Sieben Datenschutz-Tipps für den Video-Chat

Dass der Mitarbeiter sich dem Chef versehentlich im Muskelshirt zeigt, gehört zu den geringeren Gefahren beim Video-Chat im Home-Office. Schwerwiegender, und für Organisationen und Firmen sehr kostspielig, dürften hingegen Verstöße gegen den Datenschutz sein. Wir zeigen, worauf Unternehmen bei der Auswahl und Konfiguration von Messenger-Diensten und Video-Konferenzen achten müssen und wie sie die Kommunikation auch in Corona-Zeiten datenschutzkonform aufrechterhalten.

In Zeiten des Home-Office erleben Messenger-Dienste sowie Video- und Onlinekonferenz-Tools ungeahnte Nachfrage. Häufig werden sie ohne große Sicherheitsvorkehrungen auf Firmen-Laptops, heimischen PCs, privaten Tablets oder Smartphones eingesetzt. Die Sorglosigkeit im Umgang mit Messenger-Diensten kann für Unternehmen kostspielige Folgen haben. Denn auch in Krisenzeiten gilt die Datenschutzgrund-Verordnung (DSGVO), müssen die personenbezogenen Daten von Mitarbeitern, Kunden und Geschäftspartnern geschützt werden. Das hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einer aktuellen Entschließung zur Corona-Pandemie verdeutlicht.

Ein datenschutzkonformer Einsatz von Video-Chat und Messenger-Diensten ist möglich und sollte Priorität haben. Worauf Unternehmen achten müssen, fasst Dr. Frank Schemmel, Jurist und Head of Privacy (Corporate) beim Unternehmen für Datenschutz DataGuard in sieben Punkten zusammen.

1. Wird das Tool nur zur internen oder auch zur externen Kommunikation eingesetzt?

Die erste Frage, die Unternehmen sich stellen sollten ist, ob die Software lediglich für die organisationsinterne Kommunikation, also zwischen Beschäftigten eingesetzt werden soll oder ob sie auch für Gespräche und Videokonferenzen mit externen Dritten wie Kunden, Lieferanten oder anderen Geschäftspartnern genutzt wird. Daraus können sich unterschiedliche datenschutzrechtliche Fragestellungen ergeben. Arbeitgeber haben nach § 26 Bundesdatenschutzgesetz (BDSG) eine gegebenenfalls eigenständige und spezifische Norm für die Verarbeitung von Beschäftigtendaten. Auch ist der Eingriff in die jeweiligen Persönlichkeitsrechte geringer, wenn dies lediglich in einem internen Beschäftigtenkontext erfolgt.

2. Allgemeine Kriterien bei der Auswahl des Kommunikationstools – Konfiguration maßgeblich

Allgemein gilt das durch Paracelsus bekannte Sprichwort „Die Dosis macht das Gift“. Im datenschutzrechtlichen Sinne heißt dies „Die Konfiguration entscheidet maßgeblich“. Durch datensparsame und -freundliche Voreinstellungen kann ein Großteil der Anforderungen an einen datenschutzkonformen Einsatz von Kommunikationsdiensten umgesetzt werden. Mit Art. 25 DSGVO schreibt diese vor, dass „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ gewährleistet werden muss. Bei der Auswahl des passenden Dienstleisters sollte insbesondere auf die nachstehenden datenschutzrechtlichen Kriterien geachtet werden:

  • Verschlüsselung – am besten Ende-zu-Ende- statt Transport-Verschlüsselung.
  • Geschäftsnutzung – die geschäftliche Nutzung des Dienstes sollte gemäß den Nutzungsbedingungen erlaubt sein, gegebenenfalls ist eine Business-/Enterprise-Lizenz zu erwerben.
  • Regulierung des Ton- bzw. Bildmitschnitts – einige Tools bieten diese Funktionen standardmäßig an. Solche Funktionen sollten grundsätzlich durch den Administrator deaktiviert werden. Hier gilt es insbesondere, die strafrechtlich geschützte Vertraulichkeit des Wortes und den Schutz des höchstpersönlichen Lebensbereichs vor Bildaufnahmen zu gewährleisten.
  • Freigaben – sofern Bildschirmübertragung oder sogar Aufzeichnung erforderlich sein sollten, ist hier die vorherige Einwilligung der Teilnehmer einzuholen.
  • Protokolle und Log-Aufzeichnungen – Gesprächsverläufe und sonstige Log-Aufzeichnungen sollten grundsätzlich nach Gesprächsende gelöscht werden.
  • Profiling – es sollten keine Verhaltensprofile der Teilnehmer gebildet werden bzw. diese Funktion sollte abgeschaltet werden können.
  • Metadaten – der Anbieter sollte weder Metadaten (wer hat wann mit wem kommuniziert) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswerten oder an Dritte weitergeben. Hierfür kann sich ein Blick in die Datenschutzerklärung des Dienstanbieters lohnen.
  • Wasserzeichen oder Verpixelung des Hintergrunds – diese, teilweise auch als „Blur“-Funktion bezeichnete Einstellung, ermöglicht es, den Hintergrund bei Videotelefonie und -konferenzen für die anderen Gesprächsteilnehmer unkenntlich zu machen und somit die Rechte Dritter (zum Beispiel Familienmitglieder) zu schützen (beispielsweise werden so keine Bilder an den Wänden in Klarsicht angezeigt).
  • Einrichtung von Zugangsbeschränkungen – vorheriger Login durch die Teilnehmer mit beispielsweise Zugangs-Pin oder entsprechender Einzelfallfreigabe durch den Organisator des Gespräches
  • EU-Dienste vorziehen beziehungsweise Dienste nutzen, deren Server in der EU liegen.
  • Am besten sind On-Premise Lösungen – also im eigenen Rechenzentrum gehostet.

Als grundsätzlich datenschutzfreundlich werden seitens deutscher Datenschutzbehörden insbesondere folgende Dienste bewertet:

 3. Spezielle Anforderungen an Apps

Sollen Messenger-Dienste oder Video- und Onlinekonferenz-Tools als App auf Mobiltelefonen oder Tablets genutzt werden, gilt es, folgende zusätzliche Anforderungen zu beachten:

  • Einsatz aktueller Software-Versionen.
  • Keine automatisierte Synchronisation des Adressbuchs.
  • Sicherstellung, dass Chat-Anhänge nicht in der Mediathek des Endgeräts gespeichert werden beziehungsweise Dritt-Applikationen keinen Zugriff darauf haben.
  • Einsatz sog. Container-Lösungen beziehungsweise das sogenannte Sandboxing.
  • Deaktivierung von Cloud-Backups.
  • Ausreichende Absicherung der Endgeräte (Zugriffssperre, Verschlüsselung).

Einen ausführlichen Prüfkatalog für den technischen Datenschutz bei Apps, der als zusätzliche Orientierung dienen kann, hat das Bayerische Landesamt für Datenschutzaufsicht veröffentlicht.

In diesem Zusammenhang wird häufig gefragt, inwieweit WhatsApp als einer der verbreitetsten Messenger-Dienste für die in- beziehungsweise externe Kommunikation aus datenschutzrechtlicher Sicht genutzt werden kann. Während einige deutsche Datenschutzbehörden den betrieblichen bzw. geschäftlichen Einsatz von WhatsApp grundsätzlich für datenschutzwidrig halten, erachten andere Datenschutzbehörden den Einsatz unter den oben genannten Voraussetzungen für möglich. Um Risiken zu vermeiden, empfiehlt es sich, Alternativen wie Threema, SIMSme, Wire, Hoccer oder Chiffry zu nutzen.

4. Spezielle Anforderungen im Gesundheitsbereich

Für den Einsatz von Messenger-Diensten oder Video- und Onlinekonferenz-Tools im Gesundheitsbereich gelten gesonderte Anforderungen, soweit (auch) Gesundheitsdaten verarbeitet werden. Die deutschen Datenschutzbehörden haben Ende 2019 ein ausführliches Whitepaper zu den technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich veröffentlicht, das analog auch für den restlichen Gesundheitsbereich gilt und auf das an dieser Stelle verwiesen wird.

5. Schwachstelle Mensch: Die beste Technik hilft nicht ohne begleitende organisatorische Maßnahmen

Neben diesen vorwiegend technischen Maßnahmen gilt es seitens der Organisation auch, den Datenschutz durch begleitende organisatorische Maßnahmen zu flankieren. Diverse Studien haben gezeigt, dass insbesondere der Mensch (Stichwort „Human Error“) Schwachstelle Nummer eins darstellt und Hauptursache für Datenpannen ist. Folgende risikominimierende organisatorische Maßnahmen sind empfehlenswert:

  • Richtlinie/Policy – soweit noch nicht vorhanden, sollten Art und Weise sowie Grenzen der Nutzung der Kommunikationstools in einer internen Richtlinie festgehalten und beschrieben werden. Besteht ein Betriebs- oder Personalrat, bietet sich eine Betriebs- bzw. Dienstvereinbarung an.
  • Schulung und Sensibilisierung – ein prägnanter Flyer mit den wichtigsten Hinweisen oder in größeren Organisationen ein Online-Training sind hier Mittel der Wahl.

Es gilt zu beachten, dass die hier dargestellten technischen und organisatorischen Maßnahmen (TOM) lediglich eine allgemeine und generelle Empfehlung für alle Kommunikationstools darstellen. Je nach Verwendungszweck (in-/extern, Einzel-/Gruppenkommunikation, Ton-/Bildübertragung) und Medium (Browser, Computer, Tablet/Mobiltelefon) können gegebenenfalls zusätzliche bzw. andere Anforderungen gelten.

6. Auf Datenschutz hinweisen

Die Gesprächsteilnehmer (sowohl Mitarbeiter als auch externe Kommunikationsteilnehmer) sollten entsprechend Art. 13 und 14 DSGVO vor der Gesprächsteilnahme über die Verarbeitung ihrer personenbezogenen Daten aufgeklärt werden. Es muss unter anderem über Zweck, Umfang und Dauer der Verarbeitung sowie über die Empfänger der Daten (in einem Drittland inklusive der Garantie eines angemessenen Datenschutzniveaus, soweit gegeben) informiert werden.

In der Praxis hat sich bewährt, die Datenschutzhinweise im Rahmen von (Video)Konferenzen als Link in der Einladung zum Meeting und/oder auf der Login-Seite zur Verfügung zu stellen. Bei reinen Messenger-/Chat-Tools wäre es angemessen, die Datenschutzhinweise unmittelbar bei der Installation oder als Link in einer automatischen Nachricht bei der ersten Kontaktaufnahme zu übermitteln.

Entgegen immer noch weitverbreiteten Irrglaubens muss in derlei Datenschutzhinweise weder eingewilligt werden, noch sind diese in irgendeiner Weise aktiv zu bestätigen, um den entsprechenden Nachweispflichten der DSGVO nachzukommen.

7. Beteiligung von Mitarbeitervertretung und Datenschutzbeauftragten

Betriebs- oder Personalrat sind vor dem Einsatz der Dienste mit einzubinden, da sich die Tools grundsätzlich eignen, das Verhalten oder die Leistung der Beschäftigten zu überwachen (§ 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz – BetrVG).

Daneben sollten auch der oder die Datenschutzbeauftragte, soweit benannt, bereits bei der Auswahl geeigneter Kommunikationstools einbezogen werden. Datenschutzbeauftragte können entsprechende Empfehlungen zu Themen wie Datenschutz durch Technikgestaltung und datenschutzfreundlichen Voreinstellungen, technischen und organisatorischen Maßnahmen (TOM) oder Datenschutzhinweisen geben.

Fazit

Organisationen und Firmen müssen ein ganzes Bündel an Maßnahmen beachten, wenn sie Messenger-Dienste oder Video- und Onlinekonferenz-Tools einsetzen. Es empfiehlt sich, vor dem Einsatz solcher Dienste Experten wie den Datenschutzbeauftragten, IT-Spezialisten und gegebenenfalls zusätzliche Rechtsberater einzubinden, um mögliche Compliance-Risiken zu minimieren und die Rechte und Freiheiten von Mitarbeitern, Kunden und Geschäftspartnern zu schützen.

Dr. Frank Schemel

Der Autor dieses Textes
Dr. Frank Schemmel hat seine langjährige Erfahrung als Datenschutzspezialist, heute Head of Privacy (Corporate) bei DataGuard, in einer internationalen Großkanzlei erworben, wo er den Aufbau der datenschutzrechtlichen Praxis für Deutschland verantwortete. Heute verfolgt der Wirtschaftsjurist vor allem ein Ziel: „Pionierarbeit an der Digitalisierung leisten – der größten Herausforderung des 21. Jahrhunderts“.

Bildquellen

  • Dr. Frank Schemel: privat
  • Webcam: pxhere.com
WordPress Cookie Hinweis von Real Cookie Banner