Datenschutzrechtliche Einschätzung: WhatsApp auf Dienstgeräten im beruflichen Kontext

🔒 Datenschutzrechtliche Einschätzung: WhatsApp auf Dienstgeräten im beruflichen Kontext

Die Nutzung von WhatsApp auf mobilen Endgeräten mit beruflichen Kontakten ist aus datenschutzrechtlicher Sicht in der EU höchst problematisch – und in vielen Fällen ein klarer Verstoß gegen die Datenschutz-Grundverordnung (DSGVO).

1. Problem: Automatische Kontaktübertragung ohne Einwilligung

WhatsApp fordert beim Setup regelmäßig den Zugriff auf das Adressbuch. Dabei werden alle gespeicherten Kontakte – inklusive beruflicher – auf US-Server übertragen, unabhängig davon, ob diese selbst WhatsApp nutzen oder nicht.

Laut DSGVO Art. 6 Abs. 1 ist die Verarbeitung personenbezogener Daten nur rechtmäßig:

  • wenn eine Einwilligung der betroffenen Personen vorliegt
  • oder eine andere klare Rechtsgrundlage besteht

➡️ Eine flächendeckende Einwilligung der gespeicherten Kontakte ist in der Praxis nicht realisierbar.

2. Rechtliche Bewertung

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat mehrfach betont:

„Der Einsatz von WhatsApp im beruflichen Kontext ist datenschutzrechtlich nicht zulässig, solange Kontakte ohne deren Einwilligung an WhatsApp übermittelt werden.“

(Quelle: DSK, Orientierungshilfe Messenger-Dienste, 2021)

WhatsApp Business ist keine Lösung, da auch dort die Kontaktübertragung erfolgt.

3. Datenschutz-Folgenabschätzung (DSFA) erforderlich

Gemäß Art. 35 DSGVO muss eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn:

  • eine systematische umfangreiche Verarbeitung stattfindet
  • besondere Risiken für die Rechte und Freiheiten der Betroffenen bestehen

Das Speichern und automatische Übertragen hunderter Firmendaten in eine nicht kontrollierbare Umgebung stellt ein solches Risiko dar.

➡️ Ohne DSFA und risikominimierende Maßnahmen darf WhatsApp nicht auf dienstlich genutzten Geräten eingesetzt werden.

4. Was ist erlaubt?

✅ Nutzung von WhatsApp im rein privaten Bereich, unter folgenden Voraussetzungen:

  • Eigenes Gerät oder klar definierter getrennter Bereich (z. B. Dual-SIM)
  • Keine geschäftlichen Kontakte im Adressbuch
  • Kein Zugriff von WhatsApp auf geschäftliche Apps oder Kalender

❌ Verboten ist:

  • WhatsApp auf dienstlichen Geräten mit Firmenkontakten
  • Nutzung für die Kundenkommunikation ohne ausdrückliche Einwilligung
  • Mischbetrieb (z. B. geschäftlich und privat auf einem Gerät mit Kontaktzugriff)

5. Alternativen & Empfehlungen

  • Zulässige Messenger-Dienste mit DSGVO-Konformität wie Threema Work, Signal (Business) oder Matrix-basierte Lösungen
  • Nutzung von Microsoft Teams oder Outlook für die Kundenkommunikation
  • Trennung beruflich/privat auf Geräten per MDM (z. B. Intune Arbeitsprofil)

Fazit

Die geschäftliche Nutzung von WhatsApp auf Geräten mit Zugriff auf Firmenkontakte ist ein Verstoß gegen die DSGVO. Auch WhatsApp Business löst das Problem nicht. Der Schutz personenbezogener Daten von Kund:innen, Mitarbeitenden und Partner:innen hat Vorrang. Unternehmen sollten geeignete DSGVO-konforme Kommunikationslösungen einsetzen und eine Nutzung von WhatsApp strikt auf den privaten Bereich beschränken.

Für Fragen zur Umsetzung, Alternativen oder zur Erstellung einer DSFA: IT Consulting Cologne – info@itconsulting.cologne

Hat dies Ihre Frage beantwortet? Danke für Ihr Feedback. There was a problem submitting your feedback. Please try again later.

Brauchen Sie weitere Hilfe? Kontaktieren Sie uns Kontaktieren Sie uns