Verpflichtung zur Krankmeldung via WhatsApp datenschutzrechtlich nicht zulässig
Die Nutzung von WhatsApp durch den Arbeitgeber für die Übermittlung von sensiblen Beschäftigtendaten wie insbesondere Gesundheitsdaten ist datenschutzrechtlich nicht zulässig. Darauf hat die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) am 12.5.2020 im 25. Datenschutzbericht für das Jahr 2019 hingewiesen. Arbeitgeber dürften ihre Beschäftigten insbesondere nicht dazu anhalten, Krankmeldungen mittels des Messenger-Dienstes zu übermitteln.
Den Ausführungen der LDI NRW lag folgende Beschwerde zugrunde: Ein Arbeitgeber hatte alle Beschäftigten seines Unternehmens schriftlich dazu aufgefordert, zur Übermittlung von Krankmeldungen an die Personalabteilung den Nachrichtendienst WhatsApp zu verwenden. Dabei hat der Arbeitgeber nach Ansicht der LDI NRW nicht hinreichend deutlich gemacht, dass es sich lediglich um ein zusätzliches Angebot handeln sollte.
Die LDI NRW rät überdies von einer dienstlichen Kommunikation über WhatsApp generell ab, da mit der Nutzung erhebliche Risiken im Hinblick auf den Zugriff durch Unbefugte, insbesondere durch Facebook, verbunden sind. Facebook könne auf die Verkehrsdaten (wer kommuniziert wann mit wem?) und auf die Bestandsdaten (wer nutzt den Dienst?) der über WhatsApp versendeten Nachrichten zugreifen. Ferner werde das Adressbuch des Nutzers ausgelesen und mit den bei WhatsApp gespeicherten Daten abgeglichen. Das Auslesen und Abgleichen geschehe ohne Einwilligung oder Kenntnis der Nutzer, auf die sich die Daten beziehen. Bei Krankmeldungen handele es sich um sensible Daten i.S.d. Art. 9 Abs. 1 DSGVO, die nur über sichere Kommunikationswege, die Zugriffe Dritter ausschließen, übermittelt werden sollten.
Ferner weist die LDI NRW darauf hin, dass bei der Nutzung von WhatsApp oder Facebook es dem Arbeitgeber nicht möglich ist, die für eine Verarbeitung von personenbezogenen Daten erforderlichen technisch-organisatorischen Mittel für einen effektiven Schutz der Beschäftigtendaten vorzuhalten, da der Arbeitgeber keinen Einfluss auf die Datenverarbeitungsvorgänge bei WhatsApp oder Facebook hat. Demnach verstoßen Arbeitgeber, die dennoch WhatsApp zur Übermittlung von Beschäftigtendaten verwenden, gegen die Grundsätze der Sicherheit der Datenverarbeitung gem. Art. 32 und Art. 5 Abs. 1 Buchst. f DSGVO. Schließlich dürfte eine wirksame Einwilligung der Beschäftigten zur Datenverarbeitung via WhatsApp regelmäßig daran scheitern, dass die Beschäftigten nicht hinreichend über die Risiken einer Kommunikation und den damit einhergehenden mangelnden Schutz ihrer Daten informiert sei.
Der Bericht der LDI NRW enthält darüber hinaus interessante Informationen zum Einsatz von Fingerabdruckscannern zur Erfassung der Arbeitszeit und zur Prüfung des Beschäftigtendatenschutzes bei Leiharbeitsunternehmen und Personalvermittlern.
Den Bericht des Landesdatenschutzbeauftragten für NRW im Volltext finden Sie hier (PDF-Datei - 152 Seiten).