Coronavirus & Datenschutz (Symbolbild)
Login

Erzwungene Digitalisierung: Datenschutzrechtliche Compliance im Homeoffice sowie bei Kollaborationssoftware, Videokonferenzen & Co.

Die Coronavirus-Pandemie hat zu einer starken Zunahme der Tätigkeit im Homeoffice geführt. Rechtsanwalt Stefan Hessel geht in seinem vorliegenden Beitrag auf die datenschutzrechtliche Dimension des Themas ein: Was muss bei der Einführung neuer Software beachtet werden, wie ist insbesondere der Videodienstanbieter Zoom zu beurteilen?

Der Artikel behandelt ein wegen der sich stets verändernden Krisenlage hochaktuelles Thema. Nach Erscheinen können sich sehr schnell Änderungen der Sach- und Rechtslage ergeben. Unser Autor gibt die ihm bekannte Sach- und Rechtslage mit Stand vom 17.04.2020 wieder.

Corona als Motor der Digitalisierung

Um eine Verbreitung des Corona-Virus durch Kontaktbeschränkungen zu verhindern und die eigenen Mitarbeiter zu schützen, lassen viele Unternehmen ihre Mitarbeiter derzeit aus dem Homeoffice heraus arbeiten. In den Unternehmen bleibt nur noch ein Kernteam zurück, welches für den Betrieb des Unternehmens unabdingbar ist. Dies ist gerade für Unternehmen, die sich mit den dafür notwendigen Technologien bisher wenig auseinandergesetzt haben, eine Herausforderung. Doch auch Unternehmen, die Homeoffice oder andere Formen von mobilem Arbeiten schon länger praktizieren, sind durch die derzeitige Situation gefordert. So dauert die jetzige Homeoffice-Phase beispielsweise vielfach länger an als bisherige Phasen der Abwesenheit von Mitarbeitern im Betrieb.

Um weiterhin ein produktives Arbeiten im Betrieb zu ermöglichen, besteht bei vielen Unternehmen daher das Bedürfnis die bestehenden Lösungen, um weitere Software, etwa für kollaboratives Arbeiten oder für Videokonferenzen zu ergänzen. Dies gilt auch für die Kommunikation mit Dritten außerhalb des Unternehmens. Statt einem Vor-Ort-Termin wird hier vielfach auf Videokonferenzlösungen zurückgegriffen. Sowohl im Homeoffice als auch beim Einsatz derartiger neuer Lösungen werden in der Regel personenbezogene Daten verarbeitet (etwa von Beschäftigten oder den Teilnehmern einer Videokonferenz). Aus diesem Grund müssen Unternehmen neben dem Arbeitsrecht und allgemeinen Erwägungen zur IT-Sicherheit auch die spezifischen Anforderungen des Datenschutzrechts erfüllen. Der folgende Beitrag erläutert diese datenschutzrechtlichen Anforderungen an das Homeoffice sowie an neue Softwarelösungen. Darüber hinaus werden praktische Tipps zur Umsetzung gegeben und die Rechtslage um den aktuell stark im Fokus stehenden Videodienstanbieter Zoom dargestellt.

Datenschutz im Homeoffice

Datenschutzrechtlicher Rahmen

Die datenschutzrechtlichen Anforderungen an das Homeoffice ergeben sich in erster Linie aus Art. 32 Abs. 1 Datenschutz-Grundverordnung (DSGVO). Hiernach hat der Verantwortliche nach dem Stand der Technik geeignete technische und organisatorische IT-Sicherheitsmaßnahmen zu treffen, um den Risiken einer Datenverarbeitung angemessen entgegenzutreten. Das Risiko bei einer Datenverarbeitung im Homeoffice wird dabei als vergleichsweise hoch bewertet. Dies hängt unter anderem damit zusammen, dass viele IT-Sicherheitsmaßnahmen, die in einem Unternehmen möglich sind, nicht oder nur eingeschränkt im Homeoffice umgesetzt werden können. Noch im Januar 2019 hat der Bundesbeauftragte für den Datenschutz (BfDI) in seinem Faltblatt zum Thema „Telearbeit und Mobiles Arbeiten“ folglich sehr hohe Anforderungen an den Datenschutz im Homeoffice gestellt. Im Faltblatt wird unter anderem verlangt, dass weder private Hard- noch Software eingesetzt wird. Darüber hinaus müssen nach der damaligen Ansicht des BfDI „geeignete häusliche Räumlichkeiten und Arbeitsmittel zur sicheren Aufbewahrung und vertraulichen Behandlung von Unterlagen und Datenträgern mit personenbezogenen Daten vorhanden sein“ und eine Vor-Ort-Kontrolle durch den Arbeitgeber möglich sein.

Da eine Umsetzung dieser hohen Anforderungen für eine Vielzahl von Unternehmen derzeit nicht möglich ist, wurden die Anforderungen jedoch seit dem Ausbruch des Virus in Deutschland abgesenkt. So sieht etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen Empfehlungen zur IT-Sicherheit im Homeoffice vom 17.03.2020 die Nutzung von Privatgeräten ausdrücklich vor. Das BSI ist zwar selbst keine Datenschutzbehörde, wird von diesen jedoch regelmäßig als Maßstab herangezogen, wenn es um die Beurteilung der IT-Sicherheit geht. Auf die aktuellen Empfehlungen des BSI verweist aktuell auch der BfDI. Doch auch von mehreren Datenschutzaufsichtsbehörden liegen – teils befristete – Stellungnahmen zum Datenschutz im Homeoffice vor. So hat beispielsweise der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) in einer Stellungnahme, die vorerst bis zum 19.04.2020 gilt und von der Aufsichtsbehörde in Niedersachsen geteilt wird, ebenfalls eine Nutzung von Privatgeräten erlaubt. Weitere Stellungnahmen haben unter anderem die Aufsichtsbehörden in Brandenburg, in Berlin und in Schleswig-Holstein abgegeben. Letztere eignet sich aufgrund der vielen praktischen Tipps auch zur Weitergabe an die Mitarbeiter.

Tipps zur Umsetzung

Im Hinblick darauf, dass viele Unternehmen nach wie vor unter Zeitdruck bei der Schaffung der notwendigen Rahmenbedingungen für das Homeoffice stehen, kann ein abgestuftes Vorgehen sinnvoll sein. Hierzu ist eine Orientierung an den Hinweisen des BSI zu empfehlen, die mit den Stellungnahmen der Aufsichtsbehörden ergänzt werden können. Wichtig ist in der Akutphase zunächst den Überblick über die Vorgänge zu behalten und eine IT-Sicherheitsrichtlinie zu entwickeln. Hier sollte der aktuelle Stand der IT-Sicherheit im Homeoffice abgebildet sein. Ausgehend davon sollten dann weitere Maßnahmen getroffen werden, wobei aufgrund der aktuellen Bedrohungslage und durch das Homeoffice steigenden Verantwortung der Mitarbeiter insbesondere die Sensibilisierung der Mitarbeiter eine zentrale Rolle einnehmen sollte. An diesem Punkt dürfen Unternehmen jedoch nicht stehen bleiben, sondern müssen sukzessive weitere Maßnahmen nachziehen. Jeder Schritt sollte dabei – idealerweise mit einer Zeitachse – dokumentiert werden. So gelingt ein Nachweis des IT-Sicherheitsprozesses für den Fall von Beanstandungen durch die Datenschutzbehörden.

Im Hinblick darauf, dass die Aufsichtsbehörden mit fortgeschrittenem Zeitverlauf voraussichtlich zu ihren ursprünglichen Anforderungen zurückkehren werden, sollte erwogen werden auch diese Anforderungen nach und nach umzusetzen. Dies hat für Unternehmen den Vorteil, dass die Errungenschaften des Homeoffice nach der Bewältigung der Pandemie nicht verloren gehen.

Datenschutz beim Einsatz neuer Software

Datenschutzrechtlicher Rahmen

Viele Unternehmen versuchen in der aktuellen Situation die Arbeit im Homeoffice produktiver zu gestalten, indem Sie auf Kollaborationsplattformen, wie z.B. Microsoft Teams, oder Videodienste, wie z.B. Zoom, zurückgreifen. Aus der Perspektive des Datenschutzrechts unterscheiden sich die Anforderungen an den Einsatz derartiger Software nicht von anderen Fällen der Softwarenutzung. Eine Herausforderung besteht jedoch darin, dass viele Dienste bisher aufgrund ihrer geringen Verbreitung nicht geprüft wurden. Zunächst muss eine Software, die zur Verarbeitung von personenbezogenen Daten eingesetzt wird, dem Verantwortlichen eine Gewährleistung der Betroffenenrechte, beispielsweise dem Recht auf Auskunft nach Art. 15 DSGVO erlauben. Darüber hinaus sollte die Software die Grundsätze des Art. 25 DSGVO (data protection by design und by default) umsetzen. Die Prüfung dieser Anforderungen, die sich eigentlich eher an den Hersteller der Software richten, kann besonders anspruchsvoll sein.

Schließlich gilt für den Einsatz einer Software ebenfalls die oben skizzierte Anforderung des Art. 32 DSGVO. Eine neue Software muss folglich in der Lage sein ein angemessenes IT-Sicherheitsniveau zu gewährleisten. Genügt eine Software diesen Anforderungen, muss die Rolle des Softwareanbieters geklärt werden. Hierbei ist anhand der etablierten Maßstäbe zu untersuchen, ob eine eigene Verantwortlichkeit des Anbieters oder eine Auftragsverarbeitung vorliegt. Des Weiteren muss der Verantwortliche den Nutzern der Software – insbesondere seinen Mitarbeitern, aber auch Dritten – nach Art. 13 DSGVO geeignete Informationen zum Datenschutz zur Verfügung stellen und die mit dem Softwareeinsatz einhergehenden Verarbeitungstätigkeiten in sein Verfahrens- bzw. Verarbeitungsverzeichnis aufnehmen. Ist die mit dem Einsatz der Software verbundene Verarbeitungstätigkeit besonders risikoreich, sollte unter anderem anhand der Leitlinien der Europäischen Datenschutzausschusses geprüft werden, ob eine Datenschutzfolgeabschätzung notwendig ist. Nicht zu vergessen ist schließlich, dass in der jetzigen Situation etwaige Datenschutzverletzungen in Zusammenhang mit der neuen Software dennoch Melde- und Benachrichtigungspflichten nach den Art. 33 und 34 DSGVO auslösen können.

Tipps zur Umsetzung

Die umfassende Evaluation einer neuen Software auf die dargestellten Anforderungen dürfte vielfach wegen des durch die Pandemie verursachten Zeitdrucks nicht möglich sein. Aus diesem Grund ist Unternehmen zu einem abgestuften Vorgehen zu raten. Zunächst sollten dabei – losgelöst vom Datenschutzrecht – die Anforderungen an die neue Software definiert werden. Möglicherweise stellt sich dabei heraus, dass eine bereits eingesetzte Software die Funktion schon liefert oder diese nachgerüstet werden kann, was wenigstens den Prüfumfang verringert. Ist dies nicht der Fall sollte die ausgewählte Software in einem ersten Schritt auf die grundsätzliche Vereinbarkeit mit der DSGVO geprüft werden. Fällt das Ergebnis hier positiv aus, erscheint ein Einsatz der Software angesichts der Umstände zunächst ausnahmsweise ohne weitere Prüfung möglich. Das Ergebnis der Vorabprüfung sollte zum Nachweis dokumentiert werden und gleichzeitig ein Prozess zur umfassenden Analyse der Software – ggfs. unter Hinzuziehung von Experten – initiiert werden. Darüber hinaus ist zwingend zu klären, ob eine eigene Verantwortlichkeit des Softwareanbieters oder eine Auftragsverarbeitung vorliegt. Ebenso sollte zumindest eine rudimentäre Eintragung der Verarbeitungsvorgänge im Verarbeitungsverzeichnis sowie die Bereitstellung einer Datenschutzinformation erfolgen. Die Detailprüfung der Software sollte dann in den kommenden Wochen – idealerweise sukzessive mit freiwerdenden Kapazitäten – nachgeholt und ebenfalls dokumentiert werden.

Beispiel Zoom

Wie schwierig eine datenschutzrechtliche Evaluation einer Software sein kann, zeigt der Videokonferenzanbieter Zoom. Das US-Unternehmen stellt bereits seit einiger Zeit Videodienste für Unternehmen bereit, hat jedoch mit der Corona-Pandemie eine enorme Steigerung seiner Nutzerzahl erfahren. Dadurch ist das Unternehmen ebenfalls verstärkt in den Fokus von IT-Sicherheits- und Datenschutzexperten geraten, die vielfältige Mängel bei der Software aufgedeckt haben. Zu diesen Mängeln zählten sowohl Verstöße gegen das Datenschutzrecht, aber auch Schwachstellen bezüglich der Sicherheit der Client-Anwendungen. Darüber hinaus wurden Zoom-Konferenzen aufgrund eines fahrlässigen Umgangs von Nutzern mit den Einwahldaten zu Meetings von Dritten gestört, sog. Zoom-Bombing, und Aufnahmen von Meetings von Nutzern unzureichend geschützt bei Cloud-Diensten abgelegt. Zoom hat auf diese Mängel jedoch schnell reagiert, einen Großteil behoben und ein Programm für die weitere Verbesserung des Dienstes im Hinblick auf den Datenschutz vorgelegt.

Vor diesem Hintergrund scheint ein datenschutzkonformer Einsatz von Zoom unter Beachtung der bereits dargestellten Grundsätze weiterhin möglich. Dass das Unternehmen seinen Sitz in den USA hat, ist aus datenschutzrechtlicher Sicht nicht zu beanstanden, da Zoom unter dem EU-US Privacy-Shield zertifiziert ist. Insgesamt ist damit zu rechnen, dass aufgrund der derzeit intensiven Nutzung von Videokonferenzen in den kommenden Wochen nicht nur bei Zoom, sondern auch bei anderen Softwarelösungen Mängel bei Datenschutz und IT-Sicherheit aufgedeckt werden. Reagieren die Anbieter hier zeitnah und beheben die Mängel, spricht dies eher für, als gegen die Software.

Fazit

Unter den gegebenen Umständen eine Einhaltung des Datenschutzrechts zu gewährleisten, ist eine Herausforderung. Unternehmen sollten aber, auch im Hinblick darauf, dass das Datenschutzrecht weiter gilt, wenigstens Mindestanforderungen umsetzen und diese zeitnah nachbessern. Die hier dargestellten Grundsätze können bei einer Umsetzung des Datenschutzrechts insoweit hilfreich sein. Aufgrund der dynamischen Situation und den durchaus komplizierten Fragestellungen, etwa für Auftragnehmer im Rahmen einer Auftragsvereinbarung, kann ein Rückgriff auf Experten jedoch teilweise unerlässlich sein.

Lesen Sie zum Thema "Datenschutz" auch:

Lesen Sie zum Thema "Compliance" auch:

Lesen Sie weitere interessante Beiträge im juris Magazin:


juris unterstützt Sie in allen Rechts- und Themengebieten.

Finden Sie aus unserer Auswahl das für Sie passende Modul oder Produkt:


			juris PartnerModul Datenschutz
juris PartnerModul Datenschutz
Umfassende Fachliteratur zur DSGVO und zum neuen BDSG - in EINEM Modul, sukzessive aktualisiert.
Weitere Produktinformationen

			juris PartnerModul IT-Recht
juris PartnerModul IT-Recht
Beantwortet alle Fragen aus dem IT-rechtlichen Alltag (DSGVO, BDSG, TMG, TKG u.v.m.) unter Berücksichtigung von UWG und StGB.
Weitere Produktinformationen

			juris PartnerModul Compliance premium
juris PartnerModul Compliance premium
Erfahren Sie u.a. welche Maßnahmen bei der Prävention und Vermeidung von Haftung und Strafbarkeit zu ergreifen sind.
Weitere Produktinformationen

			juris PartnerModul Compliance
juris PartnerModul Compliance
Lösungsansätze zur Umsetzung von compliance-rechtlichen Vorgaben innerhalb diverser Rechtsgebiete, wie z. B. dem Arbeits- oder Wirtschaftsrecht.
Weitere Produktinformationen

			juris PartnerModul Gewerblicher Rechtsschutz / Urheberrecht
juris PartnerModul Gewerblicher Rechtsschutz / Urheberrecht
Renommierte Kommentare, Fachzeitschriften und Handbücher - für alle Fragen im Urheberrecht.
Weitere Produktinformationen

			AnwaltZertifikatOnline IT-Recht
AnwaltZertifikatOnline IT-Recht
Herausgeber: Prof. Dr. Dirk Heckmann und Prof. Dr.peter Bräutigam
Fortbildungsdetails

Nicht das Passende für Sie dabei?

Wir beraten Sie gerne persönlich und unverbindlich: 0800 – 587 47 33