Ein modernes Kommunikationsmittel zu nutzen, ist nicht nur zeitgemäß, sondern auch schick und cool. Steuerberater und Rechtsanwälte aber sollten insoweit absolute Vorsicht walten lassen.
WhatsApp ist der weltweit meist genutzte Messenger-Dienst. Stand Februar 2016 wurde die Marke von einer Milliarde Nutzern überschritten. Nach Unternehmensangaben würden mit dem Dienst täglich 42 Milliarden Nachrichten, 1,6 Milliarden Fotos und 250 Millionen Videos versandt. Doch die rechtlichen Fragen im Zusammenhang mit der Nutzung von WhatsApp sind äußerst komplex. Bereits die Einordnung als Telemedien- oder Telekommunikationsdienst bereitet erhebliche Schwierigkeiten. Unter Datenschutz- und Datensicherheitsaspekten ergibt sich zudem eine Vielzahl von Risiken und offenen Fragen. Die Nutzer schreckt das jedoch offensichtlich nicht ab, im Gegenteil: Auch im beruflichen Umfeld verbreitet sich der Dienst immer rasanter. Doch gerade in diesem Bereich sollten die datenschutzrechtlich brisanten Rahmenbedingungen hinreichend beleuchtet und berücksichtigt werden – insbesondere wenn es um Berufsgruppen mit besonderen berufsbezogenen Verschwiegenheits- und Vertraulichkeitsebenen geht, wie zum Beispiel Steuerberater oder Rechtsanwälte.
Der ewige Kritikpunkt der Datensicherheit
In den letzten Jahren sind immer wieder erhebliche Sicherheitslücken von WhatsApp an die Öffentlichkeit gelangt. Backup-Daten wurden beispielsweise unverschlüsselt in der iCloud abgelegt. Auf datenschutzrechtlicher Ebene bedeutet das, dass sämtliche Daten in die USA – also in einen nach europäischem Verständnis „unsicheren“ Drittstaat übermittelt werden, was so ohne Weiteres nicht zulässig ist. Insbesondere vor dem Hintergrund des aktuellen Safe-Harbour-Urteils des EuGH stellt sich die Datenübermittlung in die USA als hochproblematisch dar.
Bereits im Jahr 2012 kritisierte die Stiftung Warentest das Datensendungsverhalten der App, da diese alle gespeicherten Telefonnummern unverschlüsselt an den WhatsApp-Server überträgt, und vergab das Urteil „sehr kritisch“. Auch im Februar 2014 änderte sich nichts an dieser Bewertung. Die App erhielt erneut das Urteil „sehr kritisch“ im Bereich Datenschutz.
Trügerische Sicherheit
Aktuell versucht WhatsApp sein Image in Sachen Datenschutz mit einer neu eingeführten Verschlüsselungstechnik aufzupolieren. Alle über WhatsApp verschickten Nachrichten werden jetzt automatisch verschlüsselt. Niemand kann mehr mitlesen, weder der Anbieter des Programms noch staatliche Sicherheitsorgane, etwa in den USA. Und ein aktueller Test des IT-Fachverlags Heise zeigt: Es funktioniert wirklich. Verfolgt das Unternehmen also einen wirklichen Ansatz zur Erhöhung des Datenschutzes oder ist dies nur ein Tropfen auf dem heißen Stein? Zu bedenken ist, dass für die sichere Kommunikation bestimmte Voraussetzungen erfüllt sein müssen: So funktioniert das Ganze beispielsweise nur, wenn beide Gesprächspartner die neuste WhatsApp-Version installiert haben. Zusätzlich muss der Nutzer die Funktion in den Einstellungen seines Smartphones aktivieren. Die Verschlüsselung gilt nur für die Inhalte einer Konversation, nicht aber für die sogenannten Metadaten, die in diesem Zusammenhang anfallen – wer also wann mit wem Kontakt hat, wird sehr wohl erfasst, gespeichert und eventuell an Dritte weitergegeben. Unabhängig von der als positiv zu betrachtenden Verschlüsselung ist aber zu kritisieren, dass WhatsApp die Nummern der Kontakte auf dem Telefon ausliest und zur WhatsApp-Kontaktliste hinzufügt. Die App greift auf das Telefonbuch der Nutzer zu und verschafft sich so Informationen zu Personen, die den Dienst selbst gar nicht nutzen. Daraus wird klar: Datensicherheit ist nicht immer gleichzusetzen mit Datenschutz. Die Verschlüsselung der Daten auf dem Übertragungsweg betrifft allenfalls die Ebene der Datensicherheit, die größten datenschutzrechtlichen Probleme bleiben hiervon aber nach wie vor unberührt.
Straf- und standesrechtliche Relevanz
Mit der Installation der App auf dem Smartphone werden nämlich vielfältige datenschutzrechtlich bedenkliche Berechtigungen eingeräumt. Insbesondere stellt sich der Zugriff der App auf Adressbuch und Speichermedien des Smartphones unter Datenschutzgesichtspunkten hochproblematisch dar. Eine Übermittlung der Adressdaten zu den Servern von WhatsApp kann in diesem Zusammenhang wohl nicht wirklich verhindert werden. Diese Server wiederum befinden sich in den USA. Allein deswegen müsste WhatsApp – da die Server in den USA stehen – mit jedem Nutzer einen Vertrag schließen, der den Datentransfer dorthin regelt, und die Vereinbarung zusätzlich von den nationalen, beispielsweise deutschen Datenschutzbehörden, genehmigen lassen. Aber damit nicht genug: Die Backup-Strukturen verteilen die Daten der Betroffenen möglicherweise sogar weltweit. Aus datenschutzrechtlicher Sicht bedeutet das, dass die Daten von Mandanten, Kunden und Gesprächspartnern irgendwo liegen, im günstigsten Fall lediglich in den USA – im weiter möglichen Szenario häppchenweise weltweit verteilt, ohne dass der Nutzer die geringste Vorstellung davon hat, wo sie sich tatsächlich befinden. Nicht nur aus datenschutzrechtlicher Sicht ist das ein Horrorszenario. Der Straftatbestand von § 203 Strafgesetzbuch (StGB) und Verstöße gegen das Standesrecht von Rechtsanwälten und Steuerberatern liegen auf der Hand. Schließlich besteht eine ganz besondere Ebene der Verschwiegenheit und Vertraulichkeit, die durch das Mandatsgeheimnis abgesichert werden soll. Mit den beschriebenen Fakten ist das wohl kaum in Einklang zu bringen.
Handlungsempfehlungen
Die Verschlüsselung ist gut, löst aber längst nicht alle Datenschutzprobleme beim Nutzen der App. Dass Firmenchefs aus Bequemlichkeit mit Geschäftspartnern oder Dienstleistern via WhatsApp kommunizieren, ist bedenklich, zumal der Messaging-Dienst keinen Vorteil für den Austausch von betriebswirtschaftlichen Zahlen oder das Unterbreiten von Angeboten erkennen lässt. Vorzuziehen ist hier eindeutig eine speziell dafür entwickelte Software und die Daten dann aus diesem System gut verschlüsselt per E-Mail oder über seriöse Cloud-Dienstleister mit Standort Deutschland an den Empfänger zu schicken. Für Steuerberater und Rechtsanwälte hingegen kann es unter besonderer Berücksichtigung der berufs- und strafrechtlichen Sonderstellung als Träger von Mandatsgeheimnissen nur eine Empfehlung geben: Über diesen Messaging-Dienst dürfen keine vertraulichen Informationen ausgetauscht werden. Kanzleispezifische Daten müssen ausschließlich über ordentlich gesicherte Systeme verschickt werden, um nicht ungewollt auf US-Servern zu landen. Im Ergebnis bedeutet das eine strikte Trennung von privaten und beruflichen Bereichen.
Fazit
Datenschutz und Datensicherheit müssen immer höchste Priorität haben.
Insgesamt wird man WhatsApp wohl kaum mehr aus der Wirklichkeit der modernen Kommunikation verbannen können. Man sollte sich allerdings den faktischen und weitgehend brisanten Rahmenbedingungen nicht verschließen. Die WhatsApp-Verschlüsselung ist ein Anfang, aber kein Allheilmittel. Zwar werden Inhalte geschützt, aber weiter Metadaten gesammelt. Daher ist es undenkbar, auf diesem Weg wichtige Gespräche über Verträge zu führen oder sensible Unternehmens- beziehungsweise Mandantendaten auszutauschen. Datenschutz und Datensicherheit müssen immer höchste Priorität haben, zumal, wenn es eventuell um Daten unbeteiligter Dritter geht. WhatsApp darf also nicht ohne Weiteres mit Betroffenen und Inhalten der Mandatsverhältnisse in Berührung kommen. Die Risiken für alle Beteiligten sind beträchtlich.
