Kompakt informieren
- Mit deutschem Recht ist WhatsApp so wenig vereinbar, dass bei Auseinandersetzungen über den gewerblichen Gebrauch kaum Chancen bestehen, dass ein Versicherungsschutz greift.
- Problematisch sind Verstöße gegen den Datenschutz, die gesetzlich mit einem hohen Strafmaß belegt sind.
- Gegen die rechtlich problematische Weitergabe der Kontakt- und Telefonbuchdaten kann man nicht wirksam widersprechen, rückgängig machen kann man sie ohnehin nicht.
- Bei der gewerblichen Nutzung durch Architekten und Ingenieure sind zudem die Aufbewahrungsfristen sicherzustellen.
WhatsApp hat kommerziellen Anbietern endlich offiziell die Tür geöffnet. Deutlich wird dies aus der letzten deutschsprachigen Übersetzung der englischen AGB (Stand: 20. September 2016). Dort heißt es:
„Kommerzielle Nachrichten. Wir werden dir und Dritten, wie z. B. Firmen, gestatten, über WhatsApp miteinander zu kommunizieren, beispielsweise über Informationen zu Bestellungen, Transaktionen und Terminen, Liefer- und Versandbenachrichtigungen, Aktualisierungen von Produkten und Dienstleistungen und Marketing. So kannst du zum Beispiel Informationen zum Flugstatus für eine bevorstehende Reise, einen Zahlungsbeleg für etwas, das du gekauft hast, oder eine Benachrichtigung bezüglich eines Liefertermins erhalten. Nachrichten, die du erhältst, die Marketing enthalten, könnten Angebote zu etwas enthalten, das dich interessiert. Wir möchten nicht, dass du das Gefühl hast, Spam zu erhalten. Wie mit allen deinen Nachrichten kannst du auch diese Kommunikation verwalten und wir werden uns nach deiner Auswahl richten.“
Ende des „personal use“ – alles gut?
Mit der Klarstellung in den AGB dürfte allen ein Stein vom Herzen fallen, die sich in der Vergangenheit nicht an diesen Teil der Nutzungsbedingungen gehalten haben. Bisher war nämlich ausschließlich ein „personal use“ zugelassen. Firmen und Freiberufler, die den WhatsApp-Messenger vor 2016 verwendet haben, um sich als modern und zukunftsgewandt zu präsentieren, haben also in aller Regel gegen die Nutzungsbedingungen verstoßen.
Nun ist der bestimmungswidrige Gebrauch in der Geschäftspraxis eine Frage der unternehmerischen Integrität. Sie soll hier jedoch nicht zur Beurteilung anstehen. Hingewiesen sei nur darauf: Es ist bis heute nicht bekannt, dass WhatsApp jemals eine Ausnahmevereinbarung für ein außeramerikanisches Unternehmen ausgestellt hat, welche in der Vergangenheit eine dienstliche oder gewerbliche Nutzung erlaubt hätte.
Achtung Minenfeld: Übermittlung von Kontakt- und Telefonbuchdaten
Das Problem, um das es hier geht, ist schwerwiegender und dauerhaft. Folgendes ist im Umgang mit WhatsApp zu beachten: Bei jeder Installation werden die Kontaktdaten aus dem Endgerät des Users ausgelesen und an Facebook zu analytischen und Werbezwecken sowie zur Weitergabe an Dritte überlassen (WhatsApp gehört seit 2014 zur Facebook Inc.). Dies betrifft die Daten eines jeden Kontakt- und Telefonbucheintrags, der auf der ersten (und zweiten) Sim-, der SD-Karte und im internen Speicher eines Geräts hinterlegt ist.
Einer Übertragung dieser Daten kann man nicht widersprechen. Das ist nicht mit dem Widerrufen oder Widersprechen der Nutzungs- und Datenschutzbedingungen zu verwechseln, die WhatsApp anbietet.
Sofern ein WhatsApp-Nutzer nicht von allen Personen seiner Kontaktliste eine schriftliche Zustimmung beigezogen hat oder diese Daten für WhatsApp unbrauchbar oder mittels einer Software unauffindbar gemacht hat, liegt de facto ein Verstoß gegen § 202a Ausspähen von Daten StGB vor.
„(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.“
Entgegen der allgemein üblichen Einschätzung handelt es sich bei der Verwendung nicht um eine „Grauzone“, das Gesetz macht keine Ausnahmen.
Straftatbestände in der privaten und gewerblichen Anwendung
Damit stellt sich die Frage, warum bisher in Deutschland keine signifikante Anzahl an Verfahren und Urteilen im Sinne des § 202a StGB vermeldet werden. Dass in Deutschland noch so gut wie keine Gerichtsprozesse vorkommen, liegt vorrangig daran, dass aufgrund der schieren Masse privater Verstöße die Staatsanwaltschaften kein Interesse an der Strafverfolgungen ebenjener privater Nutzer haben dürfte, zumal der Fokus der Strafverfolgung mehr auf dem Ausspähen als auf der unerlaubten Weitergabe von Daten liegt.
Es gibt bisher auch praktisch keine Anzeigen und keine Zivilprozesse. Das hat zwei Gründe: Zum einen werden betroffene Kontakte gar nicht wissen, wer ihre Daten an Facebook gesendet oder sie einem Marketingunternehmen zu Verfügung gestellt hat; zum anderen dürfte eine Vielzahl derer, die ihre Daten gegenseitig in ihren mobilen Telefonbüchern hinterlegt haben, meist einander positiv gegenüber gesonnen sein.
Das ändert allerdings nichts daran, dass schon in all diesen privaten Fällen immer mit Verstoß gegen § 202a StGB ein Straftatbestand vorliegt, der eine Freiheitsstrafe von bis zu drei Jahren oder eine Geldstrafe vorsieht.
Im dienstlichen, freiberuflichen oder gewerblichen Umgang mit WhatsApp sieht es noch düsterer aus. Der oben genannte Straftatbestand trifft auch hier zu. Hinzu addieren sich darüber hinaus auch noch Verstöße gegen das Bundesdatenschutzgesetz (BDSG). Es sieht nicht nur empfindliche Strafen vor, sondern könnte künftig auch im Fokus der „Prozessindustrie“, als von Abmahnern und Datenschutzermittlern, stehen.
Die Widerspruchserklärung von WhatsApp ist kein Ausweg
Bietet WhatsApp gewerblichen Anbietern eine Möglichkeit, dieses Problem bei Neuanmeldung auszuschließen bzw., wenn man die App schon nutzt, etwaige Verstöße „rückgängig“ zu machen?
Wer WhatsApp schon vor der Änderung der AGB am 25. August 2016 genutzt hat, wird seinen in der Vergangenheit begangenen Verstoß nicht mehr los, denn die übermittelten Daten können (Stand: Oktober 2016) nicht mehr rückwirkend für WhatsApp gesperrt werden. Wenn man sich den von WhatsApp angebotenen Widerruf genauer anschaut wird deutlich, dass er an einem solchen Begehren vorbeiführt.
Was regelt der Widerruf, den WhatsApp anbietet? Seine Formulierung weist sowohl im Originaltext als auch in der Übersetzung eine gewisse Unschärfe auf: „Auswahlmöglichkeiten, die du hast. Wenn du ein bestehender Nutzer bist, kannst du wählen, deine WhatsApp-Account-Informationen nicht mit Facebook zu teilen, um deine Facebook-Werbung und Produkterlebnisse zu verbessern. Bestehende Nutzer, die unseren aktualisierten Nutzungsbedingungen und der Datenschutzrichtlinie zustimmen, haben weitere 30 Tage Zeit, diese Auswahl zu treffen, indem sie zu Einstellungen > Account gehen.“
Durch Widersprechen und Einstellungen kann also die zielgerichtete Werbesendung an bestimmte Kontakte unterbunden werden. Das, was WhatsApp dem User damit sagen will, wird von Verbraucherschutzzentralen und Datenschützern unterschiedlich interpretiert: Es ist unklar, ob damit gemeint ist, dass auf dem eigenen Facebook-Profil, sofern man eines hat, kein Banner oder Werbung geschaltet wird oder ob keine Werbung an die über den Nutzer von WhatsApp gewonnenen Kontakte gesandt wird.
Für das Vorliegen eines Straftatbestands und des Verstoßes gegen die Datenschutzgesetze ist dieser Widerspruch jedoch unerheblich. Diese liegen weiterhin vor, weil der Datenexport nicht rückgängig zu machen ist! Was mit den gewonnenen Daten geschieht, bleibt weiterhin Firmengeheimnis von WhatApp (respektive Facebook). Was WhatsApp sammelt, führen die Nutzungsbedingungen ebenfalls aus – und dazu gibt es keinen Widerruf:
„Du akzeptierst unsere Datenpraktiken, einschließlich des Sammelns, der Verwendung, der Verarbeitung und des Teilens deiner Informationen gemäß Darlegung in unserer Datenschutzrichtlinie, sowie die Übertragung und Verarbeitung deiner Informationen in die/den USA und andere/n Länder/n weltweit, in denen wir Einrichtungen, Dienstleister oder Partner haben bzw. einsetzen, und zwar unabhängig davon, wo du unsere Dienste nutzt. Du erkennst an, dass die Gesetze, Vorschriften und Standards des Landes, in dem deine Informationen gespeichert oder verarbeitet werden, von denen deines eigenen Landes abweichen können.“
Die Schwere der Verstöße gegen Datenschutzrichtlinien dürfte übrigens umso gravierender ausfallen, je weiter der WhatsApp-Gebrauch in der Vergangenheit liegt. Einen ersten Eindruck der Sicherheitslücken, die sich in der Geschichte dieses Dienstes angesammelt haben, reicht ein kurzer Blick in den Wikipedia-Artikel.
Kein Versicherungsschutz bei kommerzieller Nutzung
Datenschutzbeauftragte einzelner Länder, z. B. Kanada, die Niederlande und Deutschland, haben bereits seit den Anfängen des Dienstes 2009 vor den Sicherheitslücken sowie der Datenverarbeitung, der man mit dem Klick auf die AGB zugestimmt hat, gewarnt. Später wurde von dieser Seite in öffentlichen Bekanntgaben regelmäßig gänzlich vom Einsatz der Software abgeraten.
Sollten also zukünftig aus der WhatsApp-Nutzung Ansprüche gestellt oder Bußgelder erhoben werden, so gehen diese regelmäßig mit einem Straftatbestand einher. Und damit fällt die Nutzung regelmäßig aus dem Versicherungsschutz einer jeden Versicherungsform heraus. Auch Spezialstraf- oder Firmenrechtsschutzversicherungen werden i. d. R. wirkungslos sein bzw. müssen bereits erfolgte Kostenübernahmen dem Versicherer zurückerstattet werden, sobald ein Bußgeld i. S. § 43 BDSG beschieden wird.
In der Berufshaftpflicht des Architekten und Ingenieure kann ebenfalls kein richtiger Versicherungsschutz gewährt werden. Je nach Versicherungsgesellschaft kann gemäß derer besonderer Bedingungen und Risikobeschreibungen hilfsweise noch Rechtsschutz für die Abwehr bei Strafverfahren verlangt werden. Dieser steht jedoch infrage, wenn aus dem billigend-in-Kauf-Nehmen möglicher Folgen auf Vorsatz anerkannt wird. Darüber hinaus versagt auch diese Versicherungsform, sobald Bußgelder verhängt werden.
Empfehlungen
Wenn Sie Ihren Kunden einen Support über eine Messenger-Plattform bieten wollen, holen Sie sich zuerst das Einverständnis der Adressaten zur Übersendung solcher Nachrichten ein – unabhängig davon, ob es sich um einen Einzelchat, einen Newsletter oder was auch immer handelt. Verwenden Sie nur solche Dienste, die Sie datenschutzkonform gemäß nationalen und europäischen Richtlinien anbieten können. Binden Sie entsprechende Datenschutzhinweise auf Ihre Webseite ein.
Sollten Sie über Messenger-Plattformen ggf. mit Ihren Auftraggebern / Bauherren kommunizieren, denken Sie daran, diese Daten in ein redundantes System zu exportieren, um die gesetzlichen (und eventuell längere vertragliche) Aufbewahrungsfristen unabhängig von dem Messenger-Dienst auf Ihren eigenen Speichermedien gewährleisten zu können.
Sascha Kopotsch
CREATiVA Finanzmakler GmbH, Geschäftsfeld Ingenieurversicherungen, 45128 Essen, kopotsch@creativa.de, www.ingenieurversicherung.de