WhatsApp & Co.: Haftung und Ansprüche aus dem gewerblichen Gebrauch von Messengerdiensten

Messengerdienste wie WhatsApp vermelden auch für Deutschland ein rasantes Wachstum aktiver Nutzer. Kommerzielle Anbieter, wie Bauingenieure und Architekten, wollen da - genauso wie größere Firmen — nicht zurückstecken. Schließlich signalisiert man seinen potenziellen Kunden mit der Nutzung eines solchen Dienstes, dass man nicht nur hip ist, sondern auch die „schnelle Kommunikation“ beherrscht. Zwar ist WhatsApp vonseiten des Dienstes seit kurzem offiziell für die kommerzielle Nutzung freigegeben, doch ein genauerer Blick zeigt: Mit deutschem Recht ist WhatsApp so wenig vereinbar, dass bei Auseinandersetzungen über den gewerblichen Gebrauch kaum Chancen bestehen, dass ein Versicherungsschutz greift – und das vor dem Hintergrund, dass Verstöße gegen den Datenschutz mit einem hohen Strafmaß belegt sind. (Stand 20.09.2016)

WhatsApp hat kommerziellen Anbietern endlich die Tür geöffnet. Deutlich wird dies aus der letzten deutschsprachigen Übersetzung der englischen AGBs. Dort heißt es:

Kommerzielle Nachrichten. Wir werden dir und Dritten, wie z. B. Firmen, gestatten über WhatsApp miteinander zu kommunizieren, beispielsweise über Informationen zu Bestellungen, Transaktionen und Terminen, Liefer- und Versandbenachrichtigungen, Aktualisierungen von Produkten und Dienstleistungen und Marketing. So kannst du zum Beispiel Informationen zum Flugstatus für eine bevorstehende Reise, einen Zahlungsbeleg für etwas, das du gekauft hast, oder eine Benachrichtigung bezüglich eines Liefertermins erhalten. Nachrichten, die du erhältst, die Marketing enthalten, könnten Angebote zu etwas enthalten, das dich interessiert. Wir möchten nicht, dass du das Gefühl hast Spam zu erhalten. Wie mit allen deinen Nachrichten kannst du auch diese Kommunikation verwalten und wir werden uns nach deiner Auswahl richten.“

Ende des „personal use“ - alles gut?

Mit der Klarstellung in den AGB dürfte allen ein Stein vom Herzen gefallen sein, die sich in der Vergangenheit nicht an die Nutzungsbedingung gehalten haben. Bisher war nämlich ausschließlich ein „personal use“ zugelassen. Firmen und Freiberufler, die sich in den Jahren vor 2016 gerne als modern oder zukunftsgewandt präsentieren wollten, haben also in aller Regel den WhatsApp-Messenger entgegen seinen Nutzungsbedingungen verwendet.

Nun ist der bestimmungswidrige Gebrauch in der Geschäftspraxis eine Frage der unternehmerischen Integrität. Sie soll hier jedoch nicht zur Beurteilung anstehen. Hingewiesen sei nur darauf: Es ist bis heute nicht bekannt, dass WhatsApp jemals eine Ausnahmevereinbarung für ein außeramerikanisches Unternehmen ausgestellt hat, welche in der Vergangenheit eine dienstliche oder gewerbliche Nutzung erlaubt hätte.

Minenfeld: Kontakt- und Telefonbuchdaten

Das Problem, um das es hier geht, ist schwerwiegender und dauerhaft. Folgendes ist Umgang mit WhatsApp zu beachten: Bei jeder Installation werden die Kontaktdaten aus dem Endgerät des Users ausgelesen und an Facebook zu analytischen und Werbezwecken sowie zur Weitergabe an Dritte überlassen. Dies betrifft die Daten eines jeden Kontakt- und Telefonbucheintrags, der auf der ersten (und zweiten) Sim-, der SD-Karte und im internen Speicher eines Geräts hinterlegt ist.

Einer Übertragung dieser Daten kann man nicht widersprechen. Das ist nicht mit dem Widerrufen oder Widersprechen der Nutzungs- und Datenschutzbedingungen zu verwechseln, die WhatsApp anbietet.

Sofern der User nicht von allen Personen seiner Kontaktliste eine schriftliche Zustimmung beigezogen hat oder diese Daten für WhatsApp unbrauchbar oder mittels einer Software unauffindbar gemacht hat, liegt de facto ein Verstoß gegen § 202a StGB vor.
Entgegen der allgemein üblichen Einschätzung handelt es sich hier um keine „Grauzone“.

Straftatbestände in der privaten und gewerblichen Anwendung

Nun stellt sich die Frage, warum bisher in Deutschland noch keine signifikante Menge an Urteilen im Sinne des § 202a vermeldet werden. Dass in Deutschland noch so gut wie keine Gerichtsprozesse vorkommen, liegt vorrangig daran, dass aufgrund der schieren Masse privater Verstöße die Staatsanwaltschaften gar kein Interesse an der Strafverfolgungen ebenjener privater User haben dürften, zumal der Focus der Strafverfolgung mehr auf dem Ausspähen als auf der unerlaubten Weitergabe von Daten liegt. 

Das hat zwei Gründe: Zum einen dürften die betroffenen Kontakte gar nicht wissen, wer die Daten an Facebook oder einem Marketingunternehmen zu Verfügung gestellt hat; zum anderen dürfte eine Vielzahl derer, die ihre Daten gegenseitig in ihren mobilen Telefonbüchern hinterlegt haben, meist einander positiv gegenüber gesonnen sein.

Das ändert jedoch nichts daran, dass schon in all diesen privaten Fällen immer mit Verstoß gegen § 202a StGB ein Straftatbestand vorliegt, der eine Freiheitsstrafe von bis zu drei Jahren oder eine Geldstrafe vorsieht.

Im dienstlichen, freiberuflichen oder gewerblichen Umgang mit WhatsApp sieht es noch düsterer aus. Der oben genannte Straftatbestand trifft auch hier zu. Hinzu addieren sich darüber hinaus auch noch Verstöße gegen das Bundesdatenschutzgesetz (BDSG). Es sieht nicht nur empfindliche Strafen vor, sondern dürfte auch im Fokus des Interesses der Prozessindustrie, d.h. von Abmahnern und Datenschutzermittlern stehen.

Ausweg Widerspruchserklärung? Mitnichten!

Bietet WhatsApp gewerblichen Anbietern eine Möglichkeit, dieses Problem bei Neuanmeldung auszuschließen bzw., wenn man die App schon nutzt, etwaige Verstöße „rückgängig“ zu machen?

Diejenigen, die WhatsApp schon vor der Änderung der AGBs am 25.08.2016 genutzt haben, werden ihren in der Vergangenheit begangenen Verstoß nicht mehr los, denn die übermittelten Daten können (Stand heute) rückwirkend nicht mehr für WhatsApp gesperrt werden. Denn, schaut genauer auf den von WhatsApp angebotenen Widerruf, wird deutlich, dass er an einem solchen Begehren vorbeiführt.

Was regelt der Widerruf, den WhatsApp anbietet? Seine Formulierung weist sowohl im Originaltext als auch in der Übersetzung eine gewisse Unschärfe auf. Dort heißt es:

Auswahlmöglichkeiten, die du hast. Wenn du ein bestehender Nutzer bist, kannst du wählen, deine WhatsApp-Account-Informationen nicht mit Facebook zu teilen, um deine Facebook-Werbung und Produkterlebnisse zu verbessern. Bestehende Nutzer, die unseren aktualisierten Nutzungsbedingungen und der Datenschutzrichtlinie zustimmen, haben weitere 30 Tage Zeit, diese Auswahl zu treffen, indem sie zu Einstellungen > Account gehen." 

Durch Widersprechen und Einstellungen kann also die zielgerichtete Werbesendung an bestimmte Kontakte unterbunden werden. Das, was WhatsApp dem User damit sagen will, wird von Verbraucherschutzzentralen und Datenschützern unterschiedlich interpretiert: Es ist unklar, ob damit gemeint ist, dass auf dem eigenen Facebook-Profil, sofern man eines hat, kein Banner oder Werbung geschaltet wird oder ob keine Werbung an die über den Nutzer von WhatsApp gewonnenen Kontakte gesandt wird.

Für das Vorliegen eines Straftatbestandes und des Verstoßes gegen die Datenschutzgesetze ist dieser Widerspruch jedoch unerheblich. Diese liegen weiterhin vor, denn - wie schon bemerkt - der Datenexport ist nicht rückgängig zu machen! Was mit den gewonnenen Daten geschieht, bleibt weiterhin Firmengeheimnis von WhatApp (respektive Facebook). Was WhatsApp sammelt, führen die Nutzungsbedingungen ebenfalls aus – und dazu gibt es keinen Widerruf:  

„Du akzeptierst unsere Datenpraktiken, einschließlich des Sammelns, der Verwendung, der Verarbeitung und des Teilens deiner Informationen gemäß Darlegung in unserer Datenschutzrichtlinie, sowie die Übertragung und Verarbeitung deiner Informationen in die/den USA und andere/n Länder/n weltweit, in denen wir Einrichtungen, Dienstleister oder Partner haben bzw. einsetzen, und zwar unabhängig davon, wo du unsere Dienste nutzt. Du erkennst an, dass die Gesetze, Vorschriften und Standards des Landes, in dem deine Informationen gespeichert oder verarbeitet werden, von denen deines eigenen Landes abweichen können.“

Die Schwere der Verstöße gegen Datenschutzrichtlinien dürften übrigens umso gravierender ausfallen, je weiter der WhatsApp-Gebrauch in der Vergangenheit liegt. Einen ersten Eindruck der Sicherheitslücken, die sich in der Geschichte dieses Dienstes angesammelt haben, reicht ein kurzer Blick in den Wikipedia-Artikel.

Kein Versicherungsschutz bei kommerzieller Nutzung

Datenschutzbeauftragte einzelner Länder von Kanada, über die Niederlande und Deutschland haben bereits seit den Anfängen des Dienstes 2009 vor den Sicherheitslücken und der Datenverarbeitung, der man nun mit dem Klick auf die AGB zugestimmt hat, gewarnt. Später wurde von dieser Seite in öffentlichen Bekanntgaben regelmäßig gänzlich vom Einsatz der Software abgeraten.

Sollten also zukünftig aus der WhatsApp-Nutzung Ansprüche gestellt oder Bußgelder erhoben werden, so gehen diese regelmäßig mit einem Straftatsbestand einher. Und damit fällt die Nutzung regelmäßig aus dem Versicherungsschutz einer jeden Versicherungsform heraus. Auch Spezialstraf- oder Firmenrechtsschutzversicherungen werden i. d. R. wirkungslos sein bzw. müssen bereits erfolgte Kostenübernahmen dem Versicherer zurückerstattet werden, sobald ein Bußgeld i. S. § 43 BDSG beschieden wird.

In der Berufshaftpflicht des Architekten und Ingenieure kann ebenfalls kein richtiger Versicherungsschutz gewährt werden. Je nach Gesellschaft kann gemäß derer Besonderen Bedingungen und Risikobeschreibungen hilfsweise noch Rechtsschutz für die Abwehr bei Strafverfahren verlangt werden. Dieser steht jedoch in Frage, wenn aus dem billigend-in-Kauf-Nehmen möglicher Folgen auf Vorsatz anerkannt wird. Darüber hinaus versagt auch diese Versicherungsform, sobald Bußgelder verhängt werden.  

Unsere Empfehlung

Wenn Sie Ihren Kunden einen Support über eine Messengerplattform bieten wollen, holen Sie sich zuerst das Einverständnis des Adressaten zur Übersendung solcher Nachrichten ein – unabhängig davon ob es sich um einen Einzelchat, Newsletter oder was auch immer handelt. Verwenden Sie nur solche Dienste, die Sie datenschutzkonform gemäß nationalen und europäischen Richtlinien anbieten können. Binden Sie entsprechende Datenschutzhinweise auf Ihre Webseite ein.

Sollten Sie über Messenger-Plattformen ggf. mit Ihren Auftraggebern/Bauherren kommunizieren, denken Sie daran, diese Daten in ein redundantes System zu exportieren, um die Aufbewahrungsfristen unabhängig von dem Messengerdienst auf Ihren eigenen Speichermedien gewährleisten zu können.