Corona und Datenschutz – Homeoffice und Videokonferenzen

Für nahezu alle Unternehmen führt die aktuelle Situation zu Änderungen in den Geschäftsabläufen. Zahlreiche Unternehmen nutzen für ihre Beschäftigten auch die Option, teilweise oder komplett vom Homeoffice aus zu arbeiten. So ist es auch in Zeiten der Covid-19-Pandemie möglich, weiterhin produktive Arbeit sicherzustellen und dabei die Gefahr von Ansteckungen unter Kollegen zu reduzieren oder gänzlich zu verhindern.

Homeoffice

Oftmals wurde die Entscheidung, ins Homeoffice auszuweichen, relativ kurzfristig getroffen. Nachdem nun einige Wochen vergangen sind, in denen die Abläufe auf die neue Arbeitsweise angepasst werden konnten, wollen wir Ihnen einen Überblick über die in der Praxis wichtigsten Maßnahmen zur Berücksichtigung der geltenden Datenschutzvorgaben im Homeoffice geben. Denn die aktuelle Bußgeldpraxis der Datenschutz-Aufsichtsbehörden lässt nur wenig Hoffnung auf besondere Kulanz aufgrund der aktuellen Situation zu. Unternehmen sind daher gut beraten, sicherzustellen, dass insbesondere Datenschutz und Datensicherheit auch im Homeoffice eingehalten werden. Zahlreiche Maßnahmen lassen sich mit relativ einfachen Mitteln jedoch schnell umsetzen.

Dazu gehören z.B.:

  • Die Einführung einer Homeoffice-Richtlinie, in der Verhaltenspflichten verbindlich festgelegt werden. Darin sollte u.a. geregelt werden, dass die betriebliche Hardware (Notebooks, USB-Sticks, etc.) nicht privat genutzt werden darf, Passwörter nicht bekannt gegeben werden dürfen und E-Mails nicht an private Accounts weitergesendet werden dürfen.
  • Die technische Sicherstellung, dass Unbefugte nicht auf die verarbeiteten Daten zugreifen können. Dazu gehört eine Festplattenverschlüsselung, sichere Passwörter, aber auch eine sichere Übertragung, z.B. durch Nutzung von VPN und durch E-Mail-Verschlüsselung.
  • Weitere organisatorische Regelungen, wie z.B., dass sich der Arbeitsplatz nach Möglichkeit in einem separaten, abschließbaren Zimmer befinden sollte. Sofern unternehmensbezogene Unterlagen mitgenommen werden, sind sie in einem abgetrennten, abschließbaren Schrank aufzubewahren.  Nicht mehr benötigte Unterlagen müssen datenschutzgerecht vernichtet werden.
     

Videokonferenztools

Ein für viele Unternehmen im Zusammenhang mit Homeoffice aktuell sehr relevantes Thema ist die Nutzung von Videokonferenztools, um so den Bedarf an notwendigen Abstimmungen decken zu können.

Die Wahl bzw. Entscheidung für ein bestimmtes Videokonferenztool hat zunächst viel mit Vorlieben für die Benutzererfahrung/-oberfläche zu tun. Die Funktionalitäten sind vergleichbar, Unterschiede können sich jedoch z.B. bei der Teilnehmerzahl ergeben.

Daneben sind aus datenschutzrechtlicher Sicht einige Punkte zu beachten. Um den Verantwortlichen die Entscheidung bei der Auswahl eines Anbieters, aber auch bei der konkreten Einrichtung und dem Einsatz zu erleichtern, empfiehlt es sich, die folgenden Punkte zu berücksichtigen:

  • Wird die Videokonferenzlösung eines Dritten eingesetzt, bedarf es in der Regel eines Vertrages zur Auftragsverarbeitung gem. Art. 28 DS-GVO. Diese werden von den Anbietern entweder direkt angeboten oder sollten, falls ein IT-Dienstleister eingebunden ist, mit diesem geschlossen werden. 
  • Erbringt ein Anbieter die Dienstleistung aus einem Drittland (Länder außerhalb der EU/des EWR) heraus oder findet eine Datenübermittlung in eines statt, dann ist dies nur zulässig, wenn das Datenschutzniveau in diesen Ländern den Vorgaben der DS-GVO (s. Art. 44 DS-GVO) entspricht. Ist der Anbieter beispielsweise bereits unter dem EU-US-Privacy-Shield-Abkommen zertifiziert, kann dies bejaht werden.
  • Den Teilnehmern (auch eigenen Mitarbeitern) einer Videokonferenz sollten vorab – also vor dem Betreten eines virtuellen Videokonferenz-/Chatraums – die Informationen gem. Art. 13 DS-GVO über Zwecke, Arten sowie den Umfang einer Verarbeitung von personenbezogenen Daten im Rahmen der Konferenzen zur Verfügung gestellt werden. Einige Anbieter stellen hierfür bereits entsprechende Infoflächen bereit, über welche die Unternehmen ihre Datenschutzhinweise einflechten können oder die Informationen können vor dem Beginn einer Videokonferenz mittels im Vorfeld erfolgter E-Mail-Einladung (etwa zusammen mit dem entsprechenden Zugangslink) bereitgestellt werden.
  • Es sollten Verhaltensregeln für Videokonferenzlösungen in einer internen Richtlinie oder einem Merkblatt festgelegt werden. Hier könnte geregelt werden, wann und für welche Zwecke Anwendungsfunktionen durch den Benutzer verwendet werden dürfen, welche Dateien empfangen/freigegeben werden dürfen, etc.  
  • Die Einstellungen innerhalb des Videokonferenztools sollten möglichst datenschutzfreundlich ausgewählt werden. Insbesondere sollte bei jeglichen Beobachtungs-, Protokoll-, Screen-Sharing- und Aufzeichnungs-Funktionen immer hinterfragt werden, ob diese Funktionen wirklich erforderlich sind.
  • Videokonferenzen dürfen nicht für jedermann zugänglich sein, es bedarf einer Login-Funktion bzw. der Zustimmung des Organisators, damit nur Berechtigte an der Videokonferenz teilnehmen können und so ein Datenabfluss verhindert wird.
  • Der Verarbeitungsprozess für die Nutzung des Konferenzdienstes sollte auch im Verzeichnis von Verarbeitungstätigkeiten (VVT) gem. Art. 30 DS-GVO aufgeführt werden.
     

Erfreulich ist, dass die meisten Anbieter den Abschluss einer Auftragsverarbeitungsvereinbarung von sich aus anbieten. Zudem befinden sich die Server der meisten Anbieter entweder innerhalb der EU oder in den USA, wobei sie sich dem US-Privacy-Shield unterworfen haben, so dass ein angemessenes Datenschutzniveau bis auf Weiteres anzunehmen ist.  Allerdings bieten nicht alle Anbieter auch eine End-zu-End-Verschlüsselung im Standard an.

Fazit

Grundsätzlich lässt sich keine klare Empfehlung für eines der zur Auswahl stehenden Videokonferenztools treffen, insbesondere werden Videokonferenztools durch einzelne Aufsichtsbehörden (aktuell Berlin und Baden-Württemberg) generell als kritisch gesehen.

Aus Sicht des Datenschutzes sind grundsätzlich Dienste zu bevorzugen, die es ermöglichen, die Verarbeitung personenbezogener Daten einzuschränken oder ganz auszuschließen und die eine sichere Nutzer-Authentifizierung und standardmäßig eine Verschlüsselung der Kommunikationskanäle (End-zu-End-Verschlüsselung) bieten.

Eine gute und umfassende Übersicht zu den Best Practice für Homeoffice und für den Einsatz von Videokonferenztools hat das Bayerische Landesamt für Datenschutzaufsicht zur Verfügung gestellt. Diese kann unter

https://www.lda.bayern.de/media/best_practise_homeoffice_baylda.pdf heruntergeladen werden.

Autorin:
Rechtsanwältin Natalia Wozniak
Senior Consultant Data Protection Services
Creditreform Compliance Services GmbH