Rechtssichere Nutzung von Videokonferenz-Systemen

Deutsch / English

Skype for Business, GoToMeeting, Webex, Zoom o. Ä. sind Videokonferenz-Tools, mit denen auch in Zeiten von Corona die interne Kommunikation von Angesicht zu Angesicht gepflegt werden kann. Das erleichtert die effiziente Zusammenarbeit im Team. Aus rechtlicher Sicht stoßen diese Lösungen jedoch an (rechtliche) Grenzen und offenbaren Handlungsbedarf, insbesondere im Hinblick auf das Datenschutzrecht. Wir zeigen Ihnen, wie Sie rechtssicher mit solchen Lösungen arbeiten können.

Rechtliche Grundlage

Im Rahmen des Beschäftigungsverhältnisses kann die Verarbeitung der Mitarbeiterdaten per Videokonferenz-Tool auf § 26 Abs. 1 BDSG oder § 6 Abs. 1 lit. b / f DSGVO gestützt werden. Ein rechtliches Hindernis besteht nur dann, wenn die Interessen der betroffenen Mitarbeiter überwiegen, sofern die Durchführung der Videokonferenz in geschützte Sphären der Mitarbeiter eingreift.

Unzulässige Funktionen

Einige Services bieten Funktionen, die nicht nur arbeitsrechtlich problematisch, sondern auch datenschutzrechtlich (ohne gesonderte Einwilligung des Mitarbeiters) unzulässig wären. Hierbei handelt es sich beispielsweise um

Trackingfunktionen / Arbeitnehmerüberwachung durch Aktivitätsstatus
Aufzeichnung der Meetings zur Auswertung der Redebeiträge
Konferenzen ohne beschränkten Zugang bei denkbarer Gefahr durch „fremde“ Zuhörer

Das datenschutzrechtliche Gebot der Datenminimierung gibt zusätzlich vor, dass die Datenerfassung auf das erforderliche Minimum reduziert sein muss.

Die erforderliche IT-Sicherheit des Services muss außerdem berücksichtigt werden. Auf Serviceanbieter, die durch Datenpannen von sich reden machen, sollte eher verzichtet werden.

Erforderliche Maßnahmen

Datenschutzrechtlich erforderlich sind Informations- und Dokumentationsmaßnahmen im Hinblick auf den genutzten Service. Hierbei handelt es sich um die Pflicht

einen Auftragsverarbeitungsvertrag mit dem Anbieter der Anwendung abzuschließen (für das EU-Ausland mit besonderen Vorgaben),
je nach Eingriff in Rechte Dritter eine Datenschutz-Folgenabschätzung durchzuführen,
die betroffenen Personen (auch Mitarbeiter) über die Datenverarbeitung zu belehren,
ein Verarbeitungsverzeichnis zum Service zu erstellen,
für ein ausreichendes technisch-organisatorisches Sicherheitskonzept zu sorgen, beispielsweise durch eine Konferenz-Richtlinie für den Umgang mit diesem Instrument.

Auch der Betriebsrat hat gem. § 87 Abs. 1 Nr. 6 BetrVG bei der „Einführung technischer Systeme, die zur Überwachung des Verhaltens und der Leistung der Mitarbeiter bestimmt sind“, ein Mitbestimmungsrecht.

Empfehlung für die Praxis

Bei Beachtung der datenschutzrechtlichen Basics sind Videokonferenz-Systeme auch datenschutzrechtlich umsetzbar. Europäische Services sind zwar mit weniger Aufwand rechtssicher umsetzbar, alle Tools sind dem Grunde nach jedoch datenschutzkonform ausgestaltbar. Unabdingbar ist stets die Erfüllung eigener Informations- und Dokumentationspflichten.

Gerne unterstützen wir Sie bei der Implementierung von Systemen für Videokonferenzen, prüfen die erforderlichen Auftragsverarbeitungsverträge, erstellen benötigte Verarbeitungsverzeichnisse oder liefern Ihnen Informationsformulare für Ihre Mitarbeiter.
Sprechen Sie uns gerne an.

Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)

E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 91360