Blog-Layout

DSGVO-Gefahren, die bei der Nutzung von WhatsApp lauern

Bußgelder bei dienstlicher Nutzung von WhatsApp?


Es hagelt Milliarden. Auch das Jahr 2023 ist ein Rekordjahr in Sachen DSGVO-Bußgeldern. Nicht nur die Höhe der Sanktionen nimmt stetig an Fahrt auf, auch die Anzahl der sanktionierten Fälle steigt stetig. An Bedeutung für die unternehmensinterne Kommunikation gewinnen hierbei auch Messenger-Dienste wie WhatsApp, nicht zuletzt durch die Entwicklung hin zum Homeoffice. Wir werfen in diesem Artikel daher einen Blick auf die aktuellen Datenschutzrisiken beim Einsatz von WhatsApp und anderen Messenger-Diensten sowie auf die Sanktionsgefahr, die mit dem Einsatz im Unternehmen verbunden sein können.


Das Kündigungsschreiben über WhatsApp geteilt


Besonders die spanische Datenschutz-Aufsichtsbehörde (Agencia Española de Protección de Datos, kurz „AEPD“) ahndet derzeit eine Vielzahl an DSGVO-Verstößen. In einer Beschwerdesache ging es nun um die arbeitgeberseitige Kündigung einer Betroffenen, über welche die Mitarbeitenden des Unternehmens datenschutzwidrig in Kenntnis gesetzt wurden. Das Kündigungsschreiben wurde in dem sanktionierten Fall vom Arbeitgeber in einer WhatsApp-Gruppe mit mehreren Mitarbeitenden geteilt. Die Nachricht enthielt zum Einen das Kündigungsschreiben als Anhang. In der Vorschau des Dokuments waren zudem der Kündigungsgrund, die Adresse und der Absender erkennbar. Aufgrund eines Verstoßes gegen die Vertraulichkeit personenbezogener Daten, Art. 5 Abs.1 lit. f DSGVO, stellte die Behörde ein Bußgeld in Höhe von 2.000 EUR gegen das Unternehmen aus. Der Verstoß gegen Art. 32 DSGVO („Sicherheit der Verarbeitung“) wurde zudem mit 1.500 EUR geahndet, da keine ausreichenden technischen und organisatorischen Maßnahmen getroffen wurden, welche die Kenntnisnahme Unbefugter hätten verhindern können. Nicht ausführlich thematisiert wurde hingegen die Nutzung von WhatsApp im dienstlichen Kontext generell, was jedoch im folgenden Sachverhalt aus Thüringen näher beleuchtet wird.


Blutender Mitarbeiter in interner WhatsApp-Gruppe


Ein ehemaliger Mitarbeiter legte beim Thüringer Landesbeauftragten für Datenschutz (kurz „TLfDI“) Beschwerde wegen der Verbreitung eines Fotos in einer internen WhatsApp-Gruppe eines Unternehmens ein. Auf diesem Foto wurde der Mitarbeiter blutend auf einem Jahre zurückliegenden Junggesellenabschied abgebildet. Besonders unglücklich: Der Mitarbeiter, der das Foto teilte, war zudem auch Datenschutzbeauftragter des Unternehmens. Gegen diesen wurde in dem Zusammenhang ein Bußgeld in unbekannter Höhe verhängt. Die Behörde stellte zudem fest, dass die interne WhatsApp-Gruppe nicht von der sog. „Haushaltsausnahme“ in Art. 2 Abs. 2 lit. c DSGVO gedeckt und der Anwendungsbereich der Verordnung somit eröffnet sei - die WhatsApp-Gruppe wurde nicht ausschließlich privat genutzt. Die Verarbeitung erfolgte insbesondere unrechtmäßig, da der Betroffene seine Einwilligung i. S. d. Art. 6 Abs. 1 lit. a DSGVO nicht erteilt hatte. Bereits die Aufnahme des Bildmaterials erfolgte an besagtem Ereignis ohne dessen Kenntnis. Der Datenschutzbeauftragte des Unternehmens konnte im Übrigen nicht abberufen werden. Dies ist gem. § 40 Abs. 6 des Bundesdatenschutzgesetzes (BDSG) nur dann möglich, wenn entweder die erforderliche Fachkunde fehlt, die der DSB des Unternehmens jedoch besaß, oder wenn ein schwerwiegender Interessenkonflikt hinsichtlich der Aufgaben und Pflichten vorliegt (Art. 38 Abs. 6 DSGVO), was ebenfalls nicht gegeben war.


Ist die geschäftliche Nutzung von WhatsApp zulässig?


Das kommt auf die Art und Weise der Nutzung an, so dass es bei der dienstlichen Nutzung von WhatsApp einige Aspekte zu beachten gilt. Bei der Nutzung im beruflichen Kontext ist zunächst häufig von der sogenannten „betrieblichen Übung“ auszugehen, wenn der Messenger-Dienst oder Messenger-Gruppen für die dienstliche Kommunikation im Unternehmen verwendet oder vom Unternehmen geduldet werden. Unabhängig davon, ob die Nutzung vom Arbeitgeber somit angewiesen ist oder nicht, könnte der Anwendungsbereich der DSGVO bereits eröffnet sein, wenn dienstliche Angelegenheiten über derartige Messenger ausgetauscht werden (z. B. Infos über Dienst- oder Schichtpläne, Kundenprojekte) und nicht die „Haushaltsausnahme“ greift. Zudem sollte beachtet werden, dass die Nutzung privater Geräte vom Arbeitgeber nicht angewiesen werden kann, um entsprechende Messenger-Dienste zu verwenden. Proaktiv die "Spielregeln" für die Nutzung von Messenger-Diensten in die Datenschutzrichtlinien aufzunehmen, ist daher besonders wichtig für den DSGVO-konformen Einsatz. Insbesondere kann dadurch das Risiko des Austauschs von (bestimmten) personenbezogenen Daten im Unternehmenskontext auf (bestimmten) Messenger-Plattformen unterbunden werden, da sich die Risiken im Speziellen häufig der Kenntnis des Arbeitgebers und dem Know How von Beschäftigten entziehen. So entschied etwa die Aufsichtsbehörde Nordrhein-Westfalen (LDI NRW) im Jahr 2019, dass die Krankmeldung an die Personalabteilung über WhatsApp nicht zulässig sei, da WhatsApp als Messenger-Dienst nicht für die Verarbeitung sensibler Daten i. S. d. Art. 9 Abs. 1 DSGVO geeignet ist und die Verarbeitung damit einen Datenschutzverstoß darstellt.


Fazit und Ausblick für die betriebliche DSGVO-Praxis


So nützlich die Verwendung von WhatsApp und anderer Messenger-Dienste im betrieblichen Kontext sein kann, so umstritten ist sie in der Praxis. Bereits in der Vergangenheit stand WhatsApp häufig in der Kritik, weil die App ungefragt auf die Kontaktliste der Nutzenden zugreift und die Kontakte ohne entsprechende Einwilligung der Betroffenen verarbeitet werden. Des Weiteren werden Nutzerdaten mit dem Mutterkonzern "Meta" (vormals Facebook) geteilt und (auch regelmäßig) auf Servern in den USA gespeichert. Entziehen sich Messenger-Gruppen somit der Einflusssphäre oder Kenntnis des Arbeitgebers, können technische und organisatorische Maßnahmen sowie Vorkehrungen gar nicht erst durch das Unternehmen getroffen werden, zu denen es nach der DSGVO verpflichtet ist. Ist die dienstliche Nutzung von Messenger-Diensten im Unternehmen vorgesehen oder geduldet, sollten daher entsprechende Dienste und Dienstgeräte von Arbeitgebern mit datenschutzfreundlichen Voreinstellungen zur Verfügung gestellt, oder ein datenschutzkonformes Bring Your Own Device-Management (kurz „BYOD“) eingeführt werden. Es liegt somit auf der Hand, auch datenschutzfreundliche Messenger-Alternativen (z. B. Signal oder Threema) bereits bei der Planung in Betracht zu ziehen. Vom Austausch sensibler Daten (z. B. Gesundheitsdaten, Krankmeldungen) über WhatsApp und andere Messenger ist generell abzuraten. Nach wie vor sind einige rechtliche und technische Unwägbarkeiten mit dem Einsatz von Messenger-Diensten verbunden. Diese betreffen insbesondere das Teilen der Daten mit Drittparteien sowie die Datentransfers und Speicherung in Drittländern.

Datenschutz ist im digitalen Überwachungszeitalter wichtig

Basics: Was ist Datenschutz und welche Bedeutung hat er?

13 Juni, 2023
Sie suchen einen fachlichen Einstieg zum Thema Datenschutz? In diesem Artikel gehen wir auf die grundlegenden Aspekte und die Basics der DSGVO ein.
Die Überwachung von Fluggästen nimmt an Fahrt auf

Gläserne Passagiere: 5 wichtige Hinweise zum Datenschutz

10 Apr., 2023
5 wichtige Hinweise zum Datenschutz, die Sie bei der nächsten Urlaubsplanung zum Schutz Ihrer Privatsphäre beachten sollten.
Im Home Office sind viele Aspekte des Datenschutzes zu beachten

New Work und Homeoffice: Und der Datenschutz?

12 Aug., 2022
Worauf sollten Unternehmen und Beschäftigte in Zeiten von New Work und Home Office achten? Ein kurzer Überblick wie Sie Ihr Unternehmen schützen können.
Die Rechtsprechung zum Auskunftsrecht nach der DSGVO ist da

Die DSGVO-Auskunft, Rechtsprechung und Schadenersatz

08 Juni, 2022
Die aktuelle Rechtsprechung zum Auskunftsrecht nach der DSGVO und ihre Auswirkungen in der betrieblichen Praxis im Überblick.
Der Datentransfer zwischen der EU und den USA steht zur Debatte

EU-US Privacy Shield 2.0: Ist das Warten vorbei?

28 März, 2022
Das Privacy Shield 2.0 und der transatlantische Datenschutzrahmen im Überblick. Was enthalten die neuen Rahmenbedingungen zum US-Datentransfer?
Das E-Mail-Marketing findet auf vielen Endgeräten und Kanälen statt

E-Mail-Marketing und DSGVO: Worauf ist zu achten?

21 Feb., 2022
Die rechtlichen Anforderungen im E-Mail-Marketing sind vielfältig. Neben der Einwilligung nach DSGVO zählt auch das Wettbewerbsrecht.
Die DSGVO ist für Vereine nach wie vor eine schwierige Herausforderung

Datenschutz im Verein, wie am besten umsetzen?

14 Feb., 2022
Wie lässt sich der Datenschutz im Verein am besten umsetzen? Hier finden Vereine mit Nachholbedarf wichtige Tipps für die Umsetzung der DSGVO.
Arbeitsplätze könnten in Zukunft noch intensiver überwacht werden als bisher

Entwurf eines Beschäftigtendatenschutzgesetzes des DGB

11 Feb., 2022
Was enthält der Entwurf für ein Beschäftigtendatenschutzgesetz des DGB? Eine näherer Blick auf die Entwicklung der digitalen Überwachung am Arbeitsplatz .
Das TTDSG setzt Anforderungen der EU-Richtlinie und Rechtsprechung um

Cookies und das TTDSG: Was sich seit dem 01.12.2021 ändert

01 Feb., 2022
Welche Neuerungen zur Einwilligung gelten nach dem TTDSG, was bedeutet das "PIMS" und wie geht es mit der ePrivacy-Verordnung weiter? Wir klären auf.
Google Analytics ist das bekannteste Tool für Webseitenebtreiber

Google-Analytics und DSGVO: Ist der Einsatz rechtswidrig?

21 Jan., 2022
Der US-Datentransfer ist nach der DSGVO und durch Schrems-II-Urteils zunehmend problematisch. Ist auch der Einsatz von Google Analytics rechtswidrig?
Weitere Beiträge
Share by: