WhatsApp-Nutzung als Datenschutzverstoß: Warum Versicherungsvermittler WhatsApp verbannen sollten

Quelle: antonbe / pixabay

In der Kommunikation über WhatsApp verarbeitet der Anbieter personenbezogene Daten. Dies findet zu einem Teil verschlüsselt (Inhalt der Kommunikation) zum Teil aber auch unverschlüsselt (sog. Metadaten) statt. Den Zweck der Verarbeitung bestimmt aber nicht WhatsApp, sondern derjenige, der den Kommunikationskanal als Vermittler (gewollt oder ungewollt) anbietet. Daher ist WhatsApp kein eigener Verantwortlicher, sondern ein typischer Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Die gleiche Rolle nimmt beispielsweise Microsoft bei der E-Mail-Kommunikation über Outlook ein. In solchen Fällen muss ein sogenannter Auftragsverarbeitungsvertrag (AVV) geschlossen werden (Art. 28 DSGVO).
WhatsApp in der normalen Version sieht in den Bedingungen keine geschäftliche Nutzung vor, daher ist es auch nicht möglich, einen AVV zu schließen. Der Verstoß gegen die Nutzungsbedingungen ist den meisten Vermittlern allerdings nicht bewusst. Nutzt man nun hoffnungsfroh die Variante WhatsApp Business, dann wird immerhin ein solcher AVV mit dem Anbieter zusammen mit dem Nutzungsvertag abgeschlossen.

Dieser genügt aber nicht den Anforderungen der DSGVO. So räumt der Vertrag beispielsweise dem Auftraggeber nicht die notwendigen Kontrollrechte ein (Art. 28 Abs. 3 lit. h DSGVO). Der AVV ist daher wegen dieser Mängel nach §134 BGB als nichtig anzusehen. Selbst wenn man dies juristisch zunächst nicht bejahen mag, so hat doch der Auftraggeber eines AVV die Pflicht, die Dienstleister auf die Einhaltung des Datenschutzes regelmäßig zu kontrollieren. Hoffnungsvolles und blindes Vertrauen genügt dieser Pflicht nicht. Dieser Pflicht kann der Vermittler also bei der Nutzung von WhatsApp nicht nachkommen. Es ist schlicht vom Anbieter nicht gewünscht. Ein Schelm, wer Böses dabei denkt.
Das Fehlen eines gültigen AVV stellt bereits einen formellen Datenschutzverstoß dar.

Einwilligung des Kunden

Ja, aber - so mag man einwenden - der Kunde willigt doch in die Kommunikation in der Regel durch schlüssiges bzw. konkludentes Handeln in die Verarbeitung ein. Das muss doch als Rechtsgrundlage genügen. Sprich: der Kunde schreibt ja in der Regel den Vermittler aus freien Stücken an. Das genügt doch, oder?

Dieser Punkt hat allerdings ein paar Besonderheiten, die wir uns der Reihe nach ansehen müssen.
Zunächst ist zwar eine konkludente Einwilligung auch im Datenschutz denkbar. Trotzdem gelten auch in diesem Fall die üblichen Voraussetzungen einer wirksamen Einwilligung. Erstens kann man nur in etwas einwilligen, worüber man im Vorfeld ausreichend informiert wurde. Die Einwilligung setzt also eine umfassende Datenschutzinformation nach Art. 13 oder 14 DSGVO voraus. Dazu kommt eine Aufklärung über das Widerrufsrecht. Dies beides lässt sich vielleicht noch in den Kommunikationsprozess integrieren. Nun gibt es bei WhatsApp aber eine Besonderheit: Personenbezogene Daten werden nachweislich mit dem Mutterkonzern Meta in den USA ausgetauscht.

Die USA zählen spätestens seit dem sog. Schrems II-Urteil des EuGH (Az: C 311/18) als unsicheres Drittland. Auf welcher Basis personenbezogene Daten in unsichere Drittländer übermittelt werden dürfen, regeln die Artikel 44 bis 50 in der DSGVO. Wird man dort nicht fündig, ist die Datenverarbeitung rechtswidrig.
Nun gibt es eben mit den USA keinen gültigen Angemessenheitsbeschluss mehr (Art. 45 DSGVO), denn genau dieser ist mit dem Schrems II-Urteil gekippt und auch nicht in Sicht.

Andere Garantien kann der Vermittler auch nicht darstellen, so dass man auf die Idee kommen kann, im Art. 49 DSGVO eine Lösung gefunden zu haben: „…die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, …“