Die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LDI NRW) informiert auf ihrer Website über einen Fall der unberechtigten Versendung personenbezogener Daten in WhatsApp-Gruppen.

Was war geschehen?

Ein Taxiunternehmen in Nordrhein-Westfalen hat über zwei WhatsApp-Gruppen („Taxi Newsletter“ und „Taxi Check Up Krankenbeförder…“) Daten von Kund*innen mit allen seinen Fahrer*innen geteilt – darunter Fotos der Personen sowie von Personal- und Schwerbehindertenausweisen, Namen, Adressen, Rezepte, Klinikdaten und Überweisungen. Auf diese Weise sollten u. a. die Organisation der Kranktransportfahrten vereinfacht und die Abrechnungen leichter erstellt werden können. In einer der beiden Gruppen wurde zudem das Bild einer Person geteilt, die aufgrund angeblicher Zahlungsunfähigkeit nicht mehr gefahren werden sollte. Das Unternehmen hatte dieses Foto den sozialen Medien entnommen.

Die hochsensiblen Daten wurden ohne Einwilligung der Betroffenen in den Gruppen weitergegeben. Des Weiteren kam es vor, dass eine aus der Gruppe ausgeschlossene Person auch später noch auf die dort geteilten Fotos und Medien zugreifen konnte. So landeten die über WhatsApp empfangenen Bilder direkt in der Handygalerie der Person.

Was sagt die LDI NRW?

Die LDI NRW wurde aktiv und stoppte diese Praxis. Die von dem Taxiunternehmen angeführten Zwecke rechtfertigen nicht die vorgenommene Datenverarbeitung.

Die folgenden Punkte bewertet die Aufsichtsbehörde als problematisch:

  • Die Weitergabe der Daten war nicht erforderlich zur Durchführung von Fahrten.
  • Besonders Gesundheitsdaten unterliegen einem strengen Schutz nach der DSGVO und dürfen nur mit ausdrücklicher Einwilligung verarbeitet werden.
  • Es fehlten Transparenz und Kontrolle über die Datenverarbeitung.
  • Durch WhatsApp bestand ein unkontrollierbarer Datenzugriff, z. B. durch ehemalige Gruppenmitglieder (wie oben beschrieben).

Die Landesbeauftragte prüft nun ein Bußgeld gegen das Unternehmen. Mit der Information über diesen Vorfall möchte die LDI NRW, Bettina Gayk, auch „andere Taxiunternehmen vor einer solchen rechtswidrigen Praxis warnen“.

Unsere Empfehlung

Unternehmen sollten klare Richtlinien zur Nutzung von Messenger-Diensten erlassen. Die Weiterleitung personenbezogener Daten innerhalb oder außerhalb einer Organisation muss sich stets an den Grundsätzen der Datenminimierung und Zweckbindung gemäß Art. 5 Abs. 1 DSGVO orientieren. Daten dürfen nur an Empfänger weitergegeben werden, die sie zur Erfüllung ihrer Aufgaben benötigen. Wenn Geräte sowohl privat als auch dienstlich genutzt werden, empfiehlt sich der Einsatz von Container-Apps, um dienstliche Daten vom Zugriff durch WhatsApp zu isolieren.

| | | , , , , , , , , , , , , ,