Corona Meistern

Die meisten Unternehmen werden seit einigen Tagen vor die Herausforderung gestellt, viele Dinge, die normalerweise selbstverständlich Face-to-Face erledigt werden, über Videokonferenzen, Onlinemeetings und Webinare abwickeln zu müssen. Die Zahl der Anbieter ist enorm. Aber erfüllen Tools wie Skype, Zoom oder Slack überhaupt die europäische Datenschutz-Grundverordnung? Hier gibt’s eine Schritt-für-Schritt Anleitung, um genau dies sicherzustellen:

 

Schritt 1: Auswahl des richtigen Tools

Da es sich bei der DSGVO um europäisches Recht handelt, sollten auch europäische Anbieter bevorzugt werden (Vgl. Art. 25 DSGVO). Unabhängig davon sollte bei allen Anbietern darauf geachtet werden, dass die verwendeten Einstellungen – bspw. für Verschlüsselung, Geschäftsnutzung, Bildschirmfreigaben oder Aufzeichnung – datenschutzfreundlich sind.

 

Schritt 2: Beteiligung von Personalvertretungen und Datenschutzbeauftragten

Dass Datenschutzbeauftragte bei Fragen des Datenschutzes beteiligt werden sollten, ist auch in diesem Zusammenhang selbsterklärend. Allerdings muss auch der Betriebs- bzw. Personalrat dem Einsatz solcher Onlinedienste zustimmen (Vgl. § 87 I Nr. 6 BetrVG), da es um die Verarbeitung personenbezogener Daten der Mitarbeitenden geht.

 

Schritt 3: Sicherstellung des Datenschutzniveaus bei Nicht-EU Diensten

Zahlreiche Dienste, wie Skype, Microsoft Teams oder Zoom stammen von US-Firmen. Oft führt kein Weg an Unternehmen außerhalb der EU vorbei – dennoch sollte auch hier das Datenschutzniveau der EU eingehalten werden. Es ist schwer möglich, sämtliche Voreinstellungen selbst zu überprüfen – allerdings gibt es einige Hinweise, die auf einen ausreichenden Datenschutz schließen lassen:

  • die EU selbst hat für das Land, aus dem das Tool stammt, ein angemessenes Datenschutzniveau festgestellt,
  • das Tool verfügt über ein sog. Privacy-Shield-Zertifikat,
  • es wird mittels Standardschutzklauseln ein Nutzungsvertrag mit dem Softwareanbieter geschlossen, in dem sich beide Parteien zur Einhaltung des Europäischen Datenschutzes verpflichten (Siehe Schritt 4)

 

Schritt 4: Einen Auftragsverarbeitungsvertrag abschließen

Nach Art. 28 DSGVO müssen sog. Auftragsverarbeitungsverträge abgeschlossen werden, die sicherstellen, dass technische und organisatorische Maßnahmen im Sinne der DSGVO sind. Gleiches gilt auch für mögliche Subunternehmer des Datendienstes.

 

Schritt 5: Anwendung datenschutzfreundlicher Voreinstellungen und einer Erforderlichkeitsprüfung

Gemäß Art. 25 II DSGVO müssen stets die datenschutzfreundlichsten Einstellungen Anwendung finden. Besonders bei Tracking, Screen-Sharing oder auch Aufzeichnungen sollte man hinterfragen, ob diese Funktionen überhaupt zwingend notwendig sind.

Eine Entscheidungshilfe hierfür, ist eine Erforderlichkeitsprüfung, die zu Nachweiszwecken schriftlich protokolliert werden sollte und bei jeder Funktion des Dienstes anzuwenden ist:

  1. Zu welchem Zweck wird die fragliche Funktion benötigt?
  2. Ist die angebotene Funktion überhaupt in der Lage, den Zweck zu erfüllen?
  3. Gibt es einen datenschutzfreundlicheren Weg, um diesen Zweck zu erreichen?
  4. Welche Schutzmaßnahmen können gegen mögliche Datenrisiken ergriffen werden?

 

Schritt 6: Belehrung der Teilnehmer

Zusätzlich zu allen Vorkehrungen im Rahmen des Datenschutzes darf von Seiten des Organisators nicht vergessen werden, alle Konferenzteilnehmer über die Verarbeitung von Daten zu informieren (Art. 12 und 13 DSGVO).

 

Dienst Herkunftsland Sicherstellung des Datenschutzes
AnyMeeting USA Privacy Shield
Arkadin Deutschland
Cisco WebEx USA Privacy Shield und Standardschutzklauseln
ClickMeeting Polen
Discord USA Privacy Shield
fastviewer Deutschland
Google Hangouts USA Privacy Shield
GoToMeeting USA Privacy Shield
Intercall Unified Meeting USA Privacy Shield
meetgreen Deutschland
meetyoo Deutschland
Microsoft Teams USA Privacy Shield
Skype for Business USA Privacy Shield
Slack USA Privacy Shield
TeamViewer Deutschland
Twitch USA
Zoom USA Privacy Shield und Standardschutzklauseln

 

In Zeiten der Corona-Krise sind alle Unternehmen froh über die neuen Möglichkeiten, die Online-Tools bieten. Dennoch darf der Schutz unserer Daten wegen dieser Ausnahmesituation nicht vernachlässigt werden.

 

Quelle: https://datenschutz-generator.de/dsgvo-video-konferenzen-online-meeting/