Mittwochabend, 19:45 Uhr, Beratungsstelle für Jugendliche in Frankfurt. Sarah, Sozialarbeiterin mit fünf Jahren Berufserfahrung, schaut auf ihr Diensthandy. Wieder eine WhatsApp-Nachricht von Kevin (17): „Hi Sarah, kann ich mit dir über das Gespräch von heute nochmal reden? Hab noch Fragen wegen der Wohnung." Eigentlich möchte sie helfen - schließlich ist es ein gutes Zeichen, dass Kevin sich meldet. Aber sie zögert. Die Datenschutz-Schulung letzte Woche war eindeutig: WhatsApp ist für berufliche Beratung problematisch. Doch die Klienten fragen immer wieder danach. Warum kann etwas so Alltägliches plötzlich zum Problem werden?
Sarahs Dilemma ist exemplarisch für eine Herausforderung, mit der viele Beratungsstellen konfrontiert sind: Der Spagat zwischen den gewohnten Kommunikationswegen ihrer Zielgruppen und den Anforderungen des Datenschutzes. Während junge Menschen WhatsApp als selbstverständlichen Kommunikationskanal betrachten, entstehen für professionelle Beratung erhebliche rechtliche Risiken.
Die DSGVO-Realität: Warum WhatsApp für Beratungsstellen problematisch ist
WhatsApp ist 2023 laut einer Umfrage des Statistik-Dienstes Statista von 86 Prozent aller Messenger-Nutzer in Deutschland verwendet worden. Diese weite Verbreitung macht den Messenger für viele Beratungsstellen attraktiv - schließlich erreicht man die Zielgruppen dort, wo sie ohnehin sind. Doch die rechtliche Realität ist komplex. (Je nach Quelle variieren die angegebenen Prozentwerte, was auf unterschiedliche Erhebungsmethoden zurückzuführen sein kann.)
Das Kernproblem: Automatische Datenverarbeitung
Wenn Beratungsstellen WhatsApp nutzen, wird dies nach der DSGVO als geschäftliche Nutzung eingestuft. Dadurch entstehen mehrere datenschutzrechtliche Probleme:
Kontaktsynchronisation: WhatsApp greift automatisch auf die Telefonkontakte des Nutzers zu, um diese mit bestehenden WhatsApp-Konten abzugleichen. Hierbei handelt es sich gemäß der DSGVO um eine Verarbeitung von personenbezogenen Daten. Behörden haben diese Adressbuch-Uploads ohne Einwilligung schon länger kritisch bewertet. Obwohl WhatsApp heute technische Maßnahmen beschreibt (z. B. Hash-Abgleiche, „designed to ensure … cannot be identified"), bleibt die Rechtslage heikel, vor allem im professionellen Umfeld. Es bedarf somit einer datenschutzrechtlichen Einwilligung.
Metadaten-Erfassung: Auch wenn die Nachrichten verschlüsselt sind, sind Metadaten nicht Ende-zu-Ende-verschlüsselt und werden von WhatsApp verarbeitet (z. B. wer mit wem kommuniziert, Zeitpunkt, Gerät, ungefähre Standort-Info). Diese Metadaten sind unstrittig von der DSGVO erfasst, da zumindest mittelbar mittels Zuordnung zu einer Kennung ein Rückschluss zu einer natürlichen Person möglich ist.
Datenübermittlungen in Drittländer: Für die EU/EEA ist WhatsApp Ireland Ltd. Verantwortlicher. Datenübermittlungen an die WhatsApp-Infrastruktur außerhalb der EU erfolgen auf Basis von Standardvertragsklauseln und des EU-US Data Privacy Frameworks (DPF-Zertifizierung). Dennoch ist fraglich, inwiefern eine vollständige Kontrolle über den Transfer personenbezogener Daten bei der Verwendung von WhatsApp besteht.
Besondere Problematik für Beratungsstellen
Für Beratungsstellen ergeben sich zusätzliche Herausforderungen:
Schweigepflicht: Staatlich anerkannte Sozialarbeiter: innen/-pädagog: innen sowie Ehe-, Familien-, Erziehungs-, Jugend- und Suchtberater: innen in anerkannten Beratungsstellen unterliegen der gesetzlichen Schweigepflicht nach § 203 StGB. Die Nutzung von WhatsApp kann diese verletzen, da sensible Informationen verarbeitet werden, bei denen Beratungsstellen keine Kontrolle über Speicherung und Weitergabe haben.
Besondere Kategorien personenbezogener Daten: In der Beratung werden oft Gesundheitsdaten, Informationen über die sexuelle Orientierung oder andere besonders sensible Daten verarbeitet, die nach der DSGVO besonderen Schutz genießen.
Fehlende Kontrolle: Beratungsstellen haben bei WhatsApp keine vollständige Kontrolle über die Datenverarbeitung und können nicht sicherstellen, dass alle Anforderungen der DSGVO eingehalten werden.
Was sagen die Aufsichtsbehörden?
Die Haltung der Datenschutzaufsichtsbehörden ist eindeutig: Die Aufsichtsbehörde NRW hat sich mit der Übermittlung von Krankmeldungen in einem Unternehmen auseinandergesetzt und diese als unzulässig eingestuft. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) rät Behörden ausdrücklich von der Nutzung von WhatsApp ab. Ähnliche Bewertungen gelten für andere sensible Bereiche der sozialen Arbeit.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit fordert seit Jahren eine abschließende Klärung der Datenschutz-Problematiken bei WhatsApp. In einer Beschwerde, die mit Geltung der DSGVO am 25. Mai 2018 gegen den Messengerdienst eingereicht wurde, ging es bereits um erzwungene Einwilligungen und unklare Rechtsgrundlagen für einzelne Verarbeitungsvorgänge.
Auch ein Jahr nach dem Beschluss der irischen Datenschutzaufsichtsbehörde DPC stehen wichtige Untersuchungen noch aus, etwa ob WhatsApp sensible personenbezogene Daten für Zwecke der verhaltensbezogenen Werbung, für Marketingzwecke sowie für die Bereitstellung von Statistiken an Dritte und den Austausch von Daten mit verbundenen Unternehmen verarbeitet.
WhatsApp Business: Keine Lösung für die Beratung
Viele Beratungsstellen fragen sich, ob WhatsApp Business eine Lösung darstellt. Die ernüchternde Antwort: Für besonders sensible Daten gemäß Art. 9 DSGVO stellt WhatsApp keine tragfähige Lösung dar. WhatsApp Business ist keine Lösung für interne Unternehmenskommunikation, sondern für die Kommunikation zwischen kleinen Unternehmen und ihren Kunden konzipiert.
Es existieren Data Processing Terms (AV-Regelungen) für WhatsApp Business; im Beratungskontext mit besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO bleibt die Nutzung dennoch rechtlich riskant aufgrund des Rollenmixes Verantwortlicher/Auftragsverarbeiter, der Metadatenverarbeitung und der fehlenden vollständigen Kontrolle. Für Beratungsstellen, die regelmäßig mit sensiblen Daten arbeiten, bleibt WhatsApp Business damit keine empfehlenswerte Lösung.
Datenschutzkonforme Alternativen: Der Weg zu sicherer Kommunikation
Die gute Nachricht: Es gibt Alternativen, die sowohl den Anforderungen der DSGVO entsprechen als auch nutzerfreundlich sind.
Allgemeine Messenger-Alternativen
Verschiedene Messenger-Anbieter haben sich auf Datenschutz und Sicherheit spezialisiert. Diese zeichnen sich durch folgende Merkmale aus:
- Ende-zu-Ende-Verschlüsselung für alle Kommunikationsformen
- Minimale Metadatenerfassung
- Server-Standorte in Europa oder anderen datenschutzfreundlichen Ländern
- Transparente Datenschutzrichtlinien
- Möglichkeit der anonymen oder pseudonymen Nutzung
Bei der Auswahl sollten Beratungsstellen prüfen, welcher Messenger am besten zu ihren spezifischen Anforderungen und ihrer Zielgruppe passt.
Spezialisierte Beratungslösungen
Neben allgemeinen Messengern gibt es auch speziell für Beratungsstellen entwickelte Lösungen, die von vornherein DSGVO-konform konzipiert sind. Diese bieten oft zusätzliche Features wie:
- Integrierte Terminbuchung
- Sichere Dokumentation von Beratungsverläufen
- Verschlüsselte Dateienübertragung
- Spezielle Moderationstools für Gruppenberatung
- Nahtlose Integration in bestehende Beratungssoftware
Der Vorteil solcher spezialisierten Lösungen liegt darin, dass sie gezielt für die Anforderungen der sozialen Arbeit entwickelt wurden und somit sowohl rechtliche als auch fachliche Aspekte berücksichtigen.
Praktische Umsetzung: Wie Beratungsstellen den Übergang meistern
Klare Kommunikation mit den Klienten
Der erste Schritt ist eine transparente Kommunikation über die Gründe für den Verzicht auf WhatsApp. Viele junge Menschen verstehen datenschutzrechtliche Argumente, wenn sie verständlich erklärt werden. Wichtig ist dabei, alternative Kommunikationswege anzubieten, die niedrigschwellig und leicht zugänglich sind.
Schulung der Mitarbeitenden
Alle Mitarbeitenden müssen über die datenschutzrechtlichen Risiken von WhatsApp informiert und im Umgang mit alternativen Messengern geschult werden. Dabei sollte auch erklärt werden, warum auch die private Nutzung von WhatsApp auf Dienstgeräten problematisch sein kann.
Technische Lösungen implementieren
Container-/Work-Profile-Lösungen (Android Work Profile & MDM) können Kontakte profilgetrennt halten und stellen eine Teil-Mitigation dar. Sie verhindern jedoch nicht die grundlegende Metadatenverarbeitung oder Drittland-Transfers bei WhatsApp und sind daher kein Freifahrtschein für die uneingeschränkte Nutzung.
Datenschutzrechtliche Dokumentation
Beratungsstellen sollten ihre Entscheidung für bestimmte Messenger dokumentieren und dabei die datenschutzrechtliche Bewertung festhalten. Dies ist wichtig für mögliche Nachfragen von Aufsichtsbehörden oder bei Datenschutz-Audits.
Die rechtlichen Konsequenzen: Was bei Verstößen droht
Verstöße gegen die DSGVO können teuer werden. Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes sind möglich. Auch wenn bei kleineren Beratungsstellen eher niedrigere Bußgelder verhängt werden, können bereits Summen im vier- oder fünfstelligen Bereich für Organisationen mit knappen Budgets existenzbedrohend sein.
Darüber hinaus drohen weitere rechtliche Konsequenzen:
Zivilrechtliche Ansprüche: Betroffene können Schadensersatz und Schmerzensgeld fordern, wenn ihre Daten unrechtmäßig verarbeitet wurden.
Aufsichtsbehördliche Maßnahmen: Neben Bußgeldern können Aufsichtsbehörden auch Verarbeitungsverbote aussprechen oder andere Maßnahmen anordnen.
Reputationsschäden: Datenschutzverstöße werden oft öffentlich bekannt und können das Vertrauen der Klienten und Förderer nachhaltig beschädigen.
Ausblick: Zwischen Pragmatismus und Datenschutz
Die Messenger-Landschaft entwickelt sich kontinuierlich weiter. Die Europäische Union hat durch den Digital Markets Act (DMA) bestimmt, dass große Unternehmen den Wettbewerb nicht verzerren dürfen. Deshalb muss WhatsApp als Messenger-Platzhirsch seit März 2024 die Möglichkeit bieten, Nachrichten an andere Messenger zu schicken und von diesen zu empfangen.
Diese Interoperabilität könnte längerfristig neue Möglichkeiten eröffnen: Beratungsstellen könnten datenschutzkonforme Messenger nutzen und trotzdem mit Klienten kommunizieren, die weiterhin WhatsApp verwenden. Allerdings ist unklar, wann und wie diese technische Lösung umgesetzt wird.
Handlungsempfehlungen für Beratungsstellen
- Sofortiger Verzicht auf WhatsApp für die berufliche Kommunikation, auch wenn dies zunächst Widerstand bei Klienten erzeugt
- Implementierung datenschutzkonformer Alternativen wie spezialisierte Beratungslösungen
- Transparente Kommunikation über die Gründe des Messenger-Wechsels
- Regelmäßige Schulungen der Mitarbeitenden zu Datenschutz und sicherer Kommunikation
- Dokumentation der datenschutzrechtlichen Entscheidungen für Aufsichtsbehörden
Für Sarah aus unserem Eingangsszenario bedeutet das: Sie erklärt Kevin am nächsten Tag, warum sie nicht über WhatsApp kommunizieren kann, und zeigt ihm die datenschutzkonforme Alternative, die ihre Beratungsstelle nutzt. Kevin ist zunächst skeptisch, aber als Sarah ihm erklärt, dass es um den Schutz seiner Daten geht, installiert er bereitwillig den neuen Messenger.
Nach wenigen Wochen haben sich die meisten Klienten an die neue Kommunikation gewöhnt -- und schätzen sogar, dass ihre Beratungsstelle so ernst nimmt, ihre Privatsphäre zu schützen. Ein Gewinn für alle Beteiligten.
Sie möchten in Ihrer Beratungsstelle auf datenschutzkonforme Kommunikationslösungen umsteigen? Wir beraten Sie gerne bei der Auswahl geeigneter Messenger und unterstützen Sie bei der technischen Umsetzung und Mitarbeiterschulung. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.
