In der täglichen Datenschutz-Beratung kommt bei kleinen und mittleren Versicherungsvermittlerunternehmen immer wieder das Thema WhatsApp auf.
Für viele Vermittler ist die Nutzung von WhatsApp ein so fester Bestanteil der Kundenkommunikation geworden, dass sie höchst allergisch reagieren, wenn sie darauf hingewiesen werden, dass die Nutzung von WhatsApp datenschutzrechtlich aktuell nicht möglich ist. Die Reichweite der oft hochemotionalen Reaktionen reicht dann vom Schimpfen auf das „verbesserungswürdige Gesetz DSGVO“, über den Hinweis, dass es ja alle anderen auch machen, bis dahin, dass man meint, dass Kunden, die das Thema Datenschutz ernst nehmen, „einen Sockenschuss“ hätten.
Die Vermittlerbranche bemüht sich immer wieder um Professionalität und vergleicht sich gerne mit Anwälten und Ärzten. Die Begriffe „Kanzlei“ oder sogar „Praxis“ zieren häufig die Unternehmensnamen.

Anzeige

Andreas Sutter

Andreas Sutter

...ist als Director protect bei disphere interactive Datenschutzbeauftragter für Mittelständler, Finanzdienstleister und Versicherer. disphere interactive GmbH ist ein Team von interdisziplinären Experten, Beratern und Entwicklern, das Sie umfassend bei der digitalen Transformation des Vertriebs unterstützt.

Daher ist vorab die Frage gestattet: ist die 24/7-Kommunikation mit dem Kunden via Messenger überhaupt professionell, und entspricht es dem Anspruch, der sich aus dem verantwortungsvollen Umgang mit den Finanzen des Kunden ergibt? Und bedeutet Dienstleistung wirklich rund um die Uhr erreichbar zu sein?

Wenn man dem aber nun unbedingt zustimmen möchte, dann müssen auch die Konsequenzen klar sein. So fallen beispielsweise auch die Chat-Verläufe unter die handels- und steuerlichen Aufbewahrungspflichten nach GOBD und müssen revisionssicher archiviert werden. Das findet in der Praxis nur sehr selten statt. Der einfache PDF-Ausdruck des Chatverlaufs dürfte im Übrigen nicht den Anforderungen genügen, die das Finanzamt im Rahmen einer Betriebsprüfung stellen wird.

Anzeige

Aber – und nun kommen wir zum Kernthema – es sind bei der geschäftlichen Nutzung von Messenger-Diensten auch zwingend die Pflichten der DSGVO einzuhalten.
Manch ein Vermittler mag sich die Haare raufen und die DSGVO verfluchen. Große und erfolgreiche Vermittlerunternehmen hingegen nehmen die Datenschutz-Compliance als Chance wahr. Sei es bei der Gewinnung wichtiger Geschäftskunden oder in der Frage der Unternehmensnachfolge.

Verarbeitung im Auftrag

In der Kommunikation über WhatsApp verarbeitet der Anbieter personenbezogene Daten. Dies findet zu einem Teil verschlüsselt (Inhalt der Kommunikation) zum Teil aber auch unverschlüsselt (sog. Metadaten) statt. Den Zweck der Verarbeitung bestimmt aber nicht WhatsApp, sondern derjenige, der den Kommunikationskanal als Vermittler (gewollt oder ungewollt) anbietet. Daher ist WhatsApp kein eigener Verantwortlicher, sondern ein typischer Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Die gleiche Rolle nimmt beispielsweise Microsoft bei der E-Mail-Kommunikation über Outlook ein. In solchen Fällen muss ein sogenannter Auftragsverarbeitungsvertrag (AVV) geschlossen werden (Art. 28 DSGVO).
WhatsApp in der normalen Version sieht in den Bedingungen keine geschäftliche Nutzung vor, daher ist es auch nicht möglich, einen AVV zu schließen. Der Verstoß gegen die Nutzungsbedingungen ist den meisten Vermittlern allerdings nicht bewusst. Nutzt man nun hoffnungsfroh die Variante WhatsApp Business, dann wird immerhin ein solcher AVV mit dem Anbieter zusammen mit dem Nutzungsvertag abgeschlossen.

Dieser genügt aber nicht den Anforderungen der DSGVO. So räumt der Vertrag beispielsweise dem Auftraggeber nicht die notwendigen Kontrollrechte ein (Art. 28 Abs. 3 lit. h DSGVO). Der AVV ist daher wegen dieser Mängel nach §134 BGB als nichtig anzusehen. Selbst wenn man dies juristisch zunächst nicht bejahen mag, so hat doch der Auftraggeber eines AVV die Pflicht, die Dienstleister auf die Einhaltung des Datenschutzes regelmäßig zu kontrollieren. Hoffnungsvolles und blindes Vertrauen genügt dieser Pflicht nicht. Dieser Pflicht kann der Vermittler also bei der Nutzung von WhatsApp nicht nachkommen. Es ist schlicht vom Anbieter nicht gewünscht. Ein Schelm, wer Böses dabei denkt.
Das Fehlen eines gültigen AVV stellt bereits einen formellen Datenschutzverstoß dar.

Anzeige

Einwilligung des Kunden

Ja, aber - so mag man einwenden - der Kunde willigt doch in die Kommunikation in der Regel durch schlüssiges bzw. konkludentes Handeln in die Verarbeitung ein. Das muss doch als Rechtsgrundlage genügen. Sprich: der Kunde schreibt ja in der Regel den Vermittler aus freien Stücken an. Das genügt doch, oder?

Dieser Punkt hat allerdings ein paar Besonderheiten, die wir uns der Reihe nach ansehen müssen.
Zunächst ist zwar eine konkludente Einwilligung auch im Datenschutz denkbar. Trotzdem gelten auch in diesem Fall die üblichen Voraussetzungen einer wirksamen Einwilligung. Erstens kann man nur in etwas einwilligen, worüber man im Vorfeld ausreichend informiert wurde. Die Einwilligung setzt also eine umfassende Datenschutzinformation nach Art. 13 oder 14 DSGVO voraus. Dazu kommt eine Aufklärung über das Widerrufsrecht. Dies beides lässt sich vielleicht noch in den Kommunikationsprozess integrieren. Nun gibt es bei WhatsApp aber eine Besonderheit: Personenbezogene Daten werden nachweislich mit dem Mutterkonzern Meta in den USA ausgetauscht.

Die USA zählen spätestens seit dem sog. Schrems II-Urteil des EuGH (Az: C 311/18) als unsicheres Drittland. Auf welcher Basis personenbezogene Daten in unsichere Drittländer übermittelt werden dürfen, regeln die Artikel 44 bis 50 in der DSGVO. Wird man dort nicht fündig, ist die Datenverarbeitung rechtswidrig.
Nun gibt es eben mit den USA keinen gültigen Angemessenheitsbeschluss mehr (Art. 45 DSGVO), denn genau dieser ist mit dem Schrems II-Urteil gekippt und auch nicht in Sicht.

Andere Garantien kann der Vermittler auch nicht darstellen, so dass man auf die Idee kommen kann, im Art. 49 DSGVO eine Lösung gefunden zu haben: „…die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, …“

Fazit

Aber auch dieser Weg führt schnell in eine Sackgasse. Der Art. 49 DSGVO verlangt eine „ausdrückliche“ Einwilligung. Eine konkludente Einwilligung scheidet also aus. Diese muss vor der Übermittlung stattfinden. Hat der Kunde über WhatsApp bereits geschrieben, weil der Vermittler diesen Kommunikationskanal ermöglicht, dann ist es bereits zu spät. Lebensfremd ist der Gedanke, sich von jedem Kunden eine schriftliche Einwilligung geben zu lassen und erst dann die Nummer für die WhatsApp-Kommunikation herauszugeben. Lebensfremd, weil diese Nummer nicht lange geheim bleiben dürfte. Zudem dürfte die ausführliche Belehrung über die Risiken in der Praxis auch nur ungern erfolgen. Denn wer sagt schon gern, dass er einen rechtlich unsicheren Kommunikationskanal anbietet?

Aber selbst, wenn man dieser verrückten Idee folgen würde, so hat die Sache trotzdem einen Haken. Die Regelung des Art. 49 DSGVO beschränkt sich ausdrücklich auf Ausnahmefälle („Ausnahmen für bestimmte Fälle“). Eine regelmäßige Kommunikation ist darüber nicht gedeckt. Über einen Versicherungsmaklervertrag oder ähnliches lässt sich die Verarbeitung im Übrigen schon mangels der Erforderlichkeit auch nicht abdecken. In der Folge findet die Kommunikation mit WhatsApp ohne rechtliche Grundlage dar. Es liegt also ein Verstoß gegen die Grundsätze der DSGVO vor (Art. 6 DSGVO).

Fazit

Lassen wir mal weitere kritische WhatsApp-Themen, wie z.B. das Thema der IT-Sicherheit oder dem Zugriff auf die Kontakte im Telefonbuch, außen vor, dann kann man zusammenfassend klar sagen:
Die Kommunikation über den Messenger WhatsApp findet auch in der Business-Variante ohne gültigen Auftragsverarbeitungsvertrag und ohne eine wirksame Einwilligung statt. Daher ist die geschäftliche Nutzung von WhatsApp ohne Rechtsgrundlage schlicht und einfach ein Datenschutzverstoß.

Wie hoch ist nun aber das effektive Risiko? Jeder Unternehmer hat die stille Hoffnung, von Prüfungen durch die Aufsicht verschont zu bleiben, und man kennt ja seine Kunden. Wie soll dieser Datenschutzverstoß durch die WhatsApp-Nutzung auffliegen?
In der Praxis nehmen Auskunftsanfragen nach Art. DSGVO zu. Kunden, gerne die unzufriedenen oder ehemaligen, wünschen eine Auskunft über die Daten, die vom Vermittler verarbeitet werden. In diesem Zusammenhang muss der Vermittler auch umfassend über die Kommunikation via WhatsApp aufklären. Spätestens dann stellt sich die Frage: Lügen, kaschieren oder den Verstoß zugeben. In jedem Fall wird der Kunde sich gern an die Behörde wenden, die hier eindringlich nachfragen wird. Bußgelder und Haftung können die Folge sein. Selbst wenn nicht: Kosten und kostbare Zeit sind in solchen Fällen immer aufzuwenden.

Anzeige

Daher ist es besser, die Energie, die verwendet wird, um krampfhaft an WhatsApp festzuhalten, in ein gutes Datenschutzkonzept zu stecken.
Viele Vermittlerbetriebe verzichten jetzt schon auf die Nutzung von WhatsApp. Man verzeichnet dort - welch Überraschung - keinerlei Umsatzeinbußen. Daher ist es nicht so schmerzhaft, wie befürchtet, vom Irrglauben zurückzutreten, moderne Versicherungsvermittlung wäre ausschließlich nur mittels WhatsApp möglich. Die notwendige Digitalisierung der Branche ist an anderen Stellen zu finden.

Seite 1/2/3/