Einsatz von WhatsApp durch saarländische Kommunen

Bereits im vergangenen Jahr hatte die Landesbeauftragte für Datenschutz die WhatsApp-Angebote einzelner saarländischer Kommunen auf ihre Vereinbarkeit mit datenschutzrechtlichen Vorschriften überprüft.

Gegenstand der Prüfung waren dabei auch die Aspekte, die als Gegenstand der aktuell geführten öffentlichen Diskussion in der Berichterstattung des SR vom 15. Januar 2020 „Piraten kritisieren WhatsApp-Einsatz von Gemeinden“ aufgegriffen worden sind. Im Rahmen dieser Prüfung konnten keine Verstöße gegen datenschutzrechtliche Vorschriften festgestellt werden.

Gleichwohl ist es wichtig darauf hinzuweisen, dass die Vereinbarkeit der in dem Beitrag des SR beschriebenen Verarbeitung von Metadaten durch den Messenger-Dienst mit europäischen Datenschutzvorgaben fraglich ist. Aus datenschutzrechtlicher Sicht stellt sich jedoch die Frage, ob die Kommune für diese datenschutzrechtlich fragwürdige Datenverarbeitung durch WhatsApp (mit)verantwortlich ist.

Anders als etwa im Rahmen des Betriebs einer Facebook-Fanpage „profitiert“ die Kommune nämlich nicht von der Verarbeitung von Metadaten durch WhatsApp. Nach der Rechtsprechung des Europäischen Gerichtshof ist für Fanpage-Betreiber eine (Mit-)Verantwortlichkeit zu bejahen, wenn diesen die von Facebook erhobenen Daten in Form von statistischen Auswertungen, oft auch als Reichweitenanalyse bezeichnet, zur Verfügung gestellt werden, um das eigene Angebot den Präferenzen ihrer Nutzer anpassen und dieses optimieren zu können. WhatsApp stellt den Kommunen allerdings derartige Auswertungen nicht zur Verfügung.

Auch was die technische Umsetzung des WhatsApp-Angebotes bei den Kommunen angeht, konnten wir keine Verstöße feststellen. Die von uns geprüften Angebote laufen nicht auf einem klassischen Mobilfunkgerät, sondern die WhatsApp-Anwendung wird in einer virtualisierten IT-Umgebung abgeschottet und isoliert betrieben, was einen Zugriff auf das Adressbuch ausschließt. Somit werden WhatsApp durch die Kommune auch keine Telefonnummern oder Kontaktdaten der Bürger zur Verfügung gestellt. Diese haben es vielmehr in der Hand durch eine eigenverantwortliche Nutzung des Messaging-Dienstes WhatsApp, ihre personenbezogenen Daten an das Unternehmen zu übermitteln und die diesbezüglichen Geschäftsbedingungen zu akzeptieren. Anders wäre dies indes zu beurteilen, wenn die Kommune den Bürger über WhatsApp kontaktiert, ohne dass dem eine vorherige Anfrage des Bürgers vorausgeht.

Ebenfalls geprüft haben wir, inwiefern bei der Nutzung von WhatsApp personenbezogene Informationen, die in den Nachrichtentexten und -inhalten enthalten sein können, gegenüber WhatsApp offenbart werden. Die dabei zur Anwendung kommende Ende-zu-Ende-Verschlüsselung, die von WhatsApp in einem Security Whitepaper genauer beschrieben wird, entsprach nach unserer Bewertung dem Stand der Technik, sodass davon ausgegangen werden kann, dass technisch sichergestellt ist, dass WhatsApp keine Kenntnis von den Inhalten der Kommunikation zwischen Bürger und Kommune erhält.

Aus datenschutzrechtlicher Sicht ist die Eröffnung einer Kontaktmöglichkeit für Bürger über WhatsApp durch Kommunen daher nicht zu beanstanden. Hiervon getrennt ist jedoch die Frage zu beantworten, ob staatliche Stellen es mit ihrer aus dem Grundgesetz folgenden Schutz- und Gewährleistungspflicht vereinbaren können, wenn sie Dienste eines Dritten in Anspruch nehmen, dessen Geschäftsmodell auf datenschutzrechtlich fragwürdigen Methoden basiert. Dabei beschränkt sich die Kritik nicht auf bestimmte Messenger- oder Social-Media-Dienste. Dies ist jedoch keine Frage die primär datenschutzrechtlich, sondern vorrangig politisch und gesellschaftlich beantwortet werden muss.

Nachtrag vom 20.03.2020: Klarstellend wird darauf hingewiesen, dass Gegenstand unserer Pürfung nicht das Produkt WhatsApp Business API, sondern nur das Produkt WhatsApp Business war, das als separate Android und iOS-App genutzt werden kann. Nähere Ausführungen können unserem 28. Tätigkeitsbericht 2019 entnommen werden.

Pressekontakt:

Telefon: 0681/94781-24
E-Mail: medien (at) datenschutz.saarland.de