WhatsApp DSGVO (MDM, Container)

Hallo,

vielleicht kann mir wer weiterhelfen. Ich beschäftige mich jetzt schon länger mit dem Thema Mobile Device Management, WhatsApp und Datenschutz.

Hab mich schon viel eingelesen und einige Sachen ausprobiert. Aber eines ist nach wie vor unklar und konnte mir bis dato keiner beantworten.

Wenn ich iPhones beruflich und privat nutzen möchte, kann ich die Daten mit einer MDM Lösung trennen und somit wäre ich angeblich DSGVO konform.

ABER: Sobald ich die Rufnummer vom Kunden speichere und ihm per WhatsApp eine Nachricht schicken möchte, bin ich ja nicht mehr konform. Oder? Also eigentlich darf ich WhatsApp beruflich nicht nutzen? Außer ich habe die Zustimmung vom Kunden…

Falls dem so ist, wie kann ich dann die Kontakte sauber trennen? Beim iPhone gibt es ja keine Möglichkeit den Speicherort (Account) auszuwählen. Ich kann lediglich den Standard-Account auswählen. Aber jedesmal den Standard-Account ändern wenn ich einmal eine private und dann eine berufliche Nummer speicher kanns ja auch nicht sein.
Mir ist schon klar dass wenn die Daten zwischen verwalteten Apps und nicht verwalteten Apps getrennt sind, aber woher weiß das Handy welcher Kontakt jetzt privat und welcher beruflich ist?

Besten Dank im Voraus.

Du kannst viele Apps in so einer Konstellation schlicht und ergreifend nicht datenschutzkonform so betreiben, dass Du sie sowohl dienstlich als auch privat nutzt, da sie eine entsprechende Datentrennung einfach nicht unterstützen/anbieten. Daher beinhalten die professionellen Lösungen wie z.B. Blackberry UEM diverse interne, eigene Apps, die dann ausschließlich für die dienstlichen Dinge gedacht sind, und deren Daten sauber getrennt von sonstigen Apps auf dem Gerät verwalten. D.h. aber auch, Du bist dann eben auch auf genau diese internen Apps und deren Zusammenspiel in Bezug auf dienstliche Dinge beschränkt. Was nicht als interne App angeboten wird, fehlt dann leider. D.h. ein fehlendes WhatsApp-Pendant kann man dann natürlich auch nicht dienstlich nutzen, und die Installation von WhatsApp außerhalb dieser Lösung hat selbstverständlich auch keinen Zugriff auf die dienstlichen Kontaktdaten von innerhalb dieser Lösung. Du müsstest also den Kontakt dann zusätzlich auch noch mal außerhalb der dienstlichen Lösung anlegen, und gerätst dann tatsächlich in die von Dir schon angesprochenen Probleme.

SecurePIM hat zum Beispiel einen eigenen Messenger. Der ist aber für internen Gebrauch gedacht. Damit kann ich ja nicht dem Kunden schreiben.

Und sobald ich per WhatsApp mit dem Kunden schreibe, verstoße ich gegen die DSGVO da die Daten an Dritte weitergegeben wurden.

Somit kann ich WhatsApp beruflich nicht nutzen, außer ich habe die Zustimmung des Kunden?!

Und beim iPhone kann ich nicht auswählen ob ein Kontakt privat oder beruflich ist. Sobald ich WhatsApp installiert habe, greift es auf alle Kontakte zu.

Dazu müsste ich einen verwalteten Kontakte-Account hinzufügen; hier darf WhatsApp dann theoretisch nicht mehr zugreifen. Aber wie kann ich dann hier Kontakte speichern? Wie bereits erwähnt kann ich ja nicht auswählen wo Kontakte gespeichert werden sollen.

Oder trennt das Apple so, dass anhand der privaten oder beruflichen Rufnummer beim erstellen des Kontaktes?

So ist es, und die weitere von Dir angesprochene Möglichkeit bringt Dich auch nicht weiter. Denn sobald WA Zugriff auf Kontakte bekommt, hast Du ein Problem.

BTW: Ich kann zudem nur dringend davor warnen Messanger im beruflichen Umfeld zum Kontakt mit Kunden und Lieferanten zu nutzen. Aus so schnell salopp hingerotzten knappen Sätzen können sich schnell hinterher nur schwer wieder einzufangende Dinge ergeben, und die hierüber getroffenen Vereinbarungen sind reines Kopfwissen des einzelnen MA bzw. liegen nur auf dessen Smartphone, sind nicht sauber abgelegt und für den Fall des Falles gesichert und erreichbar, … Da ist Ärger vorprogrammiert, und ich habe es auch schon mehr als einmal erlebt, dass da dann Dinge unter Missachtung jeglicher Vollmachten und Wertgrenzen sowie interner Prozesse „geklärt“ wurden, die dann im Nachhinein alles andere als klar waren, weil z.B. der Verweis auf AGB, bestehende Rahmenverträge und Beauftragungen fehlte, … nach denen eine Leistung eigentlich hätte erbracht werden sollen, was die andere Seite dann im Nachhinein problemlos erfolgreich bestritten hat, weil es keinerlei entsprechend belegbare Einbeziehungen und Verweise gab, … Da ging die eine Seite dann von einer kostenlosen Mangelbeseitigung aus, während die andere mangels klarem Hinweis von einer Zusatzbeauftragung ausging, …

Nicht alles, was auf den ersten Blick Dinge „vereinfachen“ würde, tut dies dann tatsächlich auch!

Das ist nicht richtig. WhatsApp kann nur auf die Kontakte zurück greifen, wenn DU das bewusst gestattest.

Wenn Du das iPhone DSGVO-konform einsetzen möchtest, solltest Du ausschließlich SMS benutzen (iMessage abschalten) sowie E-Mails und eine Synchronisation mit der iCloud abschalten. Nur so werden die Daten der Kunden nicht in ein Drittland übertragen.

Grüße
Pierre

Guten Morgen!

Ja schon klar, aber dann sehe ich immer nur die Rufnummer des Kunden und nicht den Namen. Das machts nicht einfacher. Außerdem müsste ich ein eigenes verwaltetes Adressbuch anlegen. Aber beim Speichern von Kontakten kann ich dann nicht auswählen wo der Kontakt gespeichert werden soll. Und da der Mitarbeiter bequem sein möchte, wird er sicher nicht darauf achten wo die Kontakte gespeichert werden bzw. kann man das beim iPhone erst gar nicht auswählen (man kann nur einen Standard-Account festlegen).
Also am besten WA, FB, udgl. erst gar nicht erlauben.

Nur als ergänzenden Hinweis: Neben dem Datenschutz sollten ein Unternehmen überlegen, ob während der Korrespondenz per Messenger auch aufbewahrungspflichtige Dokumente entstehen. Sicher ist das keine Rechnung oder gar ein Jahresabschluss, aber ein s. g. Geschäftsbrief ist schnell entstanden, ohne dass sich die Akteure darüber bewusst sind, dass ein Solcher vorliegt.

Bei E-Mail wird in größeren Unternehmen oft eine Archivierungs-Software zwischengeschaltet, die das sicherstellt. Für Messenger ist mir sowas unbekannt (und aufgrund der „walled garden“ wohl nur durch die Betreiber der jeweiligen Messenger-Struktur realisierbar).