Personalakte wird in der WhatsApp-Gruppe geteilt
Warum das Teilen von Personalakten über WhatsApp-Gruppen ein schwerwiegender Datenschutzverstoß ist und welche Konsequenzen drohen.
Das Szenario
Bei einem mittelständischen Maschinenbauunternehmen in Stuttgart mit rund 280 Mitarbeitern steht eine wichtige Personalentscheidung an. Thomas Bergmann, seit drei Jahren Teamleiter in der Fertigung, soll zum Abteilungsleiter befördert werden. Die Personalleiterin Claudia Meier möchte die Entscheidung mit den anderen Teamleitern abstimmen und bereitet die Unterlagen vor.
Am Dienstagabend um 19:47 Uhr — längst nach Feierabend und außerhalb des Firmennetzes — öffnet Claudia auf ihrem privaten Smartphone die WhatsApp-Gruppe "TL-Runde Fertigung". In dieser Gruppe befinden sich acht Teamleiter, der Produktionsleiter und Claudia selbst. Sie tippt: "Hier die Akte von Thomas für unsere Besprechung am Donnerstag. Bitte vertraulich behandeln!" und hängt ein 14-seitiges PDF an.
Das Dokument enthält Thomas Bergmanns vollständige Personalakte: Arbeitsvertrag mit Gehaltsinformationen (68.400 Euro Jahresbrutto plus Bonusvereinbarung), zwei ärztliche Bescheinigungen über längere Krankheitszeiten, eine Abmahnung aus dem Jahr 2023 wegen wiederholter Verspätungen, Leistungsbeurteilungen der letzten drei Jahre, interne Notizen über ein Konfliktgespräch mit einem Kollegen sowie seine private Adresse und Bankverbindung.
Innerhalb von Minuten lesen mehrere Gruppenmitglieder die Nachricht. Der Teamleiter Marco Schulz, der sich selbst Hoffnungen auf die Beförderung gemacht hatte, macht Screenshots der Gehaltsangaben und der Abmahnung. Am nächsten Morgen zeigt er diese Screenshots zwei Kollegen in der Kantine — "Schau mal, was der Bergmann verdient, und der hat sogar eine Abmahnung!" Die Information verbreitet sich wie ein Lauffeuer. Bis Mittag wissen mindestens 15 weitere Mitarbeiter von Thomas' Gehalt, seiner Abmahnung und seinen Krankheitszeiten.
Thomas Bergmann erfährt am Donnerstagmorgen von einem befreundeten Kollegen, dass seine komplette Personalakte in einer WhatsApp-Gruppe kursiert. Er ist fassungslos. Die ärztlichen Bescheinigungen betreffen eine behandelte Depression — eine Information, die er bewusst nur der Personalabteilung mitgeteilt hatte. Thomas fühlt sich bloßgestellt und verletzt. Er kontaktiert noch am selben Tag einen Anwalt für Arbeitsrecht.
Die Risiken
Die Weiterleitung einer Personalakte über WhatsApp erzeugt eine Kaskade von Risiken, die weit über den ursprünglichen Versand hinausgehen.
Unkontrollierte Verbreitung: Sobald ein Dokument in einer WhatsApp-Gruppe landet, verliert der Absender jede Kontrolle. Die Datei wird automatisch auf den Geräten aller Gruppenmitglieder gespeichert — auf privaten Smartphones, die möglicherweise kein Passwort haben, nicht verschlüsselt sind oder von Familienmitgliedern mitbenutzt werden. Ein Löschen der Nachricht entfernt die bereits heruntergeladene Datei nicht von den Endgeräten.
Screenshots und Weitergabe: WhatsApp bietet keinerlei Schutz gegen Screenshots. Jedes Gruppenmitglied kann jederzeit Bildschirmfotos anfertigen und diese beliebig weiterleiten — per E-Mail, in anderen Chats oder sogar in sozialen Netzwerken. Es gibt keine Möglichkeit, dies nachzuvollziehen oder zu unterbinden.
Gesundheitsdaten als besondere Kategorie: Die ärztlichen Bescheinigungen in Thomas' Akte enthalten Gesundheitsdaten, die nach der DSGVO als besondere Kategorie personenbezogener Daten unter verschärftem Schutz stehen. Die Offenlegung einer psychischen Erkrankung kann zu Stigmatisierung, Mobbing und erheblichen persönlichen Belastungen führen.
Arbeitsplatzkonflikt und Vertrauensverlust: Die Kenntnis von Gehaltsunterschieden, Abmahnungen und vertraulichen Personalentscheidungen vergiftet das Betriebsklima nachhaltig. Betroffene Mitarbeiter verlieren das Vertrauen in die Personalabteilung und die Unternehmensführung. Im vorliegenden Fall hat Thomas Bergmann nicht nur ein berechtigtes Interesse an Schadensersatz — er wird das Unternehmen mit hoher Wahrscheinlichkeit verlassen.
Keine Nachvollziehbarkeit: Wer die Akte wann gelesen, weitergeleitet oder gespeichert hat, lässt sich im Nachhinein nicht rekonstruieren. Das Unternehmen kann seinen Meldepflichten gegenüber der Aufsichtsbehörde nur unvollständig nachkommen, was den Verstoß zusätzlich verschärft.
Rechtliche Konsequenzen
Das Teilen einer Personalakte über WhatsApp berührt mehrere Rechtsvorschriften gleichzeitig und kann für das Unternehmen existenzbedrohend werden.
Art. 9 DSGVO — Verarbeitung besonderer Kategorien: Gesundheitsdaten gehören zu den besonders geschützten Datenkategorien. Ihre Verarbeitung ist grundsätzlich verboten und nur in eng definierten Ausnahmefällen zulässig. Das Teilen ärztlicher Bescheinigungen in einer WhatsApp-Gruppe mit zehn Personen fällt unter keine dieser Ausnahmen. Die Aufsichtsbehörde behandelt Verstöße gegen Art. 9 als besonders schwerwiegend.
Art. 6 und Art. 32 DSGVO — Rechtmäßigkeit und Sicherheit: Für die Weitergabe der Personalakte fehlt jede Rechtsgrundlage nach Art. 6 DSGVO. Zudem verletzt die Nutzung von WhatsApp für vertrauliche Personaldaten die Pflicht zu angemessenen technischen und organisatorischen Maßnahmen gemäß Art. 32. Ein privates Smartphone mit WhatsApp erfüllt keine der Anforderungen an eine sichere Datenverarbeitung.
§ 26 BDSG — Beschäftigtendatenschutz: Das Bundesdatenschutzgesetz regelt die Verarbeitung von Beschäftigtendaten restriktiv. Personaldaten dürfen nur verarbeitet werden, soweit dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Die Weitergabe an acht Teamleiter zur informellen Abstimmung über eine Beförderung geht weit über das Erforderliche hinaus.
Arbeitsrechtliche Konsequenzen: Die Personalleiterin Claudia Meier muss mit einer Abmahnung oder sogar einer fristlosen Kündigung rechnen. Die Verletzung der Vertraulichkeitspflicht im Umgang mit Personalakten ist ein schwerwiegender Verstoß gegen arbeitsvertragliche Pflichten. Das Unternehmen ist zudem verpflichtet, den Vorfall dem Betriebsrat zu melden, sofern vorhanden.
Betriebsrat und Mitbestimmung: Existiert ein Betriebsrat, hat dieser ein Auskunftsrecht über den Vorfall. Der Betriebsrat kann organisatorische Maßnahmen einfordern, etwa die Einführung verbindlicher Richtlinien für den Umgang mit Personaldaten oder die Bereitstellung sicherer digitaler Werkzeuge. Ein solcher Vorfall stärkt die Verhandlungsposition des Betriebsrats erheblich.
Finanzielle Auswirkungen
Die Kosten eines solchen Datenschutzverstoßes summieren sich aus verschiedenen Positionen und können für ein mittelständisches Unternehmen erheblich sein.
| Kostenposition | Geschätzter Betrag |
|---|---|
| Bußgeld der Aufsichtsbehörde (Art. 83 DSGVO) | 15.000 - 50.000 € |
| Schmerzensgeld für den Betroffenen (Art. 82 DSGVO) | 5.000 - 15.000 € |
| Anwaltskosten (Unternehmen und Betroffener) | 4.000 - 12.000 € |
| Abfindung bei Kündigung der Personalleiterin | 3.000 - 18.000 € |
| Rekrutierungskosten (Nachbesetzung Personalleiterin + ggf. Thomas Bergmann) | 5.000 - 20.000 € |
| Einführung sicherer Systeme und Schulungen | 2.000 - 8.000 € |
| Produktivitätsverlust und Betriebsklima | 1.000 - 7.000 € |
| Gesamtkosten | 35.000 - 130.000 € |
Nicht in dieser Tabelle enthalten sind die langfristigen Reputationsschäden. Wenn bekannt wird, dass ein Unternehmen Personalakten per WhatsApp verschickt, sinkt die Arbeitgeberattraktivität messbar. Qualifizierte Bewerber scheuen Unternehmen mit bekannten Datenschutzproblemen.
Die sichere Alternative
Personalentscheidungen erfordern den vertraulichen Austausch sensibler Unterlagen — aber auf sicherem Weg. SendMeSafe bietet Unternehmen die Werkzeuge, um Personaldaten zu teilen, ohne die Kontrolle zu verlieren.
Sichere Share-Links statt WhatsApp: Mit Share-Links erstellen Sie passwortgeschützte Links zu vertraulichen Dokumenten. Legen Sie fest, wie oft ein Dokument heruntergeladen werden darf und bis wann der Link gültig ist. Nach Ablauf ist der Zugriff automatisch gesperrt — keine Dateien auf privaten Smartphones, keine unkontrollierte Weiterleitung.
Vertrauliche Kommunikation mit Connect: Über Connect können Sie mit internen und externen Beteiligten sicher kommunizieren. Anstatt Personalakten in Messenger-Gruppen zu teilen, laden Sie die relevanten Personen in einen geschützten Kanal ein. Jede Aktivität wird protokolliert — Sie wissen jederzeit, wer wann auf welche Dokumente zugegriffen hat.
Audit-Trail für Compliance: Jeder Zugriff, jeder Download und jede Interaktion wird in einem lückenlosen Audit-Trail dokumentiert. Bei einer Prüfung durch die Aufsichtsbehörde können Sie jederzeit nachweisen, wer Zugang zu welchen Daten hatte und dass angemessene Schutzmaßnahmen getroffen wurden.
Automatischer Ablauf und Zugriffskontrolle: Personalakten sollen nicht dauerhaft in Chatverläufen schlummern. Mit SendMeSafe legen Sie ein Ablaufdatum fest, nach dem der Zugriff automatisch erlischt. Download-Limits verhindern, dass Dokumente massenhaft heruntergeladen und weitergegeben werden.
Häufig gestellte Fragen
Darf ich Personalakten per WhatsApp an Führungskräfte schicken, wenn ich um Vertraulichkeit bitte?
Nein. Eine mündliche oder schriftliche Bitte um Vertraulichkeit ist keine technische Schutzmaßnahme im Sinne der DSGVO. Art. 32 verlangt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. WhatsApp speichert Dateien automatisch auf den Endgeräten aller Empfänger und bietet keinen Schutz gegen Screenshots oder Weiterleitung. Auch die Ende-zu-Ende-Verschlüsselung von WhatsApp ändert daran nichts, da die Daten auf den Geräten unverschlüsselt vorliegen. Die Nutzung eines Messengers ohne Zugriffskontrollen und Audit-Funktionen verstößt gegen die Grundsätze der Datensparsamkeit und Zweckbindung.
Welche Teile einer Personalakte sind besonders schützenswert?
Grundsätzlich sind alle Bestandteile einer Personalakte vertraulich. Besonders strengen Schutz genießen jedoch Gesundheitsdaten (ärztliche Bescheinigungen, Atteste, Informationen über Behinderungen), die nach Art. 9 DSGVO als besondere Kategorie personenbezogener Daten gelten. Auch Gehaltsinformationen, Beurteilungen, Abmahnungen und disziplinarische Maßnahmen sind hochsensibel. Bankverbindungen und Steueridentifikationsnummern fallen zudem unter die besonderen Schutzpflichten für Finanzdaten. Das Teilen auch nur eines einzelnen dieser Bestandteile über unsichere Kanäle stellt einen meldepflichtigen Datenschutzverstoß dar.
Kann der betroffene Mitarbeiter Schmerzensgeld fordern?
Ja. Art. 82 DSGVO gewährt jeder Person, der durch einen Datenschutzverstoß ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen. Deutsche Gerichte haben bei Datenschutzverstößen im Beschäftigungsverhältnis bereits Schmerzensgeld in Höhe von 1.000 bis 15.000 Euro zugesprochen. Bei der Offenlegung von Gesundheitsdaten — insbesondere psychischer Erkrankungen — tendieren Gerichte zum oberen Ende der Bandbreite, da der immaterielle Schaden durch Stigmatisierung und Bloßstellung besonders schwer wiegt.
Wie können wir Personalunterlagen sicher mit mehreren Führungskräften teilen?
Nutzen Sie eine Plattform mit granularen Zugriffskontrollen, Ablaufdaten und Audit-Funktionen. Mit SendMeSafe erstellen Sie für jedes Dokument einen passwortgeschützten Share-Link, der nur für einen definierten Zeitraum und eine begrenzte Anzahl von Downloads gültig ist. Alternativ können Sie über Connect einen geschützten Kommunikationskanal einrichten, in dem alle Beteiligten Dokumente einsehen können, ohne dass Dateien auf privaten Geräten gespeichert werden. Jeder Zugriff wird protokolliert, sodass Sie jederzeit nachweisen können, wer wann welche Unterlagen eingesehen hat. So erfüllen Sie die Anforderungen der DSGVO und schützen gleichzeitig die Privatsphäre Ihrer Mitarbeiter.
Häufig gestellte Fragen
Schützen Sie Ihr Unternehmen
Vermeiden Sie Datenschutzvorfälle mit sicheren Upload- und Share-Links.
Jetzt kostenlos testen