Worauf Unternehmen bei Auswahl und Konfiguration von Messenger-Diensten und Videokonferenz-Systemen achten müssen, und wie sie die Kommunikation auch während der Pandemie datenschutzkonform aufrechterhalten.
In Zeiten des Homeoffice erleben Messenger-Dienste sowie Video- und Onlinekonferenz-Tools ungeahnte Nachfrage. Häufig werden sie ohne große Sicherheitsvorkehrungen auf Firmen-Laptops, heimischen PCs, privaten Tablets oder Smartphones eingesetzt. Die Sorglosigkeit im Umgang mit Messenger-Diensten kann für Unternehmen kostspielige Folgen haben. Denn auch in Krisenzeiten gilt die Datenschutzgrund-Verordnung (DSGVO), müssen die personenbezogenen Daten von Mitarbeitern, Kunden und Geschäftspartnern geschützt werden. Das hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einer aktuellen Entschließung zur Corona-Pandemie verdeutlicht.
Ein datenschutzkonformer Einsatz von Messenger-Diensten ist möglich und sollte für Unternehmen Priorität haben. Hierzu sind elf Punkte zu beachten.
1. Wird das Tool nur zur internen oder auch zur externen Kommunikation eingesetzt?
Die erste Frage, die Unternehmen sich stellen sollten ist, ob die Software lediglich für die organisationsinterne Kommunikation eingesetzt werden soll (also zwischen Beschäftigten) oder ob sie auch für Gespräche und Videokonferenzen mit externen Dritten wie Kunden, Lieferanten oder anderen Geschäftspartnern genutzt wird. Daraus können sich unterschiedliche datenschutzrechtliche Fragestellungen ergeben. Insbesondere haben Arbeitgeber mit § 26 Bundesdatenschutzgesetz (BDSG) eine gegebenenfalls eigenständige und spezifische Norm für die Verarbeitung von Beschäftigtendaten. Auch ist der Eingriff in die jeweiligen Persönlichkeitsrechte geringer, wenn dies lediglich in einem internen Beschäftigtenkontext erfolgt.
2. Allgemeine Kriterien bei der Auswahl des Kommunikationstools - Konfiguration maßgeblich
Allgemein gilt das durch Paracelsus bekannte Sprichwort "Die Dosis macht das Gift". Im datenschutzrechtlichen Sinne heißt dies "Die Konfiguration entscheidet maßgeblich". Durch datensparsame und -freundliche Voreinstellungen kann ein Großteil der Anforderungen an einen datenschutzkonformen Einsatz von Kommunikationsdiensten umgesetzt werden. Mit Art. 25 DSGVO schreibt diese vor, dass "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" gewährleistet werden muss. Bei der Auswahl des passenden Dienstleisters sollte insbesondere auf die nachstehenden datenschutzrechtlichen Kriterien geachtet werden:
Verschlüsselung - am besten Ende-zu-Ende- statt Transport-Verschlüsselung.
Geschäftsnutzung - die geschäftliche Nutzung des Dienstes sollte gemäß den Nutzungsbedingungen erlaubt sein, gegebenenfalls ist eine Business-/Enterprise-Lizenz zu erwerben.
Regulierung des Ton- bzw. Bildmitschnitts - einige Tools bieten diese Funktionen standardmäßig an. Solche Funktionen sollten grundsätzlich durch den Administrator deaktiviert werden. Hier gilt es insbesondere, die strafrechtlich geschützte Vertraulichkeit des Wortes und den Schutz des höchstpersönlichen Lebensbereichs vor Bildaufnahmen zu gewährleisten.
Freigaben - sofern Bildschirmübertragung oder sogar Aufzeichnung erforderlich sein sollten, ist hier die vorherige Einwilligung der Teilnehmer einzuholen.
Protokolle und Log-Aufzeichnungen - Gesprächsverläufe und sonstige Log-Aufzeichnungen sollten grundsätzlich nach Gesprächsende gelöscht werden.
Profiling - es sollten keine Verhaltensprofile der Teilnehmer gebildet werden bzw. diese Funktion sollte abgeschaltet werden können.
Metadaten - der Anbieter sollte weder Metadaten (wer hat wann mit wem kommuniziert) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswerten oder an Dritte weitergeben. Hierfür kann sich ein Blick in die Datenschutzerklärung des Dienstanbieters lohnen.
Wasserzeichen oder Verpixelung des Hintergrunds - diese, teilweise auch als "Blur"-Funktion bezeichnete Einstellung, ermöglicht es, den Hintergrund bei Videotelefonie und -konferenzen für die anderen Gesprächsteilnehmer unkenntlich zu machen und somit die Rechte Dritter (zum Beispiel Familienmitglieder) zu schützen (beispielsweise werden so keine Bilder an den Wänden in Klarsicht angezeigt).
Einrichtung von Zugangsbeschränkungen - vorheriger Login durch die Teilnehmer mit beispielsweise Zugangspin oder entsprechender Einzelfallfreigabe durch den Organisator des Gespräches
EU-Dienste vorziehen beziehungsweise Dienste nutzen, deren Server in der EU liegen.
Am besten sind On-Premises-Lösungen - also im eigenen Rechenzentrum gehostet.
Als grundsätzlich datenschutzfreundlich werden seitens deutscher Datenschutzbehörden insbesondere folgende Dienste bewertet:
Jitsi Meet
RocketChat
Nextcloud Talk
Matrix
3. Spezielle Anforderungen an Apps
Sollen Messenger-Dienste oder Video- und Onlinekonferenz-Tools als App auf Mobiltelefonen oder Tablets genutzt werden, gilt es, folgende zusätzliche Anforderungen zu beachten:
Einsatz aktueller Software-Versionen.
Keine automatisierte Synchronisation des Adressbuchs.
Sicherstellung, dass Chat-Anhänge nicht in der Mediathek des Endgeräts gespeichert werden beziehungsweise Dritt-Applikationen keinen Zugriff darauf haben.
Einsatz sog. Container-Lösungen beziehungsweise Sandboxing.
Deaktivierung von Cloud-Backups.
Ausreichende Absicherung der Endgeräte (Zugriffssperre, Verschlüsselung).
Einen ausführlichen Prüfkatalog für den technischen Datenschutz bei Apps, der als zusätzliche Orientierung dienen kann, hat das Bayerische Landesamt für Datenschutzaufsicht veröffentlicht.
In diesem Zusammenhang wird häufig gefragt, inwieweit WhatsApp als einer der verbreitetsten Messenger-Dienste für die in- beziehungsweise externe Kommunikation aus datenschutzrechtlicher Sicht genutzt werden kann. Während einige deutsche Datenschutzbehörden den betrieblichen bzw. geschäftlichen Einsatz von WhatsApp grundsätzlich für datenschutzwidrig halten, erachten andere Datenschutzbehörden den Einsatz unter den oben genannten Voraussetzungen für möglich. Um Risiken zu vermeiden, empfiehlt es sich, Alternativen wie Threema, SIMSme, Wire, Hoccer oder Chiffry zu nutzen.
4. Spezielle Anforderungen im Gesundheitsbereich
Für den Einsatz von Messenger-Diensten oder Video- und Onlinekonferenz-Tools im Gesundheitsbereich gelten gesonderte Anforderungen, soweit (auch) Gesundheitsdaten verarbeitet werden. Die deutschen Datenschutzbehörden haben Ende 2019 ein ausführliches Whitepaper zu den technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich veröffentlicht, das analog auch für den restlichen Gesundheitsbereich gilt und auf das an dieser Stelle verwiesen wird.
5. Schwachstelle Mensch: Die beste Technik hilft nicht ohne begleitende organisatorische Maßnahmen
Neben diesen vorwiegend technischen Maßnahmen gilt es seitens der Organisation auch, den Datenschutz durch begleitende organisatorische Maßnahmen zu flankieren. Diverse Studien haben gezeigt, dass insbesondere der Mensch (Stichwort "Human Error") Schwachstelle Nummer eins darstellt und Hauptursache für Datenpannen ist. Folgende risikominimierende organisatorische Maßnahmen sind empfehlenswert:
Richtlinie/Policy - soweit noch nicht vorhanden, sollten Art und Weise sowie Grenzen der Nutzung der Kommunikationstools in einer internen Richtlinie festgehalten und beschrieben werden. Besteht ein Betriebs- oder Personalrat, bietet sich eine Betriebs- bzw. Dienstvereinbarung an.
Schulung und Sensibilisierung - ein prägnanter Flyer mit den wichtigsten Hinweisen oder in größeren Organisationen ein Online-Training sind hier Mittel der Wahl.
Es gilt zu beachten, dass die hier dargestellten technischen und organisatorischen Maßnahmen (TOM) lediglich eine allgemeine und generelle Empfehlung für alle Kommunikationstools darstellen. Je nach Verwendungszweck (in-/extern, Einzel-/Gruppenkommunikation, Ton-/Bildübertragung) und Medium (Browser, Computer, Tablet/Mobiltelefon) können gegebenenfalls zusätzliche beziehungsweise andere Anforderungen gelten.
6. Datenschutzhinweise
Die Gesprächsteilnehmer (sowohl Mitarbeiter als auch externe Kommunikationsteilnehmer) sollten entsprechend Art. 13 und 14 DSGVO vor der Gesprächsteilnahme über die Verarbeitung ihrer personenbezogenen Daten aufgeklärt werden. Es muss unter anderem über Zweck, Umfang und Dauer der Verarbeitung sowie über die Empfänger der Daten (in einem Drittland inklusive der Garantie eines angemessenen Datenschutzniveaus, soweit gegeben) informiert werden.
In der Praxis hat sich bewährt, die Datenschutzhinweise im Rahmen von (Video)Konferenzen als Link in der Einladung zum Meeting und/oder auf der Login-Seite zur Verfügung zu stellen. Bei reinen Messenger-/Chat-Tools wäre es angemessen, die Datenschutzhinweise unmittelbar bei der Installation oder als Link in einer automatischen Nachricht bei der ersten Kontaktaufnahme zu übermitteln.
Entgegen immer noch weitverbreiteten Irrglaubens muss in derlei Datenschutzhinweise weder eingewilligt werden, noch sind diese in irgendeiner Weise aktiv zu bestätigen, um den entsprechenden Nachweispflichten der DSGVO nachzukommen.
7. Beteiligung von Mitarbeitervertretung und Datenschutzbeauftragten
Betriebs- oder Personalrat sind vor dem Einsatz der Dienste mit einzubinden, da sich die Tools grundsätzlich eignen, das Verhalten oder die Leistung der Beschäftigten zu überwachen (§ 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz - BetrVG).
Daneben sollte auch der Datenschutzbeauftragte, soweit benannt, bereits bei der Auswahl geeigneter Kommunikationstools einbezogen werden. Datenschutzbeauftragte können entsprechende Empfehlungen zu Themen wie Datenschutz durch Technikgestaltung und datenschutzfreundlichen Voreinstellungen, technischen und organisatorischen Maßnahmen (TOM) oder Datenschutzhinweisen geben.
8. Vertragliche Flankierung - Auftragsverarbeitungsvertrag (AVV) versus Vereinbarung zur gemeinsamen Verantwortlichkeit (GVV)
Üblicherweise sind die Anbieter von Messenger-Diensten sowie Video- und Onlinekonferenz-Tools als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO zu qualifizieren. Das heißt, sie verarbeiten die personenbezogenen Daten nur nach und im Rahmen von entsprechenden Weisungen des Auftraggebers - fungieren also als "verlängerter Arm" der Organisation bei der Datenverarbeitung. Liegt eine solche Auftragsverarbeitung vor, ist Folgendes zu beachten:
Abschluss eines Auftragsverarbeitungsvertrages - dieser muss die Anforderungen des Art. 28 DSGVO erfüllen. Die meisten Diensteanbieter stellen entsprechende Vertragsmuster zur Verfügung. Vereinzelt ist der AVV bereits Bestandteil der AGB des Dienstleisters und wird mit Nutzung des Service akzeptiert. Ob letztere Praxis jedoch rechtswirksam ist, wurde noch nicht abschließend durch Gerichte geklärt - ein Restrisiko verbleibt.
Prüfung der Dienstleister - Art. 28 Abs. 1 DSGVO schreibt zudem vor, dass nur solche Dienstleister ausgewählt und beauftragt werden dürfen, die hinreichende Garantien bieten, dass geeignete technische und organisatorische Maßnahmen ergriffen wurden. Insoweit sind die TOM der Dienstleister im Vorfeld der Beauftragung zu überprüfen. Hierbei unterstützt der in- oder externe Datenschutzbeauftragte.
Sofern manche Anbieter zwar eine Kommunikationsplattform anbieten, jedoch keine vollständige Kontrolle über die Daten der Kommunikationspartner haben und diese Daten für eigene Zwecke auswerten sowie gegebenenfalls den Nutzern entsprechende Nutzerstatistiken zur Verfügung stellen (ähnlich einer Facebook-Fanpage), wäre anstelle eines AVV wohl eher der Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO geboten.
9. Datenübermittlung in Länder außerhalb der Europäischen Union (EU) bzw. Europäischen Wirtschaftsraums (EWR) - Herstellung eines angemessenen Datenschutzniveaus
Werden über die Kommunikationsdienste personenbezogene Daten in Länder außerhalb der EU/des EWR (sog. "Drittländer") übermittelt, muss ein angemessenes Datenschutzniveau sichergestellt werden. Hier gilt zu beachten, dass nicht nur das aktive Übertragen von Daten eine solche Übermittlung darstellt, sondern bereits die theoretische Zugriffsmöglichkeit des Dienstleisters im Drittland (beispielsweise via Fernwartung). Werden also Tools eingesetzt, deren Server außerhalb der EU/des EWR stehen beziehungsweise haben die Anbieter des Tools oder der Softwarelösung ihren Sitz in Drittländern, müssen weitere Maßnahmen getroffen werden, um ein adäquates Datenschutzniveau zu gewährleisten:
Angemessenheitsbeschluss der Kommission (so zum Beispiel für die Schweiz, Japan oder Kanada)
Abschluss entsprechender Standarddatenschutzklauseln
Für Datenübermittlungen in die USA: Eine Zertifizierung unter dem EU-US Privacy Shield
10. Verzeichnis der Verarbeitungstätigkeiten (VVT)
Art. 30 Abs. 1 S. 1 DSGVO legt fest, dass jeder datenschutzrechtlich Verantwortliche eine entsprechende Datenschutzdokumentation (ein so genanntes Verzeichnis von Verarbeitungstätigkeiten, kurz VVT) zu führen hat. In dieses VVT sind auch die Verarbeitungsprozesse eingesetzter Kommunikationstools aufzunehmen. Soweit man schon Datenschutzhinweise erstellt hat, können die jeweiligen Informationen hieraus für das VVT verwendet werden, da vollständige Datenschutzhinweise üblicherweise alle notwendigen Informationen für einen Eintrag im VVT bereits enthalten. Die deutschen Datenschutzbehörden haben beispielsweise ein Muster für Verantwortliche veröffentlicht.
11. Durchführung einer Datenschutz-Folgenabschätzung
Für manche Verarbeitungstätigkeiten, etwa wenn Video- oder Audio-Aufnahmen automatisiert ausgewertet werden, zur Bewertung der Persönlichkeit der Betroffenen oder für andere Arten von Profiling, muss das Unternehmen gegebenenfalls eine so genannte Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO vornehmen. Die DSFA ist eine Art datenschutzrechtliche Risikoevaluation aus der risikominimierende Maßnahmen hervorgehen. Die deutschen Datenschutzbehörden haben eine Liste der Verarbeitungstätigkeiten veröffentlicht, für die eine DSFA durchzuführen ist.
Die Aufgaben des Datenschutzbeauftragten
Unternehmen müssen ein ganzes Bündel an Maßnahmen beachten, wenn sie Messenger-Dienste oder Video- und Onlinekonferenz-Tools einsetzen. Es empfiehlt sich, vor dem Einsatz solcher Dienste, Experten wie den Datenschutzbeauftragten, IT-Spezialisten und gegebenenfalls zusätzliche Rechtsberater einzubinden, um mögliche Compliance-Risiken zu minimieren und die Rechte und Freiheiten von Mitarbeitern, Kunden und Geschäftspartnern zu schützen.