Newsletter Datenschutz 2018 -11

Prüfungen der Datenschutzbehörden beginnen


Die Datenschutzaufsichtsbehörden der Bundesländer prüfen schon seit Jahren die Umsetzung des Datenschutzes gemäß Bundesdatenschutzgesetz (BDSG) in Unternehmen. Mit der europäischen Datenschutz-Grundverordnung (DSGVO) dürften diese Prüfungen häufiger und umfassender werden. Ein wesentlicher Grund dafür sind die deutlich umfangreicheren Dokumentationspflichten. Weil unter der DSGVO empfindliche Bußgelder für Datenschutzverstöße drohen, sind Unternehmen gut beraten, genau zu wissen, wie die Aufsichtsbehörden vorgehen. Die jeweils aktuellen Prüfungen finden Sie in diesem Artikel.Als Vorreiter beginnt das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) seine Prüfungsaktivitäten und damit neue flächendeckende Datenschutzkontrollen angestoßen. Dabei werden unter anderem Arztpraxen auf ihre Cybersicherheit (Stichwort „Ransomware“) überprüft und Fragebögen an kleine und mittelständische Unternehmen versandt.Laut Pressemitteilung des BayLDA sei es nicht das Ziel, kleine Betriebe mit Datenschutzkontrollen zu überfordern, sondern größere und risikobehaftete Organisationen hinsichtlich möglicher Gefährdungsquellen zu sensibilisieren. Außerdem wolle man darauf hinwirken, dass personenbezogene Daten gerade dort wirksam und angemessen geschützt werden. Achtung, sollten Sie von den Prüfungen betroffen sein: Das BayLDA plant im Nachgang zu den schriftlichen Prüfungen ausgewählte Unternehmen zum Teil auch vor Ort zu besuchen und die gemachten Angaben auf Richtigkeit zu kontrollieren. Derzeit durch die BayLDA folgende Bereiche bzw. Unternehmen geprüft:- Sicherer Betrieb von Online-Shops (Cybersicherheit)- Verschlüsselungstrojaner in Arztpraxen (Cybersicherheit- Rechenschaftspflicht bei Großkonzernen- Erfüllung der Informationspflichten in Bewerbungsverfahren- Umsetzung der DSGVO bei kleinen und mittelständischen Unternehmen (KMUs).

Datenschutzkonformer Einsatz von WhatsApp für Unternehmen



Die Nutzung des Messenger-Dienstes WhatsApp ist auch für Unternehmen äußerst vorteilhaft: Attraktive Funktionen zur Strukturierung von Nachrichten, Empfängern und Inhalten bieten echte Mehrwerte. Darüber hinaus ist der Dienst kostenlos (zumindest monetär gesehen), unbeschränkt und über Ländergrenzen hinweg nutzbar. Doch können Unternehmen bzw. Businesskunden unter der EU-Datenschutz-Grundverordnung (DSGVO) WhatsApp überhaupt datenschutzkonform nutzen? Was gilt für die Kommunikation mit Kunden, Mitarbeitern oder Bewerbern?

Der Einsatz von WhatsApp im Unternehmen

Der Einsatz von WhatsApp ist für Unternehmen aller Branchen vor allem deswegen attraktiv, weil die App einen sehr hohen Verbreitungsgrad bei Nutzern von mobilen Endgeräten (Smartphones) hat. Die Anwendungsfälle sind zahlreich: Handwerksbetriebe und Maschinenhersteller lassen sich Defekte vorab per Bild zuschicken, um Ferndiagnosen durchzuführen oder Kostenvoranschläge zu erstellen. Personalagenturen erleichtern ihren Kandidaten die Kommunikation und treten mit Bewerbern durch die App unkompliziert in Kontakt.Der Vorteil: Ansprechpartner aber auch Mitarbeiter können wesentlich besser erreicht werden. Findige Arbeitgeber nutzen die hohe private Aktivität ihrer Mitarbeiter, um diese Tag und Nacht für betriebliche Belange kontaktieren zu können. Auch WhatsApp-Gruppen für ganze Abteilungen sind hoch im Kurs bei den Mitarbeitern und weit verbreitet. Das Vorgehen steigert die Produktivität, ist bequem für alle Beteiligten und verschmilzt irrigerweise geschäftliche mit privater Kommunikation.Was häufig übersehen wird ist, dass die Kontaktierung des WhatsApp-Accounts eines Kunden oder Mitarbeiters noch nicht bedeutet, dass es sich um einen Vorgang handelt, der dem Privatbereich zugeordnet werden kann. Die rein private Nutzung von WhatsApp unter Freunden bzw. in der Familie fällt nicht unter den Anwendungsbereich der DSGVO. Sofern der Zweck der Kontaktierung allerdings überwiegend geschäftlich ist, finden die europäischen Datenschutzregeln Anwendung.

Datenschutzrechtliche Herausforderungen beim geschäftlichen Einsatz von WhatsApp

Die DSGVO sieht einige Maßnahmen zum Schutz personenbezogener Daten von Nutzern vor, die von WhatsApp momentan nicht eingehalten werden. Die mit europäischem Datenschutzrecht unvereinbaren Praktiken sind u. a.:- Alle lokal gespeicherten Kontakte des WhatsApp-Nutzers werden zum Abgleich auf Server in den USA geschickt. Die Übermittlung dieser personenbezogenen Daten erfordert eine rechtswirksame Einwilligung jeder Kontaktperson, welche schlichtweg fehlt und den Datentransfer damit verbietet.
- Obwohl die Kommunikationsinhalte Ende-zu-Ende verschlüsselt sind, beanstandet das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), dass Metadaten von WhatsApp in den USA verarbeitet werden. Metadaten sind alle Daten, außer dem eigentlichen Inhalt der Nachricht, d. h. auch Informationen zu Sender und Empfänger der WhatsApp-Nachricht.
- In seinen FAQ zum Datenschutz bestätigt WhatsApp, dass Informationen wie Telefonnummer, Informationen zu den genutzten Geräten sowie Art und Häufigkeit der Nutzung an Facebook weitergegeben werden. Dieser Austausch wird von den Datenschutzbehörden als kritisch eingestuft.
- Die Nutzungsbedingungen erlauben den geschäftlichen Einsatz der App nur mit voriger Einwilligung von WhatsApp. WhatsApp hat kürzlich sein neues Produkt „WhatsApp Business“ veröffentlicht, welches allerdings keine datenschutzrechtlichen Verbesserungen bringt.Die datenschutzrechtlichen Mängel haben große Konzerne wie die Deutsche Bank, BMW und Continental dazu bewogen, die Nutzung von WhatsApp auf dienstlichen Handys zu verbieten. Weil unter der DSGVO Strafen von bis zu 20 Millionen Euro für Verstöße solcher Art drohen, steht viel auf dem Spiel. Auch für Lehrer hat der Landesbeauftragte für Datenschutz Baden-Württemberg ein klares WhatsApp-Verbot bei dienstlicher Kommunikation mit Schülern und Erziehungsberechtigten ausgesprochen.

Datenschutzkonforme Implementierung von WhatsApp im Unternehmen

Angesichts der oben aufgeführten Bedenken stellt sich die Frage, ob WhatsApp von Unternehmen überhaupt datenschutzkonform eingesetzt werden kann. Vom Einsatz der App zur Mitarbeiterkommunikation untereinander (zu geschäftlichen Zwecken) wird abgeraten, da WhatsApp nach Meinung des BayLDA ein Sicherheitsrisiko für die Organisation darstellt. Unter bestimmten Voraussetzungen können Unternehmen WhatsApp aber zumindest zur Kommunikation mit externen Geschäftspartnern nutzen oder Mitarbeitern den Einsatz auf Diensthandys einräumen.

WhatsApp auf Diensthandys zur privaten Nutzung

Sofern Sie Mitarbeitern die private Nutzung von WhatsApp auf dem Diensthandy ermöglichen möchten, kann ein Mobile Device Management (MDM) den privaten Bereich des Handys vom geschäftlichen abgrenzen. So kann der Arbeitgeber sicherstellen, dass WhatsApp nicht auf geschäftliche Kontakte zugreift und Fehlhandlungen nicht seiner Verantwortlichkeit unterliegen.
- Sofern Ihr Unternehmen kein MDM nutzt, gibt es zusätzliche Apps wie z. B. Securecontact, die geschäftliche Kontakte vor dem Zugriff von WhatsApp schützen. Wichtig ist allerdings, dass diese Apps wiederum keine Kontakte durch die Welt schicken. Alternativ können Sie auch WhatsApp den Zugriff auf das Adressbuch untersagen, darunter leidet aber deutlich der Komfort.
- Mittarbeiter müssen zu den genannten Maßnahmen im Rahmen des Direktionsrechts dokumentiert angewiesen werden.

WhatsApp zur Kundenkommunikation

Das BayLDA hat angekündigt, nicht zu beanstanden, wenn Unternehmen mit Kunden über WhatsApp in Verbindung treten, sofern auf die Datenschutzbedenken hingewiesen wurde und den Kunden gleichzeitig ein anderer sicherer Kommunikationsweg angeboten wird. Diese Aussage ist allerdings mit Vorsicht zu genießen, besonders für Unternehmen außerhalb Bayerns.- Eine allgemeingültige Alternative der Landesbeauftragten für den Datenschutz Niedersachsen ist es, Kunden über Bedenken zu informieren, einen sichereren Kommunikationsweg anzubieten und WhatsApp den Zugriff auf das Adressbuch zu verwehren (z. B. durch zusätzliche App oder Systemeinstellung). Klassischer Anwendungsfall ist eine Autowerkstatt, die ein WhatsApp-Handy bereithält. Nach bzw. bei telefonischen Anfragen kann leicht ein Bild des eingedellten Seitenschwellers empfangen werden um einen Kostenvoranschlag zu erstellen.
- Sofern besondere personenbezogene Daten gemäß Art. 9 DSGVO verschickt werden sollen, ist von WhatsApp gänzlich abzuraten. Die Daten werden intern auf eine Art und Weise verarbeitet, die mit dem geltenden Datenschutzrecht nicht in Einklang zu bringen ist (keinerlei Zweckbeschränkung durch WhatsApp, kein Privacy by Design). Ein Beispiel wäre eine Apotheke, die Rezepte per WhatsApp empfängt oder Ärzte, die sich Fotografien von körperlichen Leiden zuschicken lassen.

Fazit: WhatsApp-Nutzung durch Unternehmen ist eingeschränkt möglich

Unter den oben aufgeführten Bedingungen ist WhatsApp in Unternehmen durchaus einsetzbar. Aktuelle Entscheidungen von Datenschutzaufsichtsbehörden und Gerichten sollten jedoch verfolgt werden (und fließen laufend in diesen Artikel ein).Darüber hinaus wird die für 2019 erwartete ePrivacy-Verordnung die Datensicherheit für Kommunikationsdienste wie WhatsApp neu regeln. Es bleibt zu hoffen, dass für Anwender dann mehr Rechtssicherheit geschaffen wird.