Problem
Der Grund für die Nutzung dieser Kommunikationswege ist die sich aus dem Entgeltfortzahlungsgesetz ergebende Eilbedürftigkeit – der Nachweis der Arbeitsunfähigkeit hat demnach im Zweifel am vierten Kalendertag der Arbeitsunfähigkeit vorzuliegen, wenn dieser Tag im Unternehmen ein Arbeitstag ist. Der Arbeitgeber kann im Vertrag sogar eine frühere Vorlage verlangen. Eine postalische Übermittlung reicht daher häufig nicht aus, weshalb Arbeitnehmer oft alternative Wege wie Email oder WhatsApp nutzen, um ihre AUB rechtzeitig zu übersenden. Durch die elektronische Vorabübersendung wird die Frist gewahrt.
Die angesprochenen Kommunikationswege beinhalten zugleich jedoch erhebliche Sicherheitslücken. Es stellt sich daher die Frage, ob und inwieweit das Unternehmen verpflichtet ist, gegen den Versand vorzugehen.
Gesundheitsdaten betroffen
Informationen über Krankheiten fallen in die sogenannten besonderen Kategorien personenbezogener Daten. Dies gilt für Informationen in AUB, auch wenn hier keine Details zur Erkrankung enthalten sein dürften. An die Verarbeitung von Daten der besonderen Kategorien stellt die DSGVO hohe Anforderungen, u.a. einen höheren Schutz der Daten – für die betroffene Person besteht bei Verarbeitung dieser Daten ein gesteigertes Risiko. Der höhere Schutz setzt u.a. auch eine dem Stand der Technik entsprechende Verschlüsselung voraus. Diese Ansicht wurde auch vor Wirksamwerden der DSGVO bereits vom Sächsischen Datenschutzbeauftragten vertreten (vgl. 8. Tätigkeitsbericht 2015-2017, Ziffer 8.4.7). Die Transportverschlüsselung TLS bei Emails bietet einen gewissen Schutz, beinhaltet aber keine Ende-zu-Ende-Verschlüsselung.
Der Versand über WhatsApp
Der von WhatsApp viel propagierte Verschlüsselung kommt derzeit insoweit ein nur geringer Wert zu. Qualität und Implementierung der Verschlüsselung sind mangels Offenlegung des Quelltextes der derzeit eingesetzten Verschlüsselung schlichtweg nicht überprüfbar. Selbst wenn die Verschlüsselung sicher sein sollte, umfasst diese nicht die Verkehrsdaten.
Darüber hinaus geht mit der Nutzung von WhatsApp eine Datenübermittlung an eine US-amerikanische Facebook-Tochter einher. Nach wie vor steht zudem im Raum, dass WhatsApp Daten direkt an Facebook geben will. Dies wurde zuletzt vom OVG Hamburg als rechtswidrig eingestuft (Beschluss vom 26.02.2018 – 5 Bs 93/17). Die Entscheidung wird von WhatsApp mit Wirksamwerden der DSGVO aber als hinfällig betrachtet , da hiermit die Zuständigkeit auf die irische Aufsichtsbehörde übergegangen sei. Ob diese Ansicht letztlich hält, bleibt abzuwarten. Mit der Entscheidung des EUGH zu Facebook (Urteil vom 05.06.2018 – C-210/16) aus Juni dieses Jahres ist aber klar, dass sich WhatsApp-Nutzer etwaige Datenschutzverstöße von WhatsApp werden zurechnen lassen müssen. Folge ist, dass damit für deutsche Unternehmen auch die deutschen Aufsichtsbehörden wieder zuständig sind.
Letztlich ist die geschäftliche Nutzung von WhatsApp nicht mit den AGB von WhatsApp vereinbar – sie untersagen ausdrücklich die „nicht-private Nutzung“.
Bewertung …
Fazit
Es besteht für Unternehmen keine zwingende Notwendigkeit, gegen ungefragt per WhatsApp/unverschlüsselte Email übersandte AUB vorzugehen. Auf diesen Wegen übersandte AUB dürfen nicht ohne Weiteres zurückgewiesen werden. Gleichwohl sollten Sie nicht untätig bleiben: stellen Sie sicher, dass entsprechend übermittelte AUB nicht auf gleichen Wegen weitergeleitet werden und zeigen Sie im Interesse aller sichere Alternativwege auf.
Autor: Yvonne Quad
Sie sind unsicher, welches der richtige Weg für Ihr Unternehmen ist oder wollen einen datenschutzkonformen Prozess etablieren? Wir unterstützen Sie gern hierbei.