Datenschutz in der Pandemie: 7 Tipps für den (Video-)Chat

Im Homeoffice lauern beim Thema Datenschutz einige Gefahren – vor allem Datenschutzverstöße können teuer werden. Worauf Unternehmen bei der Auswahl und Konfiguration von Messenger-Diensten achten müssen und wie sie die Kommunikation in Corona-Zeiten datenschutzkonform steuern. 

Im Homeoffice erleben Messenger-Dienste sowie Video- und Onlinekonferenz-Tools Höhenflüge. Häufig werden sie ohne Sicherheitsvorkehrungen auf Firmen-Laptops, heimischen PCs oder privaten Smartphones eingesetzt. Diese Sorglosigkeit kann kostspielige Folgen haben. Denn auch in Krisenzeiten gilt die Datenschutzgrund-Verordnung (DSGVO). Ein datenschutzkonformer Einsatz von Messenger-Diensten ist möglich und sollte für Unternehmen Priorität haben. Worauf diese achten müssen, fassen wir dir in 7 Punkten zusammen.

1. Wird das Tool nicht nur intern, sondern auch extern eingesetzt?

Firmen müssen sich zuerst fragen, ob die Software nur für die organisationsinterne Kommunikation eingesetzt werden soll oder auch für Gespräche und Videokonferenzen mit KundenInnen und Geschäftspartnern. Daraus ergeben sich unterschiedliche datenschutzrechtliche Fragestellungen. Insbesondere haben ArbeitgeberInnen mit § 26 Bundesdatenschutzgesetz (BDSG) eine gegebenenfalls eigenständige und spezifische Norm für die Verarbeitung von Beschäftigtendaten. Auch sind die rechtlichen Anforderungen geringer, wenn dies lediglich in einem internen Beschäftigtenkontext erfolgt.

2. Auswahl des Kommunikationstools 

Durch korrekte Voreinstellungen kann ein Großteil der Anforderungen an einen datenschutzkonformen Einsatz von Kommunikationsdiensten umgesetzt werden. Mit Art. 25 DSGVO schreibt diese vor, dass „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ gewährleistet werden muss.

Bei der Auswahl des Dienstleisters solltest du auf einige datenschutzrechtliche Kriterien achten, zum Beispiel auf eine sogenannte Ende-zu-Ende Verschlüsselung.

Auch die geschäftliche Nutzung des Dienstes sollte gemäß den Nutzungsbedingungen erlaubt sein, zudem muss sich der Bild- und Tonmitschnitt regulieren lassen. Sofern Bildschirmübertragung oder Aufzeichnung erforderlich sein sollten, ist die Einwilligung der TeilnehmerInnen einzuholen. Alle Aufzeichnungen sollten nach Gesprächsende gelöscht werden. Als datenschutzfreundlich bewerten deutsche Datenschutzbehörden folgende Dienste: Jitsi Meet, RocketChat, Nextcloud Talk und Matrix. 

3. App-Spezialanforderungen 

Kommen Messenger-Dienste oder Video- und Onlinekonferenz-Tools als App auf Mobiltelefonen oder Tablets zum Einsatz, sollte immer die aktuelle Software laufen. Als Tabus gelten die automatische Synchronisation des Adressbuchs sowie automatische Cloud-Back-ups. Außerdem dürfen andere Apps nicht auf die Daten zugreifen, sollten Chat-Anhänge auf dem Endgerät gespeichert werden. Es empfiehlt sich außerdem eine ausreichende Absicherung der Endgeräte (Zugriffssperre, Verschlüsselung). 

4. Gesundheitsbereich

Für den Einsatz von Messenger-Diensten oder Video- und Onlinekonferenz-Tools im Gesundheitsbereich gelten besondere Anforderungen, sofern (auch) Gesundheitsdaten verarbeitet werden. Die deutschen Datenschutzbehörden veröffentlichten Ende 2019 ein ausführliches Whitepaper zu den technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich, das analog auch für den restlichen Gesundheitsbereich gilt.

5. Schwachstelle Mensch

Diverse Studien zeigen, dass der Mensch Schwachstelle Nummer eins darstellt und Hauptursache für Datenpannen ist. Falls noch nicht vorhanden, sollten Art und Weise sowie Grenzen der Nutzung der Kommunikationstools in einer internen Richtlinie festgehalten und beschrieben werden. Auch Schulungen und Flyer mit den wichtigsten Punkten helfen und sensibilisierendie MitarbeiterInnen. 

EXTRA: Datenschutz: Das musst du als Unternehmer unbedingt wissen

6. Datenschutzhinweise

Alle Gesprächsteilnehmer sollten entsprechend Art. 13 und 14 DSGVO vor der Gesprächsteilnahme über die Verarbeitung ihrer personenbezogenen Daten aufgeklärt werden. Es muss unter anderem über Zweck, Umfang und Dauer der Verarbeitung sowie über die EmpfängerInnen der Daten informiert werden. In der Praxis hat sich bewährt, die Datenschutzhinweise im Rahmen von Konferenzen als Link in der Einladung zum Meeting und/oder auf der Log-in-Seite zur Verfügung zu stellen. Bei reinen Messenger-/Chat-Tools wäre es angemessen, die Datenschutzhinweise unmittelbar bei der Installation oder als Link in einer automatischen Nachricht bei der ersten Kontaktaufnahme zu übermitteln. 

7. Mitarbeitervertretung und Datenschutzbeauftragter

Betriebs- oder Personalrat sind vor dem Einsatz der Dienste einzubinden, da sich die Tools grundsätzlich eignen, das Verhalten oder die Leistung der Beschäftigten zu überwachen (§ 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz – BetrVG). Daneben sollten auch der oder die Datenschutzbeauftragte bereits bei der Auswahl geeigneter Kommunikationstools einbezogen werden.