WhatsApp ist ein sogenannter Instant-Messenger-Dienst, der es erlaubt, zwischen registrierten Nutzerinnen und Nutzern Text- und Sprachnachrichten sowie Fotos, Videos, Audiodateien und Kontaktdaten auszutauschen und via IP-Telefonie über das Internet zu telefonieren. Der Dienst wurde 2009 gegründet; der Sitz des Unternehmens ist in Santa Barbara, Kalifornien, in den USA. Im Oktober 2014 wurde WhatsApp von dem Sozialen Netzwerk Facebook (heute: Meta Platforms) übernommen.
Etwa 80% aller deutschen Bürgerinnen und Bürger nutzen WhatsApp. Der Meta-Dienst ist damit der meistgenutzte Messenger-Dienst in Deutschland. Bei der seinerzeitigen Übernahme von WhatsApp durch Meta hatte der Konzern zugesichert, dass WhatsApp auch künftig selbstständig bleibe und kein Datenaustausch zwischen den beiden Unternehmen stattfinde. Mittlerweile findet jedoch eine Übertragung der Daten der Nutzenden von WhatsApp an andere Meta-Unternehmen statt.
Zwar hat WhatsApp seit April 2016 mit der Einführung einer Ende-zu-Ende-Verschlüsselung der Chat-Inhalte und später auch der Cloud-Backups nach und nach die Vertraulichkeit der Kommunikation gestärkt, wodurch verhindert wird, dass WhatsApp oder Dritte auf Inhalte zugreifen können. Neben der Frage des Datenaustausches ist aber zu kritisieren, dass WhatsApp weiterhin Zugriff auf die Metadaten der Kommunikation (Absender, Empfänger, Zeitpunkt, Größe etc.) hat. Weitere aus Sicht des LfDI problematische Punkte sind die unverschlüsselte Speicherung von WhatsApp-Daten auf dem jeweiligen Endgerät sowie die Speicherung von Chat-Anhängen (Fotos, Videos) in der jeweiligen Smartphone-Mediathek. Letzteres insbesondere deshalb, da im Rahmen der erteilten Berechtigungen gegebenenfalls andere Apps Zugriff erhalten.
Den größten Kritikpunkt stellt jedoch weiterhin die regelmäßige Übertragung der Telefonnummern aus dem Adressbuch des Nutzenden an WhatsApp dar, da diese automatisch und ohne Differenzierung nach dem Status der Telefonbucheinträge erfolgt.
Betroffen sind damit nicht nur die Telefonnummern von WhatsApp-Nutzenden, sondern auch die Telefonnummern der sonstigen Kontakte, d.h. von Personen, die mit WhatsApp in keinerlei Verbindung stehen. WhatsApp verlagert die Verantwortung hierfür auf die Nutzenden, indem diese mit der Anerkennung der Nutzungsbedingung bestätigen, zur Weitergabe der Daten autorisiert zu sein. Die dabei unterstellte Abstimmung einer oder eines Nutzenden mit den in ihrem oder seinem Adressbuch genannten Personen über deren Einverständnis in die Weitergabe ihrer Daten an WhatsApp oder die Löschung der Kontakte, die ihre Einwilligung hierzu nicht erteilen, dürfte nach Einschätzung des LfDI in der Praxis nicht erfolgen. Damit würden in den allermeisten Fällen Daten ohne Kenntnis und Zustimmung betroffener Personen an WhatsApp übermittelt. Deswegen ist eine rechtskonforme WhatsApp-Nutzung nur möglich, wenn sichergestellt ist, dass eine entsprechende Datenübermittlung nicht erfolgt bzw. alle betroffenen Personen eine wirksame Einwilligung erteilt haben.
Im dienstlichen/geschäftlichen Einsatz von WhatsApp sollten dringend dienstliche/geschäftliche Mobiltelefone zum Einsatz kommen, die eine Vermischung privater und dienstlicher/geschäftlicher Kontakte vermeiden und deren Adressbücher ausschließlich Telefonnummern der WhatsApp-Kontakte enthalten.
Als problematisch erweist sich in diesem Zusammenhang zumeist die Nutzung privater Mobiltelefone für dienstliche/geschäftliche Zwecke, da es hierbei zu einer Vermischung privater mit dienstlichen/geschäftlichen Daten kommt. Weiterhin hat der Arbeitgebende nur bedingt Einflussmöglichkeiten auf die Konfiguration der privaten Geräte und deren Nutzung.
WhatsApp als Messenger-Dienst ist also nicht a priori datenschutzwidrig. Ein datenschutzkonformer WhatsApp-Einsatz ist unter bestimmten Voraussetzungen möglich. Hierzu zählen:
- der Einsatz aktueller Software-Versionen, um eine Verschlüsselung der Kommunikationsinhalte zu gewährleisten;
- der Einsatz dienstlicher/geschäftlicher Mobiltelefone; eine Nutzung privater Endgeräte kommt nur ausnahmsweise und verbunden mit tragfähigen Container-Lösungen in Betracht;
- die Nutzung eines Telefonbuchs mit ausschließlich WhatsApp-Kontakten oder eine Sperre des Adressbuchzugriffs durch WhatsApp;
- die Aktivierung der Verschlüsselung bei Cloud-Backups;
- die Sicherstellung, dass Chat-Anhänge nicht in der Mediathek des Mobiltelefons gespeichert werden bzw. Dritt-Applikationen keinen Zugriff darauf haben;
- eine ausreichende Absicherung der Endgeräte (Zugriffssperre, Verschlüsselung).