Videokonferenzen im Homeoffice – Checkliste, Rechtsgrundlagen, Anforderungen an die Software

Von zu Hause aus arbeiten – eine Herausforderung für den Datenschutz – Teil 2

FPS_Blog_Videokonferenzen_Header

Von zu Hause aus arbeiten – eine Herausforderung für den Datenschutz

Der erste Teil dieses Beitrags zeigt Ihnen, vor welche Herausforderungen das Arbeiten im Homeoffice Arbeitnehmer und Arbeitgeber stellt. In diesem zweiten Teil erfahren Sie, was Sie beim Planen und Durchführen von Videokonferenzen beachten müssen.

Produkte wie Microsoft Teams, Skype, Zoom oder GoToMeeting bieten die Möglichkeit, auch in Krisenzeiten die Kommunikation unter Kollegen oder zu Kunden mit Videokonferenzen aufrechtzuerhalten. Bevor wir aber auf rechtliche Fragen eingehen, möchte wir Sie auf ein kurzes Video hinweisen, in dem gezeigt wird, was üblicherweise bei Videokonferenzen schief läuft.

Um die Vorgaben der DSGVO einzuhalten, die Rechte der Mitarbeiter zu berücksichtigen und die IT-Sicherheit der Unternehmen zu gewährleisten, sind diverse Faktoren von Bedeutung. Wichtig zu wissen ist dabei, dass Unternehmen, die die Videokonferenztechnik einsetzen, datenschutzrechtlich verantwortlich sind und damit haften. Wenn durch den Softwareanbieter Datenschutzverstöße begangen werden, wie sie aktuell dem Anbieter Zoom, dem Shooting Star dieser Branche, vorgeworfen werden, muss sich dies der Arbeitgeber zurechnen lassen.

1. Checkliste

Die folgenden Prüfungsmaßnahmen müssen Sie vor dem Einsatz einer Videokonferenzsoftware beachten:

  • Abschluss eines Auftragsverarbeitungsvertrags,
  • Beteiligung des Betriebsrates, falls vorhanden, und des Datenschutzbeauftragten,
  • Prüfung der Erforderlichkeit der beispielsweise in Logfiles gespeicherten Daten und der datenschutzfreundlichen Voreinstellungen,
  • Sorgfältige Auswahl des Dienstleisters,
  • Berücksichtigung des Videokonferenz-Tools in den Datenschutzhinweisen für Mitarbeiter.

Dies bedeutet im Einzelnen:

2. Webkonferenz-Tools oft als SaaS-Modell

Die Implementierungsvarianten der jeweiligen Anbieter können sich im Detail unterscheiden. Üblich ist der Einsatz als „Software as a Service“-Modell. Hier stellt der Anbieter die Software und Server-Infrastruktur zur Verfügung. Oft wird nicht einmal mehr separate Software auf dem PC benötigt, da die Konferenzen direkt im Webbrowser laufen.

Mit dem Anbieter ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen, denn er verarbeitet als Plattformbetreiber für seine Kunden personenbezogene Daten und hat auf diese – spätestens im Rahmen der Systemwartung – eine zumindest theoretische Zugriffsmöglichkeit.

3. Rechtsgrundlage für den Einsatz im Unternehmen

Der Arbeitgeber kann sich für die Erhebung und Nutzung der Mitarbeiterdaten über die Konferenz-Tools auf die Rechtsgrundlage des § 26 Abs. 1 BDSG („Datenverarbeitung erforderlich im Rahmen der Zwecke des Arbeitsverhältnisses“) oder – soweit es im Einzelfall an einer Erforderlichkeit fehlt – auf Art. 6 Abs. 1 f) DSGVO („Datenverarbeitung auf Basis berechtigter Interessen des Arbeitgebers“) berufen.

In beiden Fällen ist eine Erforderlichkeitsprüfung und Abwägung der jeweiligen Interessen durchzuführen:

  • Schutzwürdige Interessen des Mitarbeiters, die der Einführung des Videokonferenz-Tools entgegenstehen, liegen dann vor, wenn das Tool auch zur Mitarbeiterüberwachung eingesetzt werden soll. Etwa wenn der Arbeitgeber die Anwesenheitsangaben (anwesend/beschäftigt/abwesend) zur Arbeitszeitkontrolle nutzen möchte.
  • Dient das Tool jedoch ausschließlich der Erleichterung der unternehmensinternen Kommunikation, wovon im Regelfall auszugehen sein dürfte, sind schutzwürdige Interessen des Mitarbeiters, die einer Einführung entgegenstünden, regelmäßig nicht ersichtlich. Somit dürfte das Interesse des Arbeitgebers an der unternehmensweiten Nutzung überwiegen.

4. Einbindung des Betriebsrates

Dem Betriebsrat steht gemäß § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung technischer Systeme zu, die zur Überwachung des Verhaltens und der Leistung der Mitarbeiter geeignet sind. Der Wortlaut des Gesetzes spricht zwar von „bestimmt“ und nicht von „geeignet“, doch nach ständiger arbeitsgerichtlicher Rechtsprechung genügt es bereits, dass die Maßnahme zur Überwachung geeignet ist. Dies dürfte bei Webkonferenz-Tools grundsätzlich der Fall sein, da hier Log-in-Daten erfasst werden und die Teilnahme und Anwesenheit der Mitarbeiter überprüft werden können (ständige Rechtsprechung des Bundesarbeitsgerichts, AP BetrVG 1972 § 87 Überwachung Nr. 2).

Darüber hinaus ist es empfehlenswert, den betrieblichen oder externen Datenschutzbeauftragten mit einzubeziehen.

5. Vorsicht bei der Produktauswahl

Die DSGVO schreibt den Einsatz von datenschutzfreundlicher Technik vor (vgl. Art. 25 DSGVO). Vor diesem Hintergrund sind auf folgende Verfahrens- und Einstellungsmöglichkeiten zu achten:

  • Verschlüsselung: Die Übertragung des generierten Videomaterials an den Empfänger sollte verschlüsselt erfolgen – und zwar nicht nur transportverschlüsselt, sondern end-to-end.
  • Business-Version: Zu klären ist, ob das Produkt für eine Nutzung im geschäftlichen Umfeld vorgesehen ist. Dies hat nicht nur einen lizenzrechtlichen Hintergrund. Auch können Datenschutzeinstellungen von Produkten, die nur im privaten Umfeld genutzt werden dürfen, von Produkten, die zumindest auch im geschäftlichen Umfeld verwendet werden dürfen, abweichen.
  • Freigaben: Bildübertragungen und -aufzeichnungen sollten eine ausdrückliche Zustimmung erfordern und grundsätzlich nach Gesprächsende gelöscht werden.
  • Datenweitergabe: Eine Übermittlung der Daten durch den Anbieter an Social-Media-Plattformen wie Facebook sollte ausgeschlossen sein.
  • Profiling: Eine Funktion, die die Erstellung von Verhaltensprofilen ermöglicht, sollte ausgeschaltet werden (können).

6. Technische Maßnahmen

Die DSGVO nimmt Unternehmen, die auf Videotechnik setzen als datenschutzrechtlich Verantwortlichen auch in technischer Hinsicht in die Pflicht: Sie sind durch die Grundsätze Privacy by Design und Privacy by Default (Art. 25 DSGVO) zum Einsatz einer datenschutzfreundlichen Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen verpflichtet. Hierzu gehören beispielsweise:

  • Die Teilnahme an der Konferenz darf ausschließlich über ein Log-in oder auf Einladung des Organisators erfolgen. Das ist durchaus nicht selbstverständlich, wie eine Videokonferenz des bayerischen Innenministeriums mit Bayerns Innenminister Joachim Herrmann zum Coronavirus zeigt, an der jeder beliebige Internetnutzer teilnehmen konnte, oder das sog. Zoom-Bombing, vor dem sogar Elon Musk Angst hat und vor dem das FBI warnt.
  • Logfiles sollten nur im erforderlichen Maß erstellt werden, beispielsweise für die Fehlerbehebung. Für andere Zwecke dürfte die Speicherung der Daten nicht erforderlich sein, zudem muss die datenschutzkonforme Löschung gesichert sein.
  • Chatverläufe dürfen nur für den benötigten Zeitraum zur Verfügung stehen und müssen anschließend automatisch gelöscht werden.
  • Über die Software ausgetauschte Dokumente dürfen nur für einen solchen Zeitraum gespeichert werden, der es den Teilnehmern ermöglicht, die Unterlagen selbst abzulegen.
  • Eine Aufnahme der Videokonferenz oder auch nur des Gesprächs darf grundsätzlich ausschließlich mit Einwilligung der Teilnehmer möglich sein. Allein wenn Gründe, die sich aus dem Arbeitsfeld ergeben, eine Aufnahme zwingend erforderlich machen, kann dies im Einzelfall zulässig sein.– aber auch nur dann, wenn die Teilnehmer zuvor entsprechend informiert wurden.
  • Videokonferenz-Tools bieten teilweise die Möglichkeit, den Hintergrund vollständig unkenntlich zu machen („zu blurren“). Eine datenschutzrechtliche Pflicht hierzu besteht nicht, die Nutzung dieses Tools fördert aber die Datensparsamkeit.

In organisatorischer Hinsicht sind die Mitarbeiter entsprechend zu informieren und zu sensibilisieren, dass sie beim Desktop Sharing nur solche Dokumente teilen, die für das Thema der Videokonferenz unbedingt erforderlich sind. Ebenfalls wichtig: Auf keinen Fall sollten Benachrichtigungen über neue E-Mails mit einem kleinen Pop-up auf dem geteilten Bildschirm erscheinen. Wird dies nicht beachtet, könnte eine von allen Teilnehmern einsehbare E-Mail eines Teilnehmers nicht nur peinlich sein., sondern sogar eine meldepflichtige Datenpanne im Sinne des Art. 33 DSGVO darstellen.

Auch sind die Datenschutzhinweise des Unternehmens für seine Mitarbeiter um die Datenverarbeitung mittels Videokonferenz zu ergänzen.

7. Videokonferenzsoftware von US-amerikanischen Anbietern

Da in den USA kein Datenschutzstandard besteht, der ohne Weiteres den Anforderungen der DSGVO gerecht wird, muss zumindest das Datenschutzniveau in dem betreffenden Unternehmen den Anforderungen der DSGVO entsprechen. Konkret bedeutet dies für Produkte aus den USA:

Angemessenheitsbeschlüsse der EU-Kommission existieren beispielsweise für die Schweiz, Japan, Kanada und Israel. Software von Anbietern, die die Daten in diesen Ländern speichern, kann also auf Basis eines üblichen Auftragsverarbeitungsvertrages genutzt werden.

8. Fazit

Homeoffice und Videokonferenzen sind derzeit den dramatischen Umständen geschuldet. In normalen Zeiten kann beides eine populäre Möglichkeit zur Vereinbarung von Arbeitszeit und privaten Verpflichtungen für die Mitarbeiter und ein Element zur Mitarbeiterbindung sein. Und, wenn Arbeitsplätze mehrfach genutzt werden können, kann es auch zu einer Kostenersparnis für den Arbeitgeber führen.

Wenn bei der Gestaltung des Heimarbeitsplatzes auf bestimmte Anforderungen eingegangen wird, dann bestehen aus datenschutzrechtlicher Sicht keine Bedenken, und Arbeitgeber und Arbeitnehmer können davon profitieren.

Bei allen rechtlichen Fragen rund um das Thema Corona-Virus helfen wir Ihnen gerne!

Besuchen Sie die Website: https://fps-law.de/corona-task-force/
Schreiben Sie uns: taskforce20@fps-law.de

Teilen Sie diesen Beitrag