News

WhatsApp: DSGVO-Risiko in Schule & Beruf

Analyse der DSGVO-Konflikte bei WhatsApp-Nutzung durch Metadatenweitergabe an Meta. Risiken und Alternativen.

Michael Meister

4 min read
WhatsApp: DSGVO-Risiko in Schule & Beruf
Photo by Rachit Tank / Unsplash

Die Nutzung von WhatsApp in schulischen und beruflichen Umgebungen ist aufgrund der Datenschutz-Grundverordnung (DSGVO) problematisch. Insbesondere die Verarbeitung und Weitergabe von Metadaten an den Mutterkonzern Meta sowie die Speicherung von Daten außerhalb Europas stehen im Widerspruch zu europäischen Datenschutzstandards. Dieser Artikel beleuchtet die technischen und rechtlichen Aspekte dieser Problematik und zeigt auf, warum der Einsatz von WhatsApp in diesen Kontexten erhebliche Risiken birgt.

WhatsApp im schulischen Umfeld: Ein klares No-Go?

Datenschutzbehörden positionieren sich seit Jahren eindeutig gegen den Einsatz von WhatsApp in Schulen. Ein Fallbeispiel aus Thüringen im Jahr 2024 verdeutlicht dies: Obwohl ein Elternbeirat die Nutzung initiierte, intervenierte die zuständige Aufsichtsbehörde. Sie stellte klar, dass Schulen WhatsApp weder für dienstliche Zwecke noch für schulnahe Organisation (wie durch Elternbeiräte) einsetzen dürfen. Der Grund liegt darin, dass auch Elternbeiräte in diesem Kontext als „verantwortliche Stellen“ im Sinne der DSGVO agieren. Die automatische Synchronisation des Adressbuchs und die damit verbundene ungefragte Speicherung von Kontaktdaten aller Teilnehmenden sowie die Übermittlung von Metadaten an Server in den USA verstoßen gegen die Regelungen zur Datenübermittlung in Drittstaaten (Art. 44–49 DSGVO).

Bereits 2017 erklärte der rheinland-pfälzische Datenschutzbeauftragte Messenger-Dienste mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) für schulische Zwecke für unzulässig. Diese Haltung wird durch Stellungnahmen anderer Landesdatenschutzbeauftragter gestützt. Die Kernprobleme liegen in systematischen Verstößen gegen DSGVO-Grundprinzipien wie Datenminimierung (unnötiger Zugriff auf das gesamte Adressbuch) und Zweckbindung (Nutzung von Metadaten für Profilbildung durch Meta). Zudem mangelt es an Transparenz darüber, welche Daten genau verarbeitet und weitergegeben werden.

Datenschutzrechtliche Fallstricke im Unternehmen

Auch im Unternehmenskontext ist die Nutzung von WhatsApp heikel, selbst wenn sie über private Accounts von Mitarbeitenden erfolgt. Dies führt oft zu einem unzulässigen Datenmix aus privaten und geschäftlichen Informationen, was gegen Art. 5 Abs. 1 lit. b DSGVO (Zweckbindung) verstößt. Ein zentrales Problem ist, dass WhatsApp automatisch Kontaktdaten aus dem Adressbuch verarbeitet, auch von Personen, die keiner geschäftlichen Nutzung zugestimmt haben.

Obwohl die Nachrichtenübermittlung seit 2016 Ende-zu-Ende-verschlüsselt ist, bleiben Metadaten ungeschützt. Dazu gehören:

  • Telefonnummern der Kommunizierenden
  • Zeitstempel von Nachrichten und Aktivitäten
  • Geräteinformationen (IP-Adressen, Betriebssystem, Modell)
  • Standortdaten (sofern freigegeben)
  • Interaktionsmuster (Häufigkeit, Dauer)

Diese Metadaten werden von WhatsApp Inc., einer Tochtergesellschaft von Meta Platforms, systematisch erfasst und für die Profilbildung genutzt, oft auch in Verknüpfung mit Daten von Facebook und Instagram. Das Arbeitsgericht Bad Hersfeld urteilte 2017, dass die Weitergabe von Kontaktdaten ohne Einwilligung eine Persönlichkeitsrechtsverletzung darstellt. Unternehmen riskieren Abmahnungen und empfindliche Bußgelder, insbesondere bei der Verarbeitung sensibler Daten (z.B. im Gesundheitswesen), die bis zu 4 % des globalen Jahresumsatzes betragen können (Art. 83 DSGVO).

Der Datenfluss zu Meta: Wie Metadaten Profile schaffen

Die Kernproblematik liegt in der engen Verflechtung von WhatsApp mit dem Meta-Konzern. Meta nutzt die gesammelten Metadaten, um detaillierte Nutzerprofile zu erstellen. Selbst wenn ein Nutzer keinen Facebook- oder Instagram-Account besitzt, können durch die Analyse von Kommunikationsmustern, Kontakten und Geräteinformationen Rückschlüsse auf Interessen, soziale Kreise und Gewohnheiten gezogen werden. Diese Datenaggregation dient primär Werbezwecken und der Verbesserung der Meta-Algorithmen.

Mit Werbung Geheimdienste enttarnen
Dass Google-Maps mir Restaurants in meiner Umgebung empfehlen kann, und welche Auswirkungen dieser Komfort hat, sehen wir hier genauer…
Meister-Tech-BlogMichael Meister

Die Übermittlung dieser Daten in die USA ist rechtlich umstritten. Nach dem Kippen des Privacy-Shield-Abkommens durch den EuGH 2020 stützt sich Meta auf sogenannte Standardvertragsklauseln (SCCs). Deren Zulässigkeit für Datentransfers in die USA wird jedoch weiterhin rechtlich angefochten, da das Datenschutzniveau in den USA nicht dem der EU entspricht. Ein Beispiel verdeutlicht die Tragweite: Eine Arztpraxis, die Termine per WhatsApp koordiniert, übermittelt zwangsläufig Patiententelefonnummern und Kommunikationszeitpunkte an Meta. Werden diese Daten mit anderen Informationen verknüpft, könnte dies Rückschlüsse auf den Gesundheitszustand ermöglichen – ein potenzieller Verstoß gegen Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten).

Konkrete DSGVO-Verstöße und technische Mängel

Die Nutzung von WhatsApp in den genannten Kontexten führt zu Verstößen gegen mehrere zentrale Artikel der DSGVO:

  1. Art. 5 Abs. 1 lit. a (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz): Fehlende Rechtsgrundlage für die umfangreiche Metadatenverarbeitung durch Meta und die intransparente Weitergabe.
  2. Art. 5 Abs. 1 lit. b (Zweckbindung): Nutzung der Daten für andere Zwecke (Profiling, Werbung) als die reine Kommunikation.
  3. Art. 5 Abs. 1 lit. c (Datenminimierung): Erzwungener Zugriff auf das gesamte Adressbuch, obwohl dies für die Kernfunktionalität nicht zwingend erforderlich wäre.
  4. Art. 13/14 (Informationspflichten): Unzureichende Aufklärung der Nutzer über Umfang und Zweck der Datenverarbeitung, insbesondere bezüglich der Verknüpfung innerhalb des Meta-Konzerns.
  5. Art. 25 (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen): Das Design von WhatsApp fördert die Preisgabe von Daten statt sie zu minimieren.
  6. Art. 44 ff. (Datenübermittlung in Drittländer): Transfer personenbezogener Daten in die USA ohne ausreichendes Datenschutzniveau bzw. auf rechtlich umstrittener Grundlage.

DSGVO-konforme Alternativen

Für die schulische und berufliche Kommunikation existieren datenschutzkonforme Alternativen, die den Anforderungen der DSGVO besser gerecht werden:

  • Signal: Ein Open-Source-Messenger, der für seine starke Ende-zu-Ende-Verschlüsselung bekannt ist, keine unnötigen Metadaten speichert und von Datenschutzexperten empfohlen wird. Die Server stehen teilweise in der EU.
  • Threema: Ein Schweizer Anbieter, der besonderen Wert auf Datenschutz legt. Er erfordert keine Angabe einer Telefonnummer, ist DSGVO-konform und ISO-27001-zertifiziert. Die Server befinden sich in der Schweiz (mit Angemessenheitsbeschluss der EU).
  • Matrix/Element: Ein dezentrales, offenes Kommunikationsprotokoll, das Ende-zu-Ende-Verschlüsselung bietet und sich für Organisationen eignet, die Kontrolle über ihre Kommunikationsinfrastruktur behalten möchten (Betrieb eigener Server möglich).

Diese Alternativen vermeiden die problematische Datenweitergabe an Dritte und erfüllen die Prinzipien der Datenminimierung und Zweckbindung.

Fazit

Die Verwendung von WhatsApp in Schulen und Unternehmen stellt aufgrund der systematischen Erfassung und Weitergabe von Metadaten an Meta sowie der Datenübermittlung in die USA ein strukturelles Datenschutzrisiko dar. Behördliche Stellungnahmen und Gerichtsurteile bestätigen die Unvereinbarkeit mit der DSGVO für formelle Kommunikationszwecke. Organisationen sollten dringend auf datenschutzkonforme Messenger wie Signal, Threema oder Matrix/Element umsteigen, um rechtliche Konsequenzen zu vermeiden und den Schutz personenbezogener Daten zu gewährleisten.