Auswirkungen DS-GVO im Alltag von Unternehmen und privaten Personen

Einführung

Seit dem 25. Mai 2018 und der damit einhergehenden "neuen Zeitrechnung" unter der Datenschutz-Grundverordnung (DS-GVO) gibt es eine Reihe von Veränderungen in den alltäglichen Abläufen. Wir erklären, wo diese "spürbar" sind!

Noch Fragen?
Wir beraten Sie gerne!
0228 - 74 89 80

Auswirkungen DSGVO im Alltag

Gewinnspiel im Unternehmen

Gewinnspiele sind legal, solange kein Verstoß gegen § 284 StGB vorliegt. Dies gilt im Unternehmen gleichermaßen wie im privaten Freundeskreis. Die Definition des Glücksspiels richtet sich nach § 3 Abs. 1 GlüStV, wonach ein „Glücksspiel“ vorliegt, „wenn im Rahmen eines Spiels für den Erwerb einer Gewinnchance ein Entgelt verlangt wird und die Entscheidung über den Gewinn ganz oder überwiegend vom Zufall abhängt. Die Entscheidung über den Gewinn hängt in jedem Fall vom Zufall ab, wenn dafür der ungewisse Eintritt oder Ausgang zukünftiger Ereignisse maßgeblich ist. Auch Wetten gegen Entgelt auf den Eintritt oder Ausgang eines zukünftigen Ereignisses sind Glücksspiele.“ Dabei ist in jedem Fall zu beachten, dass das Glücksspiel nicht öffentlich beworben werden darf. Es darf also nur im privaten Rahmen mit beschränktem Personenkreis stattfinden. In diesem privaten Rahmen darf es außerdem weder gewohnheitsmäßig noch gewerbsmäßig stattfinden. Das heißt, der Organisator darf keinen Gewinn einstreichen und alle Wetteinsätze müssen ausgezahlt werden. Gewohnheit liegt vor, wenn z.B. das Glücksspiel jede Woche am selben Tag stattfindet. Da Wetten ein reines Privatvergnügen darstellen, lassen sich gem. § 726 Abs. 1 BGB auch keine zivilrechtlichen Ansprüche daraus ableiten. Wettrunden, die alle zwei und oder alle vier Jahre im Rahmen der Fußball EM/WM stattfinden, gelten nicht als regelmäßig. Aber wenn die Compliance-Richtlinien des Unternehmens die Annahme von Geschenken verbieten, darf die Gewinnprämie nicht ausgezahlt werden. Dann gilt das Tippspiel unter Kollegen nämlich gerade nicht als Privatvergnügen. Insofern bietet es sich an, mit dem Segen der Geschäftsleitung als Unternehmen ein Tippspiel zu veranstalten. Die dafür häufig genutzte App Kicktipp bietet eigens ein Profipaket an, was eine Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO umfasst. Dieser bedarf es jedoch nur, wenn das Unternehmen ein Tippspiel auf der unternehmenseigenen Homepage implementieren möchte, um Kunden miteinzubeziehen. Für das Tippspiel rein unter Kollegen braucht man diese nicht, wenn sich jeder Mitarbeiter selbstständig über die App anmeldet.

WhatsApp Nutzung

Die Nutzung von WhatsApp als Messenger-Dienst wirft zahlreiche datenschutzrechtliche Fragen auf. Grundsätzlich nutzt WhatsApp nach eigenen Angaben seit April 2016 eine „Ende zu Ende“-Verschlüsselung. Jedoch werden dabei Metadaten gesammelt, z.B.: mit welchen Nutzern man kommuniziert, wie oft sich die Nutzer mit bestimmten Kontakten verbinden, wie lange die Nutzer einander Nachrichten schreiben etc. Dabei lässt WhatsApp völlig offen, wie diese verarbeitet werden und an wen diese übertragen werden. Wenn ein Unternehmen WhatsApp verwendet, um mit Kunden zu kommunizieren, kann es auch bei diesen Themen nicht das „Recht auf Information“ oder „Recht auf Vergessenwerden“ der DSGVO erfüllen. Ein weiteres Problem ist, dass die meisten Nutzer das Backup ihrer WhatsApp-Nachrichten aktiviert haben. D.h. die Nachrichten werden je nach Endgerät in der Cloud von z.B. Apple oder Google als Backup gespeichert. Was die wenigsten Nutzer dabei wissen: Die Nachrichten werden dort entschlüsselt gespeichert. Dadurch könnten nicht nur Apple oder Google sondern auch amerikanische Sicherheitsbehörden auf diese Daten zugreifen. Außerdem lädt WhatsApp zum Abgleich der bei bei WhatsApp gespeicherten Telefonnummern das gesamte Telefonbuch auf den Server hoch. Dieser Abgleich der gespeicherten Informationen stellt eine Verarbeitung im datenschutzrechtlichen Sinne dar und bedürfte daher einer Einwilligung jedes Kontakts, die allerdings regelmäßig nicht vorliegt. Abgesehen davon kann ein ausreichender Schutz von Kundendaten auch deshalb nicht gewährleistet werden, da WhatsApp seine Server in den USA stehen hat und somit alle personenbezogenen Daten außerhalb der EU übertragen oder gespeichert werden, was dem Grundgedanken der DSGVO zuwider läuft.

WhatsApp im Unternehmen

Kommunikation unter Mitarbeitern

Selbst wenn alle Mitarbeiter ihre Einwilligung erteilt haben, ist – datenschutzrechtliche Bedenken außen vor gelassen – eine betriebliche Nutzung nicht zu empfehlen, da eine betriebliche Kommunikation einen Verstoß gegen die AGB von WhatsApp darstellt, da diese nur die private Nutzung des Messengers erlauben.

Kommunikation mit Kunden

Auch bei der Kommunikation mit Kunden besteht erstmal grundsätzlich die Problematik der Einwilligung der Kunden zur Übermittlung der persönlichen Daten an WhatsApp. Selbst wenn diese vorliegen sollten, kann das Unternehmen, wie oben erwähnt, die Bestimmungen der DSGVO nicht einhalten, da nicht bekannt ist wie Metadaten verarbeitet und an wen diese übertragen werden. Zusammenfassend ist klar, dass WhatsApp nicht den Datenschutzbestimmungen der DSGVO entspricht und ein Unternehmen nicht konform ist, wenn es WhatsApp für geschäftliche Zwecke nutzt. Unternehmen sollten eine professionelle und sichere Enterprise Messaging App einsetzen. Auch WhatsApp Business ist, trotz seines klangvollen Namens, kein Allheilmittel dieser Probleme, da es zwar zusätzliche B2B und B2C-Services anbietet, jedoch aller Wahrscheinlichkeit nach weiterhin US-Server nutzt.

WhatsApp in der Schule

Auch bei der Nutzung von WhatsApp durch Lehrer in der Kommunikation mit Eltern und oder Schülern stellen sich die oben genannten Probleme. Lehrkräfte müssen stets unterscheiden, ob sie mit Betroffenen dienstlich oder privat kommunizieren. Rechtlich betrachtet ist die dienstliche Kommunikation eine Kommunikation der Schule, z.B. die Bekanntgabe von Noten oder Stundenausfall. Bei privater Kommunikation handelt die Lehrkraft dagegen für sich selbst, d.h. als Privatperson. Ein Beispiel für private Kommunikation wären z.B. Geburtstagsgrüße. Eine eindeutige Trennung kann sich kompliziert darstellen, weshalb in Zweifelsfällen von einer dienstlichen Kommunikation auszugehen ist. Kommuniziert eine Lehrkraft dienstlich, hat sie die besonderen datenschutzrechtlichen Vorgaben der Schulgesetze der Länder und insbesondere der DSGVO zu beachten. Da durch den Abgleich der Kontakte mit den WhatsApp-Servern in den USA immer eine Verarbeitung i.S.d. DSGVO vorliegt, ist eine DSGVO-konforme Nutzung von WhatsApp im Schulbetrieb ausgeschlossen. Dabei ist unerheblich, ob Einwilligungen der Eltern für sich selbst, für Lehrer-Eltern-Gruppen oder für ihre Kinder, für Lehrer-Klassen-Gruppen vorliegen, da in jedem Fall die Verarbeitung durch WhatsApp nicht nachvollziehbar ist.

Mit Eltern

Außerdem kann, selbst wenn die Eltern der Mitgliedschaft in der „WhatsApp“-Gruppe zugestimmt haben, die Freiwilligkeit dieser Erklärung bezweifelt werden, da nicht auszuschließen ist, dass das Akzeptieren der Teilnahme an der „WhatsApp“-Gruppe mit der Befürchtung einherging, dass ihre Kinder ansonsten schulische Nachteile zu erleiden hätten.

Mit Schülern

Abgesehen von der datenschutzrechtlichen Problematik stellt sich die Frage in welchem Alter – 14, 16 oder 18 – die Schüler wirksame Einwilligungen erteilen können. Sinnvoll ist eine Einwilligung vertreten durch die Erziehungsberechtigten.

WhatsApp in der privaten Nutzung

Auch im Bereich der privaten Kommunikation ist zu berücksichtigen, dass Telefonnummern von Kontakten, die selber kein WhatsApp nutzen und somit keine Einwilligung gegeben haben, an dessen Server weitergegeben werden.

Fazit

Zusammenfassend lässt sich sagen, dass von einer Nutzung von WhatsApp außerhalb des privaten Bereichs abzuraten ist. Da Fax keine realistische Alternative darstellt, bleibt nur die klassische E-Mail oder alternative Messenger. Ein Messenger, der datenschutzrechtlich sicher sein soll, muss folgende Punkte erfüllen:

1. Keine Verarbeitung oder Speicherung von Daten außerhalb der Europäischen Union.

2. Daten eines Unternehmens sollten pseudonymisiert und stark verschlüsselt werden.

3. Keine Analyse und Sammlung von Metadaten.

4. Keine Speicherung des Adressbuchs, außer bei Einwilligung aller Kontakte eines Nutzers. Da das Einholen einer Vielzahl von Einwilligungen aufwändig ist, ist der Verzicht auf Speicherung des Adressbuchs sinnvoller.

5. Zugriff auf das Adressbuch sollte auf Basis von Einweg-verschlüsselten Werten (z. B. SHA256) erfolgen, die nicht wieder zurückverwandelt werden können und danach sofort von den Servern der Enterprise Messaging App gelöscht werden.

6. Ein Unternehmen und seine Mitarbeiter müssen der Enterprise Messaging App eine klare und bejahende Zustimmung zur Verarbeitung personenbezogener Daten geben.

7. Bereitstellung eines Archivs der gesamten Messaging-Kommunikation und Audit-Logs bereitstellen sowie Möglichkeit zur Archivdurchsuchung.

8. Transparenz der verwendeten personenbezogenen Daten: detaillierte Informationen zur Verfügung stellen, welche personenbezogenen Daten verwendet werden, warum die Nutzung erforderlich ist und was mit den Daten geschieht.

Diese Vorgaben erfüllen die Messenger Signal, Telegram, Viber und Threema bzw. Threema Work. Jedoch ist zu beachten, dass aufgrund kommender Regelungen in Bezug auf die Vorratsdatenspeicherung in der Schweiz sich Abweichungen zur DSGVO ergeben könnten. Threema erwägt deshalb einen Umzug seiner Server. Möchte man als Unternehmen in der Kundenkommunikation einen Messenger nutzen, ist die Notwendigkeit einer Auftragsverarbeitungsvereinbarung / - vertrags zu beachten. Diesen bietet bislang explizit nur Threema Work an.

Fotografien

Bedeutung im Alltag findet die DSGVO auch im Bereich der gewerbsmäßigen Personenfotografie. Hier stellt sich die Frage, ob §§ 22, 23 KUG als spezialgesetzliche Regelung i.S.d. Art. 85 Abs. 2 DSGVO einzuordnen sind. In dem Fall, ist DSGVO-Konformität gewahrt. Räumt man jedoch der DSGVO Anwendungsvorrang gegenüber dem KUG ein, muss die Rechtmäßigkeit der Datenverarbeitung nach Art. 6 DSGVO gewahrt sein.

DSGVO im Gesundheitswesen

Für die Verarbeitung von gesundheitsbezogenen Daten gilt die Definition aus Art. 4 Nr. 15 DSGVO. Deren Verarbeitung ist gem. Art. 9 Abs. 1 DSGVO untersagt, außer bei Vorliegen der Voraussetzungen aus Art. 9 Abs. 2 lit. a) – j) DSGVO.