© Getty© Getty

    vernetzt

    Hey there! I am using Whatsapp

    Viele Beschäftigte nutzen auf dem Firmenhandy dieselben Messenger-Dienste, die sie auch privat verwenden. Sie avancieren damit zum ernsthaften Rechtsrisiko für ihren Arbeitgeber. 

    Bahnbrechende Urteile werden normalerweise nicht in Bad Hersfeld gesprochen. Eine jüngere Entscheidung des dortigen Amtsgerichts sollte Arbeitgeber in Deutschland aber aufhorchen lassen. Das Gericht befand: Wer, wie fast alle Nutzer des Messenger-Dienstes Whatsapp, der Telefonnummern seiner Kontakte automatisch an die Whatsapp Inc. in den USA weiterleitet, verstößt gegen geltendes Recht. Er läuft damit Gefahr, dass ihn die betreffenden Personen kostenpflichtig abmahnen (Aktenzeichen: F 120/17 EASO).

    Im entschiedenen Fall ging es zwar nicht um einen unternehmerischen Kontext, sondern um ein familienrechtliches Verfahren, konkret um die Smartphone-Nutzung eines elf Jahre alten Jungen. Dieser hatte exzessiv per Whatsapp mit seinen Freunden kommuniziert. Das Gericht verpflichtete die Mutter des Kindes daraufhin, von allen Personen, die im Adressbuch ihres Sohnes gespeichert sind, schriftliche Zustimmungserklärungen einzuholen und dadurch sicherzustellen, dass die Kontakte des Kindes mit der Übermittlung ihrer Daten nach Menlo Park, Kalifornien, einverstanden sind.

    Zwar vertreten nicht alle Gerichte zu diesem Thema dieselbe harte Linie wie das Amtsgericht Bad Hersfeld. Dennoch sollten Unternehmen die Entscheidung zum Anlass nehmen, den eigenen Umgang mit Whatsapp und anderen kritischen Anwendungen zu überprüfen und den rechtlichen Rahmen für die Nutzung mobiler Messenger eindeutig zu definieren.

    Datenkraken auf dem Diensthandy

    Schwierig sind vor allem Fälle, in denen Mitarbeiter ein Firmenhandy besitzen, das sie auch privat benutzen dürfen. „Das Bewusstsein, dass eine Vermischung von privaten und beruflichen Daten Probleme bereiten kann, ist in vergangenen Jahren zwar gestiegen“, sagt René Rautenberg, der als externer Datenschutzbeauftragter vor allem kleine und mittelständische Unternehmen betreut. Dennoch sei diese Praxis noch immer recht verbreitet. „Meist entsprechen Arbeitgeber damit dem Wunsch der Mitarbeiter, nicht zwei Handys mit sich herumschleppen zu wollen.“

    Dieses Entgegenkommen kann sich rächen. „Ohne konkrete Vorgaben, welche Apps der Mitarbeiter auf seinem Diensthandy installieren und nutzen darf, sind regelmäßige Rechtsbrüche durch die Belegschaft kaum zu vermeiden“, warnt Rautenberg.

    Bestes Beispiel: der beliebte Messenger‑Dienst Whatsapp. Datenschützer kritisieren schon seit langem, dass das Programm nach der Zustimmung des Anwenders zu den Allgemeinen Geschäftsbedingungen automatisch auf sämtliche im Smartphone gespeicherten Kontakte zugreift, unabhängig davon, ob die selbst Whatsapp nutzen oder nicht. „Diese Praxis ist mit deutschem Recht zwar nicht zu vereinbaren“, so Rautenberg. Die Crux ist nur: Wer dem Verfahren nicht zustimmt, kann den Dienst nicht verwenden. Entsprechend setzen die meisten Nutzer bereitwillig ein Häkchen an der vorgesehenen Stelle – und machen es dem Arbeitgeber damit oft unmöglich, die im Handy gespeicherten Daten einzusehen.

    Eingeschränkte Kontrollrechte

    „Ein Zugriff auf personenbezogene Daten des Mitarbeiters ist nach geltender Rechtslage nur unter engen Voraussetzungen zulässig: zur Durchführung des Arbeitsverhältnisses, bei Verdacht auf eine Straftat oder mit Einwilligung des Mitarbeiters“, erklärt Hans Markus Wulf, Fachanwalt für IT-Recht und Partner bei SKW Schwarz in Hamburg. Ist dem Arbeitnehmer die private Nutzung seines Diensthandys erlaubt, steht der Chef also vor großen Problemen. Um rechtlich auf der sicheren Seite zu sein, muss er per Software eine Trennung von beruflichen und privaten Daten sicherstellen. Das gelingt zum Beispiel durch Einsatz einer Mobile-Device-Management-Software. Alternativ kann er eine Mitarbeitervereinbarung zur Nutzung mobiler Endgeräte schließen – oder eine entsprechende Betriebsvereinbarung.

    Fast noch schwieriger ist die Situation, wenn Mitarbeiter Whatsapp auf ihrem Diensthandy beruflich nutzen, etwa, um mit Kunden zu kommunizieren. Denn auch dann mischen sich im Regelfall berufliche und private Daten. Will der Arbeitgeber den Gesprächsverlauf einsehen, ist er darauf angewiesen, dass der Beschäftigte dem zustimmt und ihm damit auch Zugriff auf seine privaten Nachrichten erlaubt.

    Einmal um die Welt

    Die Nutzung von Whatsapp auf dem Diensthandy macht aber noch aus anderen Gründen Probleme. Wer beruflich über den Messenger-Dienst kommuniziert, sorgt dafür, dass personenbezogene Daten des Unternehmens (zum Beispiel die Kontaktdaten von Ansprechpartnern der Kunden oder Lieferanten) auf Servern in den USA landen. Das Bundesdatenschutzgesetz und die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung erlauben die Übermittlung personenbezogener Daten in Nicht-EU-Staaten aber grundsätzlich nur, wenn die dortigen Datenempfänger ein „angemessenes Datenschutzniveau“ gewährleisten. „In den USA ist das nicht der Fall, es sei denn, das betreffende US-Unternehmen hat sich dem sogenannten EU-US Privacy Shield unterworfen. Whatsapp hat das aber nicht getan“, sagt Wulf. Auch alle anderen Apps, die über US-Server laufen, sind problematisch – zum Beispiel Dropbox oder Twitter.

    Die Nutzung solcher Anwendungen durch die Belegschaft kann für Unternehmen sogar zum finanziellen Risiko werden: Ab Mai 2018 dürfen die Behörden Verstöße theoretisch mit Bußgeldern bis zu einer Höhe von 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes ahnden.

    Dass eine Firma wirklich den Höchstbetrag zahlen muss, gilt in Fachkreisen zwar als unrealistisch. Allerdings sieht die Verordnung ausdrücklich vor, dass die Geldbuße „abschreckenden“ Charakter haben soll. Unangenehme Überraschungen sind daher nicht auszuschließen. Und das bedeutet: Arbeitgeber, die auf der sicheren Seite sein wollen, sollten zumindest auf die berufliche Nutzung von WhatsApp am besten verzichten.

    Beschäftigtendatenschutz – das Wichtigste im Überblick

    Als erstes Land der EU hat die Bundesrepublik die Vorgaben der europäischen Datenschutz-Grundverordnung (EU-DSGV) umgesetzt und das Bundesdatenschutzgesetz entsprechend verändert. Unternehmen sollten sich schon jetzt mit den wichtigsten Neuerungen auseinandersetzen, die ab Mai 2018 verbindlich sein werden. Was sich im Umgang mit den Beschäftigten und mit Stellenbewerbern ändert:

    Sonderregelungen. Das Gesetz verschärft an vielen Stellen die geltenden Vorgaben, zum Beispiel im Hinblick auf den Datenschutz am Arbeitsplatz. Geht es um besonders sensible Informationen (etwa Gesundheitsdaten), sind gesonderte Schutzmaßnahmen, etwa eine Verschlüsselung, unumgänglich.

    Einwilligung. Unternehmen dürfen die Mitarbeiterdaten nur dann verarbeiten, wenn sie dem zugestimmt haben und diese Zustimmung freiwillig erteilt wurde. Fehlt die Freiwilligkeit – etwa weil der Arbeitnehmer Nachteile befürchtet, wenn er der Datenverarbeitung nicht zustimmt – ist die Datenverarbeitung nicht legitim.

    Risiko. Arbeitnehmer können Unternehmen bei Datenschutzverstößen künftig auf Schadenersatz verklagen.

    Verwaltungsaufwand. Der Arbeitgeber muss stets nachweisen können, dass er die datenschutzrechtlichen Vorgaben einhält.

    Betriebsvereinbarungen. Zwar lassen sich mit Kollektivvereinbarungen auch weiterhin Regeln zur Datenverarbeitung festzurren. Sie müssen sich aber künftig an den (oft strengeren) Vorgaben der EU-DSGV beziehungsweise des neuen BDSG messen lassen.

    Strafzahlungen. Unternehmen drohen bei Datenschutzverstößen künftig Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes – je nachdem, welcher Betrag höher ist.


    Wir freuen uns über Diskussionen und Ihre Kommentare.
    Wie in jeder Gemeinschaft ist es notwendig, dass sich alle Teilnehmer an die Netiquette halten. Durch Ihre Kommentare sollen interessante, gewinnbringende Debatten entstehen, an denen sich andere Nutzer gerne beteiligen. Beleidigungen und Schmähreden sind deshalb ebenso tabu wie Diskriminierungen und die unerlaubte Veröffentlichung persönlicher Daten. Bitte verstecken Sie sich auch nicht hinter Pseudonymen, sondern benutzen Sie Klarnamen.

    Kommentar absenden

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

    CAPTCHA-Bild

    *

    Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

    Lesen Sie weiter