Das vergangene Jahr hat nicht nur der Versicherungsbranche gezeigt, dass Datenschutz lange ein unterschätztes Thema war. Aber mit der DSGVO ging ein Ruck durch die Assekuranz und jetzt sieht alles anders aus. Oder etwa nicht? Zeit, mit einem Experten darüber zu sprechen: Andreas Sutter von der Firma basucon. In unserer neuen Reihe gibt er Tipps, informiert über Gefahren und berichtet aus seinem Praxis-Alltag als Datenschutzbeauftragter. Zum Start der Reihe im Fokus: WhatsApp im Vertrieb.

Redaktion: Herr Sutter, WhatsApp ist mittlerweile eines der beliebtesten Kommunikationsmittel in Deutschland. Auch im Versicherungsvertrieb?
Andreas Sutter, Geschäftsführer basucon GmbH

Andreas Sutter: WhatsApp ist ein fester Bestandteil der täglichen Kommunikation geworden. In Deutschland nutzen über 50 Millionen Menschen diesen Kommunikationsweg. Fast 90 Prozent der 14 bis 60-jährigen verwenden WhatsApp täglich oder mehrmals in der Woche. Da ist es zunächst natürlich naheliegend, diese Möglichkeiten auch im Versicherungsvertrieb zu nutzen. Die Vermittler, die wir im Datenschutz beraten, signalisieren uns regelmäßig, dass gerade junge Kunden sehr gerne die Kommunikation auf diesem Weg suchen. In dem stark umkämpften Markt möchte man daher ungern auf diesen Zugangsweg zum Kunden verzichten.

Redaktion: Mit welchen Risiken ist das verbunden? Reicht das Privacy Shield Abkommen mit den USA nicht aktuell noch aus, um Rechtssicherheit zu gewährleisten?

Andreas Sutter: Die wesentlichen Risiken aus der Sicht des Datenschutzes sind die Sicherheit der Kommunikation bezüglich Vertraulichkeit und Integrität der übermittelten Daten. Damit ist das Risiko gemeint, dass Nachrichten abgefangen oder verfälscht werden können. WhatsApp ist dabei immer wieder durch Sicherheitsmängel aufgefallen. Auch die Ende-zu-Ende-Verschlüsselung bietet hier keine Abhilfe, da die Strukturen dahinter im Grunde intransparent sind. Und das ist auch der zweite wesentliche Risikobereich. Es ist nach wie vor unklar, wie, wo und wie lange WhatsApp Daten als Teil des Facebook-Universums verarbeitet. Und damit ist es dem Verantwortlichen im Datenschutz unmöglich, rechtssicher über die Datenverarbeitung nach Artikel 13 und 14 DSGVO zu informieren.

Die Übermittlung beziehungsweise Verarbeitung der Daten in die Vereinigten Staaten ist im Moment zwar noch rechtssicher über das Privacy Shield Abkommen abgedeckt.

Ob dieses Abkommen aber dauerhaft Bestand haben wird, ist dabei aber eher ungewiss. Das Problem ist dabei der mögliche Zugang durch amerikanische Behörden auf die europäischen Daten, die ja unter dem strengen Schutz der DSGVO stehen.

Redaktion: Was ist Ihre Empfehlung? Sollte ich als Vermittler WhatsApp nutzen? Und sei es nur für ungefährliche Kommunikation, wie für die Terminkoordinierung mit Kunden. Oder um Nachrichten zu empfangen.

Andreas Sutter: Aus Sich des Datenschutzbeauftragten ist die sehr deutliche Empfehlung, WhatsApp nicht für die geschäftliche Kommunikation zu nutzen, weder aktiv noch passiv. Deshalb sollte WhatsApp auf allen geschäftlich genutzten mobilen Geräten deinstalliert sein.

Redaktion: Wie ist das denn mit privaten Geräten, die ich nach dem Bring Your Own Device Prinzip auch beruflich nutze, und auf denen ich WhatsApp installiert habe?

Andreas Sutter: BYOD ist ohnehin ein großes Problem im Hinblick auf IT-Sicherheit und Datenschutz. Denn wird auf den privaten Geräten WhatsApp für die geschäftliche Kommunikation genutzt, ändert dies nichts an den grundsätzlichen Risiken. Daher muss der Arbeitgeber in jedem Fall die Nutzung der App auf den BYOD-Geräten untersagen. Das ist aber kaum zu kontrollieren.

Redaktion: Was kann eigentlich passieren, wenn ich WhatsApp trotz aller Risiken doch nutze?

Andreas Sutter: Wie oben erwähnt kann der Verantwortliche im Falle der WhatsApp-Nutzung nicht rechtssicher über die Verarbeitung informieren. Das gilt auch im Fall einer Betroffenen-Anfrage nach Artikel 15 DSGVO (Auskunftsrecht). Der Verantwortliche kann ja nicht wirklich nachvollziehen und belegen, wo die Daten gelandet sind. Er kann auch keine wirksame Löschung (Artikel 17 DSGVO) veranlassen. Aus diesen Mängeln entsteht dem Verantwortlichen das Risiko, dass der Betroffene Schadenersatzansprüche geltend macht oder sich bei der Datenschutz-Aufsicht beschwert. Das hätte dann empfindliche Bußgelder zu Folge. Nach mehrheitlicher Auffassung kann der Betroffene auch nicht wirksam auf diese Rechte verzichten. Daher scheidet eine Einwilligung in die Kommunikation via WhatsApp aus.

Sollte eine Nachricht verfälscht oder abgefangen werden, entstehen dem Verantwortlichen natürlich weitere Schadenersatz- oder Ordnungsgeld-Risiken.

“Das betrifft im Übrigen nicht nur den Kundendatenschutz. Auch der Mitarbeiterdatenschutz ist betroffen. Und gerade ausgeschiedene Mitarbeiter stellen das höchste Beschwerde-Risiko dar.”

Redaktion: Was raten Sie Versicherungsgesellschaften mit großen Stammvertrieben oder Finanzvertrieben? Könnten diese im Zweifel sogar in Haftung genommen werden, wenn Vermittler WhatsApp nutzen?

Andreas Sutter: Eine gemeinsame Haftung der Versicherer mit ihren Stammvertrieben ist nicht völlig auszuschließen. Denn vielfach wird man hier eine (verdeckte) gemeinsame Datenverarbeitung nach Artikel 26 DSGVO annehmen können. In jedem Fall rate ich den Versicherern, ihren Vermittlern effektive Lösungen und Unterstützung anzubieten. Denn auch falls keine direkte Haftung erwächst, geht es für die Gesellschaften um einen möglichen Reputationsverlust, falls ein Vermittler eklatant gegen den Datenschutz verstößt.

Mir ist beispielsweise ein Fall bekannt geworden, wo ein Autohaus mit einem Vermittler regelmäßig Ausweiskopien per WhatsApp ausgetauscht hat, damit Fahrzeuge zugelassen werden können. Falls in dem Beispiel die Ausweisdaten zum Identitätsdiebstahl abgefangen werden, muss sich auch der Versicherer Vorwürfe gefallen lassen.

Redaktion: Was ist denn mit den Alternativen wie Threema oder Telegramm? Sind wenigstens die sicher?

Andreas Sutter: Die zurzeit sicherste Variante ist der Signal-Messenger. Dort sind die technischen Risiken am geringsten und die Datenverarbeitung ist transparent.

Das Hauptproblem bei allen halbwegs sicheren Varianten ist aber: Es nutzt sie kaum jemand. Und damit ist der Nutzen hinfällig.

Was halten Sie von Anbietern, die eine WhatsApp Business API in ihre Software integriert haben? Ist das rechtlich sauber?

Andreas Sutter: Aus den genannten Gründen kann ich auch diese Lösungen nicht empfehlen. Dem Verantwortlichen bleibt immer die Entscheidung dem Bereich Datenschutz gegebenenfalls Marketing-Interessen vorzuziehen. Für WhatsApp gilt aber: Das ist ein Tanz auf dem Vulkan.

Andreas Sutter
Andreas Sutter ist Datenschutzexperte aus der Branche für die Branche. Gemeinsam mit seinem Geschäftspartner Guido Babinsky führt der zertifizierte Datenschutzbeauftragte die Firma basucon GmbH. Mit dieser berät der Fachwirt für Versicherungen und Finanzen zahlreiche Maklerunternehmen in Sachen Datenschutz. Mehr Informationen findet ihr auf der Homepage www.basucon.de.

Titelbild: ©willyam/fotolia.com ; Beitragsbild: ©Andreas Sutter

Ihre Meinung zu diesem Beitrag?

Please enter your comment!
Please enter your name here