Intern
  • Außenansicht des Rechenzentrums
Rechenzentrum

Rechtsfragen zu Messengern wie WhatsApp oder Threema

Hinweis

Diese Unterlagen werden unter Berücksichtigung des zum 1. Dezember 2021 in Kraft tretenden TTDSG überarbeitet.

Muster für eine Einwilligung zur Beratung mittels WhatsApp

Dienstleister

WhatsApp ist Teil des Unternehmens Facebook und arbeitet mit diesem zusammen.

Bei der Nutzung von WhatsApp erlauben Sie eine Umfangreiche Verarbeitung Ihrer Daten einschließlich einer umfassenden Werbeeinwilligung zu Gunsten der Unternehmensgruppe.

Leistungen in Europa

Wenn Sie über WhatsApp mit uns in Kontakt treten, werden Ihre Daten auch von WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland verarbeitet im Rahmen eines Vertrages und einer Werbeeinwilligung mit dem Anbieter.

Dies gilt für die Staaten Andorra, Österreich, Azoren, Belgien, Bulgarien, Kanarische Inseln, Kanalinseln, Dänemark, Deutschland, Estland, Finnland, Frankreich, Französisch-Guayana, Griechenland, Guadeloupe, Island, Irland, Isle of Man, Italien, Lettland, Liechtenstein, Litauen, Luxemburg, Madeira, Malta, Tschechische Republik, Ungarn, Martinique, Mayotte, Monaco, Niederlande, Norwegen, Polen, Portugal, Republik Zypern, Réunion, Rumänien, San Marino, Saint Barthélemy, Saint-Martin, Slowakei, Slowenien, Spanien, Schweden, Schweiz, Großbritannien, souveräne britische Stützpunkte in Zypern (Akrotiri und Dekelia) und Vatikanstadt.

Dabei gelten die Nutzungsbedingungen und die Datenschutzrichtlinie von WhatsApp.

Leistungen außerhalb von Europa

Leben Sie nicht in den oben genannten Ländern werden die Leistungen von WhatsApp Inc.,1601 Willow Road, Menlo Park, Kalifornien 94025, Vereinigte Staaten von Amerika angeboten.

Ein rechtlich angemessenes Datenschutzniveau für die Datenübermittlung in die Vereinigte Staaten von Amerika ist für den Anbieter durch seine EU-U.S. Privacy Shield Zertifizierung garantiert.

Es finden auch die folgenden Nutzungsbedingungen und Datenschutzrichtlinien von WhatsApp Anwendung.

Risiken

Profilbildung

Sie treten mit uns über einen Unternehmensaccount in Kontakt. Dadurch wird für WhatsApp und das Facebook-Unternehmen die Beziehung von Ihnen zu uns offengelegt und somit Ihr Profil unter anderem für zielgerichtete Werbung verbessert.

Dieses Element Ihres Profils kann nach unserer Kenntnis nur durch ein Löschen des Profils entknüpft werden. Möglicherweise könnte diese Verknüpfung jedoch auch mit einem neu angelegten Profil fortbestehen, wenn Sich Ihre Kontakte zum gelöschten Profil nur unwesentlich unterscheiden oder sich Ihr Bewegungsprofil nicht ändert.

Datenschutzrecht

Die Übermittlung Ihrer Daten an WhatsApp Inc. erfolgt ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien bezogen auf den Datenschutz. Der Anbieter kann den Pflichten des California Consumer Privacy Act (CCPA) unterliegen. Es wurde jedoch nicht von der EU-Kommission beurteilt, ob die bestehenden Gesetze ausreichen, von einem angemessen Datenschutzniveau in den Vereinigten Staaten von Amerika sowie in dessen Bundesstaat Kalifornien auszugehen. Rechtsschutz gegen den Empfänger kann regelmäßig nur nach dem nationalen Recht der Vereinigten Staaten von Amerika ersucht werden. Dieser Hinweis ersetzt keine Rechtsberatung und kann auch nicht Einzellfälle des internationalen Privatrechts berücksichtigen.

Einwilligung

Wenn Sie in Kenntnis dieser Risken mit uns über den Dienst WhatsApp der WhatsApp Inc und WhatsApp Ireland Limited mit dem IT-Support in Kontakttreten möchten, klicken Sie unten auf die Schaltfläche.

Von Ihrer Einwilligung umfasst sind ferner Messungen und Analysen, die wir druch die Kommunikation mit Ihnen von WhatsApp erhalten.

Sie können Ihre Einwilligung uns gegenüber jederzeit für die Zukunft mittels WhatsApp-Nachricht oder Mittelung ans uns widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Information zur Datenverarbeitung

Diese stellen wir in unserer Datenschutzerklärung [Link] bereit.

☐  Einwilligen und WhatsApp Nachricht an ... senden. [Link]

Dokumentation und Information

Als Stabsstelle möchte ich Ihnen ein unverbindliches Muster für die Dokumentation zur Verfügung stellen.

Verantwortlicher

...

Datenschutzbeauftragter

...

Zwecke und Rechtsgrundlagen der Verarbeitung

Beantwortung von Nachrichten über die Sofort-Nachrichtenservices WhatsApp und Threema, einschließlich statischer Auswertungen auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.

Kategorien personenbezogener Daten

Verkehrsdaten, Steuerungsdaten, Bestandsdaten und Inhaltsdaten von Nachrichten

Kategorien betroffener Personen

Personen, die Anfragen betreuen, sowie Anfragende Studierende

Offenlegung personenbezogener Daten

Für WhatsApp an WhatsApp Inc.,1601 Willow Road, Menlo Park, Kalifornien 94025, Vereinigte Staaten von Amerika undWhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland

Für Threema an Threema GmbH, Churerstrasse 82, 8808 Pfäffikon SZ, Schweiz

Garantien für den Internationalen Datentransfer

Für WhatsApp: EU-Standardvertragsklauseln

Für Threema: Angemessenheitsbeschluss der EU Kommission für die Schweizerische Eidgenossenschaft

Regelöschfristen

Var. 1: Nach Abschlus der Unterhaltung oder Widerruf der Einwilligung

Var. 2: Nach Widerruf der Einwilligung ansonsten Prüfung zum Jahresende, ob Speicherungen für Anschlussanfragen weiterhin notwendig.

Technische und organisatorische Maßnahmen

Einige nicht abschließende Beispiele:

  • Verweis auf die Sicherheitskonzepte der Anbieter
  • Dienstanweisung zum Umgang mit der Handynummer im WhatsApp Kontaktbuch
  • Löschen der Unterhaltung nach Abschluss
  • Nutzungskonzept (ohne unmittelbare personenbezogenen Daten der Mitarbeiter (Festnetztelefonnummer statt Handynummer
  • Deaktivieren der Optionen "zuletzt online" und "Lesebestätigung"
  • Handy/Tablet mit WhatsApp hat keine Daten in Kontaktbuch (außer ggf. der Anfragenden) etc.

Anmerkung zur Datenschutzfolgeabschätzung

Geringe Anzahl an Betroffenen, keine Risiken mit hohem Schäden für die Rechte und Freiheiten der betroffenen Personen wegen Verschlüsselung und Minimierung von Risiken durch Löschkonzept und die Tatsache, dass die Anbieter die Inhaltsdaten nur verschlüsselt erhalten.

 

Als Stabsstelle möchte ich Ihnen ein unverbindliches Muster für die Datenschutzinformation gemäß Art. 13 DSGVO zur Verfügung stellen.

Verantwortlicher

...

Datenschutzbeauftragter

...

Betroffenenrechte

Allgemeine Rechte

Nach der Datenschutz-Grundverordnung stehen Ihnen folgende Rechte zu:

Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht, Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).

Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).

Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO).

Wenn Sie in die Datenverarbeitung eingewilligt haben oder ein Vertrag zur Datenverarbeitung besteht und die Datenverarbeitung mithilfe automatisierter Verfahren durchgeführt wird, steht Ihnen gegebenenfalls ein Recht auf Datenübertragbarkeit zu (Art. 20 DSGVO).

Sollten Sie von Ihren oben genannten Rechten Gebrauch machen, prüft die öffentliche Stelle, ob die gesetzlichen Voraussetzungen hierfür erfüllt sind.

Weiterhin besteht ein Beschwerderecht beim Bayerischen Landesbeauftragten für den Datenschutz.

Widerrufsrecht

Sie können, da der Verarbeitung Ihrer Daten eine Einwilligung zu Grunde liegt, die Einwilligung jederzeit widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Zwecke und Rechtsgrundlagen der Verarbeitung

Beantwortung von Nachrichten über die Sofort-Nachrichtenservices WhatsApp und Threema, auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO.

Offenlegung personenbezogener Daten

Für WhatsApp an WhatsApp Inc.,1601 Willow Road, Menlo Park, Kalifornien 94025, Vereinigte Staaten von Amerika undWhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland

Für Threema an Threema GmbH, Churerstrasse 82, 8808 Pfäffikon SZ, Schweiz

Garantien für den Internationalen Datentransfer

Für WhatsApp: EU-Standardvertragsklauseln

Für Threema: Angemessenheitsbeschluss der EU Kommission für die Schweizerische Eidgenossenschaft

Regelöschfristen

Var. 1: Nach Abschlus der Unterhaltung oder Widerruf der Einwilligung

Var. 2: Nach Widerruf der Einwilligung ansonsten Prüfung zum Jahresende, ob Speicherungen für Anschlussanfragen weiterhin notwendig.

 

WhatsApp sollte in der Version WhatsApp Business genutzt werden, da die klassische Version von Anbieter die Nutzung jenseits privater Zwecke untersagt werden kann.

Threema bietet mit Threema Education ein passenden Lizenzangebot an.

Die Anbieter Signal und Telegram wären zwar lizenzrechtlich für Hochschulen nutzbar, jedoch sind Sie als Verwantwortliche für die Datenverarbeitung bzw. als Auftragsverarbeiter nicht greifbar, bzw. es kann kein angemessenes Datenschutzniveau garantiert werden.

Alternativen

Threema

Threema ist ein Messengerdienst der Threema GmbH. Der Messengerdienst legt besonderen Wert auf Sicherheit und Privatsphäre, ist jedoch kostenpflichtig.

Einwilligung

Wenn Sie über den Threema mit ... in Kontakt treten möchten, klicken Sie unten auf die Schaltfläche.

Von Ihrer Einwilligung umfasst ist ferner die Erstellung aggregierter Nutzungsstatistiken.

Sie können Ihre Einwilligung uns gegenüber jederzeit für die Zukunft mittels Threema-Nachricht oder Mitteilung ans uns widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.

Information zur Datenverarbeitung stellen wir in unserer Datenschutzerklärung [Link]  bereit.

Umsetzungsbeispiel

Threema-Kontaktanfrage der Stabsstelle IT-Recht der bayerischen staatlichen Universitäten und Hochschulen

Muster für ein Verzeichnis der Verarbeitungstätigkeiten

VVT für Threema mit Einwiligung

Weitere Anbieter

Signal

Signal ist technisch mindestens so überzeugend wir Threema. Jedoch ist der Träger ein Stiftung mit Sitz in den Vereinigten Staaten von Amerika. Der Dienst unterliegt ab dem 1. Dezember 2021 dem Telekommunikationsrecht und kann dann mit nur sehr geringen verbleibenden Restrisiken eingesetzt werden.

Telegram

Setzt eine Ende-zu-Ende-Verschlüsselung nur in geheimen Chats  um. Da der Anbieter nicht greifbar ist, kann kein vollständiges Verzeichnis der Verarbeitungstätigkeit erstellt werden.

Line

Durch den Angemessenheitsbeschluss der EU-Kommission mit Japan könnte unter ähnlichen Vorraussetzung wie WhatsApp Business der geschäftliche Ableger LINE@ eingesetzt werden.

DeltaChat

Dieser Dienst setzt auf das E-Mail-Protokoll auf und ist ein bequemer Weg für eine dezentrale verschlüsselte Kommunikation. Es besteht eine Abhängigkeit vom selbt gewählten E-Mail-Provider.