In Zeiten der Corona-Krise setzen viele Unternehmen auf Homeoffice. Doch auch hier muss die Kommunikation gewährleistet sein. Sei es der Kontakt mit den eigenen Kollegen und Geschäftspartnern, aber auch mit Kunden im In- und Ausland.

Da ein persönlicher Kontakt nicht immer möglich ist, kann und wird dies über Hilfsmittel erfolgen. Erstes Mittel der Wahl ist dabei meist die Videokonferenz. Es gilt auch hier zu beachten, dass dies nicht ohne Risiko ist. Datenschutzrechtliche Aspekte sollten bei der Auswahl eines Videotools in Betracht gezogen werden. Im Folgenden geben wir Hinweise, was zu beachten ist.

Datensicherheit

Hier ist besonders darauf zu achten, dass eine entsprechende Verschlüsselung der Übertragungen erfolgt. Der Anbieter der Video- und Konferenztelefonie sollte zudem die geschäftliche Nutzung in dessen Nutzungsbedingungen gestatten. Die kann jedoch auch mit einer entsprechenden Gebühr verbunden sein.

Das Aufzeichnen bzw. Freigeben von Bildschirmübertragungen sollte stets mit eindeutiger Zustimmung erfolgen und eine heimliche bzw. stille Aufnahme ist zu unterlassen.  

Entsprechende Gesprächsverläufe bzw. Aufzeichnungen müssen grundsätzlich nach Gesprächsende gelöscht werden. Spätestens jedoch nach Erstellung eines Gesprächsprotokolls. Es sei denn, die Teilnehmer haben einer Speicherung zugestimmt. Wird sich keine Einwilligung eingeholt, widerspricht dies den Grundsätzen der Zweckbestimmung und Speicherbegrenzung.

Videokonferenzen ermöglichen unter Umständen auch ein Profiling in Bezug auf das Verhalten der Teilnehmer. Diese Funktion oder Nutzung ist ohne eindeutige Zustimmung der Teilnehmer nicht zulässig und sollte vermieden werden. In den allermeisten Fällen wird Profiling in einer Videokonferenz auch nicht notwendig sein. Es sollte jedoch darauf geachtet werden, dass auch der Anbieter die Videodaten nicht für eigene Proiling-Zwecke nutzt.

Anbieter

Beim Einsatz entsprechender Hilfsprogramme sollte möglichst darauf geachtet werden, Anbieter zu nutzen, welche ihren Sitz in der EU haben. Ist dies nicht möglich oder gewünscht, mangels Funktionalität oder gar Bereitschaft der Teilnehmer entsprechende Software zu nutzen, so sind entsprechende Datenschutzeinstellungen vorzunehmen, damit Mindeststandards eingehalten werden.

Soweit Sie Dienste von Unternehmen in Drittstaaten nutzen ist darauf zu achten, dass diese im Privacy-Shield eingetragen sind, und/oder den Abschluss von Standardvertragsklauseln vorhalten. Sog. „Standard Contractual Clauses (SCC)”. Zu beachten ist außerdem, dass es notwendig sein kann eine Auftragsverarbeitungsvereinbarung mit dem Anbieter abzuschließen. Auch ein Angemessenheitsbeschluss der EU könnte hier greifen und ist zu prüfen.

Zuletzt ist auch eine Einwilligung der Betroffenen möglich. Diese sollte jedoch erst dann eingeholt werden, wenn keine andere Grundlage zu finden ist. Meistens wird jedoch eine Eintragung im Privacy-Shield vorhanden sein, wenn der Anbieter aus den USA stammt.

Häufig genutzte Dienste

• EU-Anbieter aus Deutschland lassen sich u.a. folgende Anbieter feststellen.

Meetgreen, meetyoo, Arkadin DE, TeamViewer und fastviewer.

• In Drittstaaten vorwiegend der USA sind nachfolgende Anbieter vorhanden.
• Anbieter mit Privacy Shield und Standardschutzklauseln (SCC)

Zoom und Cisco WebEx                               

• Anbieter mit Privacy Shield

Google Hangouts / Meet, GoToMeeting, Discord, Microsoft Teams, Skype for Business, Slack, AnyMeeting, Intercall Unified Meeting

• Anbieter ohne Angaben

Twitch

Besonderheiten und Mitarbeit

Bei Rückfragen und Unsicherheit ist stets zu beachten, dass Sie beim Einsatz irgendwelcher Videotelefonie bzw. Konferenzen Rücksprache mit ihrem Datenschutzbeauftragten und der IT halten sollten.

Auch zu beachten gilt, dass —soweit vorhanden— Die Nutzung und Einführung entsprechender Hilfsprogramme die Mitbestimmungsrechte des Betriebs- bzw. Personalrates betreffen und diese zwingend einzubinden sind.

Fazit

Die Kommunikation muss gewährleistet werden. Mithin müssen wir vor allem in Zeiten der Krise auf solche Maßnahmen wie Videokonferenzen zurückgreifen. Daher ist es unserer Ansicht nach derzeit möglich, im Rahmen der Interessenabwägung gem. Art. 6 Abs. 1 lit. f) DS-GVO nahezu jeden Dienst zu nutzen, der nicht offensichtlich gegen Datenschutzbestimmungen verstößt. Es sollten Mindestvoraussetzungen wie die Datensicherheit und die Auswahl der Anbieter berücksichtigt werden. Eine entsprechende Abwägung der Auswahl sollte aber natürlich dokumentiert werden. Soweit Sie Ihren Datenschutzbeauftragten bei Unsicherheiten mit einbeziehen, dürften die meisten Risiken festgestellt und behoben bzw. minimiert werden.