Der Einsatz von Webkonferenz-Tools zur Zusammenarbeit im Unternehmen ist praktisch und erfreut sich immer größerer Beliebtheit. Wir zeigen auf, was der Arbeitgeber hier datenschutzrechtlich zu beachten hat.
Virtuelle Meetings
Auf dem Markt finden sich immer mehr Webkonferenz-Softwares, die der Vereinfachung der unternehmensinternen Kommunikation dienen. Zu den bekannteren Diensten zählen etwa GoToMeeting, Skype for Business, ClickMeeting, WebEx-Meetings oder meetyoo.
Die Anbieter ermöglichen „virtuelle Meetings“ zwischen zwei oder mehreren Teilnehmern. Sie erleichtern so die Zusammenarbeit im Unternehmen für den Fall, dass nicht alle Mitarbeiter zeitgleich am selben Ort sein können.
Webkonferenz-Tools oft als SaaS-Modell
Die Implementierungsvarianten der jeweiligen Anbieter können sich im Detail unterscheiden. Üblich ist der Einsatz als SaaS (Software as a Service) – Modell, bei welchem der Anbieter von der Software bis zur Server-Infrastruktur alles Notwendige für die Nutzung des Webkonferenz-Tools bereitstellt. Oft wird noch nicht einmal mehr separate Software auf dem PC benötigt, da die Konferenzen direkt im Webbrowser laufen. Allen Tools ist gemein, dass langwierige Einwahlprozesse oder eine komplexe Bedienung der Vergangenheit angehören.
Rechtsgrundlage für den Einsatz im Unternehmen
Als Rechtsgrundlage für die Erhebung und Nutzung der Mitarbeiterdaten über die Konferenz-Tools wird regelmäßig § 26 Abs.1 BDSG oder – soweit es an einer Erforderlichkeit fehlt – allgemein Art. 6 Abs.1 lit. f) DSGVO in Betracht kommen.
Auf welche Rechtsgrundlage man die Verarbeitung stützt, wird in der Praxis keine wesentliche Rolle spielen. Auch im Rahmen der Erforderlichkeitsprüfung nach § 26 BDSG müssen die betroffenen Grundrechtspositionen und widerstreitenden Interessen abgewogen und in Ausgleich gebracht werden – ähnlich wie beim berechtigten Interesse.
Durchgreifende, der Einführung des Konferenztools entgegenstehende schutzwürdige Interessen des Mitarbeiters bestehen dann, wenn das Tool auch zur Mitarbeiterüberwachung eingesetzt werden soll. Etwa wenn der Arbeitgeber auf die Idee kommt, die Anwesenheitsangaben (Anwesend / Beschäftigt / Abwesend) zur Arbeitszeitkontrolle einzuführen.
Dient das Tool jedoch ausschließlich der Erleichterung der unternehmensinternen Kommunikation, wovon im Regelfall auszugehen sein dürfte, sind schutzwürdige Interessen des Mitarbeiters, die einer Einführung entgegenstünden, regelmäßig nicht ersichtlich. Somit dürfte das Interesse des Arbeitgebers an der unternehmensweiten Nutzung überwiegen.
Einbindung des Betriebsrates
Auch ist im Blick zu behalten, dass dem Betriebsrat ein zwingendes Mitbestimmungsrecht zusteht. Gem. § 87 Abs. 1 Nr.6 BetrVG hat steht dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung technischer Systeme zu, die zur Überwachung des Verhaltens und der Leistung der Mitarbeiter geeignet ist. Der Wortlaut des Gesetzes spricht zwar von „bestimmt“ und nicht von „geeignet“. Doch nach ständiger arbeitsgerichtlicher Rechtsprechung genügt es schon, dass die Maßnahme zur Überwachung geeignet ist. Dies dürfte bei Webkonferenz-Tools grundsätzlich der Fall sein, da hier Login-Daten erfasst werden und die Teilnahme und Anwesenheit der Mitarbeiter überprüft werden kann.
Eine Mitbestimmungspflicht des Betriebsrates kommt auch nach § 94 BetrVG in Betracht. Dies ist in den Fällen denkbar, in denen das Webkonferenz-Tool als technikbasierter Fragebogen genutzt wird, den die Mitarbeiter zu beantworten haben und deren Antworten ihnen zuordenbar und damit personenbezogen sind.
Auftragsverarbeitungsvertrag (AVV) abschließen
Darüber hinaus ist mit dem Anbieter ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28, 29 DSGVO abzuschließen.
Die Anbieter verarbeiten hier als Plattformanbieter für ihre Kunden (die Unternehmen, die den Dienst zur Unternehmenskommunikation nutzen) personenbezogene Daten und haben auf diese – spätestens im Rahmen der Systemwartung – auch eine Zugriffsmöglichkeit.
Bietet der Anbieter hinreichende Sicherheit?
Als Kunde eines Webkonferenz-Dienstes ist man hinsichtlich der hierdurch erfolgten Datenverarbeitung datenschutzrechtlich verantwortlich gem. Art. 4 Nr. 7 DSGVO. Setzt man den Webkonferenz-Anbieter als Auftragsverarbeiter ein, besteht nach Art. 28 Abs.1 DSGVO die Pflicht nur mit solchen Unternehmen zusammenzuarbeiten, die
„hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt.“
Diese Pflicht ergibt sich für den Arbeitgeber strenggenommen schon aus seiner Sorgfaltspflicht gegenüber seinen Mitarbeitern, ihre persönlichen Daten vor unberechtigten Zugriffen zu schützen (Art. 32 DSGVO) – ein Aspekt der gerne übersehen wird. Hier ist jeder Arbeitgeber gefordert, sich vor Abschluss eines Vertrages über den geplanten Anbieter des Webkonferenz-Tools schlau zu machen. So ist zu überprüfen, ob ausreichende Maßnahmen zum Schutz personenbezogener Daten getroffen werden, bspw. ob die Datenübermittlung verschlüsselt erfolgt.
Auf den Webseiten der jeweiligen Anbieter finden sich glücklicherweise häufig ausführliche Informationen zum Stand der Datensicherheit. Hier sollte etwa darauf geachtet werden, ob der Anbieter nach ISO 27001:2013 und/oder ISO 27018 zertifiziert ist.
Datenübermittlung außerhalb des EWR-Raumes
Zuletzt sollte auch im Blick behalten werden, wo die Server des Anbieters stehen und ob Subunternehmer außerhalb des EWR-Raumes zum Einsatz kommen. Ist dies der Fall, sollte unbedingt darauf geachtet werden, dass der Anbieter transparente Angaben über die Sicherstellung des angemessenen Datenschutzniveaus im Drittland macht.
Herr der Verarbeitung bleibt ausschließlich das Unternehmen als Verantwortlicher. Lässt das Unternehmen eine Verarbeitung durch einen Auftragsverarbeiter in Drittländern für sich durchführen, ohne dass für ein angemessenes Schutzniveau gesorgt wurde, fällt dies am Ende immer auf das Unternehmen als datenschutzrechtlich Verantwortlichen zurück.
Über den Autor
Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:
Hallo,
wieso soll Auftragsverarbeitung nach Art 28, 29 vorliegen? Als Nutzer eines Konferenz-Tools habe ich doch keinerlei Weisungsbefugnis gegenüber dem Tool-Anbieter und kann auch nicht die Mittel der Verarbeitung beeinflussen.
An dieser Stelle aber mal ein ganz großes Dankeschön für die vielen und sehr guten Newsletter.
Viele Grüße
Die Aufsichtsbehörden vertraten in der Vergangenheit die Auffassung, dass der Cloud-Anwender (also das Unternehmen) „verantwortliche Stelle“ ist und der Cloud-Anbieter Auftragnehmer (und damit Auftragsverarbeiter) gem. § 11 Abs.2 BDSG-alt. An dieser Bewertung dürfte sich durch die DSGVO im Grundsatz nichts geändert haben, da die DSGVO zum alten BDSG vergleichbare Regelungen und Wertungen in diesem Bereich enthält. Ob sich darüber hinaus schon allein aus dem Umstand, dass der Anbieter im Rahmen von Wartungsarbeiten an seinen Systemen die Möglichkeit der Kenntnisnahme der personenbezogenen Daten des Cloud-Anwenders hat, eine Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages (vgl. § 11 Abs.5 BDSG-alt) ergibt, ist in der Literatur heiß umstritten. Die Anbieter von Webkonferenz-Tools stellen vor diesem Hintergrund regelmäßig herunterladbare Vertragsmuster zur Auftragsverarbeitung bereit.
Weitere Informationen zu dieser Thematik finden Sie in der Orientierungshilfe – Cloud Computing der Konferenz der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises und im Kurzpapier 13 zur Auftragsverarbeitung gem. Art. 28 DSGVO (unter der Überschrift „Wartung und Fernzugriffe“).
Sie weichen als Rechtgrundlage von § 26 BDSG auf Art 6. aus (Als Rechtsgrundlage für die Erhebung und Nutzung der Mitarbeiterdaten über die Konferenz-Tools wird regelmäßig § 26 Abs.1 BDSG oder – soweit es an einer Erforderlichkeit fehlt – allgemein Art. 6 Abs.1 lit. f) DSGVO in Betracht kommen.) Kommt der Artikel 6 auch bei der Verarbeitung von Daten im Beschäftigtenkontext zum tragen?
Die DSGVO bleibt für alle nicht durch § 26 BDSG geregelten Bereiche und Verarbeitungssituationen anwendbar, da § 26 BDSG die Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis nicht umfassend regelt.
Soweit also ein Verarbeitungszweck nicht erkennbar abschließend durch § 26 BDSG geregelt ist, gilt die DSGVO mit der Folge, dass für solche Verarbeitungszwecke Art. 6 DSGVO als Rechtsgrundlage anwendbar bleibt.
Guten Tag,
in diesem Beispiel geht es um den Einsatz von Webkonferenz-Tools innerhalb des eigenen Unternehmens.
Wie verhält es sich jedoch bei Webkonferenzen mit mehreren unternehmensfremden Partnern, die durch Desktopsharing durchaus Einblick in personenbezogene Daten haben können? In diesem Fall werden Daten, ggf. auch personenbezogene Daten, mit Partnen ausgetauscht und durch diese verarbeitet, die vielleicht nur an diesem einen Meeting teilnehmen und deren datenschutzrelevanter Standort nur mutmaßlich bestimmt werden kann.
Die konkrete Gewährung der Einsichtnahmemöglichkeit ist eine Offenlegung und damit als Übermittlung eine Form der rechtfertigungsbedürftigen Verarbeitung (vgl. Wortlaut in Art. 4 Nr. 2 DSGVO). Hier wird man sich häufig auf ein berechtigtes Interesse an der Übermittlung gem. Art. 6 Abs.1 lit. f DSGVO berufen können. Das hängt jedoch immer vom konkreten Einzelfall ab. Eine Berufung auf das berechtigte Interesse käme beispielsweise dann nicht mehr in Betracht, wenn während der Webkonferenz Einsicht in besonders sensible Daten gem. Art. 9 Abs.1 DSGVO gewährt werden würde, denn für eine Verarbeitung und damit auch für eine Übermittlung solcher Daten gelten die Rechtsgrundlagen aus Art. 9 Abs.2 DSGVO (eventuell in Verbindung mit nationalen Regelungen aufgrund der in Art. 9 Abs. 2 lit. b, g, h, i und j DSGVO benannten Öffnungsklauseln) abschließend.
Daneben wäre auch ein angemessenes Schutzniveau gem. Art. 44 ff. DSGVO sicherzustellen. Soweit für das Land, in dem der „unternehmensfremde Partner“ seinen Sitz hat, kein Angemessenheitsbeschluss der EU-Kommission besteht, wäre ein solch angemessenes Schutzniveau durch den Abschluss von Standardvertragsklauseln abzuschließen, was idealerweise bei Abschluss der jeweiligen Datenschutzvereinbarungen mit den Partnerunternehmen im Vorfeld bedacht wurde. Ausnahmsweise kann – je nach Fallgestaltung – die Offenlegung personenbezogener Daten im Rahmen einer Webkonferenz auch auf den Ausnahmetatbestand in Art. 49 DSGVO gestützt werden, der unter anderem seine Existenzberechtigung auch daher bezieht, dass Unternehmen nicht in jedem Einzelfall vor einer Datenübermittlung „schwere Geschütze“ wie Standardvertragsklauseln auffahren können werden, und ein solches Erfordernis den Anforderungen aus der Praxis auch nicht gerecht wäre.