Der Einsatz von WhatsApp in der betrieblichen Kommunikation verstößt gegen die Datenschutz-Grundverordnung (DSGVO). Das gilt auch für WhatsApp Business, das keine datenschutzrechtlich relevanten Unterschiede zur herkömmlichen App-Version aufweist. Die niedersächsische Landesbeauftragte für Datenschutz (LfD) hat ein Merkblatt für die Nutzung von WhatsApp in Unternehmen herausgegeben.
Bei WhatsApp registrieren sich die Nutzer mit ihrer Mobilfunknummer. Das Adressbuch der registrierten Nutzer wird ausgelesen, Namen und Mobilfunknummern werden an die Server von WhatsApp übermittelt. Dabei werden auch die Daten von Personen an WhatsApp gegeben, die keine WhatsApp-Kunden sind. Ihre Kontaktdaten dürften nur mit einer wirksamen Einwilligung gemäß Art. 6 Abs. 1 a in Verbindung mit Art. 7 und 8 DSGVO übermittelt werden.
WhatsApp behält sich laut seiner Datenschutzrichtlinie die umfassende Verwendung der persönlichen Daten zu Marketingzwecken vor. Darüber hinaus werden alle Informationen mit anderen Facebook-Unternehmen geteilt. Die Daten fließen damit in die USA.
Die Nutzer sollen laut Vertrag garantieren, dass die Übermittlung rechtmäßig ist. Die Verantwortung für die Übermittlung der Daten liegt damit bei dem Unternehmen, das WhatsApp zur Kommunikation nutzt. Diese Verantwortung kann das Unternehmen aber gar nicht wahrnehmen. Bei der Übermittlung von Adressbuchdaten des Smartphones wird eine Einwilligung kaum vorliegen. Sie einzuholen, ist praktisch nicht machbar.
DSGVO-konform kann WhatsApp nur genutzt werden, wenn die Berechtigung zum Zugriff auf die Kontakte nach der Installation und vor der ersten Anwendung verweigert wird. Dann ist allerdings die Funktionalität der App drastisch eingeschränkt. So kann der Nutzer nicht aktiv kommunizieren, sondern nur selbst angeschrieben werden.
LfD-Merkblatt