Gerade in der aktuellen Situation, in der viele Mitarbeiter aus dem Homeoffice arbeiten, muss die IT den Support und die Wartung häufig aus der Ferne erbringen. Dabei helfen gleich eine ganze Reihe von Anbietern, diese Distanz zu überbrücken, so als würde der Support-Mitarbeiter bei den Kollegen im Homeoffice sitzen. Doch was ist datenschutzrechtlich dabei zu beachten?
Der Inhalt im Überblick
Datenschutz To-dos
Neben Fragen der Benutzerfreundlichkeit und des Funktionsumfangs eines Tools muss auch geprüft werden, ob das Remote-Support-Tool datenschutzkonform eingesetzt werden kann.
Da verarbeitet doch einer personenbezogene Daten
Wenn ein Mitarbeiter dem Fernzugriff zulässt, kann sich der „herrschende PC“ so auf dem „kontrollierten PC“ bewegen, als würde er als eingeloggter Nutzer direkt vor dem Rechner sitzen. Egal ob Dateien gerade geöffnet sind oder der Mail-Client geöffnet ist, es besteht in der Regel die Möglichkeit der Kenntnisnahme von personenbezogenen Daten. Nach herrschender Meinung genügt bereits diese Möglichkeit der Kenntnisnahme personenbezogener Daten für eine Verarbeitung nach Art. 4 Nr. 2 DSGVO. Die DSGVO findet also Anwendung. Das gilt erst Recht, wenn ein Tool zusätzliche Funktionen wie Screensharing, Besprechungsaufzeichnung, Audio- und Videoanrufe, Dateifreigabe und Chat-Funktionen beinhaltet.
Aufgeräumter Desktop
Um diese Datenverarbeitung aber auf ein Minimum zu reduzieren, sollte aber darauf geachtet werden, dass der Desktop aufgeräumt ist. So kann man verhindern, dass der Support-Mitarbeiter sozusagen „en passant“ unberechtigt Kenntnis von personenbezogenen Daten erlangt.
Rechtsgrundlage für den Zugriff
Wie der geneigte Leser weiß, braucht es immer einer Rechtsgrundlage für eine Datenverarbeitung. Wie der strenge Dr. Datenschutz immer repetiert: Es ist alles verboten, was nicht erlaubt ist. In der Regel läuft es auf das berechtigte Interesse des Arbeitgebers nach Art. 6 Abs. 1 S. 1 lit. f DSGVO hinaus. Der Arbeitgeber hat schließlich ein berechtigtes Interesse, dass er durch Fernwartung ein effizientes Funktionieren der Betriebsabläufe sicherstellen kann.
Einbindung des Betriebsrats
.. sofern denn einer vorhanden ist. Stichwort: Potenzielle Mitarbeiterüberwachung. Gemäß § 87 Abs. 1 Nr. 6 BetrVG besteht ein Mitbestimmungsrecht des Betriebsrates bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen;“. An der Frage, ob ein Remote-Support-Tool eine technische Einrichtung ist, die dazu bestimmt ist, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, erhitzen sich die Gemüter.
Gerade bei Tools mit einem größeren Funktionsumfang wie Besprechungsaufzeichnung und Chat-Funktion kann es nicht ausgeschlossen werden, dass das Remote-Support-Tool objektiv geeignet ist, das Verhalten und Leistung der Arbeitnehmer zu überwachen.
DSGVO-Konformität des Anbieters & Drittlandübermittlung
Da die Tools zum Remote-Zugriff die Daten über ihre Server leiten, findet eine Datenverarbeitung bei den Anbietern statt. Es sollte daher darauf geachtet werden, dass die Anbieter DSGVO-konform arbeiten. Anbietern aus der EU unterfallen als gesamtes Unternehmen der DSGVO und richten sich größtenteils an Kunden in der EU. Es ist daher ein starkes Indiz, dass ihre Tools DSGVO-konform eingesetzt werden können.
Mit den Anbietern muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Wenn der Anbieter die anfallenden Daten auch zu eigenen Zwecken verarbeitet, wird die rechtliche Lage komplexer, da der Anbieter des Tools auch eine Rechtsgrundlage für die Verarbeitung braucht. Das kann im Beschäftigungsverhältnis zur unfreiwilligen Preisgabe der Nutzer an den Anbieter führen, wenn Mitarbeiter zur Nutzung des Tools gezwungen sind. Es sollte von solchen Tools Abstand genommen werden oder alternativ andere Tools bzw. ein Support vor Ort angeboten werden.
Es sollte auch geprüft werden, ob die Anbieter die Daten über Server außerhalb der EU leiten/hosten. Wenn das der Fall ist, sollten Garantien für den sicheren Drittlandtransfer bestehen. Dieses Thema ist insbesondere brandaktuell vor dem Hintergrund des vom EuGH gekippten „EU-US-Privacy-Shield“.
Datensicherheit durch TOM
Hiermit ist nicht ein netter Bekannter namens Tom, sondern Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO gemeint. Der Anbieter muss gewährleisten können, dass die Daten sicher vor unberechtigtem Zugriff sind. Das ist ein entscheidender Punkt, da bei einer ungesicherten Datenverbindung häufig auf sensible Inhalte zugegriffen werden könnte. Eine wichtige Maßnahme ist daher die Verschlüsselung der Verbindung zwischen den beteiligten PCs. Einen guten Überblick zu der technischen Funktionsweise verschiedener Tools finden Sie in diesem Beitrag.
Die Qual der Wahl
So hieß es schon zum Schluss eines unserer Beiträge zu Fernzugriffs-Tools aus grauer „Vor-DSGVO-Zeiten“. Die Erwägungen sind immer noch aktuell, aber die Entscheidungsfindung ist leider nicht leichter geworden. So findet man bei einer Internetsuche gleich eine Vielzahl von Auflistungen zu den besten Remote-Zugriff-Tools. Eine gute Übersicht mit einem tabellarischen Vergleich der Stärken und Schwächen populärer Remote-Support-Tools neben dem Platzhirsch Teamviewer finden Sie hier.
Um sich Ihren Weg zumindest durch das Datenschutzdickicht zu bahnen, können Sie sich an den oben beschriebenen Auswahlkriterien orientieren. So können Sie verhindern, dass Sie sich Datenschutzrisiken aussetzen. Die meisten Anbieter bieten auf ihren Webseiten umfangreiche Informationen zur DSGVO-Konformität. Werden ein Vertrag zur Auftragsverarbeitung, TOM sowie Erklärungen zum „Ob“ und „Wie“ der Verarbeitung personenbezogener Daten bei Einsatz eines Tools nicht angeboten, sollte man skeptisch nachfragen oder gleich die Finger davonlassen.