Rufen Sie uns an: (+49) 30 814 555 64 oder schreiben Sie uns eine E-Mail: info (at) trust-zentrum.de
Es hagelt Milliarden. Auch das Jahr 2023 ist ein Rekordjahr in Sachen DSGVO-Bußgeldern. Nicht nur die Höhe der Sanktionen nimmt stetig an Fahrt auf, auch die Anzahl der sanktionierten Fälle steigt stetig. An Bedeutung für die unternehmensinterne Kommunikation gewinnen hierbei auch Messenger-Dienste wie WhatsApp, nicht zuletzt durch die Entwicklung hin zum Homeoffice. Wir werfen in diesem Artikel daher einen Blick auf die aktuellen Datenschutzrisiken beim Einsatz von WhatsApp und anderen Messenger-Diensten sowie auf die Sanktionsgefahr, die mit dem Einsatz im Unternehmen verbunden sein können.
Besonders die spanische Datenschutz-Aufsichtsbehörde (Agencia Española de Protección de Datos, kurz „AEPD“) ahndet derzeit eine Vielzahl an DSGVO-Verstößen. In einer Beschwerdesache ging es nun um die arbeitgeberseitige Kündigung einer Betroffenen, über welche die Mitarbeitenden des Unternehmens datenschutzwidrig in Kenntnis gesetzt wurden. Das Kündigungsschreiben wurde in dem sanktionierten Fall vom Arbeitgeber in einer WhatsApp-Gruppe mit mehreren Mitarbeitenden geteilt. Die Nachricht enthielt zum Einen das Kündigungsschreiben als Anhang. In der Vorschau des Dokuments waren zudem der Kündigungsgrund, die Adresse und der Absender erkennbar. Aufgrund eines Verstoßes gegen die Vertraulichkeit personenbezogener Daten, Art. 5 Abs.1 lit. f DSGVO, stellte die Behörde ein Bußgeld in Höhe von 2.000 EUR gegen das Unternehmen aus. Der Verstoß gegen Art. 32 DSGVO („Sicherheit der Verarbeitung“) wurde zudem mit 1.500 EUR geahndet, da keine ausreichenden technischen und organisatorischen Maßnahmen getroffen wurden, welche die Kenntnisnahme Unbefugter hätten verhindern können. Nicht ausführlich thematisiert wurde hingegen die Nutzung von WhatsApp im dienstlichen Kontext generell, was jedoch im folgenden Sachverhalt aus Thüringen näher beleuchtet wird.
Ein ehemaliger Mitarbeiter legte beim Thüringer Landesbeauftragten für Datenschutz (kurz „TLfDI“) Beschwerde wegen der
Verbreitung eines Fotos in einer internen WhatsApp-Gruppe eines Unternehmens ein. Auf diesem Foto wurde der Mitarbeiter blutend auf einem Jahre zurückliegenden Junggesellenabschied abgebildet. Besonders unglücklich: Der Mitarbeiter, der das Foto teilte, war zudem auch Datenschutzbeauftragter des Unternehmens. Gegen diesen wurde in dem Zusammenhang ein Bußgeld in unbekannter Höhe verhängt. Die Behörde stellte zudem fest, dass die interne WhatsApp-Gruppe nicht von der sog. „Haushaltsausnahme“ in Art. 2 Abs. 2 lit. c DSGVO gedeckt und der Anwendungsbereich der Verordnung somit eröffnet sei - die WhatsApp-Gruppe wurde nicht ausschließlich privat genutzt. Die Verarbeitung erfolgte insbesondere unrechtmäßig, da der Betroffene seine Einwilligung i. S. d. Art. 6 Abs. 1 lit. a DSGVO nicht erteilt hatte. Bereits die Aufnahme des Bildmaterials erfolgte an besagtem Ereignis ohne dessen Kenntnis. Der Datenschutzbeauftragte des Unternehmens konnte im Übrigen nicht abberufen werden. Dies ist gem. § 40 Abs. 6 des Bundesdatenschutzgesetzes (BDSG) nur dann möglich, wenn entweder die erforderliche Fachkunde fehlt, die der DSB des Unternehmens jedoch besaß, oder wenn ein schwerwiegender Interessenkonflikt hinsichtlich der Aufgaben und Pflichten vorliegt (Art. 38 Abs. 6 DSGVO), was ebenfalls nicht gegeben war.
Das kommt auf die Art und Weise der Nutzung an, so dass es bei der dienstlichen Nutzung von WhatsApp einige Aspekte zu beachten gilt. Bei der Nutzung im beruflichen Kontext ist zunächst häufig von der sogenannten „betrieblichen Übung“ auszugehen, wenn der Messenger-Dienst oder Messenger-Gruppen für die dienstliche Kommunikation im Unternehmen verwendet oder vom Unternehmen geduldet werden. Unabhängig davon, ob die Nutzung vom Arbeitgeber somit angewiesen ist oder nicht, könnte der Anwendungsbereich der DSGVO bereits eröffnet sein, wenn dienstliche Angelegenheiten über derartige Messenger ausgetauscht werden (z. B. Infos über Dienst- oder Schichtpläne, Kundenprojekte) und nicht die „Haushaltsausnahme“ greift. Zudem sollte beachtet werden, dass die Nutzung privater Geräte vom Arbeitgeber nicht angewiesen werden kann, um entsprechende Messenger-Dienste zu verwenden. Proaktiv die "Spielregeln" für die Nutzung von Messenger-Diensten in die Datenschutzrichtlinien aufzunehmen, ist daher besonders wichtig für den DSGVO-konformen Einsatz. Insbesondere kann dadurch das Risiko des Austauschs von (bestimmten) personenbezogenen Daten im Unternehmenskontext auf (bestimmten) Messenger-Plattformen unterbunden werden, da sich die Risiken im Speziellen häufig der Kenntnis des Arbeitgebers und dem Know How von Beschäftigten entziehen. So entschied etwa die Aufsichtsbehörde Nordrhein-Westfalen (LDI NRW) im Jahr 2019, dass die
Krankmeldung an die Personalabteilung über WhatsApp nicht zulässig sei, da WhatsApp als Messenger-Dienst nicht für die Verarbeitung sensibler Daten i. S. d. Art. 9 Abs. 1 DSGVO geeignet ist und die Verarbeitung damit einen Datenschutzverstoß darstellt.
So nützlich die Verwendung von WhatsApp und anderer Messenger-Dienste im betrieblichen Kontext sein kann, so umstritten ist sie in der Praxis. Bereits in der Vergangenheit stand WhatsApp häufig in der Kritik, weil die App ungefragt auf die Kontaktliste der Nutzenden zugreift und die Kontakte ohne entsprechende Einwilligung der Betroffenen verarbeitet werden. Des Weiteren werden Nutzerdaten mit dem Mutterkonzern "Meta" (vormals Facebook) geteilt und (auch regelmäßig) auf Servern in den USA gespeichert. Entziehen sich Messenger-Gruppen somit der Einflusssphäre oder Kenntnis des Arbeitgebers, können technische und organisatorische Maßnahmen sowie Vorkehrungen gar nicht erst durch das Unternehmen getroffen werden, zu denen es nach der DSGVO verpflichtet ist. Ist die dienstliche Nutzung von Messenger-Diensten im Unternehmen vorgesehen oder geduldet, sollten daher entsprechende Dienste und Dienstgeräte von Arbeitgebern mit datenschutzfreundlichen Voreinstellungen zur Verfügung gestellt, oder ein datenschutzkonformes Bring Your Own Device-Management (kurz „BYOD“) eingeführt werden. Es liegt somit auf der Hand, auch datenschutzfreundliche Messenger-Alternativen (z. B. Signal oder Threema) bereits bei der Planung in Betracht zu ziehen. Vom Austausch sensibler Daten (z. B. Gesundheitsdaten, Krankmeldungen) über WhatsApp und andere Messenger ist generell abzuraten. Nach wie vor sind einige rechtliche und technische Unwägbarkeiten mit dem Einsatz von Messenger-Diensten verbunden. Diese betreffen insbesondere das Teilen der Daten mit Drittparteien sowie die
Datentransfers und Speicherung in Drittländern.
Unser Standort: Chausseestraße 86, 10115 Berlin