Kommunikation im Homeoffice
10.08.2020, 14:26 Uhr
Covid-19-Leitfaden: Datenschutz bei Video-Tools
Aufgrund der Corona-Krise sind noch immer viele Arbeitnehmer im Homeoffice. Für Besprechungen kommen deshalb meist Video-Tools zum Einsatz. Die Berliner Datenschutzbehörde hat dafür einen Covid-19-Leitfaden herausgegeben.
Die bundesweit beschlossenen Präventionsmassnahmen zur Eindämmung der Pandemie zwingen immer noch zum Umdenken. Weil viele Unternehmen auf die Arbeit im Homeoffice setzen, gilt es Wege zu finden, einen effektiven Informationsaustausch zu gewährleisten. Die Kommunikation findet deshalb vermehrt über Video- und Telefonkonferenzen statt. Die verfügbaren Dienste, wie Skype oder Zoom, müssen allerdings auch in Zeiten von Corona datenschutzkonform eingesetzt werden.
Hierzu hat sich inzwischen die Berliner Datenschutzbehörde geäussert. Während es erfreulich ist, dass die Behörde einen Leitfaden herausgegeben hat, ist die Ausgestaltung wenig zielführend.
Der Leitfaden
Videotelefonie und Videokonferenzen sollen nach Ansicht der Behörde nur über verschlüsselte Kanäle stattfinden. Das ist zum Schutz der personenbezogenen Daten der Beteiligten durchaus lobenswert und im Grundsatz richtig (siehe die Anforderung in Art. 32 Abs. 1 lit. a) DSGVO). Eine konkrete Empfehlung zur Verschlüsselung spricht die Behörde aber nicht aus. So bleibt etwa offen, welche Art der Verschlüsselung durchzuführen ist (Server to Server, Client to Server, End to End und so weiter). Skype verwendet zum Beispiel den erweiterten Verschlüsselungsstandard AES (Advanced Encryption Standard).
Zudem soll jedes Unternehmen vorzugsweise selbst und eigenverantwortlich eine Videokonferenzlösung zur Verfügung stellen, ohne auf einen Drittanbieter zurückzugreifen. Dass dies mit einem erheblichen Mehraufwand verbunden ist, sieht auch die Behörde ein. Nutzen Unternehmen Dienste eines Drittanbieters wie Skype oder Microsoft Teams, so soll mit dem Anbieter ein Auftragsverarbeitungsvertrag geschlossen werden.
Kritik an US-Dienstleistern
Dies scheint auf den ersten Blick folgerichtig, lässt auf den zweiten Blick allerdings unberücksichtigt, dass dem Anbieter bei hinreichender Verschlüsselung der Zugriff auf personenbezogene Daten nicht möglich ist - zumindest theoretisch. Infolgedessen wäre der Anbieter nicht als Auftragsverarbeiter einzuordnen und ein Vertrag wäre obsolet. Den Einsatz eines Anbieters ausserhalb der EU/EFTA hält die Behörde zwar für kritisch, aber für akzeptabel, sofern die entsprechenden Schutzmassnahmen (EU-Standardvertragsklauseln, Angemessenheitsbeschluss der EU) eingehalten werden. Jedoch empfiehlt sie für den Fall, dass in Videokonferenzen sensible Daten übertragen werden, nur Dienste von Anbietern zu nutzen, die ihren Sitz in der EU oder EFTA haben. Diese Empfehlung ist rechtlich nicht verankert und somit mehr als gut gemeinter Rat zu verstehen.
Die Datenschutzbehörde spricht einige Empfehlungen zur Auswahl eines Dienstleisters aus. Hinreichend genaue Angaben bleiben jedoch aus. Zum einen hat der Anbieter vertrauenswürdig zu sein. Daneben wird auf eine Liste europäischer Dienste der Fachhochschule Kiel GmbH verwiesen, mit dem Vorbehalt, dass die Behörde die Nutzungsbedingungen bisher nicht überprüfen konnte. Im Übrigen lässt die Berliner Datenschutzbehörde Kritik an US-Dienstleistern verlauten. Namentlich werden Microsoft Teams, Skype und Zoom genannt.
Fazit
Die infolge von Covid-19 beschlossenen Massnahmen schränken uns alle in der einen oder anderen Hinsicht ein. Daher ist es erfreulich, dass die Berliner Datenschutzbehörde einen Leitfaden zur datenschutzgerechten Nutzung von Video- und Telefonkommunikationsdiensten veröffentlicht hat.
Die ausgesprochenen Empfehlungen sind jedoch meist nicht praktikabel, wenig konkret und sie lassen nicht erkennen, auf welcher Rechtsgrundlage sie beruhen. Es bleibt abzuwarten, ob sich die Berliner Behörde noch klarstellend äussert. Bis dahin sollten die Empfehlungen nur mit Vorsicht genossen werden.