Unkompliziert, aber nicht zu empfehlen

Wie Sie wissen, ist die Nutzung von WhatsApp datenschutzrechtlich mit Problemen behaftet. Bei der privaten Nutzung kann jeder, der die App nutzt, in die Bedingungen einwilligen und daher selbst entscheiden. Doch wie ist es bei der dienstlichen Verwendung von WhatsApp und besonders im Beschäftigtenkontext? 

Nicht nur im Freundeskreis ist das Leben kaum noch vorstellbar ohne WhatsApp-Gruppen. Wie bequem ist es doch eine Gruppe mit allen Mitarbeitern zu haben und dort Urlaubsgrüße zu teilen. Auch Notfälle – wie ein Stromausfall in den Büroräumen – können so leicht mitgeteilt werden. Das ist so viel leichter, als einen Kollegen im Homeoffice anzurufen und ihn zu bitten, alle anderen Homeofficer per E-Mail oder Telefon zu informieren.

Das TLfDI (Thüringische Landesamt für Datenschutz und Informationssicherheit) hat sich dazu in seinem Tätigkeitsbericht geäußert. 

„Wird daher eine interne WhatsApp-Gruppe von Beschäftigten eines Unternehmens als Kommunikationsmittel eingesetzt, ist der sachliche Anwendungsbereich der DS-GVO gemäß Art. 2 Abs. 1 DS-GVO eröffnet, wenn in der Gruppe nicht ausschließlich Nachrichten privater Natur versendet werden.“ Denn durch die Haushaltsausnahme im Rahmen der Verarbeitung personenbezogener Daten darf keine Vermischung privater und beruflicher beziehungsweise wirtschaftlicher Belange erfolgen. 

Nutzen Sie und Ihre Mitarbeiter eine WhatsApp-Gruppe ausschließlich zur privaten Kommunikation – zum Beispiel um wie in diesem Sommer lustige Löwenbilder aus Kleinmachnow zu teilen – dann ist der Anwendungsbereich der DS-GVO nicht eröffnet. Werden aber andere Nachrichten ausgetauscht, wie „ACHTUNG wundert Euch nicht, heute kommen Handwerker ins Büro“ oder „ich melde mich für heute krank“ sind diese dienstlicher Natur. Dann ist der Anwendungsbereich der DS-GVO eröffnet. 

Dann stellt sich die Frage, wer ist hier verantwortlich für die Datenverarbeitung: der Arbeitgeber oder der, der was postet? Das TLfDI hielt den Datenschutzbeauftragten eines Unternehmens für verantwortlich, der ein Foto eines ehemaligen Mitarbeiters in einer solchen Gruppe geteilt hat und verhängte gegen ihn ein Bußgeld, weil es keine Rechtfertigung für die Veröffentlichung gab. Ob das so richtig ist und dann tatsächlich jeder zum Verantwortlichen wird – auch für private Fotos in einer Gruppe, die auch im betrieblichen Kontext genutzt werden – ist meines Erachtens zweifelhaft. Aber es zeigt, dass die Behörden hier streng urteilen.

Sollten Sie über WhatsApp-Gruppen mit Mitarbeitern kommunizieren, sollte dies datenschutzrechtlich geprüft werden und zwar die Nutzung aus Sicht des Betriebs und aus Sicht der Nutzer. Auf welche Daten hat die App Zugriff? Wer kann wann was sehen und abrufen?

Übrigens auch in die nur privat genutzte Gruppe gelangen immer wieder Nachrichten wie: „ich bin wieder gut angekommen und sehe Euch morgen im Büro“ oder „die S-Bahn fährt nicht, ich bin aber unterwegs“. Sind das schon dienstliche Miteilungen oder noch private Äußerungen? Immer wieder ermahnt im genannten Fall die Datenschutzbeauftragte, dienstliche Äußerungen zu unterlassen. Daher müssen diese wohl (hoffentlich) privater Natur sein, damit der Anwendungsbereich der DS-GVO nicht eröffnet ist und weder Arbeitgeber noch Mitarbeiter verantwortlich werden.