Zoom, Skype, Teams & Co. – datenschutzrechtliche Kriterien bei der Wahl eines Videokonferenz-Tools
Hintergrund
Die meisten Unternehmen haben aufgrund der Corona-Pandemie inzwischen zumindest einem Teil ihrer Mitarbeiter die Arbeit im Homeoffice ermöglicht und persönliche Treffen mit Geschäftspartnern und Kunden abgesagt. Um dennoch die Zusammenarbeit und einen Austausch zu realisieren, setzen immer mehr Unternehmen auf Tools, mit denen sich Telefon- oder Videokonferenzen durchführen lassen.
Neben dem Funktionsumfang und dem Preis für die Tools spielt auch der Datenschutz der Anbieter im Auswahlprozess eine wichtige Rolle. Vorschnelle Entscheidungen bei der Auswahl des Dienstleisters könnten zu unnötigen Sicherheitsrisiken für die Unternehmensdaten führen. Die nachfolgenden Kriterien sollten Sie daher bei der Auswahl Ihres Dienstleisters beachten.
Sitz des Anbieters
Viele Anbieter der Videokonferenz-Tools sitzen in Drittländern. Bei der Übermittlung personenbezogener Daten an einen Anbieter in einem Drittland muss ein mit dem europäischen Datenschutz vergleichbarer Schutz sichergestellt werden. Liegt kein Angemessenheitsbeschluss der Europäischen Kommission für das Drittland vor, kann beispielsweise mit den Standardvertragsklauseln der Europäischen Kommission gearbeitet werden. Insbesondere sollten US-Anbieter nicht unbedacht gewählt werden. Das EU-US-Privacy Shield wurde vom EuGH aufgehoben und kann nicht mehr als Sicherheit für ein angemessenes Datenschutzniveau herangezogen werden. Auch die Standardvertragsklauseln sollen ohne zusätzliche Sicherungsmethoden (z.B. Verschlüsselung) nicht ausreichend sein.
Bei der Wahl eines europäischen Dienstleisters sind diese Maßnahmen nicht erforderlich, da diese sich ohnehin an die Vorschriften der Datenschutz-Grundverordnung (DSGVO) halten müssen. Daher sollte vermehrt der Einsatz europäischer Anbieter in Betracht gezogen werden.
Vereinbarung zur Auftragsverarbeitung abschließen
Mit dem Anbieter des Konferenz-Tools ist der Abschluss einer Vereinbarung zur Auftragsverarbeitung zwingend notwendig. Teilweise ist diese bereits in den Vertragsunterlagen integriert, teilweise muss eine solche ausdrücklich angefragt werden und bei manchen Anbietern ist der Abschluss nicht möglich. Für die „Gratis-Tools“ liegen häufig keine Vereinbarungen zur Auftragsverarbeitung vor, da diese kostenlosen Programme regelmäßig nicht für den Unternehmenseinsatz bestimmt sind. Diese Tools lassen sich nicht datenschutzkonform verwenden. Liegt eine Vereinbarung vor, dürfen die Anbieter die Daten dann nur nach Ihrer Weisung verarbeiten und nicht zu eigenen Zwecken verwenden oder an Dritte übermitteln.
Pflichtinformation für Mitarbeiter und andere Gesprächspartner
Den Mitarbeitern und anderen Gesprächspartnern sind die datenschutzrechtlichen Pflichtinformationen gemäß Art. 13, 14 DSGVO bereitzustellen, wenn durch das eingesetzte Tool personenbezogene Daten gesammelt oder die vorhandenen Daten zu weiteren Zwecken verarbeitet werden.
Arbeitsanweisungen an Mitarbeiter
Informieren Sie Ihre Mitarbeiter darüber, wie sie das neue Konferenz-Tool benutzen dürfen. Manche Tools haben Funktionen, die regelmäßig nur mit Einwilligung der Nutzer aktiviert werden dürfen. Beispielsweise betrifft dies Funktionen, die ein Tracking der Aufmerksamkeit der Nutzer oder eine Aufzeichnung der Konferenz ermöglichen. Eine Nutzung dieser Funktionen ohne Einwilligung der Gesprächspartner führt in der Regel zu einem Datenschutzverstoß. Die Voreinstellungen des Tools sind datenschutzfreundlich zu wählen.
Einbeziehung des Betriebsrats
Gegebenenfalls ist das gewählte Tool mitbestimmungspflichtig. Denken Sie in diesem Fall daran, den Betriebsrat einzubeziehen.
Prüfung der Sicherheit des Anbieters
Es muss geprüft werden, ob der Anbieter hinreichende technische und organisatorische Sicherungsmaßnahmen eingerichtet hat, die den Schutz der übermittelten Daten gewährleisten.
Besonderheit für Berufsgeheimnisträger
Berufsgeheimnisträger haben darauf zu achten, dass der Anbieter des Tools eine Verpflichtung auf die berufsrechtliche Verschwiegenheit unterzeichnet.
Alternativ können Sie sich auch für ein Konferenz-Tool entscheiden, das Sie auf Ihren eigenen Servern hosten. Dies stellt eine äußerst datenschutzfreundliche Variante dar. Es müssen jedoch ausreichende Kapazitäten und Schutzvorkehrungen bei Ihnen vorhanden sein, um die reibungslose Funktion zu ermöglichen und zugleich sicher zu agieren.
Gerne unterstützen wir Sie bei Ihrer Entscheidung zwischen Zoom, GoToMeeting, TeamViewer, Skype, Microsoft Teams, Slack oder einem Tool der anderen zahlreichen Anbieter. Hierbei ist es wichtig, sich auch mit den gegen einzelne Anbieter vorgetragenen Datenschutzbedenken auseinanderzusetzen und diese zu bewerten. Teilweise gibt es hierzu inzwischen bereits Nachbesserungen, teilweise kann auch über die Einstellungen ein höheres Datenschutzniveau erreicht werden.