Recht -

WhatsApp, Zoom & Co. Videotelefonie und Desktop-Sharing: So klappt´s mit dem Datenschutz

Videotelefonie und Desktop-Sharing stehen aktuell hoch im Kurs. Datenschutzrechtlich können die Technologien aber durchaus problematisch sein. Im DHZ-Interview erklärt Rechtsanwalt Hauke Hansen, warum Betriebe – obwohl es bislang zu keinen Abmahnungen kam – auf eine datenschutzkonforme Lösung setzen sollten, und wie man diese findet.

Dieser Artikel ist Bestandteil des Themenpakets Coronavirus

DHZ: Komplexe Abstimmungsprozesse zwischen Handwerksbetrieben, Bauherren, Architekten und Subunternehmern werden in Corona-Zeiten häufig auch per Videokonferenz oder WhatsApp-Telefonie durchgeführt. Welche datenschutzrechtlichen Fallstricke drohen beim Einsatz dieser Technologien?

Hauke Hansen: Zunächst einmal muss man wissen: Unternehmen, in denen die Videokonferenztechnik eingesetzt wird, sind datenschutzrechtlich verantwortlich. Wenn durch den Softwareanbieter Datenschutzverstöße begangen werden, wie sie aktuell dem Anbieter Zoom vorgeworfen werden, muss sich dies der Arbeitgeber zurechnen lassen. Das Gleiche gilt, wenn Mitarbeiter den Datenschutz nicht beachten.

Den Einsatz von Videokonferenztools planen Unternehmen am besten anhand der folgenden Checkliste:

  • Der Dienstleister muss sorgfältig ausgewählt werden.
  • Es muss geprüft werden, welche personenbezogenen Daten durch das Tool gespeichert und gegebenenfalls sogar an Dritte weitergegeben werden. Die Einstellungsmöglichkeiten der Software sollten genutzt werden, um einen möglichst datensparsamen Einsatz zu ermöglichen.
  • Der Einsatz der Videokonferenztechnik muss in die Datenschutzhinweise für Mitarbeiter aufgenommen werden.
  • Sollte es einen Betriebsrat oder einen Datenschutzbeauftragten in dem Unternehmen geben, müssen beide beteiligt werden.
  • Mit dem Anbieter muss ein Auftragsverarbeitungsvertrag abgeschlossen werden.

Der Einsatz der Videotelefonie-Funktion von WhatsApp ist datenschutzrechtlich auch problematisch. Denn WhatsApp im unternehmerischen Umfeld wurde von den Datenschutzbehörden schon vor der Corona-Krise als kritisch bewertet

DHZ: Was sollte ich vor dem Einsatz einer Videokonferenzsoftware dringend prüfen?

Hansen: Die DSGVO nimmt Unternehmen, die auf Videotechnik setzen, als datenschutzrechtlich Verantwortlichen auch in technischer Hinsicht in die Pflicht: Sie sind zum Einsatz einer datenschutzfreundlichen Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen verpflichtet. Daher ist bei der Auswahl des Dienstleisters unter anderem auf Folgendes zu achten:

  • Verschlüsselung: Die Übertragung des generierten Videomaterials an den Empfänger sollte verschlüsselt erfolgen – und zwar nicht nur transportverschlüsselt, sondern end-to-end.
  • Business-Version: Zu klären ist, ob das Produkt für eine Nutzung im geschäftlichen Umfeld vorgesehen ist. Dies hat nicht nur einen lizenzrechtlichen Hintergrund. Auch können Datenschutzeinstellungen von Produkten, die nur im privaten Umfeld genutzt werden dürfen, von Produkten, die auch im geschäftlichen Umfeld verwendet werden dürfen, abweichen.
  • Datenweitergabe: Eine Übermittlung der Daten durch den Anbieter an Social-Media-Plattformen wie Facebook sollte ausgeschlossen sein.
Die Schwächen mancher Anbieter im Hinblick auf den technischen Datenschutz sind schon haarsträubend.

DHZ: Gibt es noch weitere Vorgaben?

Hansen: Die Aufnahme der Videokonferenz oder auch nur des Gesprächs, wie sie von vielen Videokonferenztools ermöglicht wird, darf grundsätzlich ausschließlich mit Einwilligung der Teilnehmer möglich sein.

Und ganz besonders wichtig: Die Teilnahme an der Konferenz darf ausschließlich über ein Log-in oder auf Einladung des Organisators erfolgen. Das ist durchaus nicht selbstverständlich, wie eine Videokonferenz des bayerischen Innenministeriums mit Bayerns Innenminister Joachim Herrmann zum Coronavirus zeigt, an der jeder beliebige Internetnutzer teilnehmen konnte, oder das sog. Zoom-Bombing, vor dem sogar Elon Musk Angst hat und vor dem das FBI warnt

DHZ: Oft müssen bei Videokonferenzen Dokumente geteilt werden. Welche Regeln gelten für das sogenannte "Desktop-Sharing"?

Hansen: Mitarbeiter sind dahingehend zu sensibilisieren, dass sie beim Desktop Sharing nur solche Dokumente teilen, die für das Thema der Videokonferenz unbedingt erforderlich sind. Ebenfalls wichtig: Auf keinen Fall sollten Benachrichtigungen über neue E-Mails mit einem kleinen Pop-up auf dem geteilten Bildschirm erscheinen. Wird dies nicht beachtet, könnte eine von allen Teilnehmern einsehbare E-Mail eines Teilnehmers nicht nur peinlich sein, sondern sogar eine meldepflichtige Datenpanne im Sinne des Art. 33 DSGVO darstellen.

DHZ: Hat der vermehrte Einsatz dieser Technologien in Corona-Zeiten bereits zu Abmahnungen bzw. zu Bußgeldern geführt? Was erleben Sie in Ihrer Praxis?

Hansen: Nein, Abmahnungen oder Bußgelder wegen des datenschutzrechtswidrigen Einsatzes von Videokonferenztechnologien gab es bislang nicht. Die Datenschutzbehörden haben in den von ihnen herausgegebenen Orientierungshilfen auch erfreulich pragmatische Sichtweisen an den Tag gelegt. Sie sehen die Not der Unternehmen in diesen ungewöhnlichen Zeiten und geben eher Hilfestellungen, als dass sie kritisieren. Und die Unternehmen haben derzeit einfach Besseres zu tun, als ihre Konkurrenz wegen Datenschutzverstößen abzumahnen. 

Trotzdem sollten die Unternehmen das Thema Datenschutz auch jetzt nicht völlig vernachlässigen. Denn wir mussten seit dem Inkrafttreten der DSGVO oft erleben, dass im Rahmen von Kündigungsprozessen angebliche oder tatsächliche Datenschutzverstöße des Arbeitgebers zweckentfremdet wurden, um die eigene Verhandlungsposition zu verbessern. Und spätestens nach dem Ende der Krise ist damit zu rechnen, dass die Datenschutzbehörden wieder genauer hinsehen. Dann sollte das interne Datenschutzmanagement unbedingt auf dem aktuellen Stand sein.

DHZ: Wie fällt Ihr Fazit aus?

Hansen: Videokonferenzen sind derzeit den dramatischen Umständen geschuldet. In normalen Zeiten kann Homeoffice und Videokonferenzen eine populäre Möglichkeit zur Vereinbarung von Arbeitszeit und privaten Verpflichtungen für die Mitarbeiter und ein Element zur Mitarbeiterbindung sein. Und, wenn Arbeitsplätze mehrfach genutzt werden können, kann es auch zu einer Kostenersparnis für den Arbeitgeber führen.

Wenn bei der Gestaltung des Heimarbeitsplatzes auf bestimmte Anforderungen eingegangen wird, bestehen aus datenschutzrechtlicher Sicht keine unüberwindlichen Hürden.

DHZ: Zum Abschluss noch eine Frage, die seit der Corona-Krise ebenfalls viele Arbeitgeber beschäftigt: Darf ich als Chef die privaten Handynummern meiner Mitarbeiter abfragen und speichern?

Hansen: Zur Information der Arbeitnehmer über einen Krankheitsfall oder einer vorübergehenden Betriebsschließung halten die Datenschutzbehörden das Abfragen und die Nutzung privater Handynummern für zulässig. Bedingung ist allerdings, dass der Mitarbeiter einwilligt und die Daten nach Beendigung dieses Ausnahmezustandes gelöscht werden.

Hauke Hansen, zertifizierter Datenschutzbeauftragter (TÜV®) und Fachanwalt für IT-Recht, ist Partner der Kanzlei FPS. Er betreut Unternehmen bei der datenschutzkonformen Umsetzung ihrer Digitalisierungsstrategien.

© deutsche-handwerks-zeitung.de 2020 - Alle Rechte vorbehalten