09. April 2020

Auch in Zeiten von Corona und Homeoffice kann auf Meetings nicht verzichtet werden. Um auch weiterhin face-to-face mit Kunden, Geschäftspartnern und Kollegen kommunizieren zu können, müssen Unternehmen derzeit überwiegend auf Videokonferenz-Software zurückgreifen. Nicht zuletzt, weil die vielfach genutzte App Zoom wegen seiner Datenschutzpraxis in die Kritik geraten war, stellt sich hierbei jedoch die Frage, was bei der Auswahl und Verwendung dieser Tools für Unternehmen zu beachten ist.

Üblicherweise funktionieren die genannten Konferenz-Tools als SaaS (Software as a Service), wobei der Anbieter nicht nur die Software, sondern auch die Infrastruktur und sonstige notwendige Serviceleistungen zur Verfügung stellt. Da die jeweiligen Plattformanbeiter für das die Software nutzende Unternehmen personenbezogene Daten verarbeiten, sind sie in datenschutzrechtlicher Hinsicht Auftragsverarbeiter im Sinne der Art. 4 Nr. 8, 28 DSGVO. Dementsprechend muss mit ihnen ein Auftragsverarbeitungsvertrag abgeschlossen werden.

Auch wenn die Software vom Auftragsverarbeiter kommt: Datenschutzrechtlich verantwortlich bleibt das Unternehmen, das das jeweilige Tool nutzt (Art. 4 Nr. 7 DSGVO). Zudem besteht gemäß Art. 28 Abs. 1 DSGVO die Pflicht, nur mit solchen Auftragsverarbeitern zusammenzuarbeiten, die unter Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO arbeiten. Der Datenverantwortliche hat auch die von ihm eingesetzten Auftragsverarbeiter Rechenschaft abzulegen (Accountability). Die datenschutzrechtliche Weichenstellung beginnt daher bereits bei der Auswahl des Anbieters.

Was ist bei der Auswahl eines Videokonferenz-Anbieters konkret zu beachten?

Zoom, Microsoft Teams, Google Hangout, Skype for Business, WebEx-Meetings u.v.a. – Möglichkeiten für die Kommunikation von Homeoffice zu Homeoffice bieten sich viele. Für welches Tool sich ein Unternehmen entscheidet, sollte maßgeblich davon abhängen, ob ein Anbieter ausreichende (technische und organisatorische) Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Die Anforderungen werden ganz unterschiedlich zu bewerten sein. So werden Unternehmen im Gesundheitsbereich höhere Sicherheitsanforderungen haben als Unternehmen aus anderen Branchen.

Datenumgang im Einklang mit den datenschutzrechtlichen Grundprinzipien

Ein Datenumgang im Einklang mit den Grundprinzipien der DSGVO, insbesondere ein transparenter und rechtmäßiger Umgang (Art. 5 Abs. 1 lit. a) DSGVO) ist das A und O bei der Auswahl eines Anbieters. Erforderlich sind genaue Angaben über Art und Weise der Datenverarbeitung und des Einsatzes Dritter. Das US-Unternehmen Zoom geriet in diesem Zusammenhang in das Visier der New Yorker Generalstaatsanwaltschaft, da Daten an das soziale Netzwerk Facebook weitergegeben worden sind und im Rahmen der Datenschutzweise hierüber nicht ausreichend aufgeklärt wurde. Mittlerweile hat Zoom bekannt gegeben, die Datenweitergabe an Facebook zu beenden und zwischenzeitlich auch die Datenschutzerklärung überarbeitet.

Bei der Auswahl eines Anbieters sollte insbesondere auf folgende Punkte geachtet werden und ggf. in den werkseitigen Voreinstellungen des jeweiligen Service durch das Unternehmen angepasst werden:

Keine Auswertung und Weitergabe von Meta- und Inhaltsdaten

Eine kommerzielle Verarbeitung, Auswertung und Weitergabe von Meta- und Inhaltsdaten muss vertraglich ausgeschlossen sein.

Mögliches Profiling der Mitarbeiter?

Es sollte sichergestellt sein, dass mithilfe des Videokonferenz-Tools keine Leistungsanalyse oder ein „Worktime-Tracking“ der eigenen Mitarbeiter erfolgt oder eine entsprechende Möglichkeit ausgeschaltet werden kann. Weil aber eine solche Überwachung der Arbeitsabläufe mithilfe des Tools möglich ist, bedarf es zu dessen Nutzung der Zustimmung des Betriebsrates gemäß § 87 Abs. 1 Nr. 1 und 6 BetrVG und zwar unabhängig davon, ob der Arbeitgeber das Tool zur Überwachung tatsächlich einsetzt. Des Weiteren ist in diesem Zusammenhang zu beachten, dass eine Datenschutzfolgeabwägung gem. Art. 35 DSGVO, einer Art datenschutzrechtlicher Risikoevaluation, vorgenommen werden muss, wenn es durch eine Videoaufnahme zu einer Art Profiling der betroffenen Teilnehmer kommt (andere Verarbeitungstätigkeiten, für die eine solche Folgeabwägung vorgeschrieben ist, sind den hierzu veröffentlichen Listen der Datenschutzbehörden zu entnehmen, kommen im Zusammenhang mit Videokonferenztools aber wohl im Regelfall nicht vor).

Beschränkung von Logfiles/Chatverläufen/Datenaustausch etc.

Gesprächs- oder Chatverläufe sowie Log-Aufzeichnungen sollten nach dem Gesprächsende systemseitig gelöscht werden.

Blurring

Um die Privatsphäre der Nutzer (und ihrer Familienmitglieder), insbesondere im Homeoffice, zu gewährleisten, sollte die Möglichkeit gegeben sein, den Hintergrund während einer Videoübertragung unkenntlich zu machen.

Zugangsbeschränkungen

Teilnehmer sollten erst nach Login oder etwa einen Zugangs-PIN oder einer Freigabe durch den Organisator Zugang zur jeweiligen Videokonferenz erhalten.

Technische Maßnahmen

Durch technische Maßnahmen ist ein möglichst sparsamer Umgang mit personenbezogenen Daten zu gewährleisten. Nutzern – auch weniger technikaffinen – muss es einfach ermöglicht werden, weitgehend selbst über den Umfang der Datenweitergabe an den Anbieter zu entscheiden (Privacy by Default/Privacy by Design).

Darüber hinaus ist auf Datensicherheit zu achten. Bei der Datenübertragung ist eine Transport- und Ende-zu-Ende Verschlüsselung vorzugswürdig. Der Anbieter selbst sollte über international anerkannte Zertifizierungen (ISO, C5) verfügen, woraus sich auf einen hohen Sicherheitsstandard schließen lässt.

Sonderfall:  Aufnahme von Konferenzen

Viele Tools bieten eine Aufnahmefunktion von Bild und Ton. Sowohl aus datenschutzrechtlichen Gründen als auch aufgrund der strafrechtlichen Dimension von (heimlichen) Aufnahmen (§ 201 StGB) ist die Einwilligung jedes einzelnen Teilnehmers erforderlich. Die vorherige Einholung einer ausdrücklichen Einwilligungserklärung der Teilnehmer wird sich bei im Vorfeld geplanten Konferenzen, etwa Schulungen, durch Teilnahmelisten umsetzen lassen, bei spontan abgehaltenen Konferenzen dürfte dies aber wenig praktikabel sein.

Bei den meisten Tools ist es bereits üblich, dass der Nutzer Kamera und Mikrofon bei Beginn der Teilnahme aktiv einschalten muss. Wünschenswert wäre ein ähnliches Vorgehen bei dem Beginn einer Aufzeichnung: So könnte das Tool technisch so eingestellt sein, dass sich Kamera und Mikrofon automatisch deaktivieren, sobald ein Teilnehmer die Aufzeichnung beginnt. Zusätzlich ließe sich ein Fenster einblenden, in dem auf den Beginn der Aufzeichnung hingewiesen wird. Gleichzeitig könnte dem Transparenzerfordernis mittels Datenschutzhinweisen nach Art. 12, 13 DSGVO entsprochen werden. Schaltet der Teilnehmer Kamera und Audio aktiv wieder ein und akzeptiert gleichzeitig die Hinweise bezüglich der Aufzeichnung, wäre dies als Einwilligung in den Aufnahmevorgang zu werten.

Kommunikation mit den eigenen Mitarbeitern

Neben Beachtung der Voreinstellungen bei den jeweiligen Anbietern sind insbesondere auch die eigenen Mitarbeiter bezüglich des Umgangs mit Daten zu sensibilisieren. Es sollte klar kommuniziert werden, welche Dokumente und Inhalte in Videokonferenzen geteilt werden dürfen, etwa über sogenanntes „Desktop-Sharing“. Des Weiteren sollte aus den internen Unternehmensrichtlinien hervorgehen, dass die Teilnahme an Videokonferenzen für alle Mitarbeiter freiwillig ist und immer auch eine nur telefonische Teilnahme möglich bleibt.

Zusammenfassung

Das aus datenschutzrechtlicher Sicht „perfekte“ Tool für Videokonferenzen gibt es derzeit wohl nicht. Verzichten kann hierauf jedoch gerade kaum ein Unternehmen. Sind Konferenzen über Telefon oder E-Mail nicht ausreichend, kann aber dem Datenschutz weitgehend Genüge getan werden, wenn die genannten Punkte bei der Auswahl des Anbieters beachtet werden. Darüber hinaus ist eine entsprechende Sensibilisierung der Mitarbeiter und anderer Teilnehmer essentiell, um auch in Corona-Zeiten die datenschutzrechtlichen Vorgaben hinreichend zu berücksichtigen.