In unserem heutigen Blogbeitrag möchten wir zusammenfassend über datenschutzrelevante Ereignisse der letzten Monate informieren:
- Mit der Entscheidung des EuGH sind Fanpagebetreiber ebenso verantwortlich für die damit verbundene Datenverarbeitung wie die Plattformbetreiber (z.B. Facebook Ireland Ltd.).
- Mit der Entscheidung des Landgerichts Würzburg (LG Würzburg, Beschluss vom 13.9.2018, Az. 11 O 1741/18), können Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden. Bisher bestand hier erhebliche Unsicherheit, ob es sich bei der DSGVO überhaupt um eine drittschützende Norm im Sinne des § 3a UWG handelt.
- Der BGH hat nun endgültig entschieden, dass Befragungen zur Kundenzufriedenheit und Feedback-Anfragen Werbung sind.
- Derzeit verschickt die sog. "Datenschutzauskunft-Zentrale“ ein Schreiben, in dem Unternehmen aufgefordert werden, Angaben über ihren Betrieb zu machen, "um ihrer gesetzlichen Pflicht zur Umsetzung des Datenschutzes nachzukommen". Hierbei handelt es sich um eine Abo-Falle. .
- Die Aufsichtsbehörden haben klargestellt, dass Unternehmen den Messenger-Dienst ‚WhatsApp‘ derzeit nicht datenschutzkonform einsetzen können:
- vgl. auch Merkblatt der Landesbeauftragten für den Datenschutz Niedersachsen
- vgl. auch Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz: Nicht-öffentlicher Bereich, 2016/2017, S. 375.
- Laut dem Thüringer Landesarbeitsgericht (Urteil vom 16.05.2018, Az. 6 Sa 442/17) ist die Erhebung der privaten Telefonnummer durch den Arbeitgeber ein erheblicher Eingriff in die Persönlichkeitsrechte des Mitarbeiters.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Wir hatten bereits am 05.03.2018 berichtet, dass Unternehmen den Messenger-Dienst WhatsApp nicht datenschutzkonform einsetzen können (siehe Blog „Einsatz von WhatsApp im Berufsalltag“). Insbesondere kann die mit dem Einsatz des Messenger-Dienstes verbundene Übermittlung aller Namen und Telefonnummern der im Telefonverzeichnis des verwendeten Smartphones gespeicherten Kontakte nicht auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO gestützt werden. Die Landesbeauftragte für den Datenschutz Niedersachsen führt hierzu aus: „Ein berechtigtes Interesse des Nutzers von WhatsApp für die Übermittlung der Kontaktdaten kann allenfalls in Bezug auf die bereits registrierten Nutzer des Messenger-Dienstes unterstellt werden“ (Link zum Merkblatt).
Die Landesbeauftragte stellt jedoch klar, dass eine solche Datenübermittlung „[f]ür die Funktionsfähigkeit (…) und der vollständige Datenabgleich aller im Adressbuch gespeicherten Kontaktdaten nicht zwingend“ ist. Gemäß Art. 25 Abs. 1 DSGVO muss das eingesetzte Datenverarbeitungssystem (wie eben WhatsApp) so programmiert sein, dass Anforderungen des Datenschutzes standardmäßig implementiert sind und eine datenschutzgerechte Verarbeitung personenbezogener Daten durch entsprechende Funktionen möglich ist (Privacy by Design). Insbesondere muss der Umfang der personenbezogenen Daten, die in den Datenverarbeitungssystemen verarbeitet werden, auf das zur Zweckerfüllung absolut Notwendigste beschränkt werden; dennoch stellt „WhatsApp (…) keine Möglichkeit bereit, die Übermittlung zu deaktivieren, auf einzelne Kontaktgruppen zu beschränken oder sonst die Übermittlung zu konfigurieren.“
Laut der Landesbeauftragten stellt somit der „Einsatz von WhatsApp (…) in jedem Fall einen Verstoß gegen Art. 25 Abs. 1 DS-GVO dar.“
Die Pflicht zur Einhaltung von Art. 25 Abs. 1 DSGVO trifft dabei nicht die WhatsApp Inc., sondern das Unternehmen, das diesen Messenger-Dienst einsetzt.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Der Einsatz des Messenger-Dienstes WhatsApp im Unternehmen wird immer beliebter, ist es doch ein bequemes und günstiges Kommunikationsmittel.
Jedes Unternehmen (= Verantwortlicher), das veranlasst oder zulässt, dass seine Mitarbeiter mittels WhatsApp personenbezogene Daten verarbeiten, für die das Unternehmen verantwortlich ist (z.B. Beschäftigtendaten, Kontaktdaten von Geschäftspartnern), muss sicherstellen, dass dabei die Vorgaben aus der Datenschutzgrundverordnung (DSGVO) eingehalten werden.
Wenn die Mitarbeiter den Messenger-Dienst WhatsApp über ihre dienstlichen Smartphones nutzen, wird „automatisch das lokal hinterlegte Adressbuch des [Mitarbeiters] mit ausgelesen und alle diese Kontaktdaten ungefragt“ an die WhatsApp Inc. (= Anbieter des Messenger-Dienstes) übermittelt und auf deren Servern, die sich u.a. in den USA befinden, gespeichert (vgl. Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz: Nicht-öffentlicher Bereich, 2016/2017, S. 375, abrufbar unter https://tlfdi.de/mam/tlfdi/presse/3._tb_nicht-oeff._webversion_tlfdi.pdf). Zusätzlich werden „Meta-Daten (IP-Adresse, Geräte-ID, Zeitpunkt usw.)“, die anfallen, wenn der Mitarbeiter mit seinen Kommunikationspartnern chattet, an die WhatsApp Inc. übermittelt, wobei „deren weitere Nutzung völlig unklar“ sei (vgl. Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz, a.a.O., S. 376). Auch die ausgetauschten Textnachrichten und Bilder werden vom Anbieter erhoben und gespeichert, sofern die Ende-zu-Ende-Verschlüsselung nicht genutzt wird oder werden kann.
Darüber hinaus konnte nur durch eine Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit verhindert werden, dass diese Daten an die Facebook Inc. übermittelt wurden, nachdem diese 2014 die WhatsApp Inc. übernahm (vgl. https://www.datenschutz-hamburg.de/news/detail/article/oberverwaltungsgericht-bestaetigt-verbot-des-datenaustauschs-zwischen-whatsapp-und-facebook.html?tx_ttnews%5BbackPid%5D=1&cHash=d9c26b0f5befd174c7b50a4870037136).
Möchte ein Unternehmen also den Messenger-Dienst WhatsApp einsetzen, müsste es die damit verbundenen Datenübermittlungen an Dritte (u.a. WhatsApp Inc.) sowie in Drittstaaten ohne angemessenes Datenschutzniveau (u.a. USA) absichern und die betroffenen Personen, d.h. die Mitarbeiter, die WhatsApp nutzen (müssen), deren Kommunikationspartner sowie diejenigen Personen, deren Kontaktdaten sich im Adressbuch des Smartphones des Mitarbeiters befinden, vollständig i.S.v. Art. 13, 14 DSGVO informieren.
Und das dürfte dem Unternehmen nach derzeitigem Kenntnisstand kaum möglich sein.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.