Seit der Corona-Pandemie und dem damit einhergehenden Homeoffice, ist das Benutzen der Visualisierungs-Tools wie Zoom, Teams, Skype & Co. stetig angestiegen. Obwohl es diese Tools schon vorher gab, nehmen sie erst jetzt einen selbstverständlichen Platz in unserem Leben ein. Das führt zu wichtigen rechtlichen Fragen. In einem unserer Artikel berichteten wir schon davon, wie Sie Videokonferenzen und Webinare rechtssicher einsetzen. 

Dieser Artikel soll ein Update sein, damit Sie und Ihr Unternehmen rechtlich immer auf dem neuesten Stand sind!

Aufgrund der schier unermesslichen Angebots an Visualisierungs-Tools, gibt es auch immer mehr datenschutzrechtliche Bedenken. Teilweise mögen diese Bedenken überzogen sein, anderseits dürften einige Bedenken durchaus begründet sein und die Vidualisierungs-Tools an manchen Stellen einer datenschutzrechtlichen Überprüfung nicht standhalten. 

Das Konferenz-Tool

Die Videokonferenz funktioniert üblicherweise als SaaS (Software as a Service). Die jeweiligen Anbieter der Visualisierungs-Tools muss personenbezogene Daten verarbeiten, dem Sie vorher in Form eines Auftragsverarbeitungsvertrags zustimmen müssen. Der Anbieter ist also rechtlich gesehen Auftragsverarbeiter im Sinne des Art. 4 Nr. 8, 28 DSGVO.  Wenn Sie als Unternehmen das jeweilige Tool nutzen möchten, müssen Sie, auch wenn die Software vom Auftragsverarbeiter kommt, den gesetzlich vorgeschriebenen Datenschutz einhalten, denn zu guter Letzt bleibt das Unternehmen verantwortlich (siehe Art. 4 Nr. 7 DSGVO). 

Gem. Art 28 Abs.1 DSGVO besteht für ein Unternehmen, welches solche Tools nutzt, die Pflicht, nur mit solchen Auftragsverarbeitern zusammenzuarbeiten, die unter Einhaltung der datenschutzrechtlichen Vorgaben agieren, denn Sie sind der Datenverantwortliche Ihres Unternehmens und müssen ggfs. auch Rechenschaft darüber ablegen (Accountability)

Das Einhalten des Datenschutzes i.S.d. DSGVO beginnt also schon bei der Auswahl des (seriösen) Anbieters!

Für welches Tool sollten Sie sich entscheiden?

Pauschal können auch wir Ihnen diese Frage nicht beantworten, da es von vielen verschiedenen Faktoren abhängt. Jedes Unternehmen ist verschieden und es bedarf daher in diesem Punkt einer genauen unternehmensbezogenen Beratung. Visualisierungen-Tools gibt es aber viele, die Sie sich einmal genauer anschauen und einen Vergleich ziehen sollten (Zoom, Microsoft Teams, Google, Skype, Hangout, WebEx-Mettings und vieles mehr).

Leiten Sie z.B. ein Unternehmen, welches im Gesundheitsbereich tätig ist, dann raten wir Ihnen dazu im Umgang mit dem Datenschutz besonders hohe Anforderungen an die Sicherheit in diesem Bereich zu stellen. 

Welche Grundprinzipien im Datenschutz sollten eingehalten werden?

Wichtig ist, dass Sie immer die geltende DSGVO im Hinterkopf haben. Gem. Art 5 Abs.1 lit. a) DSGVO ist ein transparenter und rechtmäßiger Umgang bei der Auswahl eines Anbieters geboten. Sie sollten also genaue Angaben über die Art und Weise der Datenverarbeitung abgeben können und sich ggfs. auch bezüglich des ausgewählten Anbieters rechtfertigen können.

Durch die Medien ging in den letzten Monaten besonders die Kritik an Zoom, einem US-Unternehmen, da personenbezogene Daten an Facebook weitergegeben wurden und über die Weitergabe solcher Daten vorher nicht datenschutzrechtlich aufgeklärt worden ist. Aufgrund der Ermittlungen gegen Zoom, wurde die Zusammenarbeit mit Facebook beendet und die Datenschutzvereinbarung überarbeitet.

Daher achten Sie bitte auf folgende Punkte:

  • der Anbieter sollte keine Auswertung und keine Weitergabe von Meta- und Inhaltsdaten vornehmen 
  • Der Anbieter sollte keine kommerzielle Verarbeitung oder Auswertung/ Weitergabe von Meta- und Inhaltsdaten in seinen Bedingungen haben

Gewährleistung des Datenschutzes gegenüber Ihren Mitarbeitern

Durch Visualisierungs-Tools dürfen Sie gegenüber Ihren Mitarbeitern keine Leistungsanalyse vornehmen oder die Arbeitszeit dokumentieren. Da solch eine „Überwachung“ grundsätzlich technisch möglich wäre, sollten Sie gem. § 87 Abs. 1 und 6 BetrVG generell vorher die Zustimmung des Betriebsrates einholen, ob das Visualisierungs-Tool für Ihr Unternehmen verwendet werden kann.

Gem. Art 35 DSGVO sollte eine Datenschutzfolgenabschätzung vorgenommen werden, damit die Folgen der Verarbeitung der personenbezogenen Daten abgesehen werden kann – somit kann auch eine Rechtfertigung Ihrerseits leichter erfolgen.

Bitte beachten Sie:

  • die Logfiles/ Chatverläufe usw. müssen beschränkt sein
  • Gesprächsverläufe und Log-Aufzeichnungen sollten nach dem Nutzen sofort gelöscht werden
  • die Mitarbeiter sollten die Möglichkeit haben ihren Hintergrund unkenntlich machen zu können (Privatsphäre)
  • jeder Teilnehmer sollte nur mit einem Login-Link oder Pin an der Videokonferenz teilnehmen können
  • der Nutzer sollte in der Lage sein können den Umfang seiner Datenweitergabe selber bearbeiten zu können (keine komplizierten Tools verwenden!)
  • auf eine Ende-zu-Ende Verschlüsselung Wert legen
  • freiwilliges Einschalten der Kamera/ des Mikrofons bei Beginn der Konferenz
  • sensibilisieren Sie Ihre Mitarbeitet im Umgang mit der Datenweitergabe

Fazit

Für kein Unternehmen wird sich das „perfekte“ Visualisierungs-Tool finden können, aber man kann sich so viele Anforderungen an das Tool setzen, dass man zumindest das bestmögliche Tool findet. Gerade beim Datenschutz darf in keinen Punkt Abstriche gemacht werden, da Sie dafür haften und es empfindliche Strafen mit sich ziehen kann, wenn der Datenschutz nicht eingehalten  wird.

Sie benötigen rechtliche Beratung? Wir helfen Ihnen gerne! Wenn Sie Fragen zur Umsetzung der DSGVO haben, können Sie sich gerne unverbindlich an unsere Kanzlei wenden. Kennen Sie schon unser Rechtsprodukt „DSGVO Website Update“? Diese bietet Ihnen eine Prüfung Ihrer Webseite auf DSGVO-Konformität und anschließende Überarbeitung der Inhalt zum Festpreis. Informieren Sie sich gern hier über unseren Service.