Achtung Taxiunternehmen: So darf personenbezogene Datenverarbeitung nicht aussehen

Datenschutz Datenschutz Grundwissen Datenschutz national Datenschutz Aufsichtsbehörden Digitale Achtsamkeit

Samstag, 20. Dezember 2025

Ein Taxiunternehmen in Nordrhein-Westfalen ließ alle Fahrerinnen und Fahrer über zwei WhatsApp-Gruppen Daten austauschen: Fotos von Kundinnen und Kunden, Schwerbehindertenausweise, Überweisungsbelege, Kliniknamen, Termine und mehr. Das war nicht nur unprofessionell – es war ein schwerwiegender Verstoß gegen Datenschutzrecht.

Was ist geschehen?

Das Unternehmen betrieb zwei Gruppen-Chats mit allen Fahrerinnen und Fahrern („Taxi Newsletter" und „Taxi Check Up Krankenbeförder…").
In diesen WhatsApp-Gruppen wurden sensible Daten geteilt – darunter Gesundheitsinformationen, Ausweise und personenbezogene Fotos.
Es bestand keine Einwilligung der betroffenen Personen.
Daten waren für die Vorgänge nicht notwendig und wurden weit verteilt – auch an Personen, denen keine Notwendigkeit bestand.
Eine ausgeschlossene Person konnte weiterhin auf Medien der Gruppe zugreifen, weil diese in ihrer Handygalerie gespeichert waren.

Warum ist das problematisch?

Daten wie Gesundheitsinformationen oder Ausweisfotos gelten als besondere Kategorie personenbezogener Daten und genießen höchsten Schutz.
Keine Einwilligung bedeutet, dass keine rechtliche Grundlage für die Verarbeitung bestand.
Datenweitergabe an viele Fahrerinnen und Fahrer war nicht erforderlich zur Vertragserfüllung (Taxifahrt oder Krankentransport).
Fehlende Transparenz: Betroffene wurden nicht eindeutig darüber informiert, wie die Daten verarbeitet werden und wer darauf Zugriff hat.
Die Speicherung und Weitergabe über WhatsApp birgt zusätzliche Risiken – z. B. Zugriff durch Unbefugte.

Welche rechtlichen Folgen können entstehen?

Die Datenschutzaufsichtsbehörde untersuchte den Fall und untersagte die weitere Verwendung der WhatsApp-Gruppen für solche Zwecke.
Es droht eine Geldbuße wegen schwerwiegender Verstöße gegen Datenschutzvorgaben.
Für das Unternehmen bedeutet das: Neben dem finanziellen Risiko steht der Reputationsverlust und der Mehraufwand zur Nachbesserung.

Was können Taxiunternehmen und andere Dienstleister tun?

1. Datenminimierung

Nur jene Daten erheben und weitergeben, die unbedingt benötigt werden. Liegt z. B. eine Krankentransportfahrt vor, dann nur die Informationen, die für diesen Transport relevant sind – nicht mehr, nicht weniger.

2. Klare Zugriffsbeschränkung

Zugang zu sensiblen Daten nur für Personen, die es wirklich brauchen. Daten-Chats mit allen Fahrerinnen und Fahrern sind in der Regel nicht angemessen.

3. Transparenz & Einwilligung

Kundinnen und Kunden müssen informiert werden, wer welche Daten verarbeitet, wofür und wie lange. Bei sensiblen Daten ist meist eine Einwilligung erforderlich.

4. Sichere Technik

Daten sollten auf datenschutzkonformen Systemen verarbeitet werden, nicht über private Messenger ohne Kontrolle.
Zugriffe müssen nachvollziehbar sein und es muss sichergestellt sein, dass ausgeschiedene Personen keinen Zugriff mehr haben.

5. Organisatorische Maßnahmen

Richtlinien für den Umgang mit Daten, Schulungen für Mitarbeitende sowie regelmäßige Überprüfung der Prozesse helfen, Fehler zu vermeiden.

Der Fall zeigt deutlich: Wer personenbezogene Daten – insbesondere besonders schützenswerte Daten – unverantwortlich weitergibt, setzt sich großen Risiken aus. Für Taxiunternehmen gilt: Nicht nur Fahrdienst organisieren, sondern auch Datenschutz ernstnehmen. Ein datenschutzfreundlicher Umgang mit Informationen schützt die Kundinnen und Kunden, das Unternehmen – und bewahrt Vertrauen.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz

Quelle: LDI