Gerät möchten Sie eine Einschränkung für die Nutzung von WhatsApp umsetzen. Für die Kommunikation mit geschäftlichen Partnern ist der Messenger nicht erlaubt. Mit privaten Kontakten können die Mitarbeiter allerdings Nachrichten über WhatsApp tauschen.
Wie lässt sich dies realisieren?
Trennung der Kontaktdaten
Damit WhatsApp nur Zugriff auf die privaten Kontakte erhält, müssen Sie einen „Riegel vorschieben“. Die Übertragung auf den Server des Dienstleisters darf nur Kontakte betreffen, die sich auf die private Kommunikation beziehen.
Dies können Sie realisieren, wenn Sie eine Zusatzsoftware nutzen, die Ihre Kontakte klassifizieren kann. Damit können Sie den einzelnen Kontakten im Adressbuch ein Kennzeichen mitgeben, ob es sich zum Beispiel um geschäftliche oder private Kontakte handelt.
Unterschiedliche Adressbücher
Diese Lösung ist meine Empfehlung. Vermeiden Sie es, geschäftliche Kontakte in derselben App wie die privaten Kontakte zu speichern. Im geschäftlichen Betrieb verwenden Sie wahrscheinlich eine eigene Kontaktverwaltung auf dem PC. Meistens gibt es dazu auch eine eigene App, die Sie mit dem Mobilgerät synchronisieren können. Nutzen Sie zum Beispiel Microsoft Outlook, dann bietet es sich an, auch auf dem Mobilgerät die Outlook App zu installieren. Somit haben Sie die beruflichen Kontakte in einer separaten App. WhatsApp erhält im Anschluss keinen Zugriff auf diese App.
Unterschiedliche SIM-Karten
Selbst wenn Sie keine zwei Handys mit sich herumtragen möchten, können Sie trotzdem mit einem Dual-Sim Handy zwei verschiedene SIM-Karten betreiben. Über die Einstellungen gewähren Sie der beruflichen SIM-Karte und allen zugehörigen Apps keine Rechte für WhatsApp.
Empfehlung zur Nutzung von WhatsApp im Unternehmen
Es ist uns als Unternehmen wichtig, praxisorientiert und zweckmäßig zu agieren und dies auch unseren Kunden so zu empfehlen. Bei der Nutzung von WhatsApp finden wir aber nicht wirklich eine gute Lösung.
Trotz allen „Für und Wider“ lautet unsere klare Empfehlung, den Messengerdienst nicht im geschäftlichen Einsatz zu verwenden. Selbst wenn WhatsApp der am weitesten verbreitete Nachrichtendienst ist, können Sie die Verwendung von sicheren Alternativen als Marketingvorteil nutzen.
Ihnen sind die Daten Ihrer Kontakte wichtig! Aus diesem Grund schützen Sie sie auch. Daher haben wir im Folgenden einige Alternativen zu WhatsApp gelistet.
Messenger Alternativen zu WhatsApp für Unternehmen
Unter den „klassischen“ Messengern gibt es einige Anbieter, die als sicher und auch datenschutzkonform gelten. Im Folgenden finden Sie eine Übersicht einiger Messenger in alphabetischer Reihenfolge.
Gerne ergänzen wir die Liste, wenn Sie uns Ihre Vorschläge und Empfehlungen mitteilen.
Signal
Der Nachrichtendienst Signal wird durch eine amerikanische Stiftung finanziert. Werbung und Affiliate Marketing gibt es daher nicht. Der Zweck hinter dem Messenger ist es, die Sicherheit für den Benutzer zu gewährleisten.
- Die App ist frei verfügbar und kann ohne Kosten genutzt werden.
- Die Ende-zu-Ende Verschlüsselung sorgt dafür, dass Nachrichten nur durch den Empfänger gelesen werden können. Auch nicht durch die Admins von Signal, solange die Daten am Server liegen. Dasselbe gilt für die Metadaten der Telefonie. Die Entwickler haben keine Einsicht auf den Telefonverlauf.
- Die App bietet die Möglichkeit Nachrichten, die man versendet mit einem Zeitstempel zu versehen. Nach Ablauf der Zeit löscht sich die Nachricht von selbst.
Telegram
Die Brüder Pavel und Nikolai sind die Köpfe hinter Telegram. Die Entwicklung ihres Messengers begann in Russland. Aufgrund der „lokaler IT-Vorschriften“, wie sie selber sagen, hat das Entwickler-Team Russland verlassen. Aktuell ist deren Sitz in Dubai. Der Schwerpunkt dieser WhatsApp-Alternative liegt auf Sicherheit und Geschwindigkeit.
Telegram ist eigenfinanziert und soll auch weiterhin kostenlos bleiben.
Was bietet Telegram nach eigenen Angaben?
- Die Personen, mit denen man aktiv kommunizieren möchte, müssen sich nicht zwingend im eigenen Adressbuch befinden.
- Telegram ist offen. Jeder kann den Quelltext einsehen und prüfen.
- Es gibt eine offene Programmierschnittstelle (API), über die Entwickler eigene Weiterentwicklungen anbinden können.
- Die Nachrichten werden Ende-zu-Ende verschlüsselt.
- Für „paranoide“ Nutzer bietet Telegram die Möglichkeit von geheimen Chats, die eine noch höher Vertraulichkeitsstufe als „normale“ Chats aufweisen.
- Es wurde sogar ein Hacking-Wettbewerb ausgeschrieben. Der Gewinn ist mit 300.000 $ dotiert, sollte jemand eine Nachricht entschlüsseln können, die nicht an ihn gerichtet ist.
Threema und Threema Work
Das Schweizer Unternehmen Threema GmbH hat einen Messenger entwickelt, der einen Schwerpunkt auf Sicherheit und Privatsphäre setzt. Nach eigenen Angaben des Herstellers stehen folgende Aspekte im Vordergrund:
- Keine Werbeinteressen durch den Hersteller oder Investoren. Das Geschäftsmodell basiert nicht auf dem Verkauf von Nutzungsdaten.
- Anonyme Nutzung möglich, da Handynummer oder E-Mail -Adresse optional eingegeben werden können.
- Hohe Privatsphäre, da Daten auf den Servern gelöscht werden, nachdem die Zustellung erfolgt ist
- Durch die Ende-zu-Ende Verschlüsselung können nur Empfänger und Versender die Nachrichten lesen. Auch der Hersteller kann die Nachrichten nicht lesen.
Mit dem Produkt Threema Broadcast ist es unter anderem auch möglich, Verteilerlisten und Feeds zu bespielen.
Threema Works wurde extra für Unternehmen geschaffen, die darüber Benutzer und Berechtigungen verwalten können.
Wire
Auch Wire ist ein Produkt eines schweizer Unternehmens, der Wire Swiss GmbH. Der Nachrichtendienst wirbt damit, internationale Standards und Regulierungen einzuhalten: ISO, DSGVO, CCPA und SOX.
Folgende Punkte nennt der Hersteller der WhatsApp-Alternative als seine Vorteile:
- Ende-zu-Ende Verschlüsselung für die Vertraulichkeit der Kommunikation
- Open Source Quellcode, welcher auch unabhängig geprüft wurde
- Wire kann auch über einen eigenen Server betrieben werden. Vor allem für Unternehmen bietet sich diese Option an. Damit entfällt das Versenden und Empfangen von Nachrichten über den Server des Herstellers.
- Mit WireRed bietet der Nachrichtendienst eine Lösung an, die auch im Krisenfall einsatzfähig ist. Damit wird im Falle eines Katastrophenszenarios die Geschäftskontinuität der Kommunikation gewährleistet (BCM).
Weitere Collaboration-Tools für Unternehmen
Um die Kommunikation mit unseren Kunden zu optimieren, habe ich mich selbst mit vielen Messengern und anderen Alternativen zu WhatsApp im Unternehmen beschäftigt. Nicht immer muss es nämlich ein „klassischer“ Messenger sein. Manchmal ist eine Software bzw. ein Service, der mehr Möglichkeiten in der Kommunikation bietet, sogar sinnvoller. Es kommt ganz darauf an, welche Ziele Sie verfolgen.
Hier meine persönlichen Recherche-Ergebnisse, die natürlich auch nicht abschließend ist.
Mattermost
Das amerikanische Unternehmen Mattermost inc. bietet mit dem gleichnamigen Produkt mattermost eine Lösung für alle Geräte. Ebenfalls ist der Sicherheitsaspekt bei der Kommunikation ein wesentlicher Bestandteil.
Gruppenchats und Einzelchats lassen sich ebenso realisieren, wie Telefonie, File- und Linksharing.
Sehr schön finde ich, dass es neben der Cloud-Lösung auch eine On-premise Variante gibt. Ohne Support ist die Eigeninstallation auch kostenlos verfügbar.
Microsoft Teams
Wenn Sie bereits Office 365 nutzen, ist es naheliegend, für die Zusammenarbeit neben Outlook auch Teams zu nutzen. Mit Teams haben Sie die Möglichkeit, persönliche und Gruppenchats umzusetzen. Selbst mit externen Kontakten kann man kommunizieren, ohne diese gleich lizenzieren zu müssen.
Für die mobilen Nutzer ist die Kommunikation (Chat und Telefonie) auch über eine App nutzbar.
Office 365 und Datenschutz
Als europäisches Unternehmen nutzen Sie den Cloud-Dienst Office 365 auf europäischen Servern. Mit dem AV-Vertrag, den Microsoft zur Verfügung stellt, decken Sie grundsätzlich auch die Anforderungen des Datenschutzes ab.
Manko: Die Anmeldeinformationen werden in bestimmten Konstellationen in die USA übertragen. Das ist unschön und noch nicht ganz rund.
Weiter werden an manchen Stellen Daten protokolliert, die ebenfalls bei Datenschützern zu Diskussionen führen.
Im Gespräch mit Microsoft wurde uns mitgeteilt, dass im Frühjahr 2020 durch den Hersteller weitere Änderungen und Informationen zum Datenschutz nach DSGVO veröffentlicht werden. Wir warten gespannt darauf.
Rocket.chat
Rocket.chat in der On-Premise Variante ist kostengünstig. Der Dienst informiert auf der Webseite umfassend über die DSGVO und bietet auch einen AV-Vertrag auf Anfrage (nur nötig für die Cloud-Nutzung).
Gut gefällt mir bei diesem Dienst, dass er sich schon im Standard an viele Benutzerdirectories andocken lässt. Ein SingleSignOn ist daher mit relativ wenigen Einstellungen möglich.
Natürlich bietet Rocket.Chat auch private und öffentliche Chats, sowie die Unterteilung eines Chats in verschiedene Threats.
Skype
Skype ergänze ich an dieser Stelle eigentlich nur, um darauf hinzuweisen, dass es in Kürze aus dem Produktportfolio von Microsoft herausgenommen wird. Sollten Sie also Skype nutzen, beginnen Sie frühzeitig, sich nach Alternativen umzusehen.
und, und, und…
Collaboration-Tools gibt es quasi wie Sand am Meer. Jeder Anbieter legt Wert auf etwas anderes oder setzt andere Schwerpunkte. Ob ein Produkt besser oder schlechter ist, lässt sich kaum pauschal beantworten. Entscheidend ist der Einsatzzweck und Ihr Ziel, wie auch schon oben angesprochen.
Gerne ergänze ich die Liste mit Produkten.
Vorgehensweise zur Auswahl und Einführung eines Messengers oder eines Collaboration-Dienstes
Entweder als Alternative zu WhatsApp im Unternehmen oder als Neueinführung, wenn Sie WhatsApp bisher auch nicht genutzt haben, sollten Sie ein paar Schritte befolgen.
Aus meiner Sicht sollten Sie folgende Punkte beachten, wenn Sie einen neuen Kommunikationsdienst im Unternehmen einführen möchten:
- Auswahl der Zielgruppe: Möchten Sie nur mit geschäftlichen Kontakten kommunizieren oder sollen Ihre Mitarbeiter auch private Gespräche / Chats darüber führen können?
- Definition der Compliance Vorgaben: Legen Sie fest, welche Art der Daten und Inhalte über den Messengerdienst verteilt werden darf.
- Prüfen Sie, ob die Administration- und Konfigurationsmöglichkeiten des Services Ihren Anforderungen entsprechen. Möchten Sie eine cloud-basierte Lösung, in der Sie nur Anwender sind (wie es z.B. bei WhatsApp der Fall ist) oder möchten Sie die „Fäden“ selbst in der Hand haben? Dies bedingt natürlich auch ein erweitertes KnowHow in der Konfiguration und ggf. im Hosting des Messenger-Services.
- Und natürlich zu guter Letzt: Ist der Dienst datenschutzkonform oder lässt er sich durch gewisse Einstellungen oder Installationsalternativen als datenschutzkonform nutzen?
Ihre Erfahrungen im Umgang mit WhatsApp im Unternehmen und möglichen Alternativen
Uns interessieren Ihre Erfahrungen. Schreiben Sie uns in einem Kommentar, welche Lösungen bei Ihnen zum Einsatz kommen. Gerne nehme ich Anregungen in diesen Beitrag mit auf.
FAQs
Darf ich WhatsApp im Unternehmen verwenden, wenn der Gesprächspartner aktiv einwilligt?
Als Unternehmen sind Sie dafür verantwortlich, dass Sie Software und Dienste einsetzen, die den Anforderungen des Datenschutzes entsprechen. Auch wenn der Kontakt für die Verwendung von WhatsApp einwilligt, ist der Dienst an sich nicht datenschutzkonform. Sie verringern zwar Ihr Risiko, empfehlen würden wir es allerdings nicht.
Darf ich WhatsApp auf einem geschäftlichen Handy nutzen, welches ein leeres Adressbuch enthält?
Durch das leere Adressbuch werden keine Daten beim Upload des Adressbuchs an WhatsApp übertragen. Der Sender schickt aktiv eine Nachricht an Ihr Geschäftstelefon und Sie antworten „nur“. Das heißt, durch den aktiven Versand hat der Sender auch implizit eingewilligt in die Kommunikation über WhatsApp. Aus unserer Sicht wäre dies die Lösung mit dem wahrscheinlich geringsten Risiko, trotzdem erfüllt WhatsApp nicht die Anforderungen des Datenschutzes. Empfehlen würden wir es daher nicht.
Gibt es sinnvolle und praktikable Alternativen für die geschäftliche Nutzung von WhatsApp?
Ja, durchaus. Es gibt inzwischen viele Messenger, die den Schwerpunkt auf Privatsphäre und Sicherheit setzen. Dazu gehören zum Beispiel die Schweizer Unternehmen Wire Swiss GmbH und Threema GmbH. Aber auch die Produkte Signal und Telegram gehören dazu. Weitere Produkte finden Sie im Artikel (Vorsicht, unbezahlte Werbung!)
Was sollten Sie beachten, wenn Sie einen Messengerdienst im Unternehmen einführen möchten?
- Wählen Sie die Zielgruppe aus, die über den Messenger kommunizieren soll (nur geschäftliche oder auch private Nutzung).
- Definieren Sie die Compliance-Vorgaben. Welche Inhalte dürfen über den Messenger ausgetauscht werden?
- Entscheiden Sie sich, ob Sie einen extern gesteuerten Dienst möchten oder ob Sie lieber selbst die Konfiguration in der Hand haben wollen. Entscheiden Sie sich auch, ob der Dienst cloud-basiert oder On-Premise laufen soll.
- Und last but not least, die Anforderungen des Datenschutzes sollten sichergestellt sein.
Liebe Regina,
ganz lieben Dank für den ausführlichen und sehr interessanten Artikel. Ich nutze WA ohne ihm Zugriff auf mein Adressbuch zu geben. Deshalb verstehe ich folgende Aussage nicht: „…kann WhatsApp nur sinnvoll genutzt werden, wenn Sie der App Zugriff auf Ihr Adressbuch geben.“
Wie ist das gemeint?
Durch den fehlenden Zugriff kann ich meine „Gesprächspartner“ nur noch an der Mobilnummer und anhand des WA-Bildchens identifizieren.
Das nehme ich in Kauf, wenn ich dadurch wirklich die Datenübertragung unterbinde.
Liebe Grüße,
Melanie
Liebe Melanie,
danke für dein nettes Feedback.
Das stimmt, dass du WhatsApp nutzen kannst, wenn du keinen Zugriff auf die Kontakte gibst. Neue Gespräche kannst du dann allerdings nicht initialisieren. Dies ist meines Wissens nur möglich, wenn du den Zugriff auf die Kontakte frei gibst. Solange Du aber von den anderen aktiv angeschrieben wirst beim ersten Kontakt ist das ja möglich (das ist auch als Beispiel im Artikel beschrieben).
Viele Grüße
Regina
Hallo Frau Stoiber,
ich habe Ihren Artikel zur WhatsApp in Unternehmen gelesen, der sehr viele Informationen gut erklärt wiedergibt. Ich hätte noch eine Frage zu den anderen Messengerdienste wie z.B. Instagram, Twitter etc. auf geschäftlichen Mobiletelefone. Sind die ebenso nicht DSGVO – Konform?
VG Armin Zahner
Hallo Herr Zahner,
danke für Ihr Feedback und die gute Frage. So einfach ist das tatsächlich nicht aus dem Stegreif zu beantworten. Grundsätzlich muss man schon unterscheiden, dass bei WhatsApp die Kommunikation primär über die Telefonnummer läuft und im Hintergrund ggf. eine Verbindung zu einem Facebook Nutzer hergestellt wird.
Bei allen anderen bekannten Social Media Messengern ist die Kommunikation rein über den Benutzernamen. Die Verbindung zur Telefonnummer fällt schon mal weg, also zu einem „Dritten“.
Instagram gehört ja nun wieder zu Facebook und hat auch eine direkte Verbindung zum Facebook Benutzerkonto. Hier sehe ich das Thema ähnlich wie bei WhatsApp mit der Profilbildung und Datenweitergabe.
Bei Twitter und Co. die quasi als eigene Unternehmen agieren, wäre zu prüfen, was in den Nutzungsrichtlinien zur Datenweitergabe steht. Xing zum Beispiel (mein letzter Stand), würde ich als datenschutzkonformen Messenger einstufen. Trotzdem würde ich nicht empfehlen, einen Teil der Unternehmenskommunikation (mit Mitarbeitern und Kunden) darüber laufen zu lassen. Mit Bewerbern bietet es sich natürlich an, aber nicht als primärer Messenger für die Firma. Da würde ich immer eine separate Collaboration Lösung oder einen speziellen Messenger wählen.
Aber allgemein, tatsächlich nicht so einfach zu beantworten. Da wäre auf jeden Fall der Einzelfall zu prüfen.
Viele Grüße
Regina Stoiber
Ein leidiges Thema gut zusammengefasst. Leider ist die Beratungsresistenz hier dann doch noch sehr ausgeprägt, bzw. erschließt sich dem ein oder anderen Verantwortlichen noch nicht so ganz das Verhältnis zwischen Nutzen und Risiko. Dabei wäre der Umstieg auf eine konforme Alternative so einfach und würde in der Breite dann für eine deutliche Verbesserung des Datenschutzes sorgen.
Danke Tino.
Vielleicht ergibt sich ja ganz langsam eine Tendenz zu Alternativen.
Liebe Regina, danke für diese super Zusammenfassung! Ein schöner Referenzartikel, den ich sehr gerne weiterempfehlen werde! Eine weitere Alternative könnte der Businessmanager ginlo@work der brabbler.ag sein, ein deutsches Unternehmen. (Oh, ich sehe gerade, das Unternehmen ist insolvent und schließt mit Ende Dezember 2019 seine Dienste…) Schade, das Produkt klang vielversprechend. Liebe Grüße, Gabi
Liebe Gabi,
herzlichen Dank und vielen Dank auch für’s Teilen!
Liebe Grüße
Regina
Hallo Frau Stoiber,
zu Skype möchte ich anmerken. Die Abschaltung betrifft nur Skype Business Online, welches durch Teams ersetzt wird.
Davon sind nicht betroffen die „normale“ Skype Version und auch nicht Skype Business Server.
Viele Grüße
Paul Preinesberger
Hallo Herr Preinesberger,
danke für den Hinweis. Da haben Sie recht, das sollte noch ergänzt werden!
VG Regina Stoiber
Moin Frau Stoiber,
ich meine, der Fehler mit dem Adressbuch liegt nicht bei WhatsApp, sondern beim Nutzer. In den Nutzungsbedingungen und rechtlichen Hinweisen steht:
— schnipp —
Über unsere Dienste
Adressbuch. Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern von WhatsApp Nutzern und anderen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten.
Adressbuch. Du stellst uns regelmäßig die Telefonnummern von WhatsApp Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.
— schnapp —
Der Nutzer versichert also, von allen Kontakten im Adressbuch die Einwilligung zur Übermittlung zu haben. Ich behaupte mal, das ist fast immer gelogen. Ja, wissentlich falsch beanwortet, nicht aus versehen.
Ist WhatsApp, da es diese Zusicherung ja hat, nicht rechtlich sauber raus?
Hallo Herr Jensen,
danke für Ihr Feedback.
Das ist nett formuliert in den AGBs 🙂
Primär sehe ich sowieso nicht WhatsApp als Verantwortlichen im Unternehmenseinsatz. Ich hoffe, das kommt aber auch im Artikel so heraus. Der Unternehmer, der WhatsApp im Einsatz hat, ist verantwortlich, dass ein datenschutzfreundlicher Dienst verwendet wird. Im 1. Schritt stimme ich Ihnen zu, dass WhatsApp Diensteanbieter da raus ist.
Der Unternehmer verantwortet den Einsatz.
Das zweite, was aber vom Diensteanbieter WhatsApp nicht sauber ist, ist der Datenaustausch und die Weitergabe an Facebook. Dazu wird nicht wirklich transparent informiert (mein letzter Kenntnisstand der AGBs). Aber unterm Strich ist der Verantwortliche nach wie vor der Unternehmer, der einen nicht DSGVO-konformen Dienst einsetzt. Der muss sich dafür verantworten, wenn er Daten von Betroffenen verarbeitet und das nicht DSGVO konform. Da hilft meines Erachtens eine Einwilligung des Betroffenen nur teilweise. Wie schon im Artikel geschrieben. Die Einwilligung reduziert das Risiko, nimmt’s aber nicht komplett weg.
…nicht sauber ist, ist der Datenaustausch und die Weitergabe …
Das ist es bei Microsoft auch nicht. Mir sagten dazu mal Fachleute auf einer Podiumsdiskussion zum Einsatz von Windows in der Verwaltung: „Ja, wenn es dann offensichtlich nicht bestraft wird, wird man das wohl machen dürfen“. Ich denke, die Widerrechtlichkeit ist unstrittig, aber folgenlos. Das frustriert mich sehr.
Danke für Ihre Artikel! Es geht ja um datenschutzkonforme Messenger. M.W. ist es ein AV-Vertrag mit dem Anbieter nötig, wenn man es geschäftlich nutzen möchte. Wenn ich jetzt Signal als Beispiel nehme, geht das überhaupt oder wir kann ich es datenschutzkonform nutzen?
Danke für die Frage. Die trifft sicherlich mehrere.
Der BGH hat in einem Urteil bestätigt, dass z.B. Gmail kein Telekommunikationsanbieter ist und damit einen AV-Vertrag anbieten muss. Wir gehen davon aus, dass man dieses Urteil auch auf die Messenger Dienste übertragen kann, die ihren Dienst auch für Business-Kunden anbieten. Signal macht das z.B. (Link: https://support.signal.org/hc/de/articles/360007319731-Kann-ich-Signal-beruflich-verwenden-).
Würde der Anbieter die geschäftliche Nutzung in den AGBs ausschließen, wäre das hinfällig. Ansonsten sehen wir es so, dass ein AV-Vertrag notwendig ist. Ob Signal den tatsächlich anbietet, haben wir ehrlich gesagt noch gar nicht hinterfragt. Wenn du dazu Infos hast, lass uns das gerne wissen.
Viele Grüße
Regina