Beschwerde über eine Pflegeeinrichtung wegen Veröffentlichung des Arbeitsvertrages in einer WhatsApp-Gruppe
Eine Pflegeeinrichtung nutzt zur internen Kommunikation den Messenger-Dienst WhatsApp. Der betriebliche Einsatz von Kommunikationsdiensten wie WhatsApp gerade im Gesundheitswesen ist nahezu in allen Fällen datenschutzrechtlich unzulässig.
Den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) erreichte eine Beschwerde, dass in einer Pflegeeinrichtung zur internen Kommunikation vom Geschäftsführer der Messenger-Dienst WhatsApp eingesetzt wurde. In der WhatsAppGruppe wurde vom Geschäftsführer versehentlich die erste Seite des Arbeitsvertrages eines dort beschäftigten Mitarbeiters veröffentlicht. Dieser spezielle Einsatz von Messenger-Diensten wie WhatsApp wird auch in Pflegeinrichtungen immer beliebter. Sie verkennen dabei jedoch zumeist die datenschutzrechtliche Brisanz dieser Unternehmung. Bei der Veröffentlichung der personenbezogenen Daten des betroffenen Beschäftigten aus der ersten Seite des Arbeitsvertrages handelt es sich um besonders schutzbedürftige personenbezogene Daten eines Beschäftigten. Die Weitergabe von personenbezogenen Beschäftigungsdaten an unternehmensinterne Stellen oder Dritte stellt eine rechtfertigungsbedürftige Datenverarbeitung nach Art. 4 Nr. 2 Datenschutz-Grundverordnung (DSGVO) dar. Die dort genannte „Offenlegung von Daten“ bezeichnet jeden Vorgang, der dazu führt, dass die Daten an Dritte gelangt sind und somit zugänglich gemacht werden und diese sie auslesen oder abfragen können. Sie kann durch Datenübermittlung, Verbreitung oder Bereitstellung erfolgen. Einen solchen Verstoß sieht der TLfDI vorliegend in der Übermittlung aus der ersten Seite des Arbeitsvertrages durch den Geschäftsführer, die in die WhatsApp Gruppe des Unternehmens gestellt wurde, an alle Mitglieder dieser Gruppe.
Personenbezogene Daten von Beschäftigten dürfen nach § 26 Bundesdatenschutzgesetz nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung ergebenen Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Eine solche Erforderlichkeit für die Veröffentlichung der ersten Seite des Arbeitsvertrages ist in diesem Fall nicht gegeben. Der TLfDI verwies darauf, dass der betriebliche Einsatz von Kommunikationsdiensten wie WhatsApp auf privaten oder betrieblichen Endgeräten der Beschäftigten – gerade im Gesundheitswesen – in nahezu allen Fällen datenschutzrechtlich unzulässig ist. Gerade, weil bei der Nutzung von WhatsApp automatisch das lokal hinterlegte Adressbuch der Gruppen Mitglieder ausgelesen und alle diese Kontaktdaten ungefragt an WhatsApp übermittelt werden.
Für den Umstand, dass der Verantwortliche ohne Vorliegen einer Rechtsgrundlage die erste Seite des Arbeitsvertrages in der unternehmensinternen WhatsApp-Gruppe veröffentlicht hat, wurde unter der Abwägung der Art und Weise des entstandenen Schadens von den zur Verfügung stehenden Abhilfemaßnahmen das Mittel der Verwarnung gewählt.
Quelle: LfDI Thüringen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks