Daten­ver­ar­bei­tungs­be­din­gun­gen sind Pflicht

Messenger wie WhatsApp lassen sich im Geschäftsalltag durchaus rechtssicher nutzen – worauf man dabei aber achten muss, erläutert Marinus J. Stehmeier, Rechtsanwalt bei der Hamburger Datenschutzkanzlei Herting Oberbeck Rechtsanwälte Partnerschaft.

OT: Sehen Sie gene­rell eine Mög­lich­keit, Mes­sen­ger wie Whats-App im Geschäfts­all­tag ent­spre­chend der Daten­schutz-Grund­ver­ord­nung (DSGVO) zu nut­zen – oder bewegt man sich dabei in einer Grauzone?
Mari­nus J. Steh­mei­er: Unter bestimm­ten Vor­aus­set­zun­gen ist es prin­zi­pi­ell mög­lich, Mes­sen­ger im Geschäfts­all­tag DSGVO-kon­form zu nut­zen. Die ande­re Fra­ge ist, ob das jeder tat­säch­lich umset­zen kann. Bei dem weit­ver­brei­te­ten Whats­App zum Bei­spiel ist es wich­tig, für jede Art von geschäft­li­cher Kom­mu­ni­ka­ti­on auf Whats­App Busi­ness umzu­stei­gen – denn der nor­ma­le Mes­sen­ger erfüllt inso­weit nicht die Vor­ga­ben der DSGVO.

Anzei­ge

OT: Was ist das Beson­de­re an der Busi­ness-Ver­si­on von WhatsApp?
Steh­mei­er: Nur mit der Busi­ness-Vari­an­te las­sen sich grund­le­gen­de Daten­schutz­an­for­de­run­gen erfül­len. So muss mit dem Whats­App-Mut­ter­un­ter­neh­men Face­book ein Auf­trags­ver­ar­bei­tungs­ver­trag abge­schlos­sen wer­den. Die­ser Ver­trag schreibt fest, inwie­weit Face­book per­so­nen­be­zo­ge­ne Daten, für die der jewei­li­ge Unter­neh­mer wei­ter­hin der Ver­ant­wort­li­che bleibt, zur Bereit­stel­lung von Whats­App ver­ar­bei­ten darf. So ein Ver­trag hat Pflicht­in­hal­te und regelt, was mit den Daten geschieht, die bei der Nut­zung des Mes­sen­gers anfal­len. Die bei Pri­vat­an­wen­dern ver­brei­te­te Whats­App-Ver­si­on hat sol­che spe­zi­fisch aus­ge­wie­se­nen Daten­ver­ar­bei­tungs­be­din­gun­gen nicht. Im Übri­gen müs­sen für jeden Mes­sen­ger-Dienst, den man im Geschäfts­all­tag nutzt, der­ar­ti­ge Data Pro­ces­sing Agree­ments vor­lie­gen. Feh­len sie, lässt sich der betref­fen­de Mes­sen­ger nicht geschäft­lich nut­zen. Daten­schutz­hin­wei­se recht­zei­tig übermitteln

OT: Wel­che wei­te­ren Vor­aus­set­zun­gen für eine DSGVO­kon­for­me Nut­zung gibt es?
Steh­mei­er: Unter­neh­men, die mit Kun­den oder Geschäfts­part­nern über Mes­sen­ger kom­mu­ni­zie­ren möch­ten, müs­sen Daten­schutz­hin­wei­se vor­hal­ten und den Nut­zern gegen­über recht­zei­tig kennt­lich machen.

OT: Was bedeu­tet rechtzeitig?
Steh­mei­er: Sobald ein Kun­de bzw. Geschäfts­part­ner für die Kom­mu­ni­ka­ti­on über Mes­sen­ger mit dem Unter­neh­men Kon­takt auf­neh­men will, womit ja eine Erhe­bung per­so­nen­be­zo­ge­ner Daten ver­bun­den ist. In dem Moment müs­sen Daten­schutz­hin­wei­se abruf­bar sein: Was mit den Daten gemacht wird, wel­che Rech­te der Betrof­fe­ne dahin­ge­hend hat und wie das jewei­li­ge Unter­neh­men erreich­bar ist. Dies alles dient dem Grund­satz, die Trans­pa­renz über die Daten­ver­ar­bei­tung für die Kun­den herzustellen.

Kon­tak­te trennen

OT: Muss die geschäft­li­che Nut­zung von Whats­App & Co. über ein extra Smart­phone erfol­gen, das nicht für ande­re Zwe­cke ein­ge­setzt wird?
Steh­mei­er: Das ist nicht unbe­dingt nötig. Aber es ist zu gewähr­leis­ten, dass zum Bei­spiel Whats­App nicht alle im Smart­phone gespei­cher­te Kon­takt­da­ten aus­liest, son­dern nur sol­che von ande­ren Whats­App-Nut­zern, deren Zustim­mung hier­zu inso­weit vor­liegt. Es dür­fen also kei­ne Daten von Per­so­nen aus­ge­le­sen wer­den, die dazu kein ein­deu­ti­ges Ein­ver­ständ­nis gege­ben haben bzw. von der Nut­zung ihrer Daten gar nichts wis­sen. Der Hin­ter­grund ist, dass man Whats­App für eine kom­for­ta­ble­re Kom­mu­ni­ka­ti­on den Zugriff auf die im Smart­phone gespei­cher­ten Kon­tak­te gewährt. Es geht also dar­um, dass mit einer Lösung  gear­bei­tet wird, mit der die für einen Zugriff „erlaub­ten“ Kon­tak­te sicher von den ande­ren, „nicht erlaub­ten“, iso­liert wer­den. Dafür wer­den auch spe­zi­el­le Appli­ka­tio­nen ange­bo­ten, eben­so als Desktopvariante.

Nut­zungs­form entscheidend

OT: Mit einem für Unter­neh­men kon­zi­pier­ten Mes­sen­ger­dienst ist man im Wesent­li­chen aus dem Schneider?
Steh­mei­er: Es kommt auf die kon­kre­te Nut­zungs­form an. So ist es ein Unter­schied, ob man den Dienst für Wer­bung nutzt oder sich nur intern im Unter­neh­men bzw. mit bereits bestehen­den Kon­tak­ten aus­tauscht. Wer­bung ist am hei­kels­ten. Wer­be­ak­tio­nen über elek­tro­ni­sche Kom­mu­ni­ka­ti­ons­ka­nä­le sind nur mit Ein­wil­li­gung des Adres­sa­ten zuläs­sig – wie im Übri­gen bei E‑Mail-Wer­bung. Der poten­zi­el­le Emp­fän­ger muss dem aus­drück­lich und vor allem aktiv zustim­men, ob im Rah­men einer Anmel­dung oder über einen ent­spre­chen­den Ver­trag. Um den Ansprü­chen der DSGVO zu genü­gen, darf die Zustim­mung nicht in einem
ande­ren Ver­trag ver­steckt sein: Der Adres­sat muss dem Emp­fang von Wer­bung ein­zeln zustim­men und das ent­spre­chen­de Feld darf nicht vor­an­ge­kreuzt sein. Laut Euro­päi­schem Gerichts­hof ist eine Opt-in-Lösung (akti­ves zustim­men, bei­spiels­wei­se durch Ankli­cken einer Check­box) ver­pflich­tend, Opt-out (Emp­fän­ger muss aktiv wider­spre­chen) ist unzu­läs­sig. Pro­ak­ti­ve Wer­bung ohne Ein­wil­li­gung ist also nicht erlaubt.

Gebot der Datensparsamkeit

OT: Wel­che Anfor­de­run­gen sind des Wei­te­ren zu erfüllen?
Steh­mei­er: Das genutz­te End­ge­rät muss den Anfor­de­run­gen der IT-Sicher­heit genü­gen – das betrifft gene­rell alle Gerä­te, über die sen­si­ble Daten flie­ßen, ob Kon­to­ver­bin­dun­gen, Kon­takt­da­ten wie Adres­sen oder Ähn­li­ches bzw. Geschäfts­ge­heim­nis­se. Unab­ding­bar sind ein Pass­wort­schutz, even­tu­ell mit Extra­pass­wort für die Mes­sen­ger-App, sowie immer aktu­ell gehal­te­ne Soft­ware­ver­sio­nen. Außer­dem muss die Sicher­heit vor Angrif­fen von außen gewähr­leis­tet sein, bei­spiels­wei­se durch ent­spre­chen­de Schutz­soft­ware. Über­dies soll­te man nur Mes­sen­ger nut­zen, die eine Ende-zu-Ende-Ver­schlüs­se­lung anbie­ten. Nicht zuletzt soll­ten die im Lauf der Kom­mu­ni­ka­ti­on ent­ste­hen­den Daten nicht für ewig auf dem genutz­ten End­ge­rät gespei­chert wer­den. Ist eine Spei­che­rung nötig, werden
sie auf einem ande­ren geschütz­ten Spei­cher­me­di­um abge­legt – damit sich im Fall eines Ver­lusts nicht so vie­le Daten bei­spiels­wei­se auf dem Smart­phone oder Tablet befin­den. Gene­rell gilt aber: Alle nicht mehr benö­tig­ten Daten löschen, eben­falls aus der genutz­ten Mes­sen­ger-App. Daten­spar­sam­keit ist obers­tes Gebot.

OT: Was ist bei der Über­mitt­lung von Gesund­heits­da­ten zu berück­sich­ti­gen – bei­spiel­wei­se, wenn ein Sani­täts­haus den Pati­en­ten im Anschluss an eine Ver­sor­gung per­sön­li­che Fra­gen beant­wor­ten oder Tipps bei indi­vi­du­el­len Beschwer­den geben will?
Steh­mei­er: Dies ist ein beson­ders sen­si­bler Bereich. Wer der­ar­ti­ge Plä­ne hegt, soll­te sich zuvor unbe­dingt bera­ten las­sen. Die ers­te Fra­ge, die sich stellt:  Inwie­weit dür­fen Gesund­heits­da­ten über­haupt mit­tels Whats­App oder ande­rer Mes­sen­ger ver­ar­bei­tet wer­den? Denn bei so schüt­zens­wer­ten Daten ist das nur sehr ein­ge­schränkt zuläs­sig. Hier muss jedes Unter­neh­men im Ein­zel­fall abwä­gen, even­tu­ell geson­der­te Ein­wil­li­gun­gen ein­ho­len. Nach­zu­prü­fen ist, ob der Mes­sen­ger­dienst die Ver­ar­bei­tung sol­cher Daten bzw. die Nut­zung durch bestimm­te Bran­chen über­haupt zulässt. Oder ob die Nut­zungs­be­din­gun­gen dies
zum Bei­spiel unter einem Punkt wie „beson­de­re Kate­go­rien von Daten“ von vorn­her­ein aus­schlie­ßen. Ins­ge­samt sind die Ansprü­che nicht zu unter­schät­zen. So befass­te sich ein White­pa­per der Daten­schutz­kon­fe­renz vom Novem­ber 2019 mit den tech­ni­schen Anfor­de­run­gen für Mes­sen­ger­diens­te im Kran­ken­haus­be­reich. Das Ergeb­nis ist ernüch­ternd. Die Ein­schät­zung kommt fak­tisch einer Unzu­läs­sig­keit gleich: Die Vor­aus­set­zun­gen dort sind so hoch, dass sie jeden­falls für ein Sani­täts­haus nur mit einem hohen Auf­wand zu erfül­len sind.

Tipp: White­pa­per der Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der vom 7. Novem­ber 2019: „Tech­ni­sche Daten­schutz­an­for­de­run­gen an Mes­sen­ger-Diens­te im Kran­ken­haus­be­reich“.

OT: Ist es dabei uner­heb­lich, ob die Kom­mu­ni­ka­ti­on zwi­schen Sani­täts­haus und Pati­en­ten oder inner­be­trieb­lich zwi­schen den Filia­len oder zwi­schen Werk­statt und Laden­ge­schäft erfolgt?
Steh­mei­er: Auch wenn die Gesund­heits­da­ten aus­schließ­lich inner­be­trieb­lich über­mit­telt wer­den – zum Bei­spiel Arzt­brie­fe, Befun­de, Infor­ma­tio­nen für indi­vi­du­el­le Anpas­sun­gen etc. – muss der Pati­ent bzw. Kun­de dar­über in Kennt­nis gesetzt wer­den und ein­wil­li­gen. Die Sicher­heits­vor­schrif­ten sind genau­so hoch.

OT: Immer belieb­ter wer­den Video­te­le­fo­na­te bzw. ‑bera­tun­gen über Mes­sen­ger oder Video­te­le­fo­nie-Apps. Wie schät­zen Sie hier die recht­li­che Lage ein?
Steh­mei­er: Zumin­dest wäh­rend des Video­chats wer­den Bild­da­ten zwi­schen­ge­spei­chert – und man weiß oft nicht, wie lan­ge sie gespei­chert blei­ben. Hier ist für den Ein­zel­fall zu prü­fen, ob die nöti­gen recht­li­chen Vor­aus­set­zun­gen für die Zuläs­sig­keit der Ver­ar­bei­tung vor­han­den sind. Dar­über hin­aus sind die IT-Sicher­heits­aspek­te zu beach­ten sowie die ent­spre­chen­den Anga­ben des Anbie­ters. Aus­nahms­los gilt: Sobald Gesund­heits­da­ten ver­ar­bei­tet wer­den, sind die Anfor­de­run­gen stren­ger. Ver­stö­ße kön­nen schnell pas­sie­ren. Mein Rat: Im Vor­feld juris­ti­sche Hil­fe holen und das Vor­ha­ben mit dem Daten­schutz­be­auf­trag­ten besprechen.

OT: Wel­che Anwen­dungs­sze­na­ri­en ber­gen aus Ihrer Sicht nur weni­ge Probleme?
Steh­mei­er: Vie­le Unter­neh­men set­zen zum Bei­spiel Whats-App als zusätz­li­chen Bestell­ka­nal ein bzw. nut­zen Bestell­bots. Wenn bei der Anmel­de­pro­ze­dur auf eine Ein­wil­li­gung zur Daten­ver­ar­bei­tung geach­tet wird und die Sicher­heits­an­for­de­run­gen wie bei jedem ande­ren Web­shop erfüllt wer­den, ist das im All­ge­mei­nen unpro­ble­ma­tisch. Die inner­be­trieb­li­che Kom­mu­ni­ka­ti­on ist mach­bar, solan­ge kei­ne sen­si­blen Daten Drit­ter über­mit­telt wer­den. Da lau­ern durch­aus Fallstricke.

OT: Was ist zu beach­ten, wenn das für Mes­sen­ger­kom­mu­ni­ka­ti­on genutz­te Smart­phone, Tablet oder der Com­pu­ter ver­lo­ren­ge­hen oder gestoh­len werden?
Steh­mei­er: Der Ver­lust eines End­ge­räts wird schnell zum mel­de­pflich­ti­gen Daten­schutz­vor­fall, über den die zustän­di­ge Auf­sichts­be­hör­de inner­halb von 72 Stun­den nach Bekannt­wer­den infor­miert wer­den muss. Dies ist zum Bei­spiel gege­ben, wenn ein Risi­ko für die Per­so­nen ent­steht, deren Daten man ver­lo­ren hat. Die­ses Risi­ko ist recht weit gefasst, bei einem Ver­säum­nis droht ein Buß­geld. Des­halb den Ver­lust eines End­ge­räts in jedem Fall mel­den – bes­ser ein­mal zu viel, als ein­mal zu wenig.

Das Inter­view führ­te Cath­rin Günzel.

Tei­len Sie die­sen Inhalt