Autor: Dr. Frank Schemmel, Head of Privacy (Corporate) bei DataGuard
Dass der Mitarbeiter sich dem Chef versehentlich im Muskelshirt zeigt, gehört zu den geringeren Gefahren beim Video-Chat im Homeoffice. Schwerwiegender, und für Unternehmen sehr kostspielig, dürften hingegen Verstösse gegen den Datenschutz sein. Worauf Unternehmen bei der Auswahl und Konfiguration von Messenger-Diensten achten müssen und wie sie die Kommunikation auch in Corona-Zeiten datenschutzkonform aufrechterhalten.
In Zeiten des Homeoffice erleben Messenger-Dienste sowie Video- und Onlinekonferenz-Tools ungeahnte Nachfrage. Häufig werden sie ohne große Sicherheitsvorkehrungen auf Firmen-Laptops, heimischen PCs, privaten Tablets oder Smartphones eingesetzt. Die Sorglosigkeit im Umgang mit Messenger-Diensten kann für Unternehmen kostspielige Folgen haben. Denn auch in Krisenzeiten gilt die Datenschutzgrund-Verordnung (DSGVO), müssen die personenbezogenen Daten von Mitarbeitern, Kunden und Geschäftspartnern geschützt werden. Das hat die Konferenz der unabhängigen deutschen Datenschutzbehörden des Bundes und der Länder (DSK) in einer aktuellen Entschliessung zur Corona-Pandemie verdeutlicht.
Ein datenschutzkonformer Einsatz von Messenger-Diensten ist möglich und sollte für Unternehmen Priorität haben. Worauf Unternehmen achten müssen, fasst Dr. Frank Schemmel, Jurist und Head of Privacy (Corporate) bei DataGuard in elf Punkten zusammen.
Die erste Frage, die Unternehmen sich stellen sollten ist, ob die Software lediglich für die organisationsinterne Kommunikation eingesetzt werden soll (also zwischen Beschäftigten) oder ob sie auch für Gespräche und Videokonferenzen mit externen Dritten wie Kunden, Lieferanten oder anderen Geschäftspartnern genutzt wird. Daraus können sich unterschiedliche datenschutzrechtliche Fragestellungen ergeben. Insbesondere haben Arbeitgeber mit §26 deutschen Bundesdatenschutzgesetz (BDSG) eine gegebenenfalls eigenständige und spezifische Norm für die Verarbeitung von Beschäftigtendaten. Auch ist der Eingriff in die jeweiligen Persönlichkeitsrechte geringer, wenn dies lediglich in einem internen Beschäftigtenkontext erfolgt.
Allgemein gilt das durch Paracelsus bekannte Sprichwort „Die Dosis macht das Gift“. Im datenschutzrechtlichen Sinne heisst dies „Die Konfiguration entscheidet massgeblich“. Durch datensparsame und -freundliche Voreinstellungen kann ein Grossteil der Anforderungen an einen datenschutzkonformen Einsatz von Kommunikationsdiensten umgesetzt werden. Mit Art. 25 DSGVO schreibt diese vor, dass „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ gewährleistet werden muss. Bei der Auswahl des passenden Dienstleisters sollte insbesondere auf die nachstehenden datenschutzrechtlichen Kriterien geachtet werden:
Als grundsätzlich datenschutzfreundlich werden seitens deutscher Datenschutzbehörden insbesondere folgende Dienste bewertet:
Sollen Messenger-Dienste oder Video- und Onlinekonferenz-Tools als App auf Mobiltelefonen oder Tablets genutzt werden, gilt es, folgende zusätzliche Anforderungen zu beachten:
Einen ausführlichen Prüfkatalog für den technischen Datenschutz bei Apps, der als zusätzliche Orientierung dienen kann, hat das Bayerische Landesamt für Datenschutzaufsicht veröffentlich.
In diesem Zusammenhang wird häufig gefragt, inwieweit WhatsApp als einer der verbreitetsten Messenger-Dienste für die in- beziehungsweise externe Kommunikation aus datenschutzrechtlicher Sicht genutzt werden kann. Während einige deutsche Datenschutzbehörden den betrieblichen bzw. geschäftlichen Einsatz von WhatsApp grundsätzlich für datenschutzwidrig halten, erachten andere Datenschutzbehörden den Einsatz unter den oben genannten Voraussetzungen für möglich. Um Risiken zu vermeiden, empfiehlt es sich, Alternativen wie Threema, SIMSme, Wire, Hoccer oder Chiffry zu nutzen.
Für den Einsatz von Messenger-Diensten oder Video- und Onlinekonferenz-Tools im Gesundheitsbereich gelten gesonderte Anforderungen, soweit (auch) Gesundheitsdaten verarbeitet werden. Die deutschen Datenschutzbehörden haben Ende 2019 ein ausführliches Whitepaper zu den technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich veröffentlicht, das analog auch für den restlichen Gesundheitsbereich gilt und auf das an dieser Stelle verwiesen wird.
Neben diesen vorwiegend technischen Massnahmen gilt es seitens der Organisation auch, den Datenschutz durch begleitende organisatorische Massnahmen zu flankieren. Diverse Studien haben gezeigt, dass insbesondere der Mensch (Stichwort „Human Error“) Schwachstelle Nummer eins darstellt und Hauptursache für Datenpannen ist. Folgende risikominimierende organisatorische Maßnahmen sind empfehlenswert:
Es gilt zu beachten, dass die hier dargestellten technischen und organisatorischen Massnahmen (TOM) lediglich eine allgemeine und generelle Empfehlung für alle Kommunikationstools darstellen. Je nach Verwendungszweck (in-/extern, Einzel-/Gruppenkommunikation, Ton-/Bildübertragung) und Medium (Browser, Computer, Tablet/Mobiltelefon) können gegebenenfalls zusätzliche beziehungsweise andere Anforderungen gelten.
Die Gesprächsteilnehmer (sowohl Mitarbeiter als auch externe Kommunikationsteilnehmer) sollten entsprechend Art. 13 und 14 DSGVO vor der Gesprächsteilnahme über die Verarbeitung ihrer personenbezogenen Daten aufgeklärt werden. Es muss unter anderem über Zweck, Umfang und Dauer der Verarbeitung sowie über die Empfänger der Daten (in einem Drittland inklusive der Garantie eines angemessenen Datenschutzniveaus, soweit gegeben) informiert werden.
In der Praxis hat sich bewährt, die Datenschutzhinweise im Rahmen von (Video-)Konferenzen als Link in der Einladung zum Meeting und/oder auf der Login-Seite zur Verfügung zu stellen. Bei reinen Messenger-/Chat-Tools wäre es angemessen, die Datenschutzhinweise unmittelbar bei der Installation oder als Link in einer automatischen Nachricht bei der ersten Kontaktaufnahme zu übermitteln.
Entgegen immer noch weitverbreiteten Irrglaubens muss in derlei Datenschutzhinweise weder eingewilligt werden, noch sind diese in irgendeiner Weise aktiv zu bestätigen, um den entsprechenden Nachweispflichten der DSGVO nachzukommen.
Betriebs- oder Personalrat sind vor dem Einsatz der Dienste mit einzubinden, da sich die Tools grundsätzlich eignen, das Verhalten oder die Leistung der Beschäftigten zu überwachen (§ 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz – BetrVG).
Daneben sollten auch der oder die Datenschutzbeauftragte, soweit benannt, bereits bei der Auswahl geeigneter Kommunikationstools einbezogen werden. Datenschutzbeauftragte können entsprechende Empfehlungen zu Themen wie Datenschutz durch Technikgestaltung und datenschutzfreundlichen Voreinstellungen, technischen und organisatorischen Maßnahmen (TOM) oder Datenschutzhinweisen geben.
Üblicherweise sind die Anbieter von Messenger-Diensten sowie Video- und Onlinekonferenz-Tools als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO zu qualifizieren. Das heisst, sie verarbeiten die personenbezogenen Daten nur nach und im Rahmen von entsprechenden Weisungen des Auftraggebers – fungieren also als „verlängerter Arm“ der Organisation bei der Datenverarbeitung. Liegt eine solche Auftragsverarbeitung vor, ist Folgendes zu beachten:
Sofern manche Anbieter zwar eine Kommunikationsplattform anbieten, jedoch keine vollständige Kontrolle über die Daten der Kommunikationspartner haben und diese Daten für eigene Zwecke auswerten sowie gegebenenfalls den Nutzern entsprechende Nutzerstatistiken zur Verfügung stellen (ähnlich einer Facebook-Fanpage), wäre anstelle eines AVV wohl eher der Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO geboten.
Werden über die Kommunikationsdienste personenbezogene Daten in Länder außerhalb der EU/des EWR (sog. „Drittländer“) übermittelt, muss ein angemessenes Datenschutzniveau sichergestellt werden. Hier gilt zu beachten, dass nicht nur das aktive Übertragen von Daten eine solche Übermittlung darstellt, sondern bereits die theoretische Zugriffsmöglichkeit des Dienstleisters im Drittland (beispielsweise via Fernwartung). Werden also Tools eingesetzt, deren Server ausserhalb der EU/des EWR stehen beziehungsweise haben die Anbieter des Tools oder der Softwarelösung ihren Sitz in Drittländern, müssen weitere Massnahmen getroffen werden, um ein adäquates Datenschutzniveau zu gewährleisten:
Art. 30 Abs. 1 S. 1 DSGVO legt fest, dass jeder datenschutzrechtlich Verantwortliche eine entsprechende Datenschutzdokumentation (ein so genanntes Verzeichnis von Verarbeitungstätigkeiten, kurz VVT) zu führen hat. In dieses VVT sind auch die Verarbeitungsprozesse eingesetzter Kommunikationstools aufzunehmen. Soweit man schon Datenschutzhinweise erstellt hat, können die jeweiligen Informationen hieraus für das VVT verwendet werden, da vollständige Datenschutzhinweise üblicherweise alle notwendigen Informationen für einen Eintrag im VVT bereits enthalten. Die deutschen Datenschutzbehörden haben beispielsweise ein Muster für Verantwortliche veröffentlicht.
Für manche Verarbeitungstätigkeiten, etwa wenn Video- oder Audio-Aufnahmen automatisiert ausgewertet werden, zur Bewertung der Persönlichkeit der Betroffenen oder für andere Arten von Profiling, muss das Unternehmen gegebenenfalls eine so genannte Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO vornehmen. Die DSFA ist eine Art datenschutzrechtliche Risikoevaluation aus der risikominimierende Massnahmen hervorgehen. Die deutschen Datenschutzbehörden haben eine Liste der Verarbeitungstätigkeiten veröffentlicht, für die eine DSFA durchzuführen ist.
Unternehmen müssen ein ganzes Bündel an Massnahmen beachten, wenn sie Messenger-Dienste oder Video- und Onlinekonferenz-Tools einsetzen. Es empfiehlt sich, vor dem Einsatz solcher Dienste, Experten wie den Datenschutzbeauftragten, IT-Spezialisten und gegebenenfalls zusätzliche Rechtsberater einzubinden, um mögliche Compliance-Risiken zu minimieren und die Rechte und Freiheiten von Mitarbeitern, Kunden und Geschäftspartnern zu schützen.
Seine langjährige Erfahrung als Datenschutzspezialist hat Dr. Frank Schemmel, heute Head of Privacy (Corporate) bei DataGuard, in einer internationalen Grosskanzlei erworben, wo er den Aufbau der datenschutzrechtlichen Praxis für Deutschland verantwortete. Heute verfolgt der Wirtschaftsjurist vor allem ein Ziel: „Pionierarbeit an der Digitalisierung leisten – der grössten Herausforderung des 21. Jahrhunderts“. Dafür verbindet er rechtswissenschaftliche Forschung und Praxis, um seinen Kunden das bestmögliche Ergebnis zu liefern.