Der Einsatz von Videokonferenztools als Kommunikationsmittel in Unternehmen erfreut sich immer größerer Beliebtheit, und das nicht erst seit der Covid-19-Pandemie und der damit verbundenen Kontaktbeschränkungen. Wir zeigen hier, was Verantwortliche datenschutzrechtlich beachten sollten und welche Tools DSGVO-konform eingesetzt werden können (1).
(1) stand Juni 2020
Wer erst durch die Corona-Pandemie zur Einführung von Videokonferenzen „gezwungen“ wurde, sollte sich spätestens jetzt mit den datenschutzrechtlichen Themen befassen. Es sind Fragen zu klären, wie:
Liegt eine Auftragsverarbeitung mit getrennter oder gemeinsamer Verantwortlichkeit vor?
Welche Sicherheitsmaßnahmen werden angeboten und welche datenschutzrelevanten Einstellungen müssen vorgenommen werden?
Welche Meta-, Tracking- und Analysedaten werden vom Anbieter (auch für eigene Zwecke) erhoben?
Mit dieser Fragestellung haben sich auch die Landesdatenschutzbehörden der Bundesländer befasst und entsprechende Stellungnahmen veröffentlicht. Fast alle Behörden empfehlen dabei, lieber auf Telefonkonferenzen zurückzugreifen und Videokonferenzen nur dann zu nutzen, wenn zum Beispiel Präsentationen gehalten werden sollen.
Rechtsgrundlage für den Einsatz von Videokonferenztools
Während einem „virtuellen Meeting“ werden personenbezogene Daten verarbeitet. Dazu zählen beispielsweise IP-Adresse, E-Mail-Adresse, Bild und der Teilnehmername.
Als Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten wird regelmäßig §26 Abs. 1 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) oder bei fehlender Erforderlichkeit Art. 6 Abs. 1 lit. f) DSGVO (Wahrung berechtigter Interessen) herangezogen.
Allerdings sollte, unabhängig von der Rechtsgrundlage, vor der Einführung eines Videokonferenztools eine Erforderlichkeitsprüfung durchgeführt werden und eine Interessensabwägung erfolgen. So können schutzwürdige Interessen des Mitarbeiters die berechtigten Interessen des Arbeitgebers überwiegen, z.B. wenn die Anwesenheitsangabe zur Mitarbeiterüberwachung eingesetzt werden soll.
Ebenso ist das Mitbestimmungsrecht des Betriebsrates zu beachten. Gemäß §87 Abs. 1 N. 6 BetrVG steht dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung technischer Systeme zu, die zur Verhaltensüberwachung der Mitarbeiter geeignet sein können.
Maßnahmen
Vor der Einführung der Kommunikationstools sollten folgende Aspekte betrachtet, analysiert und dokumentiert werde:
Sitz des Unternehmens: Anbieter mit Sitz in der EU sind Drittanbietern aus anderen Ländern vorzuziehen
Speicherung: Anbieter, die keine Konversationen oder/und Diagnosedaten speichern sind vorzuziehen
Privacy Shield: US-Anbieter, die in der Privacy Shield List mit dem Zusatz „HR“ gekennzeichnet sind, sind anderen US-Anbietern vorzuziehen.
Richtlinien: Anbieter, deren Richtlinien (Einwilligung, Speicherung, Datenschutzhinweise) den Anforderungen der DSGVO entsprechen sind zu bevorzugen
Anbieter
Die folgende Liste wurde in Zusammenarbeit mit der TA Schwäbisch Gmünd erstellt und entspricht in ihrer Einschätzung dem Stand von Juni 2020. Es wurde dabei nur der datenschutzkonforme Einsatz des Tools bewertet.
Von den Datenschutzbehörden werden „On Premise“ Lösungen empfohlen, also Softwarelösungen die auf eigenen Servern gehostet werden. Hier zählt der Datenschutzbeauftragte des Landes Baden-Württemberg folgende Anbieter auf:
Fazit
Der Einsatz von Videokonferenzsystemen sollte aus datenschutzrechtlicher Sicht nur in geringem Maße eingesetzt werden. Telefonkonferenzen oder on-premise-Lösungen sind gegenüber webbasierten Tools zu bevorzugen.
Wenn Videokonferenzen erforderlich sind, sind entsprechende Richtlinien zu formulieren, dokumentieren und umzusetzen. Wir helfen unterstützen gerne bei der Auswahl eines geeigneten Tools und bei der Formulierung und Umsetzung entsprechender Richtlinien.
Comments