Wie man WhatsApp und die DSGVO unter einen Hut bringt

Nach den Datenskandalen um Facebook ist mit der vollständigen Inkraftsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) auch der zu Facebook gehörende Nachrichtendienst WhatsApp in die Diskussion geraten. Denn der Messenger benötigt Zugriff auf das Adressbuch. Sind dort auch geschäftliche Kontakte zu finden, könnte eine Verletzung des Datenschutzes vorliegen. Doch es gibt Abhilfe.

WhatsApp gehört zu den beliebtesten Messenger-Diensten in Österreich und Europa. Nachrichten kann man über die App nur mit Personen aus dem eigenen Adressbuch austauschen. Der Dienst verlangt deshalb Zugriff auf die gespeicherten Kontakte, auch um festzustellen, wer gerade online ist. Nach eigenen Angaben von WhatsApp wird dabei nur ein Live-Abgleich über die Telefonnummer durchgeführt. Diese werde nicht dauerhaft gespeichert, und der zu der Telefonnummer gehörende Name werde ebenfalls nicht übertragen, die Anzeige in der Applikation hole die Daten direkt aus dem Adressbuch.

Das Problem

Ob das so zutrifft kann der einzelne Nutzer nicht überprüfen. Zudem kann nicht ausgeschlossen werden, dass Informationen über Kommunikationspartner mit den zahlreichen Metadaten, deren Verwendung sich WhatsApp in den Nutzungsbedingungen genehmigen lässt, an den US-amerikanischen Messenger-Dienst und seine Konzernmutter Facebook übertragen werden. Der Anbieter selbst stellt sich juristisch von jeder Verantwortung frei: „Im Einklang mit geltenden Gesetzen stellst du uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und anderen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung, darunter sowohl die Nummern von Nutzern unserer Dienste als auch die von deinen sonstigen Kontakten“, heißt es da.

Auch sonst weckt das Unternehmen Zweifel an der Ernsthaftigkeit seiner Datenschutzbemühungen. So brachte WhatsApp-Mutter Facebook einen Teil der in Europa gespeicherten Daten vor den Datenschützern „in Sicherheit“. Und die 2014 erlassenen Auflagen, die einen Datenaustausch zwischen Facebook und WhatsApp untersagten, die auch vom Hamburger Verwaltungsgericht im März 2018 nochmals bestätigt wurden, ignoriert der Konzern seit dem 25. Mai 2018. Er beruft sich auf das in der DSGVO verankerte „berechtigte Interesse“ und hofft anscheinend darauf, dass die nun zuständigen Gerichte in Irland weniger streng urteilen als die deutschen.

DSGVO erzeugt Druck

Das bedeutet: Allein der Nutzer ist für die Einhaltung der DSGVO verantwortlich. Angesichts der Intransparenz der Datenverarbeitung auf Seiten Facebooks und der immer neuen Datenskandale hatte ein Gericht in Bad Hersfeld im vergangenen Jahr geurteilt, die Nutzung von Whatsapp berge ein Abmahnrisiko, wenn nicht von jedem Kontakt im Adressbuch eine schriftliche Zustimmung zur Datenweitergabe vorliege (Beschl. v. 15.05.2017, Az.: F 120/17 EASO).

Im verhandelten Fall – es ging um die Smartphone-Nutzung eines Kindes – gab es etwa 20 Einträge im Adressbuch, da mag es noch möglich sein. Bei einem Smartphone, das privat und beruflich genutzt wird, geht die Zahl der Kontakte schnell in die hunderte oder tausende, da ist ein solches Vorgehen illusorisch. Dennoch muss sichergestellt werden, dass die Datenschutz-Regeln eingehalten werden. Bei einem Firmengerät liegt dies nicht allein in der Verantwortung des Nutzers, sondern auch beim Unternehmen. Denn Verstöße gegen die DSGVO können mit Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes (je nachdem welcher Betrag höher ist) geahndet werden.

Unterschiedliche Lösungsansätze

Grundsätzlich gibt es zwei Möglichkeiten, wie die Datensicherheit im Fall von Whatsapp sichergestellt werden kann: Entweder wird der Nutzer komplett an der Verwendung der App gehindert, oder man unterbindet den Zugriff der App auf die geschäftlichen Kontakte. Dazu bedarf es des Zugriffs der IT-Administration auf das Smartphone oder das Tablet mittels MDM (Mobile Device Management) oder EMM (Enterprise Mobility Management). Damit können Funktionen von Applikationen gesteuert und eingeschränkt werden oder Geräte, die aufgrund von ungenehmigten Installationen nicht mehr den Compliance-Vorgaben entsprechen, vom Unternehmensnetz abgetrennt werden. Einen Vergleich von fünf verbreiteten Lösungen finden Sie hier: Mobile Security: 5 EMM-Suiten im Vergleich

Was sich in der Theorie als einfaches technisches Problem anhört, ist in der Praxis mit erheblichen Problemen verbunden. So zeigt sich, das Smartphones, die vollständig gemanaged werden („Supervised Mode“), so dass der Nutzer beispielsweise keinerlei Apps selbst installieren darf, oft nicht akzeptiert und nur bedingt genutzt werden. Lösungen, die auf PIM-Container-Apps setzen, so dass für geschäftliche Kontakte und Termine eine eigene, sichere Umgebung eingerichtet wird, schränken die Nutzbarkeit des Smartphones ebenfalls stark ein, wenn zum Beispiel ankommende Anrufe nur mit Nummer, nicht mit Namen angezeigt werden oder die Freisprecheinrichtung keine geschäftlichen Kontakte anwählen kann. Gefragt ist deshalb eine Lösung, die auf der einen Seite eine sichere Trennung zwischen geschäftlichen Daten und privaten Apps ermöglicht, auf der anderen Seite nicht die Integration von Kalender und Adressbuch in die PIM-Funktionalität des Smartphones stört.

Aktiver Datenschutz von Apple

Der Hersteller von iOS und MacOS zeigt sich grundsätzlich an der Seite der Nutzer und verschafft unter den eigenen Kunden dem strengen europäischen Datenschutz weltweite Gültigkeit. Mit der zum 22. Mai 2018 aktualisierten Datenschutz-Richtlinie von Apple können nun alle Kunden weltweit die über sie gespeicherten Daten DSGVO-konform abrufen und bearbeiten. Zugleich informiert der Hersteller seine Kunden über den Schutz des Gerätezugangs und seiner persönlichen Daten.

Das von Apple propagierte Konzept von Datenschutz und Privacy zeigt sich auch in seinen Betriebssystemen. Die zeitweise tiefe Integration von Facebook in das Smartphone- und Tablet-Betriebssystem iOS wurde mit Version 11 wieder entfernt, mit dem Inkrafttreten der DSGVO wurden auch Schnittstellen von MacOS zu Facebook gekappt, und in den im Herbst erscheinenden neuen iOS- und MacOS-Versionen will Apple sogar explizit die Nutzerzustimmung einholen, wenn Websites Nutzerdaten übertragen wollen. Das betrifft beispielsweise Like- und Share-Buttons oder Kommentar-Felder, die so ausgestaltet sind, dass bereits der Aufruf der Seite dazu führt, dass an Facebook & Co. bestimmte Daten weitergeleitet werden.

Besonders einfach mit iOS

Darüber hinaus  wurden in iOS 11.3 bereits Funktionen verankert, die eine Trennung zwischen privaten und geschäftlichen Kontakten ermöglichen. Damit wird eine DSGVO-konforme Nutzung von WhatsApp besonders einfach. Zugleich behalten die Nutzer die Möglichkeit, die Geräte zu personalisieren und trotzdem produktiv zu nutzen. Denn die Smartphones und Tablets werden mittels EMM nur zum Teil verwaltet. Geschäftliche Accounts, Apps, Mails, Kontaktdaten und Kalender können von der IT-Administration definiert und gemanaged werden. Über alles andere – also im Prinzip den „privaten“ Teil des Geräts – behält der Nutzer die Kontrolle.

Mit dieser seit Frühjahr 2018 verfügbaren Version von iOS wurde die interne Verwaltung bestimmter Daten geändert („Open in Management“) und beispielsweise „Managed Contacts“ eingeführt. So werden Einträge im Adressbuch nun als Dokumente behandelt. Dementsprechend wirkt sich die Einstellung für verwaltete Dokumente im EMM auch auf Kontakte aus, die aus dem geschäftlichen Exchange-Account stammen. So können diese Einträge mit allen Funktionen des Adressbuchs genutzt werden. Private Applikationen, die nicht vom EMM gemanaged werden – und hier ist neben anderen auch WhatsApp zu nennen – wird dagegen der Zugriff auf die geschäftlichen Daten verwehrt.

Tipps für die Praxis

Die Trennung der Daten in geschäftlich und privat erfolgt anhand unterschiedlicher Accounts. Geschäftliche Apps, e-Mail-, Kalender- und Kontakte-Konten werden über den DEP-/VPP-Account des Unternehmens verknüpft und über das EMM ausgerollt. Wichtig ist, dass zu diesem Zeitpunkt kein privater Exchange-Account installiert ist und noch keine privaten Apps installiert sind. Bei Bedarf sind diese zu löschen. Nach erfolgter Datentrennung können diese neu installiert werden. Im EMM kann die Datentrennung anhand der Open-in-Management-Features nach Bedarf eingestellt werden. In der Regel sollten Nutzer-Accounts und Apps, die mit der Apple-ID des Nutzers verknüpft sind und daher als privat gelten, keinen Zugriff auf die geschäftlichen Daten haben.

Abseits der Apple-Welt

Anders stellt sich die Situation im Android-Lager dar. Hier sollte das spezielle Android Enterprise eingesetzt werden, das spezielle Management-Funktionen mitbringt. Eine Datentrennung kann durch eine Gerätepartitionierung realisiert werden, bei der Unternehmens- und Privatdaten komplett getrennt werden – mit den oben genannten Einschränkungen bei der Nutzbarkeit. Dafür wird die G-Suite oder ein sogenannter Managed Google Play Store Account vorausgesetzt. Der alternativ mögliche Device Owner Mode funktioniert nur auf ausgewählter Hardware und entspricht dem Supervised Mode von iOS. Damit kann beispielsweise die Installation von WhatsApp vollständig unterbunden werden.

Speziell auf Samsung-Geräten gibt es darüber hinaus den Samsung Knox Workspace. Diese lizenzpflichtige Lösung funktioniert ähnlich dem Device Owner Mode von Android Enterprise, ist aber aufgrund der engen Integration mit der Samsung-Hardware mit mehr Funktionen ausgestattet. Der Listenpreis beträgt 2,88 Euro pro Gerät und Monat, im Rahmen von EMM-Aufpreis-Lizenzierungen können die Kosten auf rund 2 Euro pro Gerät und Monat sinken.

Fazit

Es zeigt sich, dass Apple große Anstrengungen unternimmt, die Daten seiner Nutzer zu schützen und diese auch selbst dabei zu unterstützen, ihren gesetzlichen Verpflichtungen im Rahmen der DSGVO nachzukommen. Kein anderer Hersteller bietet eine so einfache und tiefgreifende Integration von Datenschutz-Funktionen in sein Betriebssystem an. Damit wird die Umsetzung der Datenschutz-Anforderungen gemäß der DSGVO extrem elegant gelöst, ohne dass zusätzliche Verwaltungs- oder Container-Apps auf dem Gerät installiert werden müssen. Sichere Trennung privater und geschäftlicher Daten, hohe Funktionalität für die Nutzer, geringer Aufwand auf Seiten der IT-Administration und keine zusätzlichen Kosten zeichnen die Apple-Plattform aus.