Das der Umgang mit WhatsApp weiterhin nicht frei von Risiken ist, kann man einer aktuellen Pressemitteilung (die URL https://www.ldi.nrw.de/Taxiunternehmen ist etwas merkwürdig) der LDI NRW entnehmen (das ich das nervig finde, dass der Atikel einer Aufsichtsbehörde immer davon abhägig ist, wer gerade die Behörde leitet, hatte ich glaube ich schon erwähnt).
Ein Taxiunternehmen aus NRW soll Fotos von Kundeninnen und Kunden, von Personal- und Schwerbehindertenausweisen, Namen, Adressen, Überweisungen, Rezepte, Kliniknamen und Termine von potentiellen Krankentransporte über WhatsApp geteilt haben. Zum Sachverhalt führt die Behörde aus: “Die Gruppen hießen „Taxi Newsletter“ und „Taxi Check Up Krankenbeförder…“ und wurden von dem Taxiunternehmen betrieben, um an alle Fahrerinnen Nachrichten zu schicken sowie zu empfangen. So nahmen die Fahrerinnen zum Beispiel Ausweisdaten und Rezepte auf und sendeten sie über die Gruppe an die Zentrale. Außerdem wurde in einer der WhatsApp-Gruppen das Foto einer Person geteilt, die wegen angeblicher Zahlungsunfähigkeit nicht mehr transportiert werden sollte. Das Foto hatte das Unternehmen den sozialen Medien entnommen.” Dabei hatte das Taxiunternehmen es nicht in der Hand, was mit den in den Gruppen geteilten Daten passierte. Auch aus der WhatsApp-Gruppe ausgeschlossene Person konnten noch auf die geteilten Medien und Fotos zugreifen. Dahinter standen durchaus praktische Gründe, denn durch die WhatsApp-Gruppen wollte das Unternehmen unter anderem die Organisation von Krankentransportfahrten vereinfachen und Abrechnungen leichter erstellen können.
Die Aufsichtsbehörde für den Datenschutz in NRW weist darauf hin, dass die vorgenommene Datenverarbeitung unzulässig ist, wobei hier im konkreten Fall hier hinzukommt, dass hier Gesundheitsdaten betroffen sind, die als besonders schutzwürdig anzusehen sind. Für die Verarbeitung der Gesundheitsdaten wäre hier im konkreten Fall eine Einwilligung der Gäste des Krankentransports erforderlich gewesen wäre, die hier fehlte. „Selbst wenn einzelne Kundinnen die Weiterleitung an die Taxizentrale mitbekommen und die Fahrer*innen ihnen mitgeteilt hätten, dass eine Weiterleitung erfolgt, fehlte dennoch eine angemessene Transparenz in die Verarbeitung und Speicherung der Daten. Auch fehlte die unmissverständliche Erklärung der betroffenen Personen, mit der Datenverarbeitung und Weiterleitung über WhatsApp einverstanden zu sein“, so Gayk.
Die LDI NRW hat deshalb die Nutzung der WhatsApp-Gruppen unterbunden und prüft nun die Verhängung einer Geldbuße.
Wir können nur dazu raten, dass wenn ein Verzicht auf WhatsApp nicht generell möglich ist, dass Unternehmen klare Richtlinien zur Nutzung von Messenger-Diensten erlassen. Die Weiterleitung personenbezogener Daten innerhalb oder außerhalb einer Organisation muss es eine gültige Rechtsgrundlage nach Art. 6 DSGVO (ggf. in Verbindung mit Art. 9 DSGVO sofern Gesundheitsdaten betroffen sind) und die Grundsätze des Art. 5 DSGVO eingehalten werden (Verarbeitung nach Treu und Glauben, Datenminimierung, Zweckbindung usw.). Daten dürfen nur an Empfänger weitergegeben werden, die sie zur Erfüllung ihrer Aufgaben benötigen. Wenn Geräte sowohl privat als auch dienstlich genutzt werden, empfiehlt sich der Einsatz von Container-Apps, um dienstliche Daten vom Zugriff durch WhatsApp zu isolieren.
