Coronakrise: Datenschutz bei Homeoffice und Videokonferenzen

Checkliste

Die folgenden Prüfungsmaßnahmen müssen Sie vor dem Einsatz einer Videokonferenzsoftware beachten:

  • Sorgfältige Auswahl des Dienstleisters,
  • Prüfung der datenschutzfreundlichen Voreinstellungen,
  • Berücksichtigung des Videokonferenz-Tools in den Datenschutzhinweisen für Mitarbeiter,
  • Beteiligung des Betriebsrates und des Datenschutzbeauftragten,
  • Abschluss eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.

Vorsicht bei der Produktauswahl

Unternehmen sind durch die Grundsätze Privacy by Design und Privacy by Default (Art. 25 DSGVO) zum Einsatz einer datenschutzfreundlichen Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen verpflichtet. Daher ist auf Folgendes zu achten:

  • Verschlüsselung: Die Übertragung des generierten Videomaterials an den Empfänger sollte verschlüsselt erfolgen – und zwar nicht nur transportverschlüsselt, sondern end-to-end.
  • Business-Version: Zu klären ist, ob das Produkt für eine Nutzung im geschäftlichen Umfeld vorgesehen ist. Dies hat nicht nur einen lizenzrechtlichen Hintergrund. Auch können Datenschutzeinstellungen von Produkten, die nur im privaten Umfeld genutzt werden dürfen, von Produkten, die zumindest auch im geschäftlichen Umfeld verwendet werden dürfen, abweichen.
  • Freigaben: Bildübertragungen und -aufzeichnungen sollten eine ausdrückliche Zustimmung erfordern und grundsätzlich nach Gesprächsende gelöscht werden.
  • Datenweitergabe: Eine Übermittlung der Daten durch den Anbieter an Social-Media-Plattformen wie Facebook sollte ausgeschlossen sein.
  • Profiling: Eine Funktion, die die Erstellung von Verhaltensprofilen ermöglicht, sollte ausgeschaltet werden (können).

Auch technischer Sicht muss der Arbeitgeber Vieles sicherstellen:

  • Die Teilnahme an der Konferenz darf ausschließlich über ein Log-in oder auf Einladung des Organisators erfolgen. Das ist durchaus nicht selbstverständlich, wie eine Videokonferenz des bayerischen Innenministeriums mit Bayerns Innenminister Joachim Herrmann zum Coronavirus zeigt, an der jeder beliebige Internetnutzer teilnehmen konnte, oder das sog. Zoom-Bombing, vor dem sogar Elon Musk Angst hat und vor dem das FBI warnt.
  • Logfiles sollten nur im erforderlichen Maß erstellt werden, beispielsweise für die Fehlerbehebung. Für andere Zwecke dürfte die Speicherung der Daten nicht erforderlich sein, zudem muss die datenschutzkonforme Löschung gesichert sein.
  • Chatverläufe dürfen nur für den benötigten Zeitraum zur Verfügung stehen und müssen anschließend automatisch gelöscht werden.
  • Über die Software ausgetauschte Dokumente dürfen nur für einen solchen Zeitraum gespeichert werden, der es den Teilnehmern ermöglicht, die Unterlagen selbst abzulegen.
  • Eine Aufnahme der Videokonferenz oder auch nur des Gesprächs darf grundsätzlich ausschließlich mit Einwilligung der Teilnehmer möglich sein.

Beim Desktop Sharing dürfen Mitarbeiter nur solche Dokumente teilen, die für das Thema der Videokonferenz unbedingt erforderlich sind. Auf keinen Fall sollten Benachrichtigungen über neue E-Mails mit einem kleinen Pop-up auf dem geteilten Bildschirm erscheinen. Wird dies nicht beachtet, könnte eine von allen Teilnehmern einsehbare E-Mail eines Teilnehmers nicht nur peinlich sein, sondern sogar eine meldepflichtige Datenpanne im Sinne des Art. 33 DSGVO darstellen.

Des weiteren sind gemäß Art. 13 DSGVO erforderlichen Datenschutzhinweise des Unternehmens für die Mitarbeiter um die Datenverarbeitung mittels Videokonferenz zu ergänzen.

Dem Betriebsrat steht ein Mitbestimmungsrecht bei der Einführung technischer Systeme zu, die zur Überwachung des Verhaltens und der Leistung der Mitarbeiter zumindest theoretisch geeignet sind. Dies dürfte bei Webkonferenz-Tools grundsätzlich der Fall sein, da hier Log-in-Daten erfasst und die Teilnahme und Anwesenheit der Mitarbeiter überprüft werden können.

Mit dem Anbieter der Software ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen. Besonderheiten gelten für Anbieter in den USA. Denn da in den USA aus Sicht der EU kein Datenschutzstandard besteht, der den Anforderungen der DSGVO gerecht wird, muss zumindest das Datenschutzniveau in dem betreffenden Unternehmen den Anforderungen der DSGVO entsprechen. Konkret bedeutet dies für Produkte aus den USA:

  • Die Anbieter sollten sich dem EU-US Privacy Shield unterworfen haben. (Dieses wird zwar von Datenschützern ebenfalls kritisiert, ist derzeit aber noch wirksam.)
  • Alternativ kann ein angemessenes Datenschutzniveau über den Abschluss eines separaten Vertrages zwischen dem Arbeitgeber und dem Anbieter (sog. EU-Standardvertragsklauseln) sichergestellt werden.

Fazit

Homeoffice und Videokonferenzen sind derzeit den dramatischen Umständen geschuldet. In normalen Zeiten kann beides eine populäre Möglichkeit zur Vereinbarung von Arbeitszeit und privaten Verpflichtungen für die Mitarbeiter und ein Element zur Mitarbeiterbindung sein. Und, wenn Arbeitsplätze mehrfach genutzt werden können, kann es auch zu einer Kostenersparnis für den Arbeitgeber.

Wenn bei der Gestaltung des Heimarbeitsplatzes auf bestimmte Anforderungen eingegangen wird, bestehen aus datenschutzrechtlicher Sicht keine unüberwindlichen Hürden.

Autor Dr. Hauke Hansen ist Partner bei der Wirtschaftskanzlei FPS, Zertifizierter Datenschutzbeauftragter (TÜV®) sowie Fachanwalt für IT-Recht.

1 2Startseite
Weitere Artikel
Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments