Diesen Monat für Sie entworfen:

Prof. Dr. Nikolaus Kastenbauer
Steuerberater, Rechtsanwalt, Partner
Fachberater Gesundheitswesen
dr.kastenbauer@dr-schauer.de

 

 


Gleichzeitige Nutzung von „Outlook“ und “Whats App“ dies ist zu beachten!

Urlaub 1990: Die telefonische Erreichbarkeit beschränkte sich auf das Zimmer im Hotel, Faxe kamen vielleicht am dortigen Empfang oder im örtlichen Postamt an, an Kurznachrichten war nicht zu denken. Man konnte natürlich einen Brief schreiben unter Berücksichtigung einer Reaktionszeit von mehreren Tagen, wenn nicht einer Woche oder gar mehr.

Urlaub 2019: Während man mit den Kollegen zuhause telefoniert, erreicht einen eine E-Mail z.B. über den beruflichen Outlook Account, die direkt nach dem Telefonat im Liegestuhl am Strand beantwortet wird, um im Anschluss das digitalisierte Fax zur Kenntnis zu nehmen und schließlich den Freunden daheim ein Foto von Sand und Meer über WhatsApp zuzuschicken.

Toll!, könnte man meinen. Könnte man in der Tat– ungeachtet etwaiger Auswirkungen auf den Erholungseffekt je nach persönlicher Fasson, wenn nicht der Datenschutz einem ein Schnippchen schlagen würde.

 

1. (Strafrechtliche) Haftungsrisiken bei gleichzeitiger Nutzung von WhatsApp und Outlook

Die weit verbreitete gleichzeitige Nutzung von WhatsApp und Outlook auf dem beruflichen Smartphone bietet nämlich leider entsprechende Haftungsrisiken.

Aufgrund der weiten Verbreitung und der bequemen Nutzung ist WhatsApp auf vielen Smartphones installiert, die nicht nur zu privaten Zwecken, sondern zumindest auch beruflich genutzt werden. Im Falle der beruflichen Nutzung eines Smartphones ist meist auch MS-Outlook oder ein anderer E-Mail-Client installiert, über den standardmäßig die Daten der Kontakte zwischen dem beruflichen Mail-Server und dem Smartphone-Adressbuch ausgetauscht werden.

Nach zwei rechtskräftigen Entscheidungen des AG Bad Hersfeld aus dem Frühjahr 2017 ist die Nutzung von WhatsApp in vielen Fällen rechtlich problematisch:

„Wer den Messenger-Dienst „WhatsApp“ nutzt, übermittelt nach den technischen Vorgaben des Dienstes fortlaufend Daten in Klardaten-Form von allen in dem eigenen Smartphone-Adressbuch eingetragenen Kontaktpersonen an das hinter dem Dienst stehende Unternehmen. Wer durch seine Nutzung von „WhatsApp“ diese andauernde Datenweitergabe zulässt, ohne zuvor von seinen Kontaktpersonen aus dem eigenen Telefon-Adressbuch hierfür jeweils eine Erlaubnis eingeholt zu haben, begeht gegenüber diesen Personen eine deliktische Handlung und begibt sich in die Gefahr, von den betroffenen Personen kostenpflichtig abgemahnt zu werden.“

Diese Beschlüsse haben mit Blick auf die seit 25.5.2018 in allen EU-Mitgliedstaaten verbindliche Datenschutzgrundverordnung (DSGVO) weitreichende praktische Auswirkungen.

Wer auf seinem Smartphone neben WhatsApp zur Privatkommunikation ohne weitere technische Vorkehrungen auch Outlook zu beruflichen Zwecken nutzt, kann die Begehung einer deliktischen Handlung wegen Verletzung des Rechts der Outlook-Kontaktpartner auf informationelle Selbstbestimmung in aller Regel kaum vermeiden. Die nach Art. 6 Abs. 1 S. 1 lit. a), Art. 7 DSGVO erforderliche Einholung individueller Einwilligungen der Outlook-Kommunikationspartner in die Datenweitergabe ist gerade bei größeren beruflichen Datenbeständen von u. U. mehreren hundert Kontakten meist illusorisch. Aus der bloßen Offenbarung der eigenen Telefonnummer im geschäftlichen Verkehr lässt sich jedenfalls keine konkludente Einwilligung in die Datenweitergabe an WhatsApp ableiten. Allenfalls bei Outlook-Kontakten, die ihrerseits WhatsApp nutzen und eigeninitiativ auch über diesen Weg kommunizieren, erscheint die Konstruktion einer konkludenten datenschutzrechtlichen Einwilligung denkbar. Ungeachtet dessen wird es aber zwangsläufig immer auch solche Adressbuch-Einträge geben, deren Inhaber WhatsApp gar nicht nutzen. Zumindest in den zuletzt genannten Fällen liegt ein nach Art. 82 DSGVO schadensersatzpflichtiger und nach Art. 83 DSGVO bußgeldbewehrter Verstoß gegen die Bestimmungen der DSGVO vor.

Da es mit Blick auf die Adressbucheinträge um die Verarbeitung personenbezogener Daten zu nicht lediglich privaten Zwecken geht, gelten gemäß Art. 2 Abs. 2 lit. c) DSGVO die Bestimmungen der DSGVO, einschließlich des dort geregelten, im Verhältnis zum BDSG a. F. deutlich verschärften Haftungsregimes. Unternehmen drohen damit seit dem 25.5.2018 bei Datenschutzverstößen Bußgelder von bis zu 20 Mio. Euro oder bis zu vier Prozent des weltweiten (Konzern-)Jahresumsatzes (Art. 83 DSGVO).

Neben die Haftung des Unternehmens selbst tritt unter Umständen eine Haftung der Leitungsorgane. Wer als Inhaber oder Organvertreter eines Unternehmens vorsätzlich oder fahrlässig die Aufsichtsmaßnahmen unterlässt, die zur Vermeidung von Datenschutzverstößen erforderlich sind, haftet gemäß §§ 130, 9 OWiG auch persönlich mit seinem Privatvermögen, wenn der Datenschutzverstoß durch gehörige Aufsicht verhindert oder wesentlich erschwert worden wäre. Zu den erforderlichen Aufsichtsmaßnahmen in diesem Sinne gehören auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen (§ 130 Abs. 1 S. 2 OWiG).

Inwieweit sich Inhaber bzw. Organvertreter eines Unternehmens in diesem Zusammenhang durch Benennung eines Datenschutzbeauftragten gemäß Art. 37 DSGVO, § 38 BDSG i. V. m. § 6 BDSG exkulpieren können bzw. inwieweit sich für einen Datenschutzbeauftragten bei Nichteinschreiten gegen Datenschutzverstöße im Unter- nehmen eigene zivil- bzw. ordnungs- und strafrechtliche Haftungsrisiken ergeben können, ist bislang noch ungeklärt.

Insbesondere Freiberufler wie Angehörige eines Heilberufes unterliegen schließlich der strafrechtlich sanktionierten besonderen Verschwiegenheit über Mandatsangelegenheiten, wozu auch die bloße Existenz eines Kontakts gehören kann (§ 203 StGB).

 

2. Handlungsoptionen

Vor diesem Hintergrund stellt sich die Frage nach praktikablen Handlungsoptionen und möglichen Auswegen zur Vermeidung von Haftungsrisiken.

Neben auch technisch anspruchsvollen Ansatzpunkten wie professionelle Mobile-Device-Management-Lösungen, der Begrenzung der Zugriffsberechtigungen von WhatsApp auf die Smartphone-Kontakte über die Systemsteuerung des Geräts und das Ausschalten der automatischen Synchronisation der Outlook-Adressbuch-Kontakte zwischen beruflichem Mail-Server und Smartphone, ist derzeit der wohl sicherste Weg der Verzicht auf WhatsApp durch Löschung des Accounts und Deinstallation der App.

Erforderlichenfalls ist die Nutzung eines alternativen, datenschutzkonformen Messenger-Dienstes wie z. B. Signal oder Threema zu empfehlen. So erfolgt etwa bei Threema die Identifikation des Nutzers nicht über die E-Mail-Adresse oder Telefonnummer, sondern über eine zufällig erzeugte ID, so dass die App vollkommen anonym genutzt werden kann.

Den gleichen Effekt wie der Umstieg auf einen alternativen Messenger-Dienst hat die Verwendung separater Geräte für die berufliche Kommunikation (ohne WhatsApp) und für die private Kommunikation (ohne Outlook).

Dass die geschilderte Rechtsproblematik nicht nur theoretischer Natur ist, zeigen die in den letzten Monaten bekannt gewordenen Entscheidungen deutscher Konzerne zum Verbot der Nutzung von WhatsApp. So hat etwa der im DAX gelistete Automobilzulieferer Continental Anfang Juni 2018 die Verwendung von WhatsApp (und Snapchat) auf seinen dienstlich genutzten Smartphones untersagt; hiervon sind weltweit mehr als 36.000 Mobiltelefone betroffen. Auch BMW und Commerzbank lassen die Nutzung von WhatsApp auf Diensthandys nicht zu (vgl. ArbRAktuell 2018, 594, beck-online mwN).