Durch die besonderen Herausforderungen der Corona-Krise mussten viele Unternehmen schnell handeln und ein geeignetes Tool für Videokonferenzen und Onlinemeetings einführen. Dabei hatten datenschutzrechtliche Anforderungen aus nachvollziehbaren Gründen nicht immer die oberste Priorität.
Schnell sind die Allgemeinen Geschäftsbedingungen und Datenschutzerklärungen akzeptiert und auch für die Durchführung der darüber hinausgehenden Datenschutz-Maßnahmen fehlt vielfach die Zeit.
Bei der Nutzung dieser Tools sind jedoch datenschutzrechtliche Anforderungen nicht außer Acht zu lassen. Einige Tools sind bereits in den Verdacht einer nicht datenschutzkonformen Verarbeitung der Daten geraten. Worauf ist also konkret bei der Auswahl und dem Einsatz von Tools für Videokonferenzen und Onlinemeetings zu achten?
Sofern möglich sollten Dienste bevorzugt werden, die Ihren Dienst innerhalb der EU erbringen. Erst kürzlich hat der EuGH das Privacy Shield für unwirksam erklärt und damit Datenübertragungen in die USA vor große Hürden gestellt. Auch bei anderen Ländern ist auf ein angemessenes Datenschutzniveau zu achten und ggf. ein EU Standardvertrag zu schließen.
Der Dienst sollte die unternehmerische Nutzung zulassen. Dienste, die (häufig in einer kostenlosen Variante) Privatkunden angeboten werden, könnten unter Umständen die besonderen datenschutzrechtlichen Anforderungen von Unternehmen vernachlässigen. Die Datenübertragung sollte generell nur verschlüsselt erfolgen. Die Möglichkeit zur Freigabe von Bildschirmübertragung oder sogar der Fremdsteuerung sollte nur nach einer expliziten Zustimmung möglich sein. Aufzeichnungen der übertragenen Daten und damit verbundene Protokollierungen, sollten nach Gesprächsende gelöscht werden.
Bei der Auswahl und Einführung des Dienstes ist der Datenschutzbeauftragte zu involvieren. Dieser wird dann auch die Ergänzung des Verzeichnisses von Verarbeitungstätigkeiten veranlassen. Auch mit dem Anbieter von Videokonferenzen und Onlinemeetings ist eine Vereinbarung zur Auftragsverarbeitung zu schließen, da sie in den meisten Fällen als Auftragsverarbeiter anzusehen sind. Im Zuge dessen muss eine Prüfung der technischen und organisatorischen Maßnahmen erfolgen.
Da die Dienste geeignet sind, die Anwesenheit von Arbeitnehmern zu überprüfen, muss außerdem der Betriebsrat der Einführung zustimmen, da der Betriebsrat bei der „Einführung technischer Systeme, die zur Überwachung des Verhaltens und der Leistung der Mitarbeiter bestimmt sind“ ein Mitbestimmungsrecht hat (§ 87 Abs. 1 Nr. 6 BetrVG).
Ist die Entscheidung für einen Dienst gefallen, sind die Einstellungen möglichst datenschutzfreundlich vorzunehmen. Insbesondere sollten Funktionen zum Protokollieren, Tracken, Beobachten, Screen-Sharing etc. hinsichtlich ihrer Erforderlichkeit geprüft und im Zweifel deaktiviert werden.
Nicht zuletzt besteht im Rahmen des Einsatzes von Tools für Videokonferenzen und Onlinemeetings die Verpflichtung zur Information der betroffenen Teilnehmer über die Zwecke, die Art und den Umfang der Verarbeitung personenbezogener Daten. Hierbei ist es unerheblich, ob es sich bei den Teilnehmern ausschließlich um Mitarbeiter handelt, oder die Dienste auch gegenüber Kunden oder Geschäftspartnern zum Einsatz kommen. Daher empfiehlt es sich, den Hinweis bereits in die allgemeine Datenschutzerklärung zu integrieren, sodass im Rahmen der Nutzung des Tools auf die Erklärung verlinkt werden kann.
Richtig eingesetzt können Tools für Videokonferenzen und Onlinemeetings einen großen Beitrag zur effizienten Gestaltung von Arbeitsabläufen leisten. Die datenschutzrechtlichen Anforderungen sind überschaubar, sollten aber auch in Krisenzeiten erfüllt werden oder deren Berücksichtigung so bald wie möglich nachgeholt werden. Die meisten Anbieter sind auf die Erfüllung der Anforderungen der DSGVO vorbereitet und tragen mit den von ihnen zur Verfügung gestellten Dokumentationen und Einstellmöglichkeiten in den Tools zu einem datenschutzkonformen Einsatz bei, so dass einem erfolgreichen Einsatz nichts entgegensteht.
Felix Prömel – Partner
junokai