Webkonferenz-Tools im Unternehmen datenschutzkonform einsetzen

Fachbeitrag

Der Einsatz von Webkonferenz-Tools zur Zusammenarbeit im Unternehmen ist praktisch und erfreut sich immer größerer Beliebtheit. Wir zeigen auf, was der Arbeitgeber hier datenschutzrechtlich zu beachten hat.

Virtuelle Meetings

Auf dem Markt finden sich immer mehr Webkonferenz-Softwares, die der Vereinfachung der unternehmensinternen Kommunikation dienen. Zu den bekannteren Diensten zählen etwa GoToMeeting, Skype for Business, ClickMeeting, WebEx-Meetings oder meetyoo.

Die Anbieter ermöglichen „virtuelle Meetings“ zwischen zwei oder mehreren Teilnehmern. Sie erleichtern so die Zusammenarbeit im Unternehmen für den Fall, dass nicht alle Mitarbeiter zeitgleich am selben Ort sein können.

Webkonferenz-Tools oft als SaaS-Modell

Die Implementierungsvarianten der jeweiligen Anbieter können sich im Detail unterscheiden. Üblich ist der Einsatz als SaaS (Software as a Service) – Modell, bei welchem der Anbieter von der Software bis zur Server-Infrastruktur alles Notwendige für die Nutzung des Webkonferenz-Tools bereitstellt. Oft wird noch nicht einmal mehr separate Software auf dem PC benötigt, da die Konferenzen direkt im Webbrowser laufen. Allen Tools ist gemein, dass langwierige Einwahlprozesse oder eine komplexe Bedienung der Vergangenheit angehören.

Rechtsgrundlage für den Einsatz im Unternehmen

Als Rechtsgrundlage für die Erhebung und Nutzung der Mitarbeiterdaten über die Konferenz-Tools wird regelmäßig § 26 Abs.1 BDSG oder – soweit es an einer Erforderlichkeit fehlt – allgemein Art. 6 Abs.1 lit. f) DSGVO in Betracht kommen.

Auf welche Rechtsgrundlage man die Verarbeitung stützt, wird in der Praxis keine wesentliche Rolle spielen. Auch im Rahmen der Erforderlichkeitsprüfung nach § 26 BDSG müssen die betroffenen Grundrechtspositionen und widerstreitenden Interessen abgewogen und in Ausgleich gebracht werden – ähnlich wie beim berechtigten Interesse.

Durchgreifende, der Einführung des Konferenztools entgegenstehende schutzwürdige Interessen des Mitarbeiters bestehen dann, wenn das Tool auch zur Mitarbeiterüberwachung eingesetzt werden soll. Etwa wenn der Arbeitgeber auf die Idee kommt, die Anwesenheitsangaben (Anwesend / Beschäftigt / Abwesend) zur Arbeitszeitkontrolle einzuführen.

Dient das Tool jedoch ausschließlich der Erleichterung der unternehmensinternen Kommunikation, wovon im Regelfall auszugehen sein dürfte, sind schutzwürdige Interessen des Mitarbeiters, die einer Einführung entgegenstünden, regelmäßig nicht ersichtlich. Somit dürfte das Interesse des Arbeitgebers an der unternehmensweiten Nutzung überwiegen.

Einbindung des Betriebsrates

Auch ist im Blick zu behalten, dass dem Betriebsrat ein zwingendes Mitbestimmungsrecht zusteht. Gem. § 87 Abs. 1 Nr.6 BetrVG hat steht dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung technischer Systeme zu, die zur Überwachung des Verhaltens und der Leistung der Mitarbeiter geeignet ist. Der Wortlaut des Gesetzes spricht zwar von „bestimmt“ und nicht von „geeignet“. Doch nach ständiger arbeitsgerichtlicher Rechtsprechung genügt es schon, dass die Maßnahme zur Überwachung geeignet ist. Dies dürfte bei Webkonferenz-Tools grundsätzlich der Fall sein, da hier Login-Daten erfasst werden und die Teilnahme und Anwesenheit der Mitarbeiter überprüft werden kann.

Eine Mitbestimmungspflicht des Betriebsrates kommt auch nach § 94 BetrVG in Betracht. Dies ist in den Fällen denkbar, in denen das Webkonferenz-Tool als technikbasierter Fragebogen genutzt wird, den die Mitarbeiter zu beantworten haben und deren Antworten ihnen zuordenbar und damit personenbezogen sind.

Auftragsverarbeitungsvertrag (AVV) abschließen

Darüber hinaus ist mit dem Anbieter ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28, 29 DSGVO abzuschließen.

Die Anbieter verarbeiten hier als Plattformanbieter für ihre Kunden (die Unternehmen, die den Dienst zur Unternehmenskommunikation nutzen) personenbezogene Daten und haben auf diese – spätestens im Rahmen der Systemwartung – auch eine Zugriffsmöglichkeit.

Bietet der Anbieter hinreichende Sicherheit?

Als Kunde eines Webkonferenz-Dienstes ist man hinsichtlich der hierdurch erfolgten Datenverarbeitung datenschutzrechtlich verantwortlich gem. Art. 4 Nr. 7 DSGVO. Setzt man den Webkonferenz-Anbieter als Auftragsverarbeiter ein, besteht nach Art. 28 Abs.1 DSGVO die Pflicht nur mit solchen Unternehmen zusammenzuarbeiten, die

„hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt.“

Diese Pflicht ergibt sich für den Arbeitgeber strenggenommen schon aus seiner Sorgfaltspflicht gegenüber seinen Mitarbeitern, ihre persönlichen Daten vor unberechtigten Zugriffen zu schützen (Art. 32 DSGVO) – ein Aspekt der gerne übersehen wird. Hier ist jeder Arbeitgeber gefordert, sich vor Abschluss eines Vertrages über den geplanten Anbieter des Webkonferenz-Tools schlau zu machen. So ist zu überprüfen, ob ausreichende Maßnahmen zum Schutz personenbezogener Daten getroffen werden, bspw. ob die Datenübermittlung verschlüsselt erfolgt.

Auf den Webseiten der jeweiligen Anbieter finden sich glücklicherweise häufig ausführliche Informationen zum Stand der Datensicherheit. Hier sollte etwa darauf geachtet werden, ob der Anbieter nach ISO 27001:2013 und/oder ISO 27018 zertifiziert ist.

Datenübermittlung außerhalb des EWR-Raumes

Zuletzt sollte auch im Blick behalten werden, wo die Server des Anbieters stehen und ob Subunternehmer außerhalb des EWR-Raumes zum Einsatz kommen. Ist dies der Fall, sollte unbedingt darauf geachtet werden, dass der Anbieter transparente Angaben über die Sicherstellung des angemessenen Datenschutzniveaus im Drittland macht.

Herr der Verarbeitung bleibt ausschließlich das Unternehmen als Verantwortlicher. Lässt das Unternehmen eine Verarbeitung durch einen Auftragsverarbeiter in Drittländern für sich durchführen, ohne dass für ein angemessenes Schutzniveau gesorgt wurde, fällt dies am Ende immer auf das Unternehmen als datenschutzrechtlich Verantwortlichen zurück.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Hallo,
    wieso soll Auftragsverarbeitung nach Art 28, 29 vorliegen? Als Nutzer eines Konferenz-Tools habe ich doch keinerlei Weisungsbefugnis gegenüber dem Tool-Anbieter und kann auch nicht die Mittel der Verarbeitung beeinflussen.
    An dieser Stelle aber mal ein ganz großes Dankeschön für die vielen und sehr guten Newsletter.
    Viele Grüße

    • Die Aufsichtsbehörden vertraten in der Vergangenheit die Auffassung, dass der Cloud-Anwender (also das Unternehmen) „verantwortliche Stelle“ ist und der Cloud-Anbieter Auftragnehmer (und damit Auftragsverarbeiter) gem. § 11 Abs.2 BDSG-alt. An dieser Bewertung dürfte sich durch die DSGVO im Grundsatz nichts geändert haben, da die DSGVO zum alten BDSG vergleichbare Regelungen und Wertungen in diesem Bereich enthält. Ob sich darüber hinaus schon allein aus dem Umstand, dass der Anbieter im Rahmen von Wartungsarbeiten an seinen Systemen die Möglichkeit der Kenntnisnahme der personenbezogenen Daten des Cloud-Anwenders hat, eine Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages (vgl. § 11 Abs.5 BDSG-alt) ergibt, ist in der Literatur heiß umstritten. Die Anbieter von Webkonferenz-Tools stellen vor diesem Hintergrund regelmäßig herunterladbare Vertragsmuster zur Auftragsverarbeitung bereit.

      Weitere Informationen zu dieser Thematik finden Sie in der Orientierungshilfe – Cloud Computing der Konferenz der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises und im Kurzpapier 13 zur Auftragsverarbeitung gem. Art. 28 DSGVO (unter der Überschrift „Wartung und Fernzugriffe“).

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.