Videokonferenz-Tools: Rechtliche Vorgaben und Datenschutz

In der Corona-Krise ist der Einsatz von Video- oder Telefonkonferenz-Tools ein wertvolles Hilfsmittel. Bei der Einführung und Nutzung solcher Systeme sollten Unternehmen jedoch die arbeits- und datenschutzrechtlichen Vorgaben genau beachten.

Zu den gängigsten Systemen zählen etwa Skype for Business, GoToMeeting, Webex, oder Zoom, die "virtuelle Meetings" zwischen mehreren Teilnehmern ermöglichen. Bei der Einführung und Anwendung solcher Tools darf das Unternehmen aber den Schutz personenbezogener Daten nicht vergessen. Dies schon, um unliebsame und gegebenenfalls teure Folgen zu vermeiden. Denn Datenschutzverstöße können mit Bußgeldern von bis zu vier Prozent des Vorjahresumsatzes oder 20 Millionen Euro sanktioniert werden. Dies gilt auch in der Krise.

Datenschutz bei Videokonferenz-Tools nicht außer Acht lassen

Der Einsatz von Konferenz-Anwendungen im Beschäftigungskontext kann je nach Zweck meist auf § 26 Abs. 1 BDSG oder gegebenenfalls auch auf Artikel 6 Abs. 1 lit. f DSGVO gestützt werden. In beiden Fällen gilt, dass eine Interessenabwägung vorzunehmen ist. Betroffene Grundrechtspositionen und widerstreitende Interessen müssen in Ausgleich gebracht werden. Gewichtige Arbeitnehmerinteressen können insbesondere entgegenstehen, wenn das Tool auch zur Arbeitnehmerüberwachung (zum Beispiel zur Anwesenheitskontrolle oder einem Aufmerksamkeitstracking) eingesetzt werden soll. Um eine Interessenabwägung zu Lasten des Unternehmens zu vermeiden, sollten die im Weiteren dargestellten Besonderheiten beachtet werden.

Was bei den Funktionalitäten zu beachten ist

Unternehmen sollten sich zunächst klar machen, wie das Tool eingesetzt werden soll und welche Funktionalitäten benötigt werden. Dabei ist das Prinzip der Datenminimierung der DSGVO zu beachten. Der Funktionsumfang sollte auf das für die Kommunikation Notwendige begrenzt sein. Hiernach beurteilen sich die datenschutzrechtlichen- und IT-Sicherheitsaspekte einer jeden Anwendung.

Bei der Nutzung des Tools ist zu beachten, dass datensparsame Voreinstellungen vorgenommen, verschiedene Funktionalitäten ausgeschaltet und notwendige Zugangsbeschränkungsfunktionen genutzt werden. Hierbei sollte darauf geachtet werden, dass die Arbeitnehmer die Einstellungen nicht ändern. Nur so kann eine datenschutzrechtliche Interessenabwägung zu Gunsten des Unternehmens ausfallen. Folgendes ist besonders relevant:

  1. Die Trackingfunktionen müssen ausgeschaltet sein, um eine unzulässige Überwachung der Arbeitnehmer oder deren Arbeitszeiten zu verhindern. Darunter fällt einerseits die Funktion, den Anwesenheits- und Aktivitätsstatus (aktiv/inaktiv/abwesend) des Arbeitnehmers zu verfolgen, andererseits das Aufmerksamkeitstracking während des Meetings. Beim Aufmerksamkeitstracking wird dem Administrator angezeigt, ob der Teilnehmer während des Meetings das Tool lediglich im Hintergrund laufen lässt.
  2. Von einer Aufzeichnung des Web-Meetings sollte grundsätzlich abgesehen werden. Die Teilnehmer sollten generell gehalten sein, sich anderweitig Notizen zu machen oder sich die Dokumente und Präsentationen im Nachgang per E-Mail zu senden.
  3. Die Zugangsbeschränkungsfunktionen durch die Verwendung eines Passworts oder der Warteraumfunktion sind zu nutzen, damit unerwünschte oder unberechtigte Zuhörer sich nicht einwählen können. Bei der Warteraumfunktion können durch den Administrator die Teilnehmer manuell in den Meetingraum gelassen werden. Zu empfehlen ist, dass ein Meeting "geschlossen" wird, wenn alle Teilnehmer im Meeting sind. Dadurch kann sich keine Person – selbst bei Kenntnis des Passwortes – einwählen, was insbesondere aus Gesichtspunkten des Geschäftsgeheimnisschutzes wichtig ist.
  4. Zulässige Aufzeichnungen, Chatverläufe und andere Dokumentationen sollten nach dem Meeting aus dem Konferenz-Tool gelöscht und im Unternehmen lediglich bis zur jeweiligen Zweckerreichung aufbewahrt werden.

Weitere erforderliche Maßnahmen

Das Unternehmen hat bei der Einführung eines Konferenz-Tools weitere Maßnahmen zu treffen, von denen die Wichtigsten im Folgenden skizziert werden:

  • Auftragsverarbeitungsvertrag (AVV): Mit dem Anbieter der Anwendung ist ein AVV gemäß Art. 28 DSGVO abzuschließen, in dem unter anderem geeignete technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten vereinbart werden, um einen sicheren Umgang mit dem Konferenz-Tool sicherzustellen. Sofern der ausgewählte Anbieter seinen Sitz nicht in der EU hat, müssen ausreichende Garantien für ein angemessenes Datenschutzniveau gewährt werden (zum Beispiel Standardvertragsklauseln oder Privacy-Shield-Zertifizierung).
  • Datenschutzfolgenabschätzung: Je nach Funktionalität könnte das Unternehmen verpflichtet sein, eine Datenschutzfolgenabschätzung vorzunehmen, in der die Risiken für die Rechte und Freiheiten der Betroffenen (zum Beispiel Arbeitnehmer) und die entsprechenden Schutzmaßnahmen beschrieben werden. Je größer der Eingriff, desto eher besteht die Pflicht für eine Datenschutzfolgenabschätzung.
  • Datenschutzinformation: Das Unternehmen muss allen Teilnehmern einer Videokonferenz vorab eine Datenschutzinformation zur Verfügung stellen, in der es insbesondere die Verarbeitungstätigkeiten im Zusammenhang mit dem Einsatz des Konferenz-Tools erklärt.
  • Verarbeitungsverzeichnis: Da die Nutzung der Anwendung eine Datenverarbeitung darstellt, muss das Unternehmen ein Verarbeitungsverzeichnis hierüber führen.
  • Richtlinie zur Nutzung von Konferenz-Tools: Das Unternehmen sollte seinen Arbeitnehmern über eine Richtlinie Vorgaben für die Nutzung des Tools machen und dadurch die datenschutzrechtlich zulässige Handhabung durch die Arbeitnehmer steuern. Dabei kann auch die Privatnutzung untersagt werden.

Den Betriebsrat nicht vergessen

Da Konferenz-Tools grundsätzlich dazu geeignet sind, die Anwesenheit der Arbeitnehmer zu überprüfen – beispielsweise durch die Erfassung der Login-Daten – muss der Betriebsrat bei der Einführung zustimmen. Liegt keine Zustimmung vor, könnte der Betriebsrat die Anwendung zum Beispiel durch eine einstweilige Untersagungsverfügung verhindern. Der Betriebsrat hat gem. § 87 Abs. 1 Nr. 6 BetrVG bei der "Einführung technischer Systeme, die zur Überwachung des Verhaltens und der Leistung der Mitarbeiter bestimmt sind", mitzubestimmen. Hierfür reicht – entgegen des Wortlauts – eine objektive Eignung zur Leistungs- oder Verhaltenskontrolle aus.

Nutzung von Konferenz-Tools für die Betriebsratsarbeit

Schließlich stellt sich die Frage, was für Betriebsratssitzungen gilt. Können diese auch über ein Konferenz-Tool durchgeführt werden? In der Normalsituation erachtet die herrschende Meinung in der juristischen Fachliteratur dies als unzulässig. So werde der Grundsatz der Nichtöffentlichkeit nicht gewahrt. Zudem müssen Betriebsräte nach den §§ 30 ff. BetrVG physisch anwesend sein, um wirksam Beschlüsse zu fassen. Nur so lange die Mehrheit der gewählten Mitglieder an der Sitzung teilnimmt, ist das Gremium beschlussfähig.

Kurzfristige Änderung des Betriebsverfassungsgesetzes

Kann in der Krise, zum Beispiel wegen behördlich angeordneter Quarantäne, diese Anzahl nicht erreicht werden, ist das Gremium nicht handlungsfähig. Gerade in Krisenzeiten sind Betriebsräte aber besonders gefordert, daher ist fraglich, ob Ausnahmen möglich sind. Das Bundeskabinett hat, um Rechtssicherheit in der Ausnahmesituation zu schaffen, eine kurzfristige Änderung des BetrVG beschlossen, die noch im April verabschiedet werden soll. Betriebsräte erhalten die Möglichkeit, Beschlüsse vorerst auch via Video- und Telefonkonferenz zu fassen. Ziel der Maßnahme ist es, die mit hohen Infektionsrisiken verbundenen Präsenzsitzungen zu vermeiden und gleichzeitig die Handlungs- und Beschlussfähigkeit der Gremien sicher zu stellen.

Damit bereits auf diesem Wege gefasste Beschlüsse rechtswirksam bleiben, sollen die Regelungen rückwirkend zum 1. März 2020 in Kraft treten. Allerdings ist darauf zu achten, dass der Grundsatz der "Nichtöffentlichkeit" gewahrt wird. Die Einstellungen der Anwendung müssen so gewählt werden, dass sich kein Dritter zuschalten kann. Aufzeichnungen sind verboten. Zudem ist eine gleichberechtigte Kommunikation sicherzustellen, das heißt sämtliche Mitglieder sollten per Videokonferenz teilnehmen.

Rechtliche Vorgaben einhalten

Richtig aufgesetzt und angewendet, können Video- oder Telefonkonferenz-Systeme sowohl während der Corona-Zeit aber auch darüber hinaus zur effizienten Arbeitsgestaltung im Unternehmen beitragen. Daher sollte die Einhaltung der arbeits- und datenschutzrechtlichen Vorgaben bei der Einführung und Nutzung besonders im Fokus stehen.


Das könnte Sie auch interessieren:

Schutz personenbezogener Daten im Homeoffice

Betriebsratssitzungen in der Corona-Krise: Gesetzesänderung geplant

Interview: "Virtuelle Zusammenarbeit benötigt Zeit"

Schlagworte zum Thema:  Datenschutz, Coronavirus, Homeoffice