WhatsApp Richtlinie für Mitarbeiter/innen der CAU Fitness-Box
Die Crosspandables-Athletic Unity Fitness-Box vertreten durch den Geschäftsführer Karsten Hempel (nachfolgend CAU-Fitness-Box genannt) untersagt die private Kommunikation von WhatsApp mit Kunden der CAU-Fitness-Box in jeglicher Form.
Der Einsatz von WhatsApp im betrieblichen Umfeld ist grundsätzlich nicht DSGVO-Konform zu gewährleisten.
WhatsApp ist ein Unternehmen der Facebook-Gruppe und hat seinen Stammsitz in den USA.
Aufgrund des Geschäftsmodells von Facebook ist davon auszugehen, dass jegliche Kommunikation über dessen Kanäle zu werblichen Zwecken und zur Profilbildung genutzt wird.
Somit ist es vereinfacht gesagt nicht möglich, außer den zwei (oder bei Gruppen mehreren) Geräten, auf irgendwelchen bei der Übertragung beteiligten Servern, Netzwerken und Diensten mitzulesen, da nur den Endgeräten die verwendete Verschlüsselung bekannt ist. Aufgrund der rechtlichen Situation (US CLOUD Act) in den USA, die es Behörden u.a. bei bspw. Straftaten allerdings ermöglichen soll, Zugriff auf die Kommunikation zu erlangen, ist davon auszugehen, dass WhatsApp (Facebook) eine Art Generalschlüssel besitzt. Richterlich vor Zugriff geschützt wären nur US-Bürger, nicht jedoch US-„ausländische“ Nutzer.
WhatsApp (Facebook) ist zwar Mitglied im sog. „Privacy-Shield-Abkommen“ (https://dede.facebook.com/about/privacyshield) , eine Art Selbstverpflichtung für Unternehmen zwischen EU und dem US-Handelsministerium zum Einhalt eines Datenschutzstandards nach Art. 45 Abs. 1 DSGVO. Somit wäre formal eine datenschutzrechtliche Vereinbarung im Raum der Gültigkeit der EU-DSGVO möglich, ist jedoch eher als fragil anzusehen, da der US CLOUD Act auf Grund einer möglichen Datenübertragung an US-Behörden nicht vereinbar mit der EU-DSGVO ist.
Und das eigentliche Problem der Datenschutzverletzung ist damit in keinem Fall gelöst: der automatisierte Zugriff auf das Kontakte-Verzeichnis des Nutzers. In der Theorie wird die Ansicht vertreten, dass dies nur zulässig wäre, wenn von allen im Kontaktebuch vorhandenen Personen eine Einwilligung nach Art. 7 DSGVO vorliegt. Das wird in der Praxis weder der Fall noch überhaupt möglich sein.
Was bedeutet das im Klartext?
– Keine Synchronisierung des privaten Kontaktebuches mit Kunden Telefonnummern aus dem Softwaresystem (Athletics).
Was ist, wenn mir das Mitglied aber seine Telefonnummer gibt?
– Rechtlich gesehen braucht ihr dafür nach Art. 7 DSGVOdie schriftliche Einwilligung, denn alle Mitgliedern sind Kunden der CAU-Fitnessbox und keine privaten Kontakte.
Ich empfehle aus 12-jähriger Erfahrung: Finger weg von WhatsApp.
Die CAU-Fitnessbox verweist auf die Einhaltung geltender Rechtsvorschriften und Regelungen, die im Interesse des Unternehmens, aber auch im Eigeninteresse der Mitarbeitenden liegen.
Social Media Guidelines – Strategien und Checklisten
Die CAU-Fitnessbox verweist auf die Einhaltung geltender Rechtsvorschriften und Regelungen, die im Interesse des Unternehmens, aber auch im Eigeninteresse der Mitarbeitenden liegen.