Gegendarstellung zu TeamViewer: Datenschutzrechtliche Grenzen im Unternehmenseinsatz

internet 04
Fachbeitrag

Auf unseren Beitrag „TeamViewer: Datenschutzrechtliche Grenzen im Unternehmenseinsatzmeldete sich TeamViewer und verlangte eine Gegendarstellung, da der Beitrag wohl falsche Tatsachenbehauptungen enthalte.

Inhaltsverzeichnis

  1. Gesetzesgrundlage
  2. Gegendarstellung
  3. Stellungnahme

1. Gesetzesgrundlage

Dabei stützt TeamViewer seinen Anspruch auf Gegendarstellung auf § 11 Hamburgisches Pressegesetz.

Zunächst stellen wir fest, dass TeamViewer die falsche Rechtsgrundlage für den Anspruch auf eine Gegendarstellung gewählt hat. Nicht § 11 Hamburgisches Pressegesetz, sondern § 56 RStV ist hier die einschlägige Norm, da unser Newsletter sowohl periodisch erscheinend, als auch journalistisch-redaktionell aufbereitet ist. Uns ist Transparenz sehr wichtig und somit kommen wir selbstverständlich dem Verlangen auf eine Gegendarstellung nach. Es folgt die Gegendarstellung von TeamViewer, wie sie uns erreichte.

2. Gegendarstellung

Am 12.09.2014 hat Herr Tim Becker unter dem Titel „TeamViewer: Datenschutzrechtliche Grenzen im Unternehmenseinsatz“ einen Fachbeitrag über die TeamViewer-Software verfasst.

Dieser enthält falsche Tatsachenbehauptungen, die wir nachfolgend richtig stellen möchten:

Aussage Herr Becker: „Zusätzlich kann TeamViewer so konfiguriert werden, dass dieser als Hintergrundprozess für den Nutzer unsichtbar arbeitet.“

Hierzu stellen wir fest, dass TeamViewer niemals so konfiguriert werden kann, dass das Programm unsichtbar als Hintergrundprozess arbeitet. Der Nutzer sieht immer, wenn eine Verbindung besteht; dies wird ihm durch ein aktives TeamViewer-Fenster auf seinem Monitor angezeigt. Der Mitarbeiter hat zudem die Möglichkeit, die Fernwartung jederzeit zu unterbrechen.

Aussage Herr Becker: „Weiterhin besteht die Möglichkeit, dass der Rechner im Rahmen der so genannten Wake-on-LAN-Funktion automatisch eingeschaltet und anschließend aus der Ferne gesteuert werden kann. Auch hier ist jedoch eine gesonderte Konfiguration nötig.“

Hierzu stellen wir fest, dass Wake-on-LAN kein automatisches Einschalten des Rechners erlaubt. Vielmehr muss das Aufwachen aktiv von einem anderen Rechner aus angestoßen werden. Zuvor muss bei dem aufzuweckenden Rechner lokal eingestellt werden, wer zum Aufwecken berechtigt ist.

Ist der Remote-Rechner eingeschaltet/aufgeweckt, setzt die Verbindung mit ihm die Kenntnis des Passwortes des lokalen Benutzers voraus. Dieser Schritt kann unter keinen Umständen von TeamViewer umgangen werden, auch nicht mit einer „gesonderten Konfiguration“.

Aussage Herr Becker: „Datenschutzrechtlich ist TeamViewer vor allem deshalb problematisch, weil die Software grundsätzlich auch dazu eingesetzt werden kann, das Verhalten und/oder die Leistung der Arbeitnehmer (heimlich) zu überwachen.“

Hierzu stellen wir fest, dass eine heimliche Überwachung mit TeamViewer ausgeschlossen ist. Zudem sieht der Anwender, sobald eine Anfrageverbindung eingeht. Während der gesamten Remote-Verbindung ist ein Verbindungsfenster sichtbar, das den aktiven Status anzeigt. Der Mitarbeiter hat zudem die Möglichkeit, die Fernwartung jederzeit zu unterbrechen.

In einem der Kommentare zu dem Artikel von Herrn Becker steht geschrieben: „Daneben bietet TeamViewer auch die Möglichkeit einen TeamViewer Server im eigenen Unternehmen aufzusetzen. Damit ist dann auch keine „3rd Party“ involviert.“

Hierzu stellen wir fest, dass wir keine Möglichkeit bieten, einen TeamViewer Server im eigenen Unternehmen aufzusetzen.

3. Stellungnahme

Diese Gegendarstellung möchten wir jedoch gerade mit Blick auf den Arbeitnehmerdatenschutz nicht unkommentiert stehen lassen und nehmen deshalb zu den einzelnen Punkten wie folgt Stellung.

TeamViewer Server im eigenen Unternehmen?

Zunächst korrigieren wir die Aussage aus dem Kommentar. Man kann keinen TeamViewer Server im eigenen Unternehmen aufsetzen. Hierbei handelt es sich um einen bedauerlichen redaktionellen Fehler unsererseits.

„Unsichtbarer“ Hintergrundprozess?

Diesbezüglich nutzen wir die Gelegenheit, um Missverständnisse zu beseitigen und stellen noch einmal deutlicher heraus, was mit der Formulierung gemeint war. Die weiteren Ausführungen und Ergebnisse basieren auf einer Prüfung auf einem Windows-System.

Durch entsprechende Einstellungen in der Windows-Registry kann das Programm TeamViewer (nicht die Fernwartung selbst) als Hintergrundprozess vom Nutzer vollständig unbemerkt mit dem Systemstart gestartet werden. In diesem Fall erscheint auch kein TeamViewer Icon im System-Tray (alle Icons, bis auf die Urzeit werden ausgeblendet). Erst beim Fernzugriff selbst erscheint ein kleines Fenster. Dieser Fernzugriff ist mittels der TeamViewer-Host-Version auch ohne eine aktive Handlung des Nutzers möglich, wenn der Zugreifende das Passwort kennt, was regelmäßig der Fall ist, wenn er den TeamViewer-Host eingerichtet hat. Gemeint war daher, dass der Nutzer nicht zwingend aktiv an der Freigabe mitwirken muss und somit auch ein unbeaufsichtigter Zugriff auf den Rechner des Nutzers, z.B. in dessen Abwesenheit möglich ist.

Zudem weißt das eingeblendete Fenster nicht deutlich auf einen „Fernzugriff“ auf den eigenen Rechner hin. Für den Nutzer ist damit nicht eindeutig ersichtlich, dass auf seinen Rechner zugegriffen wird. Vielmehr erinnert das Anzeigefenster an ein kleines Chat-Tool (Symbole wie: Audiokonferenz, Dateiübertragung, Chatfenster). Der Durchschnitts-Nutzer, aus dessen Betrachtung eine Beurteilung vorgenommen werden muss, wird bei einer derartigen Anzeige nicht in erster Linie an eine Übernahme/Beobachtung seines Rechners denken, wenn er das TeamViewer Fenster sieht. Wird der Rechner von seinem Arbeitgeber vorkonfiguriert, wird er die installierten Programme und beim Systemstart erscheinenden Fenster regelmäßig nicht ernsthaft hinterfragen. Der Zugriff kann daher „unbemerkt“ vom Nutzer erfolgen.

Darüber hinaus kann auch für kurze Zeit eine Verbindung aufgebaut und etwa ein Screenshot erstellt werden, während der Nutzer abwesend ist. Damit wird auch die Möglichkeit der Mitarbeiterüberwachung eröffnet (hierzu: siehe unten).

Zwar kann der Nutzer den Fernzugriff jederzeit durch klicken des „X“ beenden. Dazu müsste er jedoch erst einmal wissen, dass auf sein Rechner zugegriffen wird. Hier fehlt es aus unserer Sicht aus den oben genannten Gründen eindeutig an Transparenz gegenüber dem Nutzer. Hinzu kommt, dass TeamViewer auch so konfiguriert werden kann, dass das Programm (nicht die Fernwartung) vom Nutzer nicht beendet werden kann („erweiterte Einstellungen“). Damit ist sodann selbst bei einer Unterbrechung des Fernzugriffs durch den Nutzer eine jederzeitige neue Verbindung durch den Fernzugreifenden (z.B. bei Abwesenheit des Mitarbeiters) möglich.

Fernsteuerung nach Wake-on-LAN-Funktion?

Hinsichtlich der von uns gewählten Beschreibung der Wake-on-LAN-Funktion sehen wir keinen Widerspruch zu den tatsächlichen Gegebenheiten. Es versteht sich von selbst, dass eine Aufwachfunktion zunächst initiiert werden muss, indem ein anderer Rechner den Fernzugriff anstößt. Der Wortlaut: „Auch hier ist jedoch eine gesonderte Konfiguration nötig.“ beschreibt dabei zusammenfassend, dass diese Funktion nicht standardmäßig eingeschaltet ist und von dem Administrator oder der Person, die eine Überwachung/Fernwartung vornehmen möchte entsprechend eingerichtet („konfiguriert“) werden muss. Beim Einrichten ist dieser Person selbstverständlich auch das von ihm vergebene Passwort bekannt. Damit kann er ohne Zutun des Nutzers Kontrolle über den Rechner des Nutzers erlangen.

Datenschutzrechtlich ist TeamViewer vor allem deshalb problematisch, weil…

Zunächst merken wir an, dass wir die Auffassung vertreten, dass es sich bei der fraglichen Aussage aus dem Artikel vielmehr um eine Meinungsäußerung, als um eine Tatsachenbehauptung handelt. Gleichwohl möchten wir auch zu diesem Aspekt eine rechtliche Würdigung vornehmen.

Dass TeamViewer im dargestellten Einsatzszenario datenschutzrechtlich problematisch ist und grundsätzlich auch zur Leistungs- und Verhaltenskontrolle eingesetzt werden kann, werden wir daher mit der folgenden rechtlichen Würdigung noch einmal darstellen. Die Frage der datenschutzrechtlichen Zulässigkeit stellt sich insbesondere im Rahmen des Arbeitnehmerdatenschutzes. Schon aus zahlreichen Diskussionen mit Betriebsräten verschiedener Unternehmen, die regelmäßig Bedenken gegen den Einsatz von TeamViewer haben, zeigt sich, dass TeamViewer ein gewisses Konfliktpotential in sich birgt. Gemäß § 87 Abs. 1 Nr. 6 BetrVG besteht ein Mitbestimmungsrecht des Betriebsrates bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen;“. TeamViewer stellt eine technische Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG dar. Eine technische Einrichtung ist dann zur Überwachung bestimmt, wenn sie objektiv geeignet ist, Verhalten und Leistung der Arbeitnehmer zu überwachen (Klebe in: Däubler/Kittner/Klebe/Wedde § 87 BetrVG Rn. 154 m.w.N.). Die objektive Eignung liegt bereits vor, wenn durch Verarbeitung gleich welcher Daten Aussagen über Verhalten und Leistung der Arbeitnehmer gewonnen werden können (Klebe in: Däubler/Kittner/Klebe/Wedde § 87 BetrVG Rn. 154 m.w.N.). Schließlich ist es irrelevant, ob der Arbeitgeber eine Beurteilung von Verhalten oder Leistung überhaupt beabsichtigt und entsprechend vornimmt (Klebe in: Däubler/Kittner/Klebe/Wedde § 87 BetrVG Rn. 153 m.w.N.). Durch die Beobachtung des Bildschirms des Arbeitnehmers (mit oder ohne Kenntnis des Mitarbeiters) wird dem Arbeitgeber ein direkter Blick auf die Tätigkeit des Arbeitnehmers ermöglicht. Er kann das (Arbeits-)Verhalten des Arbeitnehmers direkt bewerten und seine Tätigkeiten bewerten. Wie oben dargestellt ist ein Fernzugriff auch unbeaufsichtigt durch den Arbeitnehmer möglich. In diesem Fall kann der Arbeitgeber z.B. mittels Screenshots in regelmäßigen Abständen die Leistung des Arbeitnehmers, etwa den Arbeitsfortschritt, oder auch das Unterlassen der vertraglich geschuldeten Arbeitsleistung protokollieren, auswerten und bewerten. Gerade durch einen unbemerkten Zugriff kann der Arbeitgeber überprüfen, ob der Arbeitnehmer seiner vertraglich geschuldeten Leistungspflicht nachkommt. Somit können mittels TeamViewer Aussagen über das Verhalten und die Leistung der Arbeitnehmer getroffen werden, weshalb die objektive Eignung vorliegt. Mithin ist TeamViewer auch dazu bestimmt i.S.d. § 87 Abs. 1 Nr. 6 BetrVG das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Erfolgt ein Zugriff in Abwesenheit des Mitarbeiters (Mittagspause oder Toilettengang) findet eine Überwachung auch unbemerkt, also „heimlich“ statt.

Damit bestehen nach unserer Auffassung keine Zweifel, dass TeamViewer mit Blick auf den Arbeitnehmerdatenschutz datenschutzrechtlich problematisch ist und entsprechende Vorkehrungen zum datenschutzkonformen Einsatz im Unternehmen unternommen werden. Hierzu verweisen wir auf die Maßnahmen aus dem streitigen Artikel.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Datenschutzkonformer Umgang mit Beschäftigtendaten
  • Fragen zum Bewerbungsverfahren, zur Videoüberwachung oder zum Outsourcing
  • Erstellung von erforderlichen Dokumenten, insbesondere Betriebsvereinbarungen

Informieren Sie sich hier über unser Leistungsspektrum: Arbeitnehmerdatenschutz

9 Kommentare zu diesem Beitrag

  1. “Hierzu stellen wir fest, dass wir keine Möglichkeit bieten, einen TeamViewer Server im eigenen Unternehmen aufzusetzen.”
    Selbstverständlich ist grundsätzlich von einer Software abzuraten, die Daten unkontrollierbar(!) auf oder über fremde Server leitet! TeamViewer sind so “zuverlässig” wie Wuala oder SpiderOak. Man kann ihnen glauben (Wir gucken da nicht rein! Können wir gar nicht! bla bla bla) oder eben besser nicht.
    Kein unternehmenseigener Server == NoGo!!
    Leider beweist der Erfolg der Firma TeamViewer aber, wie datenschutztechnisch naiv und unprofessionell viele Firmen arbeiten.

  2. Sehr fair, dass nicht auf Formalismus (falsche Gesetzesgrundlage) gesehen wird. Die Gegendarstellung kann ich aus Sicht eines Unternehmens nachvollziehen, aber verstehen? Es wäre besser, wenn TeamViewer sich vorher einmal mit Ihnen auf anderer Ebene auseinandergesetzt hätte. Ich bin sicher, dass Sie dann auf der Basis auch eine entsprechende für beide Seiten befriedigende Darstellung veröffentlicht hätten.

  3. Mal ne Frage – gehen wir hier von privatem (also nicht kommerziellem) Gebrauch aus? Oder reden wir hier über die Einführung einer Software in einem Unternehmen/Behörde, welche dann von eben dieser zu Supportzwecken eingesetzt wird. Ersteres kann ich mir hier nicht vorstellen, da es sich sonst um Linzvergehen handeln dürfte. Bei Zweitem ist nach meiner Auffassung sowieso der Betriebsrat/Personalrat zu beteiligen. Zudem denke ich, dass diese Diskussion nicht nur das Produkt “Teamviewer” betrifft.

    • Wir reden natürlich über den Unternehmenseinsatz (Thema der Site beachten!!).
      Privater Gebrauch ist übrigens ausdrücklich kostenlos (== legal), eine gute/clevere Strategie, bekannt zu werden und in Unternehmen zu verkaufen.
      Der Betriebsrat hat wenig Ahnung von Datenschutz und wenig Handhabe. Das Hauptrisiko von TeamViewer ist, einer nicht vertrauenswürdigen (nicht per se vertrauensUNwürdig, aber Mangels eigenen Audits der TV GmbH eben auch nicht vertrauensWÜRDIG) Firma (TeamViewer GmbH) unkontrollierbaren VOLLZUGRIFF auf alle Systeme (wenigstens Jene, auf denen TV installiert ist) zu geben. Das versteht ein Betriebs-/Personalrat gar nicht (kein Vorwurf, völlig anderes Aufgabengebiet) und gegen einen “Vertrag” oder ein “NDA” könnte er auch nicht anstinken (würde als paranoid diffamiert werden).

      Die Diskussion betrifft selbstverständlich:
      – jede Software, die 3rd parties Zugriff auf interne Systeme gewährt
      – jede Software zum RemoteSupport, soweit die Sitzung nicht ausdrücklich vom Anwender angestossen oder (vor Zustandekommen!) genehmigt werden muss.

  4. Liebe Redakteure dieser Seite,
    lest Ihr eigentlich Euren Quatsch, den Ihr hier verzapft, nochmals durch, bevor Ihr solche Artikel ins Netz stellt? Ich gehöre selbst zu den Leuten, die mit der Aufgabe des Datenschutzes betraut wurden, doch bei dem Artikel hier bin ich drauf und dran, meine Bestellung zum DSB aufzugeben!

    Zitat Redation:
    “Gemäß § 87 Abs. 1 Nr. 6 BetrVG besteht ein Mitbestimmungsrecht des Betriebsrates bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen;“. TeamViewer stellt eine technische Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG dar.”

    Teamviewer ist KEINESWEGS dazu “bestimmt”, vielmehr kann man es (wie leider viele andere hilfreiche und nützliche Tools auch) zu einem Überwachungsvorgang missbraucht werden.

    Zitat / Hinweis unter dem Feld zum Kommentar verfassen:
    “Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator.”
    Soll ich das jetzt als Einschränkung der Meinungs- und Pressefreiheit werten? Schliesslich ist dieser Satz dazu “BESTIMMT”, meinen Beitrag zu zensieren…

    • Lieber TeamViewerMitarbeiter:

      [Satz gelöscht. Bitte sachlich bleiben.]

      Zu *jeder* “Einrichtung” gibt es *mindestens* einen Grund, warum sie *nicht* zur Überwachung bestimmt ist. Siehe PKW-Maut ;) Wenn der *eine* Grund ausreicht kann der Datenschutz einpacken.
      Aber falls Du mir das *Recht* zum Betrieb einer DashCam in meinem Fahrzeug (inkl. Beweisverwertungspflicht für Gerichte) erkämpfst kannst Du auch Deinen TV auf meinem Arbeits-PC installieren.
      Deal?

      Diskussion u.a. hier: https://www.datenschutzbeauftragter-info.de/dashcam-urteil-rechtslage-bleibt-unklar

    • Sorry, but ur wrong! Die Gerichte haben hinlänglich in ständiger Rechtsprechung geklärt, dass entgegen des Wortlauts von § 87 Absatz 6 Nr. 1 BetrVG ein “geeignet” statt eines “bestimmt” hineingelesen werden muss. d.h. Mitbestimmungspflichtigkeit (+) Die praktische & theoretische “Geeignetheit” zu einer Leistungs- oder Verhaltenskontrolle wirst Du ja wohl der Software nicht absprechen können, oder?

      Beste Grüße

      Mighty

  5. Ich würde auf jeden Fall zu Lösungen wie Fastviewer bzw. PCVisit raten. Dort gibt es defintiv die Möglichkeit einen eigene Server zu installieren und somit die Datenverbindungen von einer fremden Infrastruktur zu entkoppeln.

    • Optimus:
      Die Verbindung läuft doch gar nicht über die TV-Server, nur die Authentifizierung läuft darüber, oder bin ich da falsch informiert?
      Und ob Codeelemente im Programm (was ich niemandem unterstellen möchte!) nicht doch ‘nach Hause telefonieren’ das weiss man vermutlich bei keiner Software.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.