Die Pandemie hat´s möglich gemacht: Geschäftsreisen werden auf ein Minimum reduziert, Mitarbeiter gehen ins Homeoffice und die IT wird mächtig aufgerüstet. Dabei ist besonders der Bereich der Videokonferenzen in den Mittelpunkt gerückt. Es gibt eine Vielzahl an Systemen und Herstellern. Welche davon sind datenschutzkonform? Was empfiehlt die DSK (Datenschutzkonferenz)?
Aller Anfang ist – Schwer!
Begehrlichkeiten sind geweckt – die Mitarbeiter im Homeoffie wollen mit Ihren Kunden und untereinander kommunizieren. Zeit für die IT die Wünsche und Bedürfnisse der Mitarbeiter zu erfassen. Diese dürften in den meisten Fällen lauten: “Hauptsache es funktioniert und das möglichst einfach”. Ausgestattet mit diesem umfangreichen Anforderungen geht es also an die Evaluierung möglicher Software. Und schon kommt das Projekt ins stocken denn datenschutzrechtlich gibt es viele Fallstricke.
Schaut man nun hoffnungsvoll in das 25 Seitige Papier der DSK (Link hier) wird einem schnell klar das es sich nicht um ein kleines Projekt handeln kann. Neben diversen Betriebsmöglichkeiten, rechtlichen Anforderungen, technischen Anforderungen und Pflichten des Verantwortlichen werden Unternehmen sich fragen ob es denn überhaupt Software gibt die den ganzen Kriterien standhalten können.
Auswahlmöglichkeiten
Große Unternehmen mit eigener IT Abteilung und fitten IT Personal sind am besten beraten eine selbst-gehostete Lösung zu implementieren. Dies ist aktuell die sicherste Möglichkeit den Empfehlungen der DSK, rechnung zu tragen. Das setzt natürlich entsprechendes Know-How und die finanziellen Mittel voraus.
Was können also kleine und mittlere Unternehmen machen? Neben den Betrieb durch einen externen Dienstleister gibt es noch die Möglichkeit auf einen Online Dienst (SAAS – Software as a Service) zu setzen. Easy – das ist doch viel einfacher als selber zu hosten oder?
Doch hier tritt schnell Ernüchterung ein denn bereits auf Seite 6 der Orientierungshilfe der DSK heisst es: “Die Datenschutz-Aufsichtsbehörden empfehlen….derartige Systeme selbst zu betreiben… Dabei ist zu beachten, dass die eingesetzte oder Teilnehmern angebotene Software auf Datenabflüsse an den Hersteller und dritte Stellen zu untersuchen ist… Entsprechende Datenabflüsse müssen unterbunden werden…”
Ok das heisst also, dass wir als kleines Unternehmen unseren Dienstleister darauf verpflichten müssen “Datenabflüsse” an den Softwarehersteller zu unterbinden. Das soll wie funktionieren? Der Dienstleister wird wohl kaum genaue Auskunft von beispielsweise Microsoft bekommen welche Daten wo und wie hinfliessen und verarbeitet werden. Das Gleiche gilt für die Zoom Software welche von Facebook bereitgestellt wird.
Auch die Möglichkeit direkt über einen Online-Dienst zu gehen (also ohne den Vermittler im Form eines IT-Systemhauses) bringt nochmals verschärfte Anforderungen mit sich. Seite 7 berichtet ” Dazu hat der Verantwortliche die vom Auftragsverarbeiter (also dem Online Dienst) vorgelegten Auftragsverarbeitungsverträge-, Nutzungsbedingungen und Sicherheitsnachweise und dessen Datenschutzerklärung zu prüfen”. Nochmals zur Erinnerung: wir reden hier von kleinen und mittelständischen Unternehmen, die wenig bis gar kein IT und Datenschutz Know-How im Hause haben.
Die ganze Sache wird leider auch nicht besser wenn der Dienstleister im Ausland vornehmlich der USA sitzt. Denn die bisherigen Rechtsgrundlage zur Übermittlung und Verarbeitung von personenbezogenen Daten in die USA der sog. Privacy Shield wurde ja erst dieses Jahr vom EuGH gekippt – und zwar ersatzlos. Damit würden Unternehmen wie Microsoft mit der Teams Software oder Facebook mit Zoom schonmal ausscheiden.
Eine Frage der Dokumentation
Sind wir ehrlich – viele Unternehmen nutzen bereits Microsoft Teams in Kombination mit Office 365 oder Zoom von Facebook. Was kann also getan werden um so nahe wie möglich an die Vorgaben der DSK heranzukommen? Wie häufig im Datenschutz heisst das Zauberwort – Dokumentation.
Wir als Unternehmen benötigen also eine Darstellung warum wir trotz der Warnungen der DSK zum Beispiel Microsoft Teams nutzen. Diese sollte mit einer Darstellung der Firmensituation und den Vorstellungen und Anforderungen der Belegschaft an ein Videokonferenzsystem beginnen.
Der nächste Schritt muss eine Abwägung sein. Also die genaue Darstellung wo und warum wir von den Vorgaben der DSK abweichen. Dies kann beispielsweise die Begründung sein warum ein Anbieter welcher sein Headquarter in Amerika hat trotzdem die bessere Wahl ist als ein europäisches Unternehmen.
Zu guter Letzt ist es ratsam ein Dokument zu haben, welches externen Videokonferenzteilnehmern vorab zur Verfügung gestellt wird. Also ein Dokument welches der Informationspflicht nach Art.13/14 DSGVO nachkommt.
All die kurz genannten Maßnahmen führen noch immer nicht zur datenschutzrechtlich einwandfreien Nutzung von z.b. Microsoft Teams, helfen aber im Fall der Fälle bei der Argumentation gegenüber Aufsichtsbehörden. Ebenfalls sind die dargestellten Dokumentationsmöglichkeiten kaum von kleinen und mittleren Unternehmen ohne fachlich versierten Datenschutzbeauftragten umzusetzen und zu formulieren. Hier empfiehlt sich der Kontakt zum Datenschutzberater Ihres Vertrauens.
Mittlerweile gibt es auch vom Berliner Datenschutzbeauftragten eine ausführliche Darstellung von Videokonferenzsystemen und deren datenschutzrechtlicher Bewertung. (Link hier)
Alles in allem also ein sehr komplexes Thema welches Datenschützer und Firmen gleichermaßen weiterhin begleiten wird.