Mit der Übersendung von Krankmeldungen übermitteln Arbeitnehmerinnen und Arbeitnehmer stets sensible Daten über ihre Gesundheit im Sinne des Art. 9 Abs. 1 Datenschutz-Grundverordnung (DSGVO) an ihre Arbeitgeber. Hierfür sind nur sichere Kommunikationswege geeignet, die Zugriffe Dritter ausschließen. Diese Voraussetzungen erfüllt der MessengerDienst WhatsApp nicht.
Aufgrund einer Beschwerde an die Aufsichtsbehörde bekannt, dass ein Arbeitgeber alle Beschäftigten seines Unternehmens schriftlich dazu aufforderte, Krankmeldungen mit Belegen per WhatsApp an die Personalabteilung zu schicken.
Der Arbeitgeber erklärte, dass es sich dabei nur um ein zusätzliches Angebot an die Beschäftigten zur Übermittlung von Unterlagen mit personenbezogenen Daten handelte. Aus dem entsprechenden Schreiben zur Erklärung des Verfahrens an die Beschäftigten ging allerdings gerade nicht hervor, dass dieser Weg der Übermittlung lediglich zusätzlich angeboten werde. Außerdem hielt der Arbeitgeber die Übermittlung für sicher, da eine Ende-zuEnde-Verschlüsselung bestehe.
Die Aufsichtsbehörde hat dem Arbeitgeber empfohlen, von einer Kommunikation über WhatsApp für dienstliche Zwecke generell abzusehen. Mit der Nutzung von WhatsApp sind nämlich erhebliche Risiken im Hinblick auf Zugriffe durch Unbefugte verbunden, zum Beispiel Facebook.
Facebook kann auf die Verkehrsdaten (Wer kommuniziert wann mit wem?) und auf die Bestandsdaten (Wer ist für den Dienst angemeldet?) der Nachrichten zugreifen. Zudem liest die App das Adressbuch auf dem Gerät des Nutzers aus und gleicht die Daten mit den bei WhatsApp gespeicherten Daten ab, unabhängig davon, ob die Nutzer, auf die sich die Daten beziehen, davon wissen oder dies wollen. Das gilt auch im Fall einer Ende-zuEnde-Verschlüsselung.
Der Arbeitgeber hat keinen Einfluss auf die Datenverarbeitungsvorgänge bei WhatsApp oder Facebook. Daher stehen ihm die erforderlichen technisch-organisatorischen Mittel für einen effektiven Schutz der Beschäftigtendaten nicht zur Verfügung. Bietet der Arbeitgeber die Nutzung von WhatsApp dennoch an, verstößt er gegen die Grundsätze der Sicherheit der Datenverarbeitung gemäß Art. 32 und 5 Abs. 1 Buchstabe f DSGVO. Ein weiteres Risiko besteht darin, dass die Endgeräte sowohl des Arbeitsgebers als auch der Beschäftigten häufig nicht hinreichend abgesichert sind.
Der Arbeitgeber kann sich auch nicht auf eine freiwillige Mitwirkung der Beschäftigten und damit auf deren Einwilligung im Sinne der DSGVO berufen. Es ist nämlich davon auszugehen, dass die Beschäftigten – jedenfalls in der Regel – nicht hinreichend über die Risiken einer Kommunikation über WhatsApp und den mangelnden Schutz ihrer Daten informiert sind. Eine wirksame Einwilligung in die Nutzung von WhatsApp im Arbeitsverhältnis scheidet daher aus.
Im konkreten Beschwerdefall stellte der Arbeitgeber in der Folge unserer Hinweise das Angebot einer Kommunikation über WhatsApp an die Arbeitnehmerinnen und Arbeitnehmer ein.
Die Verbreitung eines Kommunikationsdienstes wie WhatsApp und dessen allgemeine Beliebtheit bei Anwenderinnen und Anwendern sagt nichts über die Sicherheit des Kommunikationswegs und den Schutz vor unberechtigten Zugriffen Dritter aus. Eine Nutzung dieses Dienstes durch den Arbeitgeber für den Transport von Beschäftigtendaten, insbesondere für die Übermittlung von sensiblen Daten wie Gesundheitsdaten, ist datenschutzrechtlich nicht zulässig.
Quelle: LDI NRW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks