Datenverarbeitungsbedingungen sind Pflicht - Verlag Orthopädie-Technik

OT: Sehen Sie generell eine Möglichkeit, Messenger wie Whats-App im Geschäftsalltag entsprechend der Datenschutz-Grundverordnung (DSGVO) zu nutzen – oder bewegt man sich dabei in einer Grauzone?
Marinus J. Stehmeier: Unter bestimmten Voraussetzungen ist es prinzipiell möglich, Messenger im Geschäftsalltag DSGVO-konform zu nutzen. Die andere Frage ist, ob das jeder tatsächlich umsetzen kann. Bei dem weitverbreiteten WhatsApp zum Beispiel ist es wichtig, für jede Art von geschäftlicher Kommunikation auf WhatsApp Business umzusteigen – denn der normale Messenger erfüllt insoweit nicht die Vorgaben der DSGVO.

OT: Was ist das Besondere an der Business-Version von WhatsApp?
Stehmeier: Nur mit der Business-Variante lassen sich grundlegende Datenschutzanforderungen erfüllen. So muss mit dem WhatsApp-Mutterunternehmen Facebook ein Auftragsverarbeitungsvertrag abgeschlossen werden. Dieser Vertrag schreibt fest, inwieweit Facebook personenbezogene Daten, für die der jeweilige Unternehmer weiterhin der Verantwortliche bleibt, zur Bereitstellung von WhatsApp verarbeiten darf. So ein Vertrag hat Pflichtinhalte und regelt, was mit den Daten geschieht, die bei der Nutzung des Messengers anfallen. Die bei Privatanwendern verbreitete WhatsApp-Version hat solche spezifisch ausgewiesenen Datenverarbeitungsbedingungen nicht. Im Übrigen müssen für jeden Messenger-Dienst, den man im Geschäftsalltag nutzt, derartige Data Processing Agreements vorliegen. Fehlen sie, lässt sich der betreffende Messenger nicht geschäftlich nutzen. Datenschutzhinweise rechtzeitig übermitteln

OT: Welche weiteren Voraussetzungen für eine DSGVOkonforme Nutzung gibt es?
Stehmeier: Unternehmen, die mit Kunden oder Geschäftspartnern über Messenger kommunizieren möchten, müssen Datenschutzhinweise vorhalten und den Nutzern gegenüber rechtzeitig kenntlich machen.

OT: Was bedeutet rechtzeitig?
Stehmeier: Sobald ein Kunde bzw. Geschäftspartner für die Kommunikation über Messenger mit dem Unternehmen Kontakt aufnehmen will, womit ja eine Erhebung personenbezogener Daten verbunden ist. In dem Moment müssen Datenschutzhinweise abrufbar sein: Was mit den Daten gemacht wird, welche Rechte der Betroffene dahingehend hat und wie das jeweilige Unternehmen erreichbar ist. Dies alles dient dem Grundsatz, die Transparenz über die Datenverarbeitung für die Kunden herzustellen.

Kontakte trennen

OT: Muss die geschäftliche Nutzung von WhatsApp & Co. über ein extra Smartphone erfolgen, das nicht für andere Zwecke eingesetzt wird?
Stehmeier: Das ist nicht unbedingt nötig. Aber es ist zu gewährleisten, dass zum Beispiel WhatsApp nicht alle im Smartphone gespeicherte Kontaktdaten ausliest, sondern nur solche von anderen WhatsApp-Nutzern, deren Zustimmung hierzu insoweit vorliegt. Es dürfen also keine Daten von Personen ausgelesen werden, die dazu kein eindeutiges Einverständnis gegeben haben bzw. von der Nutzung ihrer Daten gar nichts wissen. Der Hintergrund ist, dass man WhatsApp für eine komfortablere Kommunikation den Zugriff auf die im Smartphone gespeicherten Kontakte gewährt. Es geht also darum, dass mit einer Lösung gearbeitet wird, mit der die für einen Zugriff „erlaubten“ Kontakte sicher von den anderen, „nicht erlaubten“, isoliert werden. Dafür werden auch spezielle Applikationen angeboten, ebenso als Desktopvariante.

Nutzungsform entscheidend

OT: Mit einem für Unternehmen konzipierten Messengerdienst ist man im Wesentlichen aus dem Schneider?
Stehmeier: Es kommt auf die konkrete Nutzungsform an. So ist es ein Unterschied, ob man den Dienst für Werbung nutzt oder sich nur intern im Unternehmen bzw. mit bereits bestehenden Kontakten austauscht. Werbung ist am heikelsten. Werbeaktionen über elektronische Kommunikationskanäle sind nur mit Einwilligung des Adressaten zulässig – wie im Übrigen bei E‑Mail-Werbung. Der potenzielle Empfänger muss dem ausdrücklich und vor allem aktiv zustimmen, ob im Rahmen einer Anmeldung oder über einen entsprechenden Vertrag. Um den Ansprüchen der DSGVO zu genügen, darf die Zustimmung nicht in einem
anderen Vertrag versteckt sein: Der Adressat muss dem Empfang von Werbung einzeln zustimmen und das entsprechende Feld darf nicht vorangekreuzt sein. Laut Europäischem Gerichtshof ist eine Opt-in-Lösung (aktives zustimmen, beispielsweise durch Anklicken einer Checkbox) verpflichtend, Opt-out (Empfänger muss aktiv widersprechen) ist unzulässig. Proaktive Werbung ohne Einwilligung ist also nicht erlaubt.

Gebot der Datensparsamkeit

OT: Welche Anforderungen sind des Weiteren zu erfüllen?
Stehmeier: Das genutzte Endgerät muss den Anforderungen der IT-Sicherheit genügen – das betrifft generell alle Geräte, über die sensible Daten fließen, ob Kontoverbindungen, Kontaktdaten wie Adressen oder Ähnliches bzw. Geschäftsgeheimnisse. Unabdingbar sind ein Passwortschutz, eventuell mit Extrapasswort für die Messenger-App, sowie immer aktuell gehaltene Softwareversionen. Außerdem muss die Sicherheit vor Angriffen von außen gewährleistet sein, beispielsweise durch entsprechende Schutzsoftware. Überdies sollte man nur Messenger nutzen, die eine Ende-zu-Ende-Verschlüsselung anbieten. Nicht zuletzt sollten die im Lauf der Kommunikation entstehenden Daten nicht für ewig auf dem genutzten Endgerät gespeichert werden. Ist eine Speicherung nötig, werden
sie auf einem anderen geschützten Speichermedium abgelegt – damit sich im Fall eines Verlusts nicht so viele Daten beispielsweise auf dem Smartphone oder Tablet befinden. Generell gilt aber: Alle nicht mehr benötigten Daten löschen, ebenfalls aus der genutzten Messenger-App. Datensparsamkeit ist oberstes Gebot.

OT: Was ist bei der Übermittlung von Gesundheitsdaten zu berücksichtigen – beispielweise, wenn ein Sanitätshaus den Patienten im Anschluss an eine Versorgung persönliche Fragen beantworten oder Tipps bei individuellen Beschwerden geben will?
Stehmeier: Dies ist ein besonders sensibler Bereich. Wer derartige Pläne hegt, sollte sich zuvor unbedingt beraten lassen. Die erste Frage, die sich stellt: Inwieweit dürfen Gesundheitsdaten überhaupt mittels WhatsApp oder anderer Messenger verarbeitet werden? Denn bei so schützenswerten Daten ist das nur sehr eingeschränkt zulässig. Hier muss jedes Unternehmen im Einzelfall abwägen, eventuell gesonderte Einwilligungen einholen. Nachzuprüfen ist, ob der Messengerdienst die Verarbeitung solcher Daten bzw. die Nutzung durch bestimmte Branchen überhaupt zulässt. Oder ob die Nutzungsbedingungen dies
zum Beispiel unter einem Punkt wie „besondere Kategorien von Daten“ von vornherein ausschließen. Insgesamt sind die Ansprüche nicht zu unterschätzen. So befasste sich ein Whitepaper der Datenschutzkonferenz vom November 2019 mit den technischen Anforderungen für Messengerdienste im Krankenhausbereich. Das Ergebnis ist ernüchternd. Die Einschätzung kommt faktisch einer Unzulässigkeit gleich: Die Voraussetzungen dort sind so hoch, dass sie jedenfalls für ein Sanitätshaus nur mit einem hohen Aufwand zu erfüllen sind.

Tipp: Whitepaper der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 7. November 2019: „Technische Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich“.

OT: Ist es dabei unerheblich, ob die Kommunikation zwischen Sanitätshaus und Patienten oder innerbetrieblich zwischen den Filialen oder zwischen Werkstatt und Ladengeschäft erfolgt?
Stehmeier: Auch wenn die Gesundheitsdaten ausschließlich innerbetrieblich übermittelt werden – zum Beispiel Arztbriefe, Befunde, Informationen für individuelle Anpassungen etc. – muss der Patient bzw. Kunde darüber in Kenntnis gesetzt werden und einwilligen. Die Sicherheitsvorschriften sind genauso hoch.

OT: Immer beliebter werden Videotelefonate bzw. ‑beratungen über Messenger oder Videotelefonie-Apps. Wie schätzen Sie hier die rechtliche Lage ein?
Stehmeier: Zumindest während des Videochats werden Bilddaten zwischengespeichert – und man weiß oft nicht, wie lange sie gespeichert bleiben. Hier ist für den Einzelfall zu prüfen, ob die nötigen rechtlichen Voraussetzungen für die Zulässigkeit der Verarbeitung vorhanden sind. Darüber hinaus sind die IT-Sicherheitsaspekte zu beachten sowie die entsprechenden Angaben des Anbieters. Ausnahmslos gilt: Sobald Gesundheitsdaten verarbeitet werden, sind die Anforderungen strenger. Verstöße können schnell passieren. Mein Rat: Im Vorfeld juristische Hilfe holen und das Vorhaben mit dem Datenschutzbeauftragten besprechen.

OT: Welche Anwendungsszenarien bergen aus Ihrer Sicht nur wenige Probleme?
Stehmeier: Viele Unternehmen setzen zum Beispiel Whats-App als zusätzlichen Bestellkanal ein bzw. nutzen Bestellbots. Wenn bei der Anmeldeprozedur auf eine Einwilligung zur Datenverarbeitung geachtet wird und die Sicherheitsanforderungen wie bei jedem anderen Webshop erfüllt werden, ist das im Allgemeinen unproblematisch. Die innerbetriebliche Kommunikation ist machbar, solange keine sensiblen Daten Dritter übermittelt werden. Da lauern durchaus Fallstricke.

OT: Was ist zu beachten, wenn das für Messengerkommunikation genutzte Smartphone, Tablet oder der Computer verlorengehen oder gestohlen werden?
Stehmeier: Der Verlust eines Endgeräts wird schnell zum meldepflichtigen Datenschutzvorfall, über den die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden informiert werden muss. Dies ist zum Beispiel gegeben, wenn ein Risiko für die Personen entsteht, deren Daten man verloren hat. Dieses Risiko ist recht weit gefasst, bei einem Versäumnis droht ein Bußgeld. Deshalb den Verlust eines Endgeräts in jedem Fall melden – besser einmal zu viel, als einmal zu wenig.

Das Interview führte Cathrin Günzel.

Teilen Sie diesen Inhalt

Kon­tak­te trennen

Nut­zungs­form entscheidend

Gebot der Datensparsamkeit

Kontakte trennen

Nutzungsform entscheidend