Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Free

Datenschutz : Cloud-Dienste: eine Spaßbremse

Lesezeit 4 Min.
Ein frustrierter Büroangestellter, der sich unter einer buchstäblichen Gewitterwolke aus Wut und Verwirrung mit Computerproblemen herumschlägt.

1 Updates und ihre Folgen

Vom Hersteller gehostete und gepflegte Softwareanwendungen („Cloud“) versprechen, dass Nutzer im Unternehmen immer die neuen Features erhalten, ohne dass eine neue Version gekauft und installiert werden müsste. Welche rechtlichen Folgen neue Funktionen haben können oder das plötzliche standardmäßige Aktivieren von Funktionen durch den Hersteller, illustriert der Beitrag an den Funktionen „Aufzeichnung von Chats“, „Aufzeichnung von Videokonferenzen“und „Automatische Analyse von Kommunikationsinhalten“. Die Betrachtung erfolgt generalisiert, d. h. nicht auf ein bestimmtes Produkt bezogen, da die datenschutzrelevanten Fragestellungen grundsätzlicher Natur sind und sich auch bei anderen Produkten in ähnlicher Weise stellen.

2 Aufzeichnung von Chats

Die Aufzeichnung von Chats stellt eine Datenverarbeitung dar, für die ein Zweck und eine Rechtsgrundlage erforderlich sind. Anlasslos alle Chats aufzuzeichnen, ist regelmäßig unzulässig. Deshalb sollte die Aufzeichnung grundsätzlich für alle Mitarbeiter deaktiviert werden.

Es empfiehlt sich, einen Genehmigungsprozess einzuführen, um für einzelne Chatkanäle eine Aufzeichnung zu beantragen. Im Verlauf dieses Prozesses müsste der Aufzeichnungszweck dokumentiert und eine Rechtsgrundlage, die ausnahmsweise die Aufzeichnung erlaubt, gefunden werden. Es empfiehlt sich, die private Nutzung des Chats zu verbieten, da diese schnell einer Aufzeichnung entgegensteht.

Eine Einwilligung stellt grundsätzlich keine wirksame Rechtsgrundlage dar. Im Beschäftigungsverhältnis fehlt es an der Freiwilligkeit. Denkbare Rechtsgrundlagen sind:

  • Erfüllung gesetzlicher Pflichten bspw. beim Handel mit Finanzprodukten,
  • erforderlich zur Durchführung des Beschäftigungsverhältnisses (§ 26 Abs. 1 S. 1 Bundesdatenschutzgesetz – BDSG),
  • Interessenabwägung (Art. 6 Abs. 1 lit. f) Datenschutz-Grundverordnung – DS-GVO).

Weiterhin ist die automatische Löschung so einzurichten, dass die Aufzeichnung gelöscht wird, sobald der Zweck entfallen ist und keine – insbesondere gesetzliche –Aufbewahrungspflicht der Löschung entgegensteht.

3 Aufzeichnung von Videokonferenzen

Auch die Aufzeichnungsmöglichkeit von Videokonferenzen sollte im Unternehmen deaktiviert werden. Wie auch bei Chats werden für eine Aufzeichnung ein Zweck und eine Rechtsgrundlage benötigt. Die Eingriffstiefe in das Persönlichkeitsrecht ist bei einem Videobild höher als bei einem Chat. Ein Videobild zeigt zusätzlich bspw. Gestik, Mimik und Stimmungen. Abgesehen von den Fällen einer gesetzlichen Aufzeichnungspflicht, bspw. beim Handel mit Finanzprodukten, sind die Hürden für eine zulässige Nutzung höher. Höher bedeutet, dass die Gründe für eine Aufzeichnung im Vergleich zur Chataufzeichnung noch gewichtiger sein müssen. In der Praxis stellt damit die Aufzeichnung eine seltene Ausnahme dar.

Da Videokonferenzen im Regelfall auch Tonübertragungen enthalten, greift neben dem Datenschutzrecht auch das Strafrecht. § 201 Abs. 1 Strafgesetzbuch (StGB) stellt das unbefugte Aufzeichnen des nicht öffentlich gesprochenen Worts unter Strafe. Videokonferenzen sind regelmäßig nicht öffentlich, da sie nur einem kleinen Kreis an Personen zugänglich sind. Neben der legitimierenden Rechtsgrundlage müssen deshalb alle Personen vor der Aufzeichnung über die Aufzeichnung bspw. durch eine Einblendung oder Ansage informiert werden. Ob zusätzlich eine Einwilligung aller Beteiligten erforderlich ist, hängt vom Einzelfall ab.

4 Automatische Analyse von Kommunikationsinhalten

Ziel einer automatischen Analyse von Kommunikationsinhalten ist es, unerwünschte Wörter in E-Mails, Chats usw. zu entdecken und automatisch darauf zu reagieren. Mögliche Reaktionen sind Filtern, Weiterleiten der Konversation an menschliche Prüfer, Versenden von Warnmails u. v. m. Welche Wörter unerwünscht sind sowie die Reaktionen lassen sich in der Anwendung konfigurieren.

Eine automatische Analyse von Kommunikationsinhalten bedarf selbstverständlich ebenfalls eines Zwecks und einer Rechtsgrundlage. Auch hier liegt eine sehr hohe Eingriffstiefe vor, da in das Grundrecht der freien Meinungsäußerung eingegriffen wird. Wie hoch die Eingriffstiefe ist, hängt davon ab, welche Begriffe oder Zeichen, z. B. IBAN, erfasst werden. Bspw. ist bei Banken eine Filterung von IBAN in E-Mails regelmäßig zulässig, um eine unbeabsichtigte Verletzung des Bankgeheimnisses zu vermeiden. Das Beispiel illustriert, dass ein leichter Eingriff in die freie Meinungsäußerung zulässig sein kann, wenn das zu schützende Gut gewichtiger ist. In der Praxis dürfte eine solche Konstellation sehr selten vorkommen, d. h. eine automatische Analyse von Kommunikationsinhalten ist regelmäßig unzulässig.

5 Fazit: Segen oder Fluch?

Auf der einen Seite ist es verlockend, alle Anwender im Unternehmen ohne eigenes Zutun immer mit den neuesten Funktionen eines Programms zu versorgen. Auf der anderen Seite bedeutet das automatische Aktivieren von Funktionen einen Kontrollverlust. Das anwendende Unternehmen und nicht der Hersteller wird für die daraus resultierenden unzulässigen Datenverarbeitungen und Strafen zur Rechenschaft gezogen werden.

Es empfiehlt sich deshalb, die Update-Mitteilung des Herstellers zu abonnieren und neue sowie nicht benötigte Funktionen durch einen Administrator zeitnah deaktivieren zu lassen.

Wenn neue Funktionen benutzt werden sollen, ist es ratsam, einen Prüf- und Freigabeprozess unter Beteiligung des Datenschutzbeauftragten, der Rechtsabteilung, des Sicherheitsbeauftragten und des Betriebsrats zu etablieren. Auch wenn zu einer Anwendung bereits eine Betriebsvereinbarung geschlossen wurde, können neue Funktionen eine Anpassung der Betriebsvereinbarung erforderlich machen. Die Mitbestimmung lebt regelmäßig durch neue Funktionen, die zur Leistungs- oder Verhaltenskontrolle geeignet sind, wieder auf. Wer überlegt, aus Kostengründen auf das Modell „Cloud“ zu setzen, sollte die durch regelmäßige Updates schnell höher ausfallenden Kosten für Compliance und Mitbestimmung im Vorfeld berücksichtigen.

Dr. Niels Lepperhoff, Geschäftsführer der Xamit Bewertungsgesellschaft mbH und der DSZ Datenschutz Zertifizierungsgesellschaft mbH (einem Gemeinschaftsunternehmen des BvD e. V. und der GDD e. V.)

Diesen Beitrag teilen: