In unserer heutigen Kommunikation sind Videokonferenzen nicht mehr wegzudenken. Deren Bedeutung hat sich durch die Corona-Krise noch weiter vergrößert. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat aus diesem Grund im Oktober 2020 eine Orientierungshilfe veröffentlicht, in der sie die datenschutzrechtlichen Anforderungen an die Durchführung von Videokonferenzen erläutert. Die wichtigsten Punkte werden im Folgenden zusammengefasst.
Der Verantwortliche hat verschiedene Möglichkeiten ein Videokonferenzsystem zu betreiben. Er kann das Videokonferenzsystem selbst betreiben, durch einen externen IT-Dienstleister betreiben lassen oder einen Online-Dienst nutzen.
Selbst betriebener Dienst
Aus datenschutzrechtlicher Sicht ist es am vorteilhaftesten das Videokonferenzsystem selbst zu betreiben, da der Verantwortliche dadurch selbst entscheiden kann, welche Software verwendet wird und welche Daten verarbeitet werden. Auch muss dann kein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen werden. Allerdings liegt es in diesem Fall am Verantwortlichen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen und das Videokonferenzsystem zu betreiben und zu warten, d.h. der Verantwortliche muss dazu sowohl in technischer als auch in personeller Sicht in der Lage sein.
Externer Dienstleister
Der Verantwortliche kann einen externen IT-Dienstleister zum Betrieb der Software beauftragen und mit diesem einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO schließen. Der Auftragsverarbeiter ist unter besonderer Berücksichtigung seiner Zuverlässigkeit und der Geeignetheit, der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Hinsichtlich der Software ist zu prüfen, ob Datenabflüsse an den Hersteller oder Dritte erfolgen. Für die Datenabflüsse muss entweder eine Rechtsgrundlage bestehen oder sie müssen unterbunden werden.
Online Dienst
Der Verantwortliche kann schließlich auch bereits bestehende Online-Dienste nutzen. Auch in diesem Fall muss er einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen. Bei der Auswahl des Anbieters muss der Verantwortliche insbesondere darauf achten, dass die Anforderungen der DSGVO eingehalten werden und geeignete technische und organisatorische Maßnahmen vorhanden sind.
Da viele Anbieter von Videokonferenzsystem die Daten in den USA verarbeiten, sind zusätzlich die Anforderungen der Art. 44 ff. DSGVO zu beachten. Eine Datenübermittlung in die USA kann seit der Ungültigkeitserklärung des Privacy Shield durch den EuGH nicht mehr auf dieses gestützt werden. Denkbar ist aber eine Verwendung von Standardvertragsklauseln und anderen vertraglichen Garantien, es müssen jedoch zusätzliche Maßnahmen ergriffen werden, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können. Es ist deshalb eine sorgfältige Prüfung vorzunehmen! Im Zweifel muss der Datenexport unterbleiben.
Außerdem muss der Verantwortliche die Software prüfen, z.B. auf Datenabflüsse und Zugriffsrechte, und ggf. Anpassungen vornehmen. Sollte der Anbieter Daten auch zu eigenen Zwecken oder Zwecken Dritter (z.B. zum Nutzerverhalten oder Tracking zu Werbezwecken) verarbeiten, ist für jede Offenlegung von personenbezogenen Daten eine Rechtsgrundlage erforderlich. Für diesen Fall ist außerdem eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zu prüfen und ggf. eine entsprechende Vereinbarung abzuschließen.
Pflichten des Verantwortlichen
Der Verantwortliche hat bei der Nutzung von Videokonferenzsystem verschiedene Pflichten. Er muss insbesondere:
- seine Informationspflichten aus Art. 13, 14 DSGVO erfüllen und die Teilnehmer klar und eindeutig über die mit der Nutzung des Dienstes verbundenen Datenverarbeitungen informieren.
- Die Datenverarbeitungen nur bei Vorliegen einer Rechtsgrundlage vorzunehmen.
- die Betroffenenrechte gemäß Art. 15 bis 21 DSGVO gewährleisten.
- Auftragsverarbeitungsverträge nach Art. 28 DSGVO abschließen.
- die Veranstaltung der Videokonferenz in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) aufnehmen.
- sorgfältig prüfen, ob Daten in Drittländer (insbesondere die USA) übermittelt werden dürfen. Hierbei müssen zusätzliche Maßnahmen ergriffen werden, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können.
Fazit
Prüfen Sie vor der Einführung eines Videokonferenzsystems daher sorgfältig, ob es datenschutzkonform ist und welche weiteren Anforderungen beachtet werden müssen.
Es ist außerdem empfehlenswert eine Richtlinie zur Durchführung von Videokonferenzen im Unternehmen zu implementieren, um einen reibungslosen Ablauf zu gewährleisten und die Mitarbeiter darin gleichzeitig aufzuklären und zu sensibilisieren.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die Datenschutzbehörde in Baden-Württemberg erließ heute ein Bußgeld gegen die AOK Baden-Württemberg in Höhe von 1,24 Mio Euro wegen rechtswidriger Datenverarbeitung beim Direktmarketing und unzureichender technischer und organisatorischer Maßnahmen.
Die AOK Baden-Württemberg veranstaltete u.a. mehrere Online-Gewinnspiele und erhob dabei personenbezogene Daten der Gewinnspielteilnehmer sowie deren aktuelle Krankenkassenzugehörigkeit. Dabei wurden Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet.
Dabei stellte die Datenschutzaufsichtsbehörde klar, dass sowohl die aktuelle Situation als auch die umfangreichen internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Zusammenarbeit mit der Aufsichtsbehörde bei der Festsetzung des Bußgeldes positiv ins Gewicht fielen.
Man darf aber auch in Zeiten von Corona nicht vergessen, dass der Datenschutzbeauftragte im Unternehmen eine wichtige Stellung einnimmt, die gerade in Zeiten des dezentralen Arbeitens nicht vernachlässigt werden darf. Auch darauf wies die Aufsichtsbehörde noch einmal explizit hin.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Wir berichteten bereits über die besonderen Herausforderungen der Betriebsratsarbeit während der Corona-Krise und darüber, dass es für die Durchführung von Betriebsratssitzungen und Beschlussfassungen per Telefon- oder Videokonferenz keine gesetzliche Grundlage gibt. Dies will die Bundesregierung nun ändern und die betriebliche Mitbestimmung auch in der Corona-Krise rechtssicher ermöglichen.
Dafür sollen Änderungen im Betriebsverfassungsgesetz (BetrVG) vorgenommen werden und rückwirkend zum 1. März 2020 in Kraft treten, damit bereits gefasste virtuelle Betriebsratsbeschlüsse wirksam bleiben.
Durch den neuen § 129 BetrVG („Sonderregelungen aus Anlass der Covid-19-Pandemie“) nach aktuellem Entwurf können sowohl die Teilnahme an Betriebsratssitzungen als auch die Beschlussfassung mittels Video- und Telefonkonferenz erfolgen, wenn sichergestellt ist, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können (§ 129 Abs. 1 S. 1 BetrVG). Eine Aufzeichnung ist jedoch nicht zulässig, § 129 Abs. 1 S. 2 BetrVG. Die nach § 34 Abs. 1 S. 3 BetrVG erforderliche Anwesenheitsliste wird dadurch ersetzt, dass die Teilnehmer ihre Anwesenheit gegenüber dem Vorsitzenden in Textform bestätigen, § 129 Abs. 1 S. 3 BetrVG.
Die Sicherheit der Übertragung ist nach den Erläuterungen zum Gesetzesentwurf insofern sicherzustellen, als dass entsprechende technische und organisatorische Maßnahmen zu ergreifen sind, wie z.B. eine Verschlüsselung der Verbindung und die Nutzung eines nichtöffentlichen Raumes für die Dauer der Betriebsratssitzung.
Auch Einigungsstellen und Wirtschaftsausschüsse sollen nach der Neuregelung mittels Video- und Telefonkonferenz Sitzungen durchführen und Beschlüsse fassen können, § 129 Abs. 2 BetrVG.
Ferner sollen Betriebsversammlungen, Betriebsräteversammlungen und Jugend- und Auszubildendenversammlungen mittels audiovisueller Einrichtungen durchgeführt werden können, wenn sichergestellt ist, dass nur teilnahmeberechtigte Personen Kenntnis von dem Inhalt der Versammlung nehmen können, § 129 Abs. 3 BetrVG.
Die Sonderregelungen des § 129 BetrVG gelten bis zum 31. Dezember 2020 (vgl. § 129 Abs.4 BetrVG).
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die Mitglieder des Betriebsrats haben Zugriff auf äußerst sensible Unternehmens- und Mitarbeiterdaten. Wir wollen im Folgenden ein paar Maßnahmen aufzeigen, die die Vertraulichkeit hinsichtlich dieser Daten unterstützen.
Wer ist für die technischen und organisatorischen Maßnahmen des Betriebsrats verantwortlich?
Obwohl es umstritten ist, wer als datenschutzrechtlich „Verantwortlicher“ im Sinne des BDSG für die personenbezogenen Daten im Herrschaftsbereich des Betriebsrats anzusehen ist, dürfte klar sein, dass der Betriebsrat zumindest dafür selbst verantwortlich ist, wie seine Mitglieder mit den Vertraulichkeitserfordernissen umgehen. Das Unternehmen weiß naturgemäß nicht, welche Betriebsratsmitglieder mit welchen Sachverhalten betraut sind, denn diese Maßnahmen unterliegen der Selbstorganisation des Betriebsrats. Daher muss sich der Betriebsrat auch zwingend selbst mit den Maßnahmen, die erforderlich sind um die Vertraulichkeit der Informationen zu gewährleisten, auseinandersetzen. So kommt auch das zitierte Urteil zu dem Schluss, dass der Betriebsrat unter Beachtung der Datenschutzbestimmungen und des technisch Möglichen die Ausgestaltung der Art und Weise der Einsichtsmöglichkeit zu gestalten hat.
Konkrete Maßnahmen
Bezüglich der konkreten Maßnahmen sollte sich der Betriebsrat an den Vorgaben für die Personalabteilung orientieren. Insbesondere gilt:
- Betriebsratsunterlagen müssen gegen unbefugte Einsichtnahme geschützt werden. Dies gilt sowohl für Unterlagen in Papierform wie für Dateien bzw. deren Anzeige z.B. auf Bildschirmen.
- Betriebsratsunterlagen, die nicht unmittelbar benötigt werden, sind daher in abgeschlossenen Schränken aufbewahren, in der Regel im Betriebsratsbüro.
- Datenschutzbehälter oder angemessene Shredder müssen zur Entsorgung bereitgestellt und durch die Betriebsratsmitglieder verwendet werden.
- In Großraumbüros (von nicht freigestellten Betriebsratsmitgliedern) sollten die Betriebsratsmitglieder außerdem folgendes beachten:
- Bildschirme und Unterlagen so stellen und ablegen, dass nicht jeder und vor allem keine Besucher (Kollegen) Einblick haben
- Bildschirmschutz bei Verlassen des Arbeitsplatzes aktivieren
- Sichtschutzfolie verwenden, falls der Arbeitsplatz/Bildschirm nicht anders geschützt werden kann.
Die entsprechenden finanziellen Mittel müssen durch den Arbeitgeber gem. § 40 Abs. 2 BetrVG bereitgestellt werden.
Kommen Sie gerne auf uns zu, wenn wir Ihnen bei Fragen zum Thema technische und organisatorische Maßnahmen weiterhelfen können.
i.A. des Datenschutzbeauftragten
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz