Aus Compliance- und Datenschutzsicht ist die Nutzung des Messengers WhatsApp für dienstliche Zwecke zu risikoreich. Es besteht die Gefahr, dass alle Einträge aus dem internen Adressbuch auf die Server des Unternehmens aus den USA transferiert werden.

Mit der Nutzung sind erhebliche Risiken im Hinblick auf den Zugriff durch Unbefugte, insbesondere durch Facebook, verbunden. Facebook kann auf die Verkehrsdaten (wer kommuniziert wann mit wem?) und auf die Bestandsdaten (wer nutzt den Dienst?) der über WhatsApp versendeten Nachrichten zugreifen.

Ferner kann das Adressbuch des Nutzers ausgelesen und mit den bei WhatsApp gespeicherten Daten abgeglichen werden. Das Auslesen und Abgleichen geschieht dabei ohne Einwilligung oder Kenntnis der Nutzer, auf die sich die Daten beziehen.

Auch ist es bei der Nutzung von WhatsApp dem Arbeitgeber nicht möglich, die für eine Verarbeitung von personenbezogenen erforderlichen technisch-organisatorischen Mittel für einen effektiven Schutz der Beschäftigtendaten vorzuhalten, da der Arbeitgeber keinen Einfluss auf die Datenverarbeitungsvorgänge bei WhatsApp oder Facebook hat. Demnach verstoßen Arbeitgeber, die dennoch WhatsApp zur Übermittlung von Beschäftigtendaten verwenden, gegen die Grundsätze der Sicherheit der Datenverarbeitung gemäß Artikel 32 und Artikel 5 Abs. 1 lit. f DSGVO.

Aus diesen Gründen weisen wir darauf hin, dass die dienstliche Kommunikation mit Versicherten, anderen Behörden, Organisationen und Firmen sowie von Mitarbeiterinnen und Mitarbeitern des Medizinischen Dienstes Nordrhein untereinander über WhatsApp wegen des potenziellen Datenaustauschs nicht zulässig ist.

Mit unserer Einschätzung entsprechen wir auch den Empfehlungen des Bundesdatenschutzbeauftragten sowie verschiederner Landesdatenschutzbeauftragter in Deutschland, darunter insbesondere die Empfehlung der LDI NRW.