« zurück zur Übersicht
veröffentlicht am 15.08.2023
Die Nutzung von WhatsApp in der Vereinskommunikation
Was sollte man beachten
Hallo Vereinsvertreter,
beigefügt der neueste Infobrief vom DOSB-Datenschutzportal. Interessant ein Artikel zum Thema „Nutzung von WhatsApp in der Vereinskommunikation“.
Ich habe den Beitrag in eine extra Datei „3 Fragen von Portalmitgliedern“ kopiert, damit man nicht so lange suchen muss. Ich kann euch, wie immer, den Artikel und die daraus folgenden Handlungsmaßnahmen nur empfehlen. Aber die dort aufgeführten Argumente geben mir recht, in der Vereinskommunikation darauf zu verzichten und auch die Finger bei der privaten Nutzung von WhatsApp als Messenger zu lassen. Das Thema Cyber-Angriffe gewinnt immer mehr an Bedeutung. In dem Artikel wird Threema als alternative aufgeführt, damit habe ich sehr gute Erfahrungen gemacht und der Server ist in Europa.
Klaus Lenz
Datenschutzbeauftragter
Sportkreis Hochtaunus
3 Fragen von Portalmitgliedern für den Live-Chat vom 18.07.2022 Antworten von Claus Wissing, Geschäftsführender
Gesellschafter beim Sachverständigenbüro Mülot, WiR Solutions GmbH und der mit.data GmbH und Patrick R. Nessler, Rechtsanwalt spezialisiert auf Vereins- und Verbandsrecht, Gemeinnützigkeitsrecht, Datenschutzrecht für Vereine und Verbände sowie das Kleingartenrecht
3.1 Die Nutzung von WhatsApp in der Vereinskommunikation
In den Vereinen taucht immer wieder die Frage auf, ob man WhatsApp für Trainingsgruppen bzw. Vorstandsarbeiten nutzen darf? Meine Fragen hierzu:
Wenn ja, was muss man dabei beachten? Welche Datenschutzeinstellungen sind in diesem Falle unbedingt zu beachten?
Wenn nein, bieten andere Anbieter wie z.B. Signal oder Telegramm besseren Datenschutz? Oder gibt es für Vereine ganz andere Anbieter, die die Auflagen des Datenschutz erfüllen?
Welche Empfehlung kann man den Vereinen geben?
AW: C. Wissing: WhatsApp und "dienstliche" Nutzung ist aus Datenschutzgesichtspunkten nicht vereinbar. Hier gibt es mehrerer Gründe:
1. WhatsApp wird seit langem vorgeworfen, Daten an Dritte zu übermitteln.
Falls Sie im Verein WhatsApp aktiv für die Kommunikation zum Verein und an die Mit-glieder*innen oder auch Mitarbeiter*innen nutzen würden, wäre es ggf. rechtlich eine gemeinsame Verantwortung. Das bedeutet, dass Ihnen selbst aufgrund der gemeinsamen Verantwortung ebenfalls vorgeworfen werden könnte, sie würden Daten an Dritte übermitteln. Gegebenenfalls könnten sie dann auch rechtlich belangt werden.
2. Auslesen von Kontaktdaten und von weiteren Informationen
Beim Download von WhatsApp muss den Datenschutz-Einstellungen zugestimmt wer-den, damit die Applikation in vollem Umfang genutzt werden kann. Doch viele Nutzer wissen nicht, wofür sie überall eine Einwilligung geben.
Was weiß und was speichert, WhatsApp aufgrund seiner eigenen Datenschutzrichtrichtlinien:
WhatsApp speichert Status, Telefonnummer, Profilbild, Geburtsdatum und den Na-men, den Sie selbst eingeben: Gespeichert werden darüber hinaus jegliche Daten, die Sie freiwillig anbieten.
Als Verein sind SIE aber für die Daten von Mitgliedern, Beschäftigten und weitere Menschen verantwortlich. die diese Menschen Ihnen anvertraut haben. Sie sind dann somit eine Art Treuhänder für die Daten.
Zusammenfassend bleibt somit die Einschätzung, dass die "dienstliche" Nutzung mit den Vorgaben der DSGVO nicht vereinbar ist.
Alternativen
Es gibt durchaus Chat-Lösungen, die auch datenschutzkonform genutzt werden können. "Treema" ist z.B. eine solche Alternative.
Wir – das Team des Sachverständigenbüros Mülot - arbeiten aktuell an einer daten-schutzkonformen Lösung, die gerade auch in Vereinen gut einsetzbar sein wird. Weitere Informationen werden dazu aber noch folgen.
AW: RA P.R. Nessler: Bei der Beantwortung der Fragen ist zuerst einmal auszuführen, dass nach Art. 5 Abs. 2 DSGVO der Verantwortliche für die Einhaltung des Datenschutzes verantwortlich ist und dessen Einhaltung nachweisen können muss („Rechenschafts-pflicht“). In unserem Kontext ist der Verantwortliche der Verein bzw. Verband, unabhängig davon, ob in das Vereinsregister eingetragen oder nicht.
Sofern die Verarbeitung in der Verantwortlichkeit des Vereins oder Verbands liegender per-sonenbezogener Daten durch die Mitarbeiterinnen und Mitarbeiter des Vereins/Verbands bzw. deren Beschäftigte auf deren privaten Endgeräten (Handys, Laptops, Tablets etc.) geschieht, findet in der Regel eine Vermengung der "privaten" Tätigkeiten und der für den Verein/ Verband statt. Indem ein ursprünglich „privat“ genutztes Programm oder Smart-phone nunmehr auch "betrieblich" eingesetzt wird, „infiziert“ diese Tätigkeit die übrigen Daten und führt dazu, dass die Tätigkeit insgesamt der DSGVO unterfällt, sofern nicht eine technische oder organisatorische Trennung beider Tätigkeitsbereiche stattfindet (Forgó/ Helfrich/ Schneider, Betrieblicher Datenschutz, 3. Aufl. 2019, Teil V. Kap. 2 Rn. 27).
Demnach ist der Verein/Verband auch für die Verarbeitung der in seiner Verantwortlichkeit liegenden personenbezogenen Daten verantwortlich im Sinne des Art. 5 Abs. 2 DSGVO, welche von Trainern, Übungsleitern etc. auf deren privaten Endgeräten für den Verein/Ver-band erfolgt. Daher ist jedem Vereinsvorstand dringend zu raten, in solchen Fällen die datenschutzkonforme Verarbeitung der personenbezogenen Daten genauestens zu regeln und zu prüfen.
WhatsApp als Messenger-Dienst ist nicht per se datenschutzwidrig. Die aktuellen datenschutz-rechtliche Probleme mit WhatsApp resultieren weniger aus der Gestaltung des Dienstes, als aus dessen Einsatzbedingungen in der Praxis. Ein datenschutzkonformer WhatsApp-Einsatz ist unter bestimmten Voraussetzungen möglich (https://www.datenschutz.rlp.de/de/the-menfelder-themen/whatsapp/, zuletzt abgerufen am 28.07.2023), nach meiner Einschät-zung aber nur schwer ausreichend sicher umzusetzen.
Datenschutzrechtlich problematisch ist bei WhatsApp nämlich neben der Frage des Daten-austauschs von Meta mit Dritten insbesondere die Tatsache, dass WhatsApp als Anbieter außerhalb des Geltungsbereichs europäischer Datenschutzvorschriften fungiert und die re-gelmäßige Übertragung von Kontaktdaten aus dem Adressbuch des Smartphones.
Nach Auffassung der Landesbeauftragten für Datenschutz und Informationsfreiheit in Rheinland-Pfalz kommen als Maßnahmen, welche zu einer datenschutzkonformen Nutzung führen könnten, insbesondere in Betracht:
Zu (2) Alternative Messenger
Wegen der alternativen und datenschutzkonformen Angebote an Messengerdiensten verweise ich auf die Ausführungen des Herrn Wissing. Hier ist auch aufgrund der regelmäßigen Updates etc. eine allgemeine Bewertung nur bedingt möglich, sondern eine regelmäßige Befassung erforderlich. Das liegt außerhalb einer juristischen Bewertung.
Ergänzender Hinweis: Vgl. zuletzt Heise Online vom 17.5.23: Bundeskartellamt: Messenger-Dienste verletzen Verbraucherrechte. Das Fazit: Datenschutz ist vielen zu unwichtig. (TN)
Auszug aus dem neuesten Infobrief vom DOSB-Datenschutzportal.
beigefügt der neueste Infobrief vom DOSB-Datenschutzportal. Interessant ein Artikel zum Thema „Nutzung von WhatsApp in der Vereinskommunikation“.
Ich habe den Beitrag in eine extra Datei „3 Fragen von Portalmitgliedern“ kopiert, damit man nicht so lange suchen muss. Ich kann euch, wie immer, den Artikel und die daraus folgenden Handlungsmaßnahmen nur empfehlen. Aber die dort aufgeführten Argumente geben mir recht, in der Vereinskommunikation darauf zu verzichten und auch die Finger bei der privaten Nutzung von WhatsApp als Messenger zu lassen. Das Thema Cyber-Angriffe gewinnt immer mehr an Bedeutung. In dem Artikel wird Threema als alternative aufgeführt, damit habe ich sehr gute Erfahrungen gemacht und der Server ist in Europa.
Klaus Lenz
Datenschutzbeauftragter
Sportkreis Hochtaunus
3 Fragen von Portalmitgliedern für den Live-Chat vom 18.07.2022 Antworten von Claus Wissing, Geschäftsführender
Gesellschafter beim Sachverständigenbüro Mülot, WiR Solutions GmbH und der mit.data GmbH und Patrick R. Nessler, Rechtsanwalt spezialisiert auf Vereins- und Verbandsrecht, Gemeinnützigkeitsrecht, Datenschutzrecht für Vereine und Verbände sowie das Kleingartenrecht3.1 Die Nutzung von WhatsApp in der Vereinskommunikation
In den Vereinen taucht immer wieder die Frage auf, ob man WhatsApp für Trainingsgruppen bzw. Vorstandsarbeiten nutzen darf? Meine Fragen hierzu:
Wenn ja, was muss man dabei beachten? Welche Datenschutzeinstellungen sind in diesem Falle unbedingt zu beachten?
Wenn nein, bieten andere Anbieter wie z.B. Signal oder Telegramm besseren Datenschutz? Oder gibt es für Vereine ganz andere Anbieter, die die Auflagen des Datenschutz erfüllen?
Welche Empfehlung kann man den Vereinen geben?
AW: C. Wissing: WhatsApp und "dienstliche" Nutzung ist aus Datenschutzgesichtspunkten nicht vereinbar. Hier gibt es mehrerer Gründe:
1. WhatsApp wird seit langem vorgeworfen, Daten an Dritte zu übermitteln.
Falls Sie im Verein WhatsApp aktiv für die Kommunikation zum Verein und an die Mit-glieder*innen oder auch Mitarbeiter*innen nutzen würden, wäre es ggf. rechtlich eine gemeinsame Verantwortung. Das bedeutet, dass Ihnen selbst aufgrund der gemeinsamen Verantwortung ebenfalls vorgeworfen werden könnte, sie würden Daten an Dritte übermitteln. Gegebenenfalls könnten sie dann auch rechtlich belangt werden.
2. Auslesen von Kontaktdaten und von weiteren Informationen
Beim Download von WhatsApp muss den Datenschutz-Einstellungen zugestimmt wer-den, damit die Applikation in vollem Umfang genutzt werden kann. Doch viele Nutzer wissen nicht, wofür sie überall eine Einwilligung geben.
Was weiß und was speichert, WhatsApp aufgrund seiner eigenen Datenschutzrichtrichtlinien:
WhatsApp speichert Status, Telefonnummer, Profilbild, Geburtsdatum und den Na-men, den Sie selbst eingeben: Gespeichert werden darüber hinaus jegliche Daten, die Sie freiwillig anbieten.
- Zur Nutzung von Mikrofon und Kamera, wie auch zur Gewährleistung des gesamten Funktionsumfanges muss der Kurznachrichtendienst etliche Zugriffsermächtigungen bekommen, um richtig funktionieren zu können.
- „Meine Kontakte“: Die App erhält die Ermächtigung, auf Ihr Adressbuch zugreifen zu dürfen, damit Sie neue Telefonnummern, die bei WhatsApp angezeigt werden, direkt abspeichern können. Außerdem wollen Sie als Nutzer sicherlich sehen, wer aus Ihrer Liste ebenfalls die App verwendet.
- Standort: WhatsApp bietet auch beim aktuellen Standort eher keinen Datenschutz. Die App weiß so gut wie immer, wo Sie sich befinden und von welchem Ort aus Sie Nachrichten versenden.
- Laufende Apps: Die Whats Applikation weiß, welche anderen Anwendungen Sie auch noch verwenden.
Als Verein sind SIE aber für die Daten von Mitgliedern, Beschäftigten und weitere Menschen verantwortlich. die diese Menschen Ihnen anvertraut haben. Sie sind dann somit eine Art Treuhänder für die Daten.
Zusammenfassend bleibt somit die Einschätzung, dass die "dienstliche" Nutzung mit den Vorgaben der DSGVO nicht vereinbar ist.
Alternativen
Es gibt durchaus Chat-Lösungen, die auch datenschutzkonform genutzt werden können. "Treema" ist z.B. eine solche Alternative.
Wir – das Team des Sachverständigenbüros Mülot - arbeiten aktuell an einer daten-schutzkonformen Lösung, die gerade auch in Vereinen gut einsetzbar sein wird. Weitere Informationen werden dazu aber noch folgen.
AW: RA P.R. Nessler: Bei der Beantwortung der Fragen ist zuerst einmal auszuführen, dass nach Art. 5 Abs. 2 DSGVO der Verantwortliche für die Einhaltung des Datenschutzes verantwortlich ist und dessen Einhaltung nachweisen können muss („Rechenschafts-pflicht“). In unserem Kontext ist der Verantwortliche der Verein bzw. Verband, unabhängig davon, ob in das Vereinsregister eingetragen oder nicht.
Sofern die Verarbeitung in der Verantwortlichkeit des Vereins oder Verbands liegender per-sonenbezogener Daten durch die Mitarbeiterinnen und Mitarbeiter des Vereins/Verbands bzw. deren Beschäftigte auf deren privaten Endgeräten (Handys, Laptops, Tablets etc.) geschieht, findet in der Regel eine Vermengung der "privaten" Tätigkeiten und der für den Verein/ Verband statt. Indem ein ursprünglich „privat“ genutztes Programm oder Smart-phone nunmehr auch "betrieblich" eingesetzt wird, „infiziert“ diese Tätigkeit die übrigen Daten und führt dazu, dass die Tätigkeit insgesamt der DSGVO unterfällt, sofern nicht eine technische oder organisatorische Trennung beider Tätigkeitsbereiche stattfindet (Forgó/ Helfrich/ Schneider, Betrieblicher Datenschutz, 3. Aufl. 2019, Teil V. Kap. 2 Rn. 27).
Demnach ist der Verein/Verband auch für die Verarbeitung der in seiner Verantwortlichkeit liegenden personenbezogenen Daten verantwortlich im Sinne des Art. 5 Abs. 2 DSGVO, welche von Trainern, Übungsleitern etc. auf deren privaten Endgeräten für den Verein/Ver-band erfolgt. Daher ist jedem Vereinsvorstand dringend zu raten, in solchen Fällen die datenschutzkonforme Verarbeitung der personenbezogenen Daten genauestens zu regeln und zu prüfen.
WhatsApp als Messenger-Dienst ist nicht per se datenschutzwidrig. Die aktuellen datenschutz-rechtliche Probleme mit WhatsApp resultieren weniger aus der Gestaltung des Dienstes, als aus dessen Einsatzbedingungen in der Praxis. Ein datenschutzkonformer WhatsApp-Einsatz ist unter bestimmten Voraussetzungen möglich (https://www.datenschutz.rlp.de/de/the-menfelder-themen/whatsapp/, zuletzt abgerufen am 28.07.2023), nach meiner Einschät-zung aber nur schwer ausreichend sicher umzusetzen.
Datenschutzrechtlich problematisch ist bei WhatsApp nämlich neben der Frage des Daten-austauschs von Meta mit Dritten insbesondere die Tatsache, dass WhatsApp als Anbieter außerhalb des Geltungsbereichs europäischer Datenschutzvorschriften fungiert und die re-gelmäßige Übertragung von Kontaktdaten aus dem Adressbuch des Smartphones.
Nach Auffassung der Landesbeauftragten für Datenschutz und Informationsfreiheit in Rheinland-Pfalz kommen als Maßnahmen, welche zu einer datenschutzkonformen Nutzung führen könnten, insbesondere in Betracht:
- der Einsatz aktueller Software-Versionen, um eine Verschlüsselung der Kommunikati-onsinhalte zu gewährleisten,
- der Einsatz dienstlicher/geschäftlicher und nicht privater Mobiltelefone,
- die Nutzung eines „one-record-Adressbuchs“ mit ausschließlich der Telefonnummer des Diensteanbieters,
- eines Telefonbuchs mit ausschließlich WhatsApp-Kontakten oder eine Sperre des Ad-ressbuchzugriffs durch WhatsApp,
- die Deaktivierung von Cloud-Backups,
- die Sicherstellung, dass Chat-Anhänge nicht in der Mediathek des Mobiltelefons gespeichert werden bzw. Dritt-Applikationen keine Zugriff darauf haben und
- eine ausreichende Absicherung der Endgeräte (Zugriffssperre, Verschlüsselung).
Zu (2) Alternative Messenger
Wegen der alternativen und datenschutzkonformen Angebote an Messengerdiensten verweise ich auf die Ausführungen des Herrn Wissing. Hier ist auch aufgrund der regelmäßigen Updates etc. eine allgemeine Bewertung nur bedingt möglich, sondern eine regelmäßige Befassung erforderlich. Das liegt außerhalb einer juristischen Bewertung.
Ergänzender Hinweis: Vgl. zuletzt Heise Online vom 17.5.23: Bundeskartellamt: Messenger-Dienste verletzen Verbraucherrechte. Das Fazit: Datenschutz ist vielen zu unwichtig. (TN)
Auszug aus dem neuesten Infobrief vom DOSB-Datenschutzportal.
