Der Messenger-Dienst WhatsApp stand hinsichtlich des mangelhaften Datenschutzes schon früher in der Kritik. Es wurde davon abgeraten, den Dienst für vertrauliche sowie berufliche Informationen zu nutzen. Unter dem zwischen den USA und der EU verabredeten Privacy Shield-Abkommen, das auch WhatsApp betrifft, sollten diese Mängel aufgehoben worden.
Nun wurde der Privacy Shield aufgrund des mangelhaften Datenschutzniveaus auf Seiten der USA vom Europäischen Gerichtshof für ungültig erklärt. Ein Grund mehr die digitale Kommunikation gerade im beruflichen Alltag über spezielle Mitarbeiter-Apps umzusetzen.
Die bisherige transatlantische Datenübertragung
Mit dem Privacy Shield-Abkommen wurde seit 2016 die Übermittlung personenbezogener Daten von europäischen Tochterkonzernen an deren US-Mutterkonzerne geregelt. Wobei der Privacy Shield als Selbstverpflichtung der US-Unternehmen funktionierte, wonach sich diese an bestimmte Datenschutzgesetze zu halten hätten.
Diesem Abkommen ging das ab dem Jahr 2000 gültige Safe-Harbour-Abkommen voraus. Dieses bot weniger Grundregeln und weniger Beschwerdemöglichkeiten seitens der Betroffenen und wurde aufgrund einer Klage des österreichischen Datenschützers Max Schrems und seines Unternehmens noyb für ungültig erklärt. Das Gleiche ist nun mit dem Privacy Shield-Abkommen geschehen.
Was besagt das Gerichtsurteil zum Privacy Shield?
Das Gerichtsurteil des Europäischen Gerichtshofs geht auf eine weitere Klage von Schrems zurück, welche sich auf dessen Streit mit Facebook Irland bzw. Facebook Inc. bezüglich der Datensicherheit der europäischen Nutzer*innen in den USA bezieht. Privacy Shield wurde zwischen den USA und der EU beschlossen, unter der Annahme, dass die US-Datenschutzmaßnahmen von Seiten der EU als angemessen wahrgenommen wurden.
Schrems und weitere Datenschützer machten – wie schon beim Safe Harbour – darauf aufmerksam, dass US-Geheimdienste aufgrund der weitreichenden Überwachungsgesetze weiterhin Zugriff auf die Daten europäischer Nutzer*innen hätten, was gegen das Recht auf Schutz der Privatsphäre der EU verstößt. Der Europäische Gerichtshof urteilte daher, dass die Einschätzung der amerikanischen Rechtsvorschriften, die dieses Abkommen möglich gemacht hatte, falsch war und erklärte das Abkommen für ungültig. Betroffen sind davon sind vor allem amerikanische Unternehmen wie Google, Facebook, Amazon und WhatsApp, aber auch europäische Unternehmen, die sich bisher an der Privacy Shield-Zertifizierung orientiert hatten. Diese müssen nun andere Alternativen gegenüber der zentralen Speicherung in den USA finden.
Was ändert sich mit dem Urteil?
Nutzer*innen und Käufer*innen sollten sich dieser erneut aufgezeigten Schwachstellen bei der transatlantischen Datenübertragung privater Informationen zu amerikanischen Unternehmen bewusst sein und ihr Nutzungsverhalten dahingehend anpassen.
Parallel zu dem Privacy Shield existieren sogenannte Standarddatenschutzklauseln seitens der EU-Kommission, welche zwischen Exporteur und Empfänger abgeschlossen werden können, solange davon auszugehen ist, dass diese die Gleichberechtigung des Datenschutzes in beiden Ländern vor einer Übereinkunft prüfen. Diese Klauseln sind laut Gerichtsurteil weiterhin wirksam, wenn die betroffenen Unternehmen die Einhaltung der Vertragsklauseln ständig überwachen.
Verstöße gegen die DSGVO durch Unternehmen können mehrere Millionen Euro Strafe zur Folge haben, wie das Beispiel Facebook aus dem Jahr 2019 zeigte. Ebenso wie Facebook ist auch WhatsApp hinsichtlich des zweifelhaften Datenschutzes immer wieder Thema der Presse.
WhatsApp-Nutzung bleibt problematisch
Dass WhatsApp ein Datenschutzproblem hat, ist hinlänglich bekannt. Aus diesem Grund ist es unter anderem deutschen Bundesbehörden nach Datenschutz-Grundverordnung auch untersagt, WhatsApp zur betrieblichen Kommunikation zu nutzen. Auch anderen Unternehmen wurde geraten, betriebsinterne sowie sensible Daten nicht über WhatsApp zu kommunizieren.
Stichhaltige Gründe dafür sind:
- die Übertragung von personenbezogenen Daten an andere Unternehmen des Facebook-Konzerns
- die Übertragung der Kontakte aus dem Adressbuch des betroffenen Telefons
- die Übertragung der personenbezogenen Daten in die USA
- der Zugriff auf Metadaten
- die Nutzung der personenbezogenen Daten durch WhatsApp
Trotz all dieser Tatsachen war WhatsApp seit 2018 mit der Privacy Shield-Zertifizierung versehen, deren Rechtmäßigkeit schon vor dem Gerichtsurteil als bedenklich eingestuft wurde. Das Gerichtsurteil ist damit nicht nur ein Erfolg für die Datenschützer, die seit über sieben Jahren für die Rechte der EU-Bürger*Innen kämpften, sondern ein weiterer Beleg, dass WhatsApp kein hinreichend gesicherter Messenger-Dienst ist, der für die berufliche Kommunikation sowie die Nutzung auf dem Diensttelefon geeignet ist.
Damit die berufliche Kommunikation reibungslos verläuft, ohne die Gefahr, dass das genutzte Tool gerichtlich angegriffen werden kann, sollten Unternehmen sich für spezielle Mitarbeiter-Apps wie Beekeeper entscheiden, da diese beispielsweise ISO 27001: 2013 zertifiziert und DSGVO konform ist sowie die Datenlagerung und -übermittlung verschlüsselt und dies vertraglich festhält.