WhatsApp ist nach wie vor einer der beliebtesten Messenger – auch im Unternehmensumfeld! Und da beginnt unser
Problem. Mittlerweile sollten es alle Nutzer*innen wissen, dass WhatsApp zu der Facebook-/META-Gruppe gehört. Schon
nur diese Tatsache legt die Karten auf den Tisch, dass das Thema „Datenschutz“ gut beleuchtet werden sollte.
In einem Datenschutzbericht aus NRW wurde klar empfohlen, dass von einer Kommunikation über WhatsApp für
dienstliche Zwecke generell abzusehen ist. Diese Aussage sollte Unternehmen ins Nachdenken bringen.
Wie läuft denn eine klassische Kommunikation in einem Unternehmensumfeld ab? Mitarbeiter*innen tauschen sich privat
aus, sie besprechen „mal schnell“ die aktuellen Kundentermine, Krankmeldungen werden mit Foto der ärztlichen
Bescheinigung zum Personalbereich geschickt, Kundendaten (Kontakt oder Anschrift) werden kurz mal an die Baustelle
oder den Mitarbeiter im Außendienst geschickt. Das Einsatzfeld ist umfangreich, es geht ja auch schnell und einfach.
Unterschied zur „Unterstützung“ der privaten „Freizeitgestaltung“?
Ja, den gibt es, denn bei einer solchen Kommunikation ist die Geschäftsführung für das Tun verantwortlich. Sie muss sich
erklären, warum eben WhatsApp bspw. die Kontakte vom Telefon einliest.
Ok, nun kann man sagen, dass die Nutzung vermutlich gar nicht auffällt. Vermutlich! Aber was ist, wenn es hierüber zu
Beschwerden kommt oder zukünftig ehemalige Mitarbeiter*innen schlichtweg diese Information über eine nicht
datenschutzkonforme Nutzung für sich ein wenig ausschlachten, wie bspw. zur Erhöhung der Abfindung.
Bitte vergessen Sie nicht, bei einem Zugriff durch WhatsApp auf das Telefonbuch werden alle Kontakte übermittelt! Das
Arbeitsgericht Bad Hersfeld hat bereits im Jahr 2017 (Az. F 120/17 EASO) entschieden: „Wer durch seine Nutzung von
„WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen
Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische
Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“
Kann WhatsApp in der Business-Variante datenschutzkonform eingesetzt werden?
Davon sollte man nicht ausgehen. Die durch WhatsApp erhobenen Daten werden innerhalb der META-Gruppe für eine
Vielzahl von anderen Zwecken genutzt, vermutlich in Richtung „Werbung“. Den Anforderungen der DSGVO kann man aus
Sicht eines Unternehmens längst nicht in allen Punkten nachkommen, so dass der Einsatz sehr risikoreich und ggf. teuer
für ein Unternehmen sein kann.
Datenschutz nach dem Tod – Ja? Nein? Vielleicht?
Irgendwann endet das irdische Leben für Jeden. Aber was ist dann mit dem Thema Datenschutz?
Konkret sagt die DSGVO nichts zu „Verstorbenen“. Bei der Begriffsdefinition wird allerdings bei den personenbezogenen
Daten von „natürlichen Personen“ (Art. 4 Nr. 1 DSGVO) gesprochen. Der Erwägungsgrund 27 der DSGVO besagt weiter:
„Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.“
Was sagen ggf. andere Gesetze in Deutschland?
• § 35 Abs. 5 SGB I regelt, dass Sozialdaten von Verstorbenen entsprechend den Vorschriften in SGB X für
Verwaltungsverfahren verarbeitet werden dürfen.
• Für die Steuerverwaltung gilt ähnliches nach § 2a Abs. 5 Nr. 1 AO.
• Das Allgemeine Persönlichkeitsrecht jedes einzelnen Menschen leitet sich in Deutschland aus Artikel 2 Abs. 1 GG
in Verbindung mit Art. 1 Abs. 1 GG her. Deser Persönlichkeitsschutz „verfällt“ nach etwa 10-30 Jahren nach dem
Tod der Person.
• Das Kunsturhebergesetz regelt in § 22 die Veröffentlichung von Bildern, auch von Verstorbenen. Demnach müssen
die Hinterbliebenen binnen 10 Jahren nach dem Tod die Angehörigen in geplante Veröffentlichungen oder
Verarbeitungen einwilligen.
• Staatliche Archive haben in ihren jeweiligen Archivgesetzen Sperrfristen für personenbezogene Unterlagen. Bitte
beachten Sie, dass hierunter keine Unternehmensarchive fallen!
Und nun? Digitaler Nachlass?
Ein sehr großes Problem! Hier sollten alle Betroffenen, aber auch Unternehmen, frühzeitig Regelungen treffen, wie und in
welchem Umfang mit ihren Daten umgegangen werden soll. Für Unternehmen spielt es ggf. nur eine untergeordnete Rolle
,
da man bspw. keine Verträge mit Verstorbenen abschließen kann. Zumindest nicht legal.
Nachlässig beim Datenschutz = Kündigung der/des Angestellten?
Gem. Art. 32 DSGVO müssen Unternehmen u.a. organisatorische Maßnahmen zum Schutz der Daten umsetzen und
einrichten. Aber was passiert, wenn sich Mitarbeiter*innen vorsätzlich nicht daranhalten? Ein Unternehmen hat eine
Richtlinie zum Home-Office, aber die Mitarbeiterin oder der Mitarbeiter meinen bei schönem Wetter im Garten arbeiten zu
müssen.
Das LAG Sachsen (9 Sa 250/21) hat am 07.04.2022 zur Frage entscheiden, inwiefern Verstöße gegen organisatorische
Maßnahmen des Arbeitgebers eine Kündigung rechtfertigen. Das LAG Sachsen kam zum Ergebnis, dass die Vielzahl
vermeintlicher Flüchtigkeitsfehler und Ungenauigkeiten letztlich zur rechtmäßigen Kündigung der Beschäftigten geführt
haben. Das Gericht hierzu deutlich: „In der Summe handelt es sich um erhebliche Pflichtverletzungen, die auch zu
Ablaufstörungen bei der Beklagten geführt haben.“
Nun soll es natürlich nicht das Ziel haben, dass man sich aufgrund solcher Vorkommnisse trennt. Aber es zeigt, dass es
für Unternehmen wichtiger denn je ist, dass der Bereich „Organisatorische Maßnahmen“ nicht leichtfertig abgetan werden.
Und aus Sicht der Mitarbeiter*innen sollte klar sein, dass diese Maßnahmen auch befolgt werden sollten.
Bußgelder im August 2022? (Textliche Auszüge von Dr-Datenschutz)
Es ist nur eine kleine Übersicht! Aber es sind praxisnahe Fälle, die ggf. auch bei Ihnen auftreten können.
• Automatische Newsletter-Anmeldung
Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Hotelbranche, Verstoß: Art. 12 DSGVO, Art. 13 DSGVO, Art. 15 DSGVO, Art. 21 DSGVO, Art. 32
DSGVO, Bußgeld: 600.000 Euro
• Fehlende Benachrichtigung des Betroffenen nach Datenpanne
Behörde: Isle of Man Information Commissioner (IOM), Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. c und f DSGVO, Art. 5 Abs. 2 DSGVO, Art. 24 DSGVO, Art. 25 DSGVO, Art. 32
DSGVO, Art. 34 DSGVO, Bußgeld: 202.084 Euro
• Gestohlenes Diensthandy ohne Passwort
Behörde: Datatilsynet, Branche: Öffentlicher Dienst, Verstoß: Art. 32 DSGVO, Bußgeld: 6.721 Euro
• Fehlende Datenshcutzfolgenabschätzung und Datenshcutzerklärung
Behörde: Autorité de protection des données, Branche: Gesundheitswesen, Verstoß: Art. 5 Abs. 1 lit. f DSGVO,
Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Art. 32 DSGVO, Art. 35 Abs. 3 DSGVO, Bußgeld 20.000 Euro
• Verlust von Patientendaten
Behörde: Datenschutzaufsichtsbehörde Griechenland, Branche: Gesundheitswesen, Verstoß: Art. 5 Abs. 1 lit. f
DSGVO, Art. 15 DSGVO, Art. 32 DSGVO, Art. 33 DSGVO, Bußgeld: 30.000 Euro
Fazit?
Der Grad zwischen Beachtung der rechtlichen Anforderung und einer praxisnahen Umsetzung ist oftmals schwer. Vielleicht
sogar manchmal nicht möglich. Unternehmen ist aber anzuraten, dass sie nicht nur das Ziel haben, sondern sich auch auf
dieses zu bewegen. Das Ziel den Datenschutz gem. den Anforderungen der DSGVO, dem BDSG, dem LDSG, usw.
umzusetzen. Aber ja, es kostet ein wenig Arbeit sich bspw. mit Alternativen zu WhatsApp auseinanderzusetzen.
Sie haben Fragen? Melden Sie sich bitte bei uns! Es bleibt spannend!