Immer mehr Unternehmen greifen zurück auf Online-Medien, um ihre Unternehmen aufrecht zu erhalten und ihre Mitarbeiter in Zeiten von Corona zu schützen. So wird auf Tools wie Zoom, Skype oder Slack zurückgegriffen.

Doch auch hier ist einiges zu beachten, wenn es um die Einhaltung der Datenschutzgrundverordnung (DSGVO) geht. Wir zeigen Ihnen, wie die Vorgaben beachtet werden können und warum es wichtig, einen sicheren Dienst auszusuchen.

Werden Video- und Konferenzdienste für persönliche und familiäre Zwecke benutzt und berufliche und amtliche Zwecke dadurch nicht verfolgt, kommt die DSGVO nicht zur Anwendung. Dies ergibt sich aus Art. 2 Abs. 2 lit. c DSGVO. 

Was zu beachten ist

Die DSGVO besagt, dass der Datenschutz durch die Technikgestaltung und die datenschutzfreundlichen Voreinstellungen zu gewährleisten ist (vgl. Art. 25 DSGVO). Dabei müssen in diesem Sinne bereits bei der Auswahl folgende Dinge beachtet werden.

Zum einen ist zu empfehlen, dass EU-Dienste ausgewählt werden, da diese in der Regel den europäischen Vorgaben zum Datenschutz entsprechen. Hinzukommt, dass ein Dienst gewählt werden sollte, der datenschutzfreundliche Einstellungen zur Wahl stellt. 

Hinzukommt, dass die Daten verschlüsselt versendet werden sollten, um ein Lesen der Daten durch Dritte zu vermeiden. Das Tool sollte zudem für die Geschäftsnutzung zugelassen bzw. die geschäftliche Nutzung sollte erlaubt sein. Prüfen Sie, ob es zumindest eine bezahlte Version gibt und nutzen Sie diese. 

Auch sollten Bildschirmübertragungen oder Aufzeichnungen im Vorfeld einer ausdrücklichen Zustimmung bedürfen, um so Missbrauch zu vermeiden. Hinzukommt, dass darauf geachtet werden sollte, dass Protokolle und Aufzeichnungen nach Gesprächsende gelöscht werden und keine Verhaltensprofile der Teilnehmer erstellt bzw. eine Funktion dahingehend ausgeschaltet werden kann. 

Meinung von Betriebs- oder Personalrat sowie Datenschutzbeauftragten einholen

Zu empfehlen ist es, seinen Datenschutzbeauftragten bei der Auswahl desgeeigneten Dienstes einzuschalten und sich mit diesem zu beratschlagen. Dasselbe gilt für Betriebs- und Personalrat. Diese müssen gemäß  § 87 Abs. 1 Nr. 6 BetrVG dem Einsatz des Dienstes zustimmen. Die Zustimmung ist deswegen zwingend, da die Konferenzdienste sich zur Überwachung der Mitarbeiter objektiv eignen, selbst wenn dies nicht geplant ist. 

Achtung bei Anbietern aus Drittländern

Als Drittländer sind Länder außerhalb der EU zu verstehen. Sollte sich ein Unternehmen entscheiden, einen Anbieter aus einem Drittland in Anspruch zu beauftragen, muss sichergestellt sein, dass das das Datenschutzniveau in diesen Ländern den Anforderungen der DSGVO entspricht (Art. 44 bis 49 DSGVO).

Unter bestimmten Voraussetzungen können Anbieter aus Drittländern bereits aufgrund bereits vollzogenen Prüfungsprozess unbedenklich verwendet werden. 

Wenn die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat, kann das jeweilige Tool bestimmter Staaten genutzt werden. So existieren sogenannte Angemessenheitsbeschlüsse für z. B. die Schweiz, Neuseeland, Andorra und Argentinien. 

Wenn Unternehmen über ein Privacy-Shield-Zertifikat verfügt, kann auch dann ein angemessenes Datenschutzniveau angenommen werden. 

Sogenannte Standard Contractual Clauses (SCC) sind vorgefertigte Standardschutzklauseln, die den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus verpflichten. 

Wenn Betroffene ihre Einwilligung erteilen, kann die Einhaltung des Datenschutzniveaus angenommen werden. Allerdings sind Mitarbeiter besonders geschützt, sodass die Einwilligung von ihnen nur dann wirksam ist, wenn keine anderweitigen Dienste in Betracht kamen, die datenschutzfreundlicher gewesen wären. Dies nachzuweisen obliegt dem jeweiligen Unternehmen. 

Abschluss eines Auftragsverarbeitungsvertrages

Dienstleister sind auch gleichzeitig als Auftragsverarbeiter zu verstehen, wenn sie personenbezogene Daten Ihrer Kunden oder Mitarbeiter für Sie verarbeiten.  So sind Anbieter von Video- und Onlinekonferenzdiensten grundsätzlich als Auftragsverarbeiter anzusehen. 

Dabei sind auch hier einige Punkte zu beachten, um alles rechtswirksam von statten lassen gehen zu können. Zum einen muss ein Auftragsverarbeitungsvertrag geschlossen werden gemäß Art. 28 DSGVO und zum anderen muss die Prüfung technischer und organisatorischer Maßnahmen sowie Subunternehmer durch Sie vorgenommen werden. 

Datenschutzfreundliche Voreinstellungen

Wenn ein Dienst in Anspruch genommen werden soll, sollte die Einstellung möglichst datenschutzfreundlich ausgewählt werden (vgl. Art. 25 Abs. 2 DSGVO). In diesem Sinne sollte immer eine Erforderlichkeitsprüfung durchgeführt werden, die bei jeglichen Tracking-, Beobachtungs-, Protokoll-, Screen-Sharing- und Aufzeichnungs-Funktionen prüfen soll, ob diese Funktionen wirklich erforderlich sind. 

Datenschutzhinweise notwendig

Auch zu Zeiten von Corona ist das Unternehmen, dass sich solcher Dienste bedient, verpflichtet, die Kommunikationsteilnehmer unter anderem über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten im Rahmen der Online-Meetings aufzuklären (Art. 12, 13 DSGVO).

Auf die dahingehend geänderte oder verfasste Datenschutzerklärung kann per Link z. B. auf Login-Seiten oder in Einladungen zu einem Online-Meeting hingewiesen werden.

Fazit

Es wird deutlich, dass auch zu Zeiten von Corona die datenschutzrechtlichen Maßgaben und Bestimmungen einzuhalten und zu berücksichtigen sind. Daher sollten die vorstehenden Dinge beachtet werden und die Überprüfung hinreichend protokolliert werden. 

Wir helfen Ihnen gerne! Wenn Sie Fragen zur Umsetzung der DSGVO haben, können Sie sich gerne unverbindlich an unsere Kanzlei wenden. Kennen Sie schon unser Rechtsprodukt „DSGVO Website Update“? Diese bietet Ihnen eine Prüfung Ihrer Webseite auf DSGVO-Konformität und anschließende Überarbeitung der Inhalt zum Festpreis. Informieren Sie sich gern hier über unseren Service.