Immer Menschen kommunizieren über WhatsApp.
Ob das sinnvoll ist und inwieweit man dies aufgrund der Fragwürdigkeit im Hinblick auf den Datenschutz machen will, muss zunächst einmal jeder selbst entscheiden.
Wie sieht es nun aber aus, wenn einer Arbeitgeber verlangt, dass Krankmeldungen und die dazugehörigen Belege der Arbeitnehmer an ihn per WhatsApp übersandt werden sollen.
Mit der Übersendung von Krankmeldungen übermitteln Arbeitnehmerinnen und Arbeitnehmer stets sensible Daten über ihre Gesundheit im Sinne des Art. 9 Abs. 1 DSGVO an ihre Arbeitgeber.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hat in seinem Datenschutzbericht 2020 darauf hingewiesen, dass hierfür nur sichere Kommunikationswege geeignet sind, die Zugriffe Dritter ausschließen.
Diese Voraussetzungen erfüllt der Messenger-Dienst WhatsApp nach Auffassung des Landesbeauftragen für Datenschutz nicht.
Mit der Nutzung von WhatsApp sind nämlich erhebliche Risiken im Hinblick auf Zugriffe durch Unbefugte verbunden, zum Beispiel Facebook, so der Landesdatenschutzbeauftragte. Facebook kann auf die Verkehrsdaten (Wer kommuniziert wann mit wem?) und auf die Bestandsdaten (Wer ist für den Dienst angemeldet?) der Nachrichten zugreifen. Zudem liest die App das Adressbuch auf dem Gerät des Nutzers aus und gleicht die Daten mit den bei WhatsApp gespeicherten Daten ab, unabhängig davon, ob die Nutzer, auf die sich die Daten beziehen, davon wissen oder dies wollen.
Das gilt – so der Landesdatenschutzbeauftragte – auch im Fall einer Ende-zu-Ende-Verschlüsselung. Der Arbeitgeber hat keinen Einfluss auf die Datenverarbeitungsvorgänge bei WhatsApp oder Facebook. Daher stehen ihm die erforderlichen technisch-organisatorischen Mittel für einen effektiven Schutz der Beschäftigtendaten nicht zur Verfügung, so der Landesbeauftragte. Bietet der Arbeitgeber die Nutzung von WhatsApp dennoch an, verstößt er gegen die Grundsätze der Sicherheit der Datenverarbeitung gemäß Art. 32 und 5 Abs. 1 Buchstabe f DS-GVO. Ein weiteres Risiko besteht darin, dass die Endgeräte sowohl des Arbeitgebers als auch der Beschäftigten häufig nicht hinreichend abgesichert sind.
Der Arbeitgeber kann sich auch nicht auf eine freiwillige Mitwirkung der Beschäftigten und damit auf deren Einwilligung im Sinne der DSGVO berufen. Es ist nämlich davon auszugehen, dass die Beschäftigten – jedenfalls in der Regel –nicht hinreichend über die Risiken einer Kommunikation über WhatsApp und den mangelnden Schutz ihrer Daten informiert sind. Eine wirksame Einwilligung in die Nutzung von WhatsApp im Arbeitsverhältnis scheidet daher aus, so der Landesbeauftragte.
Die Verbreitung eines Kommunikationsdienstes wie WhatsApp und dessen allgemeine Beliebtheit bei Anwenderinnen und Anwendern sagt nichts über die Sicherheit des Kommunikationswegs und den Schutz vor unberechtigten Zugriffen Dritter aus. Eine Nutzung dieses Dienstes durch den Arbeitgeber für den Transport von Beschäftigtendaten, insbesondere für die Übermittlung von sensiblen Daten wie Gesundheitsdaten, ist nach Auffassung des Landesbeauftragten für Datenschutz NRW datenschutzrechtlich nicht zulässig.
