Photo: eskay lim - stock.adobe.com
WhatsApp-Communitys im Unternehmen nutzen: Vorsicht vor datenschutzrechtlichen Risiken!
Die Datenverarbeitung durch WhatsApp ist generell sehr unübersichtlich und eine datenschutzrechtliche Herausforderung. Jetzt wird es noch komplizierter: mit den WhatsApp-Communitys.
Zum Verständnis: Eine WhatsApp-Community ist eine Funktion, die mehrere Gruppen zu einem gemeinsamen Netzwerk verbindet. Sie stellt eine zentrale Kommunikation durch einen Ankündigungskanal zur Verfügung, in dem Admins Nachrichten teilen können. Mitglieder diskutieren in themenspezifischen Untergruppen, ohne allgemeine Nachrichten zu erhalten.
Vereine, Unternehmen oder generell große Interessengruppen nutzen diese Funktion immer häufiger.
Sehr hohe Mitgliederanzahl erschwert Datenschutz
Nach den FAQs von WhatsApp ist es möglich, bis zu 100 Gruppen in den Communitys zu erstellen und innerhalb darin bis zu 2.000 Mitglieder hinzuzufügen. Diese Zahlen zeigen, was für eine immense Anzahl von Nutzenden hier erreicht werden. Wer sieht was, wer kann theoretisch was an wen weiterleiten? Wer hat welche Admin- oder Userrechte? Welche Informationen sollen geteilt werden? Welche Rechtsgrundlage erlaubt das Hinzufügen von Nutzenden? Muss eine Datenschutz-Folgenabschätzung durchgeführt werden?
Betreiber von WhatsApp-Communitys, die diese etwa für Unternehmenszwecke nutzen, müssen diese Fragen klären, bevor Gruppen und Communitys angelegt werden.
WhatsApp-Communitys: Was ist zu tun?
- Nutzungsumfang in alle Richtungen klären
- Welchen Zweck hat die Community?
- Welche Rechtsgrundlage (z. B. Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO) ist einschlägig?
- Welche Inhalte werden kommuniziert? (z. B. Werbung, redaktionelle Inhalte, Eventankündigungen, Newsletter, Einladungen etc. – je nachdem werden spezielle Einwilligungen/Opt-ins benötigt)
- Rollen (Admin, User etc.) sowie Rechte definieren
- Einstellungen in WhatsApp entsprechend anpassen: Datenschutz-Settings, Admin-Rechte, Sichtbarkeit, Einladungen, Ankündigungskanal
- Wo erforderlich Einwilligung der Nutzenden vor Einladung einholen
- Darin über die Datenverarbeitung nach Art. 13 / 14 DSGVO informieren
- Bei komplexer, vielseitiger Nutzung: Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchführen
Miriam Harringer, Redakteurin
Weitere Artikel des Autoren
- 5 häufig gestellte Fragen und Antworten zum Barrierefreiheitsstärkungsgesetz
- KI-Kurse für Mitarbeitende werden Pflicht
- BFSG Umsetzung meistern: Der 9-Schritte-Plan für Unternehmen
- Ebays neue Datenschutzerklärung: Personenbezogene Daten trainieren jetzt KI
- KI-Beauftragter: Schlüsselrolle in der Verordnung des EU AI Act
- AI Officer: Wegweiser für Compliance und Innovation unter dem EU AI Act