Rechtliche Fallstricke, die es bei der Nutzung der Tools zu beachten gilt
Ob für Bewerbungsgespräche, interne Mitarbeiter-Meetings, Online Wine-Tastings, virtuelle Kochkurse für Gäste… Auch in der Hotellerie und Gastronomie gehören mittlerweile Corona bedingt Videokonferenzen mehr denn je zum Arbeitsalltag. Ermöglichen diese technischen Errungenschaften es den Hoteliers und Gastronomen doch, in den außergewöhnlichen Zeiten in einem engen Austausch mit den Mitarbeitern, Gästen, potenziellen Bewerbern und Lieferanten zu bleiben. Doch es gibt hierbei so Manches zu beachten, denn die Nutzung eines jeden Videokonferenz-Tools erfordert die Verarbeitung von personenbezogenen Daten von allen Nutzern bzw. Teilnehmern. Damit gilt für jede Videokonferenz die Datenschutzgrundverordnung (DSGVO) mit ihren vielen rechtlichen Fallstricken. Welche das sind, wie Sie sich davor schützen können und was es zu beachten gilt, erfahren Sie in diesem Blogbeitrag.
Videokonferenzen und Webinare sind die Kommunikationsmittel der Stunde. Auch für die Hotellerie und Gastronomie sind diese digitalen Tools mittlerweile nicht mehr wegzudenken – ob für virtuelle Events mit Gästen oder zum Austausch mit den eigenen Mitarbeitern.
Doch viele Unternehmen waren auf ein solch abruptes Umstellen der Arbeitsweise gar nicht vorbereitet. Um sich den Veränderungen schnell anpassen zu können, wurden Videokonferenz-Tools auf den Rechnern installiert, ohne sich über die Auswirkungen der Nutzung im Klaren sein. Hauptsache, es ging schnell einzurichten, die Technik war nutzerfreundlich, die bestenfalls auf allen Endgeräten problemlos für Video und Chat funktioniert.
Während alle Programme ihre Hauptaufgabe, nämlich Ton und Video zu übertragen, meist erfüllt haben, ist hier dennoch auch der Blick auf die datenschutzrechtlichen Anforderungen einer solchen Software zu richten.
Worauf ist bei der Auswahl einer Videokonferenz-Lösung aus Datenschutzsicht zu achten?
Bevor man sich für einen der zahlreichen Anbieter für Video-Konferenz-Software entscheidet, sollte man sich grundsätzlich mit den folgenden Fragestellungen intensiv auseinandersetzen bzw. eine datenschutzrechtliche Klärung herbeiführen:
1. Werden die Daten des Video-Tools verschlüsselt übertragen?
Dies ist beispielsweise besonders wichtig, falls man Dateien über die meist integrierte Chatfunktion versendet.
2. Besitzt das Tool angesehene Datenschutzzertifizierungen durch unabhängige Zertifizierungsstellen,
wie zum Beispiel ISO 27001, 27017 oder 27018?
3. Kann problemlos ein Auftragsverarbeitungsvertrag mit dem Software-Anbieter abgeschlossen werden?
Grundsätzlich ist ein Auftragsverarbeitungsvertrag Pflicht, wenn kein unternehmenseigenes Videochat-Tool verwendet wird.
4. Werden die personenbezogenen Daten außerhalb der EU verarbeitet?
Hier ist besonders die Verarbeitung der Daten in den USA zu erwähnen, denn seit Juli 2020 ist der EU-US Privacy Shield durch den Europäischen Gerichtshof für ungültig erklärt worden.
Dies bedeutet, dass nun mindestens ein Vertrag mit den Standard-Datenschutzklauseln nach Art. 46 Abs. 2 lit c DSGVO zu schließen ist.
5. Kann durch eine kostenpflichtige Version ein höherer Sicherheitsstandard nach DSGVO erreicht werden?
In der Regel bieten kostenpflichtige Versionen oftmals noch mehr Möglichkeiten, um den Datenschutz zu erhöhen, wie Warteräume für Teilnehmer, das Löschen von Aufzeichnungen und etwaigen Chat-Protokollen sowie das Abschalten von Tracking der Teilnehmer.
6. Ist der Betriebsrat bei der Nutzung einer Video-Konferenz-Software zu beteiligen?
Ja, denn nach § 87 Abs. 1 Nr. 6 BetrVG ist dies zwingend erforderlich, da die Teilnahme der Mitarbeiter/innen überwacht werden könnten. Dies gilt natürlich nur für Unternehmen, die einen Betriebsrat haben.
7. Muss durch die Verwendung eines Video-Konferenz-Tools die auf der Homepage abgebildete Datenschutzerklärung angepasst werden?
Ja, wenn das Tool z.B. für virtuelle Events mit Gästen oder für Bewerbungsgespräche verwendet wird, müssen sich die betroffenen Personen über die datenschutzrechtlichen Aspekte in der Datenschutzerklärung informieren können.
Welche Anbieter gibt es überhaupt auf dem Markt?
Es gibt natürlich zahlreiche Anbieter weltweit. Die fünf bekanntesten Video-Konferenz-Tools werden nachfolgend in einem Überblick mit einer kurzen Darstellung des Datenschutzniveaus genannt bzw. vorgestellt:
- Zoom hat seinen Sitz in den USA und dort werden auch die Daten verarbeitet. In der Vergangenheit hatte Zoom mit vielen Schlagzeilen rund um unzureichenden Datenschutz zu kämpfen. Mittlerweile wurde das Tool nachgebessert. Ein AV-Vertrag wird automatisch mit Registrierung abgeschlossen und die Datenschutzerklärung des Unternehmens wurde deutlich transparenter gestaltet.
- Microsoft Teams ist ebenso in den USA ansässig und alle Daten werden ebenfalls dort verarbeitet. Der Auftragsverarbeitungsvertrag wird mit Registrierung der kostenpflichtigen Version abgeschlossen. Anfang April 2020 veröffentlichte die Berliner Beauftragte für Datenschutz und Informationssicherheit eine Stellungnahme, welche auf datenschutzrechtliche Bedenken bezüglich Microsoft Teams schließen ließ. Hierzu hatte sich Microsoft ausführlich geäußert und ebenso wie Zoom nachträglich nachgebessert.
- GoToWebinar ist ebenfalls ein Anbieter aus den USA. Eine Verarbeitung der personenbezogenen Daten findet damit auch in einem Drittland statt. Ein Auftragsverarbeitungsvertrag kann abgeschlossen werden, der den Anforderungen von Art. 28 DSGVO entspricht. Ein angemessenes Datenschutzniveau ist durch den Abschluss der sogenannten EU-Standardvertragsklauseln garantiert.
- Skype in der kostenfreien Variante bietet keinen hinreichenden Datenschutz für berufliche Videokonferenzen. Erst in der Bezahlfunktion Skype for Business können die datenschutzkonformen Einstellungen und Vorkehrungen, wie bereits bei den drei vorherigen Anbietern erwähnt, angepasst werden.
- Google Hangout ist nur für den privaten Gebrauch gedacht. Ein AV-Vertrag kann nicht abgeschlossen werden, sodass dieses Tool für betriebliche Zwecke NICHT verwendet werden sollte.
Als grundsätzlich datenschutzfreundlich werden seitens deutscher Datenschutzbehörden insbesondere die folgenden Dienste für Webinare- bzw. Video-Konferenzen bewertet:
- Jitsi Meet
- RocketChat
- Nextcloud Talk
- Matrix
Auch bei der Verwendung von internen, selbst betriebener Kommunikationslösungen kann es sein, dass hier Hersteller bei der Nutzung der Software personenbezogene Daten erheben (insbesondere Analyse-, Telemetrie- und Diagnosedaten), z.B. durch die Einbindung von Tracking-Pixeln in Webseiten oder einer serverseitigen Übermittlung von personenbezogenen Daten an den Hersteller, mit weiterer Verarbeitung für eigene Zwecke.
Was ist konkret zu tun bzw. zu überprüfen bei bereits heruntergeladener Software?
- Prüfen Sie anhand der Vorgaben aus diesem Blogbeitrag, ob Ihre aktuelle Videokonferenz-Lösung überhaupt datenschutzkonform einsetzbar ist.
- Schauen Sie, ob ein Auftragsverarbeitungsvertrag mit dem Software-Anbieter abgeschlossen wurde bzw. noch abzuschließen ist, falls noch nicht geschehen.
- Bei der Verwendung eines Anbieters aus den USA ist zu überprüfen, ob eine EU-Standardvertragsklausel mit dem Unternehmen abgeschlossen werden kann.
- Prüfen Sie, ob Sie die datenschutzfreundlichsten Einstellungen im Tool ausgewählt wurden.
- Ergänzen Sie auf jeden Fall die Datenschutzerklärung auf der Homepage um einen Passus zu dem Videokonferenz-Tool.
- Es ist weiterhin zu analysieren, inwieweit eine Datenschutzfolgenabschätzung durchzuführen ist. Je nach Funktionalität der eingesetzten Software, könnte eine Hotel- oder Restaurant-betreiber verpflichtet werden, eine Datenschutzfolgenabschätzung vorzunehmen, in der die Risiken für die Rechte und Freiheiten der Betroffenen (zum Beispiel Arbeitnehmer, Gäste, Bewerber etc.,) und die entsprechenden Schutzmaßnahmen beschrieben werden. Je größer der Eingriff, desto eher besteht die Pflicht für eine Datenschutzfolgenabschätzung.
- Gegebenenfalls sind weitere interne Richtlinien im Unternehmen zur Nutzung von Konferenz-Tools notwendig. Das Hotel oder Restaurant sollte seinen Arbeitnehmern über festgeschriebene Richtlinien Vorgaben für die Nutzung des eingesetzten Tools machen und dadurch die datenschutzrechtlich zulässige Handhabung durch die Mitarbeiter sichern und steuern. Dabei kann zum Beispiel auch die private Nutzung untersagt werden – Stichwort „Home-Office“.
Fazit:
Auch wenn in Zeiten der Corona-Pandemie der Datenschutz nicht gerade auf der Prioritätenliste an erster Stelle steht, so haben Sie als Hotelier oder Gastronom dennoch die gesetzlichen Vorgaben zu erfüllen bzw. zu beachten. Herr der Verarbeitung bleibt ausschließlich das Unternehmen als Verantwortlicher. Lässt ein Hotel- oder Restaurantbetrieb eine Verarbeitung von personenbezogenen Daten durch einen Auftragsverarbeiter in Drittländern für sich durchführen, ohne dass für ein angemessenes Schutzniveau gesorgt wurde, fällt dies am Ende immer auf das Unternehmen als datenschutzrechtlich Verantwortlichen zurück.
Wenn Sie jedoch die Prüfung der Zulässigkeit der gewählten Dienste protokollieren, Auftragsverarbeitungsverträge abschließen, die datenschutzfreundlichsten Einstellungen wählen und die Datenschutzerklärung ergänzen, wird der Einsatz der vorstehend genannten Konferenzdienste in der Praxis hinreichend sicher sein.
Unter Umständen kann mit Kritik seitens von Datenschützern gerechnet werden, wenn Sie US-Dienste einsetzen, obwohl aus deren Sicht gleichwertige europäische Alternativen existieren. Daher sollten Sie genau begründen können, warum gerade ein US-Dienstleister zum Einsatz in Ihrem Unternehmen kommt. Um im Einzelfall ganz sicher zu gehen, sollten Sie die Prüfung daher am besten von einer Fachperson durchführen lassen (z. B. von einem Datenschutzbeauftragten). Hier ist es wichtig, eine vertretbare Entscheidung zu treffen und diese zu dokumentieren.
Letztendlich stellen sich jedoch aus datenschutzrechtlicher Sicht die normalen Fragen, die sich immer bei der Einführung von neuer Software stellen. Daher empfehle ich Ihnen, die Einführung mit einem Datenschutz-Experten anhand der skizzierten Kriterien zu analysieren und dann regelmäßig zu überprüfen.
Herzlichst,
Ihr Jan Schmidt-Gehring
Diskutieren Sie mit!
Hinterlassen Sie hier Ihren Kommentar!
Ihre E-Mail-Adresse wird nicht veröffentlicht, erforderliche Felder sind markiert *. Mit Ihrem Kommentar erklären Sie sich mit den Kommentarrichtlinien und den Datenschutz-Regeln einverstanden.