16.04.2020
Aufgrund der Corona-Pandemie haben derzeit viele Unternehmen ihre Mitarbeiter - soweit dies möglich war - ins Home-Office geschickt. Um das Geschäft und die Kommunikation untereinander dennoch aufrecht erhalten zu können, setzen Unternehmen vermehrt Videokonferenz-Tools für Meetings, Online-Konferenzen sowie Webinare ein. Auch wenn viele dieser Tools nützliche Funktionen wie beispielsweise das Screen- und Filesharing anbieten, so müssen diese den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entsprechen. Zahlreiche auf dem Markt befindliche Konferenzsysteme erheben in unzulässiger Weise Nutzerdaten, zeichnen die Kommunikation ohne entsprechende Einwilligung der Teilnehmer auf oder sichern diese nicht hinreichend gegen unbefugte Eingriffe. Einige dieser Tools sehen sich daher in jüngster Zeit massiver Kritik ausgesetzt. Im folgenden Beitrag möchten wir Ihnen Hilfestellungen für den Einsatz solcher Tools an die Hand geben. Eine allgemeine Handlungsempfehlung zum Datenschutz im Home-Office haben wir ebenfalls für Sie zusammengestellt.
Da umfassende Verlautbarungen von Datenschutz-Aufsichtsbehörden zu Videokonferenz-Tools aktuell (noch) nicht existieren, müssen Unternehmen die rechtlichen Vorgaben in eigener Verantwortung identifizieren und entsprechende Vorkehrungen treffen. Dies beinhaltet technische, rechtliche und organisatorische Maßnahmen, auch um die Mitarbeiter mit den entsprechenden Anforderungen vertraut zu machen.
Da es bei dem Einsatz von Videokonferenz-Tools unausweichlich zu einer Verarbeitung personenbezogener Daten kommt, muss für diese nach Art. 6 DSGVO zwingend eine ausreichende Rechtsgrundlage bestehen. Im Beschäftigtenverhältnis kommt dafür regelmäßig § 26 Bundesdatenschutzgesetz in Betracht, da die Datenverarbeitung – insbesondere in Zeiten von Corona und der damit verbundenen Home-Office-Tätigkeit – für die Durchführung des Arbeitsverhältnisses erforderlich sein kann. Sollte es an der notwendigen „Erforderlichkeit“ fehlen, muss für eine rechtmäßige Verarbeitung eine andere Rechtsgrundlage, wie beispielsweise eine Betriebsvereinbarung oder die Einwilligung der Mitarbeiter, gegeben sein. Das Erfordernis der Freiwilligkeit ist bei einer Einwilligung im Beschäftigtenverhältnis regelmäßig problematisch.
Soweit technische Einrichtungen eingeführt oder angewendet werden, welche „dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“ muss nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz die Zustimmung des Betriebsrates eingeholt werden. Auch wenn tatsächlich keine Überwachung der Mitarbeiter geplant ist, sind die meisten Videokonferenz-Tools hierzu objektiv geeignet. Je nach Ausgestaltung des jeweiligen Tools kann diese Überwachung beispielsweise durch Login-Daten oder sogar explizit dafür vorgesehene Funktionen erfolgen. Die sogenannte „attention-tracking“- Funktion bei Zoom-Video informiert denjenigen, der das Meeting einberufen hat, sobald ein Teilnehmer das Fenster länger als 30 Sekunden „aus den Augen lässt“, also beispielsweise ein anderes Fenster öffnet. Diese Funktion muss zwar bei dem entsprechenden Tool explizit aktiviert werden, eine automatische Information der Teilnehmer des Meetings erfolgt jedoch bislang nicht.
Neben dem Betriebsrat sollte auch der betriebliche Datenschutzbeauftragte in die Entscheidung einbezogen werden, um aufkommende Fragen und Probleme frühzeitig adressieren und klären zu können.
Regelmäßig handelt es sich bei dem Anbieter von Videokonferenz-Tools um einen Auftragsverarbeiter, der personenbezogene Daten der Nutzer weisungsgebunden zu Zwecken der Bereitstellung des Dienstes verarbeitet. Daher ist es erforderlich, einen Auftragsverarbeitungsvertrag im Sinne von Art. 28 Abs. 3 DSGVO abzuschließen. Teilweise wird ein solcher bereits als Anhang zu den Nutzungsbedingungen (oder an ähnlicher Stelle) angeboten. Falls dies nicht der Fall sein sollte, sollte aktiv auf den Anbieter zugegangen werden, um eine entsprechende Vereinbarung zu treffen.
Das Unternehmen steht nach Art. 13, 14 DSGVO zudem in der Pflicht, als Verantwortlicher für die Datenverarbeitung die Teilnehmer etwa über die Zwecke, Art und Umfang der Verarbeitung zu informieren. Daher sollte sichergestellt werden, dass den Teilnehmern ausreichende Datenschutzhinweise zur Verfügung gestellt werden. Denkbar ist eine Integration in die reguläre Datenschutzerklärung, auf die jedoch explizit hingewiesen werden sollte, beispielsweise bei der Einladung zum virtuellen Meeting. Dies gilt auch für die Frage, wie andere Teilnehmer zur Videokonferenz eingeladen werden sollten - durch Eingabe der E-Mail Adresse dieser Teilnehmer seitens des Einladenden über das Videokonferenz-Tool oder auf anderem Wege.
Da Anbieter von Videokonferenz-Tools häufig nicht die datenschutzfreundlichsten Voreinstellungen vorsehen, sollten Unternehmen prüfen, welche Optionen bestehen, zentral oder durch den einzelnen Nutzer datenschutzfreundliche Voreinstellungen zu wählen.
Einige Videokonferenz-Tools bieten eine Ende-zu-Ende-Verschlüsselung an, andere hingegen lediglich eine Transportverschlüsselung. Letztlich haftet das Unternehmen als Verantwortlicher für die Datenverarbeitung dafür, dass personenbezogene Daten sowie andere ausgetauschte Inhalte gegen unbefugte Kenntnisnahme ausreichend gesichert sind. Der Anbieter des Videkonferenz-Tools kann in Anspruch genommen werden, wenn er Vorgaben des Auftragsverarbeitungsvertrags verletzt. Die im Einzelfall erforderlichen Maßnahmen hängen insoweit auch von der Sensibilität der ausgetauschten Informationen ab. Folgende Punkte sollten u. a. beachtet werden:
Einige Videokonferenz-Tools enthalten die Funktion, Videokonferenzen aufzuzeichnen. Auf diese Funktion sollte grundsätzlich verzichtet werden, da dies regelmäßig nur mit Einwilligung der Teilnehmer zulässig ist. Daher sollte sichergestellt werden, dass im Falle einer geplanten Aufzeichnung für die Teilnehmer vorab die Möglichkeit besteht, einer Aufzeichnung zuzustimmen bzw. diese abzulehnen. Die Zustimmung bzw. Ablehnung ist vom Verantwortlichen (d.h. dem Unternehmen, das zur Videokonferenz einlädt) als Nachweis zu dokumentieren. Zudem sollten Maßnahmen gegen unbefugtes Aufzeichnen, ein Verbot des Abfotografierens etc. in oben genannter Richtlinie festgelegt werden.
Bei der Auswahl des Anbieters sollte darauf geachtet werden, dass Daten wie etwa Logfiles nicht länger als erforderlich gespeichert werden. Derartige Aufzeichnungen sollten regelmäßig nach Ende der Videokonferenz gelöscht werden.
Insbesondere der mittlerweile sehr bekannte und beliebte Anbieter Zoom steht aktuell stark unter Kritik – und das gleich wegen mehrerer datenschutzrechtlicher Mängel. Auf einige davon hat Zoom jedoch bereits reagiert und diese behoben, andere sollen zukünftig adressiert werden.
So war es z. B. möglich, als Externer in Videokonferenzen zuzuschalten, soweit diese Videokonferenzen nicht auf „privat“ gestellt wurden. Hier hat Zoom nachgerüstet und die automatische Festlegung eines Passwortes für den Zugang zu einer Konferenz eingeführt. Eine weitere Sicherheitslücke bestand darin, dass im Rahmen der Nutzung über die iOS-App zeitweise eine Übermittlung von Geräteinformationen der Nutzer, wie etwa Modell, freier Speicherplatz und Displaygröße an Facebook stattfand – auch dann, wenn der Nutzer nicht bei Facebook registriert war. Nach eigenen Angaben hat Zoom dies jedoch behoben und betont, dass insbesondere keine Überwachung von Videokonferenzen und kein Verkauf von Nutzerdaten stattfinde. Ferner wurde kritisiert, dass Zoom angebe, eine Ende-zu-Ende-Verschlüsselung bei den Videokonferenzen einzusetzen, tatsächlich aber nur eine Transportverschlüsselung durch Transport Layer Security stattfindet, sodass die Informationen unverschlüsselt auf den Servern von Zoom liegen. Hier hat Zoom angekündigt, zeitnah nachzubessern. Dies erscheint aufgrund der teilweise frei im Internet zugänglichen Aufzeichnungen tausender eigentlich privater bzw. geschäftlicher Videokonferenzen dringend notwendig. Problematisch ist zudem, dass Zoom aufgrund des schnellen Wachstums Daten über Server in China geleitet hat. Zahlende Kunden sollen nun jedoch auswählen können, über welche Server Daten übertragen werden. Die Daten nicht-zahlender Nutzer sollen immerhin über Server in der jeweiligen Heimatregion (z. B. Europa, USA, Asien, etc.) geleitet werden.
Der Einsatz von Zoom dürfte daher kritisch zu beurteilen und gut abzuwägen sein. Zwar hat das Unternehmen angekündigt, in den nächsten Monaten an Datenschutz- und -sicherheit zu arbeiten, dennoch verbleiben diverse offene Fragen. Auch bei anderen Anbietern gängiger Konferenz- und Kollaborationstools sind die vorgenannten Punkte bei der Einführung zu beachten. Das BSI stellte daher kürzlich ein 173 Seiten umfassendes Kompendium zur Unterstützung der Einführung und Umsetzung von Videokonferenztools bereit.
Positiv ist, dass die Datenschutz-Aufsichtsbehörden teilweise Verständnis für die aktuelle Ausnahmesituation haben und das besondere Bedürfnis an der Aufrechterhaltung des Geschäftsbetriebs anerkennen. Dennoch weisen sie explizit darauf hin, dass die (datenschutz-) rechtlichen Vorgaben nicht unberücksichtigt bleiben dürfen. Sollten sich Unternehmen also entscheiden, ein Videokonferenz-Tool einzusetzen, sollten die von uns genannten Punkte kritisch geprüft werden – insbesondere, wenn das Tool auch nach der Corona-Pandemie im Einsatz bleiben soll, denn dadurch wird Doppelarbeit vermieden.
Dr. Stefanie Hellmich, LL.M.
Partnerin, Frankfurt am Main
Eva Maria Amoah
Associate, Frankfurt am Main
Kata Viktoria Éles
Wissenschaftliche Mitarbeiterin, Frankfurt am Main