Daher: WhatsApp nicht auf beruflichen Geräten nutzen.
Seit Jahren warnen der IVVA und ich. Heute greifen wir wieder einen aktuellen Anlassfall auf, um Sie neuerlich vor WhatsApp zu warnen, da dieses Tool nicht DSGVO-konform ist.
Zum Nachlesen:
https://ivva.at/whatsapp-daten-gehen-an-facebook-daher-nicht-beruflich-nutzennl-1b-21/
https://ivva.at/whatsapp-nicht-beruflich-nutzen-alternativen-nl-5b-21/
Zum Anlassfall:
Diese Woche wurde bekannt, dass Finanzdienstleistern in den USA von der amerikanischen Wertpapieraufsicht SEC hunderte Millionen Strafe aufgebrummt wurde. FondsProfessionell bzw. die Frankfurter Allgemeine Zeitung berichteten darüber, dass nun 26 Banken und Versicherungen eine Strafe in Höhe von insgesamt 393 Millionen US-Dollar zahlen müssen. Das ist der momentane Höhepunkt, doch die SEC untersucht bereits seit Monaten die Nutzung von Nachrichtendiensten wie etwa WhatsApp in der Finanzbranche.
Diese neuen Strafen kommen zu jenen Milliarden-Strafen dazu, die die SEC bereits im September 2022 ausgesprochen hatte. Damals wurden 16 Banken für Gespräche über solche Chat-Kanäle mit insgesamt 1,1 Milliarden Dollar bestraft. 8 x sei die Höchststrafe von 125 Mio. $ verhängt worden.
Der Grund für die Strafen waren aber nicht Datenschutzbedenken, sondern die Tatsache, dass Wertpapiergesetze wie MiFID fordern, dass die Kundenkommunikation dokumentiert und archiviert werden muss. Wenn also Finanzdienstleister oder Banker mit Kunden über WhatsApp kommunizieren, dann verletzen sie diese Wertpapiervorschriften.
Laut Medienbericht untersucht neben der SEC auch die deutsche Bafin bzw. die britische FCA die WhatsApp-Nutzung und damit verbundene Beeinträchtigung des Anlegerschutzes.
Und was ist mit der DSGVO?
Die obigen Strafen wurden ausgelöst durch eine technische Sicherheitsmaßnahme von WhatsApp, nämlich der end-to-end-Verschlüsselung des Gespräches. Dadurch erhalten die Nutzer die Garantie, dass niemand mitliest, weder WhatsApp noch unerwünschte Dritte. Damit kann nicht nachvollzogen werden, was der Berater mit dem Kunden wirklich besprochen hatte, was der Dokumentationspflicht widerspricht.
Der IVVA und ich warnen bereits seit Jahren vor WhatsApp, weil es zumeist nicht DSGVO-konform eingesetzt wird. Leider hat auch der WhatsApp-Mutter-Konzern Meta zum Misstrauen selbst beigetragen, weil er im Vorjahr mehrmals auf das Akzeptieren neuer Nutzungsbedingungen bei WhatsApp drängte, wo davon die Rede war, dass Daten an Meta-Töchter wie Facebook weitergeleitet werden können, „um ein besseres Nutzererlebnis zu ermöglichen“.
Seit damals findet man aber mehrere Beiträge, die darauf hinweisen, dass das Hauptproblem gelöst sei, weil die EU nun nicht mehr so genau hinschaut oder bewusst ignoriert, dass die strengen europäischen Datenschutzerfordernisse in den USA für Europäer nicht gelten.
Zwar gab es bereits zwei Mal den Versuch, das Problem durch einen politischen Vertrag zu lösen. Stichworte dazu sind Safe-Harbour bzw. Privacy Shield. Mit diesen Abkommen versuchten die EU-Kommission und die USA ein formales Abkommen zu schließen, in dem sozusagen festgelegt wird, dass europäische Daten auch im Ausland verarbeitet werden dürfen, wenn einige Minimum-Bedingungen erfüllt werden.
Als dann aber bekannt wurde, dass US-Geheimdienste und andere Behörden ungehindert auf Server von US-Konzernen (somit auch Facebook und Google) zugreifen können, hat der österreichische Datenschützer Max Schrems den Europäischen Gerichtshof angerufen und zwei Mal Recht bekommen. Der EuGH kippte diese beiden Abkommen, erklärte sie für ungültig und die Datenübertragung in die USA als ungesetzlich, da der Datenschutz nicht gewährleistet ist.
EU startet 3. Versuch „zur Legalisierung“
Am 25. März 2022 trafen sich Joe Biden und Ursula von der Leyen und lösten am selben Tag das Problem, das sämtliche Juristen bislang nicht lösen konnten. Laut Max Schrems ist das angeblich „neue“ transatlantische Datenschutzabkommen weitgehend eine Kopie des gescheiterten „Privacy Shield“-Abkommens.
Anders als von der Europäischen Kommission behauptet, ändert sich am US-Recht wenig: Das grundsätzliche Problem der Überwachung „dank FISA 702“ wurde von den USA nicht angegangen, wodurch nach wie vor nur US-Personen verfassu ngsmäßige Rechte haben und nicht anlasslos überwacht werden dürfen.
Also hat Max Schrems bereits neuerlich ein Verfahren vor dem Europäischen Gerichtshof angestrengt und dieser kann wohl wieder nur zur gleichen Entscheidung kommen, wie die beiden Male davor.
Bis zum 3. Urteil des EuGH zum Datentransfer in die USA argumentieren nun manche, dass der Datentransfer in die USA nicht gesetzwidrig sei und daher auch eine WhatsApp-Nutzung erlaubt sei.
Dies ist allerdings nicht korrekt. Denn wenn Sie WhatsApp nutzen, verstoßen Sie auch weiterhin gegen die DSGVO (selbst wenn man die Aufkündigung des Privacy-Shield-Abkommens durch den EUGH ignoriert).
Dank Datensammelwut von WhatsApp wird Ihr Adressbuch zum Datenschutz-Problem!
Wir erinnern uns: Wir sind durch die DSGVO verpflichtet, die Daten der Partner, Kunden, etc. zu schützen und dürfen diese keinesfalls – ohne Zustimmung all Ihrer Kontakte – an Dritte (hier WhatsApp, Facebook) weiterleiten.
Daher empfehle ich schon seit Jahren, nicht mit WhatsApp zu arbeiten. Denn wenn Sie das tun, stimmen sie laut Nutzungsbedingungen zu, dass alle Daten aller Ihrer in WhatsApp gespeicherten Kontakte an WhatsApp weitergeleitet werden dürfen. Und sie haben bestätigt, dass Sie dazu das OK aller Ihrer Kontakte besitzen. Was Sie keinesfalls haben.
Wie problembewusst manche Datenschutzbehörden bereits im Jahre 2015 waren, zeigt folgendes Zitat aus dem Tätigkeitsbericht 2015/16 des „Bayrischen Landesamt für Datenschutz“, das einige Punkte an WhatsApp kritisierte, u.a.
„Datenschutzrechtlich problematisch bleibt darüber hinaus weiterhin die Verarbeitung von Metadaten zu den Nachrichten in den USA sowie die Erhebung der Kontaktdaten aus dem Adressbuch der Nutzer. Ebenso bleibt letztendlich kritisch, wie das „Zusammenwirken“ von WhatsApp und Facebook tatsächlich abläuft bzw. ablaufen wird.“
Daher mein Rat: Hände weg von WhatsApp im Geschäftsbereich!
Es gibt zahlreiche andere Anbieter, besonders Signal gilt als der Favorit hinsichtlich Datenschutz!
Während Signal keinerlei Daten absaugt, greift WhatsApp auf eine Fülle von (Meta-)Daten zu (u.a. eigene Telefonnummer, eindeutige Hardware-Identifikation (die sogenannte Geräte-ID), alle Kontakte, Nutzungs-, Standort- und Diagnose-Daten, dazu Infos von Käufen, etc. Alles wunderbar geeignet, um ein Profil von einem selbst und aller Kontakte zu erstellen.
Daher: Hände weg von WhatsApp und Facebook für berufliche Zwecke!
Sollten Sie allerdings einen Anschlag planen, verwenden Sie bitte WhatsApp, damit die US-amerikanischen Sicherheitsbehörden darauf zugreifen und uns warnen können. Denn unsere Sicherheitsbehörden dürfen dies nicht.
Beste Grüße von RA Mag. Novotny und dem IVVA-Team.
Sollten Sie noch keinen Anwalt haben: Mag. Stephan Novotny, ein auf Versicherungs- und Datenschutzrecht spezialisierter Fachanwalt steht gerne zur Verfügung, für IVVA Mitglieder sogar zum Spezialpreis.
RA Mag. Stephan Novotny, Foto: Stephan Huger
RA Mag. Stephan Novotny
1010 Wien, Landesgerichtsstraße 16/12