Die aktuelle Situation um COVID-19 hat die Arbeitswelt gründlich durcheinandergerüttelt und zahlreichen Unternehmen des Mittelstands einiges an Kreativität abverlangt, nach Möglichkeit die akute Situation unbeschadet zu überstehen.

Die weitreichenden Folgen der Pandemie sind derzeit nicht absehbar. Allerdings wird gemeinhin schon jetzt angenommen, dass die (Arbeits-) Welt nach der Coronakrise nicht mehr dieselbe sein wird wie zuvor. In kürzester Zeit haben zahlreiche Unternehmen des Mittelstands digitale Lösungen gefunden, die es ihren Mitarbeitern erlauben von zu Hause aus ihrer Arbeit nachzugehen. Gleiches gilt für die technischen Möglichkeiten der Kommunikation mit Kunden sowie Mitarbeitern mittels Telefon- und Videokonferenzen. Digitale Umsetzungsversäumnisse aus der Vergangenheit wurden in kürzester Zeit aufgearbeitet, ohne dass dem eine lange Planungs-und Entscheidungsphase seitens der Geschäftsführung vorangegangen ist.

Auch wenn die meisten Arbeitnehmer – und auch die Geschäftsführung – sich sicherlich eine schnellstmögliche Rückkehr zur Normalität wünschen, ist gleichwohl absehbar, dass Home Office-Lösungen und die Möglichkeiten der Kommunikation mittels Telefon- und Videokonferenz ab nun an im Mittelstand zur Normalität geworden sind, wie dies vor der Coronakrise nicht der Fall war.

Wenngleich nicht verkannt wird, dass in der aktuellen Situation tiefgreifende Probleme zu bewältigen sind, welche Fragestellungen des Datenschutzes eher in den Hintergrund treten lassen, sollte der Aspekt des Datenschutzes dennoch nicht aus den Augen verloren werden. Denn spätestens in dem Zeitpunkt, in dem so etwas wie Normalität wieder einkehrt, sollten sich Unternehmer dessen bewusst sein, dass sie bei den neu eingerichteten Möglichkeiten der technischen Kommunikation Aspekte wie die Sicherheit der IT und des Datenschutzes nicht vernachlässigen dürfen. Es wäre sträflich, wenn das bisherige Niveau der eingerichteten IT- Sicherheit sowie die bisher umgesetzten Grundprinzipien des Datenschutzes durch die neu eingeführten Möglichkeiten der technischen Kommunikation über den Haufen geworfen werden.

Zu genau diesen Problempunkten hat sich das Landesamt für Datenschutz und Informationssicherheit in Baden-Württemberg in einer Pressemitteilung geäußert.

Die Pressemitteilung vom 17. April 2020 ist abrufbar unter

https://www.baden-wuerttemberg.datenschutz.de/datenschutzfreundliche-technische-moeglichkeiten-der-kommunikation/

Hier finden sich auch weitere Nachweise, wie datenschutzrechtlich eine Kommunikation per Videokonferenz aus Sicht der Aufsichtsbehörden gestaltet sein muss.

Die Möglichkeiten der Kommunikation über Videokonferenz unterscheiden sich im Wesentlichen durch zwei technische Lösungsansätze. Der eine Lösungsansatz ist die Möglichkeit der Kommunikation über Videokonferenz durch eine Software, die auf der eigenen IT-Infrastruktur des Unternehmens, mithin des eigenen Rechenzentrums betrieben wird („On Premises“). Der andere technischen Lösungsansatz ist die Beauftragung eines Dienstleisters, welcher nicht nur die Software, sondern auch die dahinterstehende technische Infrastruktur, häufig Cloud-basiert, stellt.

Grundsätzlich wird gemeinhin angenommen, dass der Betrieb von Kommunikationsmöglichkeiten auf den eigenen Systemen eher datenschutzrechtlich unbedenklich ist, da hierbei der Verantwortliche, mithin das Unternehmen, welches seinen Mitarbeitern bzw. seinen Kunden die Möglichkeit der Kombination mittels Videokonferenz eröffnet, es selbst in der Hand hat, welche Daten in welcher Weise verarbeitet werden, insbesondere ob eine Weitergabe von Daten an Dritte erfolgt oder nicht. Denkbar sind hierbei personenbezogene Daten in Form von Metadaten (wer hat wann mit wem kommuniziert) aber auch Inhaltsdaten der Kommunikation, soweit die Konferenzen aufgezeichnet werden.

Selbstverständlich ist es auch grundsätzlich weiterhin möglich, unter Beachtung der Grundsätze der DS-GVO einen Dienstleister zu beauftragen, welcher die Infrastruktur für die technische Kommunikation auf dessen Systemen stellt. Unabhängig von der technischen Sicherheit der Kommunikation stellen sich aber dann häufig weitergehende datenschutzrechtliche Fragen, die man im Idealfall zuvor beachtet und beantwortet hat. Fragestellungen können sein:

• Liegt eine Form der Auftragsverarbeitung oder gar ein Fall der gemeinsamen Verantwortlichkeit vor?
• Wurde zwischen dem Unternehmer und dem Dienstleister eine entsprechende Vereinbarung in Form eines Auftragsverarbeitungsvertrages oder Vereinbarungen zur gemeinsamen Verantwortlichkeit vorab abgeschlossen?
• Welche Daten werden verarbeitet und welche dieser Daten werden an Dritte zu welchen Zwecken weitergeleitet?
• Nach welcher Rechtsgrundlage werden diese Daten verarbeitet, insbesondere an Dritte weitergegeben?
• Werden durch die Kommunikation mittels Videokonferenz Inhalte an Dritte offenbart, die einer besonderen Vertraulichkeit oder gar berufsrechtlichen Geheimhaltung unterliegen?
• Sind die Empfänger dieser Inhalte ausreichend zur Vertraulichkeit oder auf das jeweils geltende Berufsgeheimnis verpflichtet worden?
• Findet die Datenverarbeitung im Ausland statt und damit gegebenenfalls außerhalb des EWR?
• Werden spezielle Informationen zum Datenschutz für die Teilnahme an der Videokonferenz vorgehalten?
• Sind die Datenverarbeitungsvorgänge im Zusammenhang mit den Videokonferenzen im Verzeichnis der Verarbeitungstätigkeiten berücksichtigt und vom Löschkonzept erfasst?

Alleine schon aufgrund der vorgenannten Fragestellungen, die nur ein Teilaspekt der sich daran anschließenden datenschutzrechtlichen Fragen aufgreifen, lässt sich erkennen, dass man hier nicht leichtfertig auf bequeme technische Lösungen zurückgreifen sollte, die nicht vollständig durchdacht sind.

Insbesondere das Vorhalten von entsprechenden Informationen zur Datenverarbeitung gemäß Art. 13 DS-GVO, die den Teilnehmern der Videokonferenz vor deren Teilnahme zugänglich gemacht werden müssen, findet in der Praxis kaum Beachtung.

Hier wird es in der Zukunft sicherlich einiges an nachträglichem Anpassungsbedarf geben, welcher nunmehr aufgrund der besonderen aktuellen Situation noch nicht angegangen werden konnte.

Auch wenn die DS-DVO es vorsieht, dass Sie als Unternehmer alle diese Aspekte vorab zu klären haben, bevor Sie sich der Kommunikation mittels Videokonferenz bedienen, so sollten Sie jedenfalls für die Zukunft, sobald Sie sich für eine technische Möglichkeit der Kommunikation mittels Videokonferenz entschieden haben, darum bemühen, die sich damit verbundenen datenschutzrechtlichen Fragestellungen abzuarbeiten, da Sie auch in Zukunft nicht auf diese Form der Kommunikation verzichten werden. Gerne unterstützen wir Sie und Ihr Unternehmen bei der Umsetzung.

Bitte sprechen Sie uns an, wenn Sie dazu Fragen haben!

Cornelius Weiß Rechtsanwalt

Karlsruhe, den 22.04.2020