Messenger-Dienste 2020: Hinweise und Tipps zu sicheren Anbietern

Zur Eindämmung der Pandemie aufgrund des Corona-Virus sind viele Beschäftigte gehalten von zu Hause aus, also im Home-Office, zu arbeiten. Allerdings muss in diesen außergewöhnlichen Zeiten die organisationsinterne Kommunikation als auch der Austausch mit Kunden, Lieferanten und sonstigen Geschäftspartnern natürlich weiterhin möglich sein. Insoweit erleben Messenger-Dienste, Video- und Onlinekonferenz Tools gerade ungeahnte Nachfrage.

Trotz der aktuell außergewöhnlichen Situation gilt es auch hierbei den Datenschutz und die Datensicherheit zu beachten – denn die Datenschutz-Grundverordnung (DSGVO) gilt auch in Krisenzeiten wie der vorliegenden. Das hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) in einer aktuellen Entschließung noch einmal verdeutlicht.

Ein datenschutzkonformer Einsatz solcher Dienste ist aber möglich. Worauf es hierbei zu achten gilt, wird nachfolgend dargestellt.

Inhaltsübersicht

1. Kommunikation zu beruflichen, amtlichen oder Vereinszwecken?
2. Wird das Tool nur zur internen oder auch zur externen Kommunikation eingesetzt?
3. Allgemeine Kriterien bei der Auswahl des Kommunikationstools – Konfiguration maßgeblich
4. Schwachstelle Mensch: Die beste Technik hilft nicht ohne begleitende organisatorische Maßnahmen
5. Vertragliche Flankierung – Auftragsverarbeitungsvertrag (AVV) vs. Vereinbarung zur gemeinsamen Verantwortlichkeit (GVV)
6. Datenübermittlung in Länder außerhalb der Europäischen Union (EU) bzw. Europäischen Wirtschaftsraums (EWR) – Herstellung eines angemessenen
7. Datenschutzhinweise
8. Beteiligung entsprechender Gremien wie Mitarbeitervertretung und Datenschutzbeauftragter
9. Verzeichnis der Verarbeitungstätigkeiten (VVT)
10. Durchführung einer Datenschutz-Folgenabschätzung
11. Beachtung weiterer einschlägiger Gesetze wie TMG & TKG
12. Spezielle Anforderungen bei Apps
13. Spezielle Anforderungen im Gesundheitsbereich
14. Fazit

1. Kommunikation zu beruflichen, amtlichen oder Vereinszwecken?

Zwar gilt die DSGVO wie bereits
erwähnt unabhängig der Frage Pandemie ja oder nein. Allerdings ist deren
Anwendungsbereich nicht eröffnet, wenn die Datenverarbeitung personenbezogener
Daten zu rein persönlichen oder familiären Zwecken erfolgt. D.h., die
Vorschriften der DSGVO müssen in einem solchen Fall nicht zwingend beachtet
werden. Aber auch bei der persönlichen oder familiären Nutzung von
Kommunikationssoftware und Messenger-Diensten empfehlen wir die nachfolgenden
Hinweise entsprechend zu beachten.

Im beruflichen oder amtlichen
Kontext bzw. im Zusammenhang mit Vereinsarbeit gilt diese sog.
„Haushaltsausnahme“ der DSGVO jedoch nicht.

2. Wird das Tool nur zur internen oder auch zur externen Kommunikation eingesetzt?

Die erste Frage, die man sich stellen sollte ist, ob die Software lediglich für die organisationsinterne Kommunikation eingesetzt werden soll (also zwischen Beschäftigten) oder ob diese auch für Gespräche und Videokonferenzen mit externen Dritten wie Kunden, Lieferanten oder anderen Geschäftspartnern genutzt wird. Diesbezüglich können sich durchaus unterschiedliche datenschutzrechtliche Fragestellungen ergeben. Insbesondere haben Arbeitgeber mit § 26 Bundesdatenschutzgesetz (BDSG) eine ggf. eigenständige und spezifische Norm für die Verarbeitung von Beschäftigtendaten. Auch ist der Eingriff in die jeweiligen Persönlichkeitsrechte geringer, wenn dies lediglich in einem internen Beschäftigtenkontext erfolgt.

3. Allgemeine Kriterien bei der Auswahl des Kommunikationstools – Konfiguration maßgeblich

Allgemein gilt das durch Paracelsus bekannte Sprichwort „Die Dosis macht das Gift“. Im datenschutzrechtlichen Sinne heißt dies „Die Konfiguration entscheidet maßgeblich“. Durch entsprechende datensparsame und -freundliche Voreinstellungen kann ein Großteil der Anforderungen an einen datenschutzkonformen Einsatz solcher Kommunikationsdienste bereits umgesetzt werden und der Legitimität und Legalität einen großen Vorschub leisten.

Mit Art.  25 DSGVO schreibt diese vor, dass „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ gewährleistet werden muss. Das bedeutet, bei der Auswahl des passenden Dienstleisters auf datenschutzrechtliche Kriterien zu achten. Darunter fällt insbesondere:

• Verschlüsselung – am besten Transport- und Ende-zu-Ende-Verschlüsselung.
• Geschäftsnutzung – Die geschäftliche Nutzung des Dienstes sollte gem. den Nutzungsbedingungen erlaubt sein, ggf. ist eine Business-/Enterprise-Lösung zu kaufen bzw. entsprechende Lizenzen zu erwerben.
• Regulierung des Ton- bzw. Bildmitschnitts – einige Tools bieten diese Funktionen standardmäßig an. Solche Funktionen sollten grundsätzlich durch den Administrator deaktiviert werden. Hier gilt es insbesondere, die strafrechtlich geschützte Vertraulichkeit des Wortes und den Schutz des höchstpersönlichen Lebensbereichs vor Bildaufnahmen zu gewährleisten.
• Freigaben – sofern Bildschirmübertragung oder sogar Aufzeichnung erforderlich sein sollten, ist hier die vorherige Einwilligung der Teilnehmer einzuholen.
• Protokolle und Log-Aufzeichnungen – Gesprächsverläufe und sonstige Log-Aufzeichnungen sollten grundsätzlich nach Gesprächsende gelöscht werden.
• Profiling – Es sollten keine Verhaltensprofile der Teilnehmer gebildet werden bzw. sollte diese Funktion abgeschaltet werden können.
• Metadaten – der Anbieter sollte weder Metadaten (wer hat wann mit wem kommuniziert) noch die Inhaltsdaten der Kommunikation für eigene Zwecke auswerten oder an Dritte weitergeben. Hierfür kann sich ein Blick in die entsprechende Datenschutzerklärung des Diensteanbieters lohnen.
• Wasserzeichen oder Verpixelung des Hintergrunds – diese teilweise auch als „Blur“-Funktion bezeichnete Einstellung ermöglicht es, den Hintergrund bei Videotelefonie und -konferenzen für die anderen Gesprächsteilnehmer unkenntlich zu machen und somit Rechte Dritter (z.B. Familienmitglieder) entsprechend zu schützen (bspw. werden so keine Bilder an den Wänden oder in Regalen in Klarsicht angezeigt).
• Einrichtung von Zugangsbeschränkungen – vorheriger Login durch Teilnehmer mit bspw. Zugangspin oder entsprechende Einzelfallfreigabe durch Organisator des Gespräches
• EU-Dienste vorziehen bzw. Dienste nutzen, deren Server in der EU liegen.
• Am besten sind On-Premise Lösungen – also im eigenen Rechenzentrum gehostet.

Als grundsätzlich datenschutzfreundlich werden seitens deutscher Datenschutzbehörden insbesondere folgende Dienste bewertet:

• Jitsi Meet
• RocketChat
• Nextcloud Talk
• Matrix

4. Schwachstelle Mensch: Die beste Technik hilft nicht ohne begleitende organisatorische Maßnahmen

Neben diesen vorwiegend technischen Maßnahmen gilt es seitens der Organisation auch, den Datenschutz durch begleitende organisatorische Maßnahmen zu flankieren. Diverse Studien haben gezeigt, dass insbesondere der Faktor Mensch (Stichwort „Human Error“) Schwachstelle Nummer eins darstellt und die Hauptursache für Datenpannen ist. Folgende risikominimierenden organisatorischen Maßnahmen wären diesbezüglich empfehlenswert:

• Richtlinie/Policy – soweit noch nicht vorhanden, sollten Art und Weise sowie Grenzen der Nutzung der Kommunikationstools in einer entsprechenden internen Richtlinie festgehalten und beschrieben werden. Besteht ein Betriebs- oder Personalrat, bietet sich eine entsprechende Betriebs- bzw. Dienstvereinbarung an.
• Schulung & Sensibilisierung – ein prägnanter Flyer mit den wichtigsten Hinweisen oder in größeren Organisationen ein entsprechendes Online-Training sind hier die Mittel der Wahl.

Hierbei gilt zu beachten, dass die hier dargestellten technischen und organisatorischen Maßnahmen (TOM) lediglich eine allgemeine und generelle Empfehlung für alle Kommunikationstools darstellt. Je nach Verwendungszweck (in-/extern, Einzel-/Gruppenkommunikation, Ton-/Bildübertragung) und Medium (Browser, Computer, Tablet/Mobiltelefon) können ggf. zusätzliche bzw. andere Anforderungen gelten.

5. Vertragliche Flankierung – Auftragsverarbeitungsvertrag (AVV) vs. Vereinbarung zur gemeinsamen Verantwortlichkeit (GVV)

Neben den technischen und organisatorischen Maßnahmen zur Gewährleistung der Verfügbarkeit, Vertraulichkeit und Integrität der verarbeiteten personenbezogene Daten, ist auch die vertragliche Absicherung wichtig und geboten. Üblicherweise sind die Anbieter von Messenger-Diensten sowie Video- und Onlinekonferenz-Tools als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO zu qualifizieren. D.h. sie verarbeiten die personenbezogenen Daten nur nach und im Rahmen von entsprechenden Weisungen des Auftraggebers – fungieren also als „verlängerter Arm“ der Organisation bei der Datenverarbeitung. Liegt eine solche Auftragsverarbeitung vor, ist Folgendes zu beachten:

• Abschluss eines Auftragsverarbeitungsvertrages – dieser muss die Anforderungen des Art. 28 DSGVO erfüllen. Die meisten Diensteanbieter stellen entsprechende Vertragsmuster zur Verfügung. Vereinzelt ist der AVV bereits Bestandteil der AGB des Dienstleisters und wird mit Nutzung des Services akzeptiert. Ob letztere Praxis jedoch rechtswirksam ist, wurde noch nicht abschließend durch Gerichte geklärt – ein Restrisiko verbleibt.
• Prüfung der Dienstleister – Art. 28 Abs. 1 DSGVO schreibt zudem vor, dass nur solche Dienstleister ausgewählt und beauftragt werden dürfen, welche hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen ergriffen wurden. Insoweit sind die TOM der Dienstleister im Vorfeld der Beauftragung zu überprüfen. Hierbei unterstützt sie ihr in- oder externer Datenschutzbeauftragter.

Sofern manche Anbieter zwar eine Kommunikationsplattform anbieten, jedoch keine vollständige Kontrolle über die Daten der Kommunikationspartner haben und diese Daten für eigene Zwecke auswerten sowie ggf. den Nutzern entsprechende Nutzerstatistiken zur Verfügung stellen (ähnlich einer Facebook-Fanpage), wäre anstelle eines AVV wohl eher der Abschluss einer Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO geboten.

6. Datenübermittlung in Länder außerhalb der Europäischen Union (EU) bzw. Europäischen Wirtschaftsraums (EWR) – Herstellung eines angemessenen Datenschutzniveaus

Erfolgt im Rahmen der Nutzung der Kommunikationsdienste eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR (sog. „Drittländer“), so muss ein angemessenes Datenschutzniveau für derlei Übermittlungen sichergestellt werden. Hierbei gilt zu beachten, dass nicht nur das aktive Übertragen von Daten eine solche Übermittlung darstellt, sondern bereits die theoretische Zugriffsmöglichkeit des Dienstleisters im Drittland (bspw. via Fernwartung). Werden also Tools eingesetzt, deren Server außerhalb der EU/des EWR stehen bzw. haben die Anbieter des Tools oder der Softwarelösung ihren Sitz in Drittländern, ist üblicherweise eine der folgenden Maßnahmen zur Gewährleistung eines adäquaten Datenschutzniveaus zielführend:

• Angemessenheitsbeschluss der Kommission (so z.B. für die Schweiz, Japan oder Kanada).
• Abschluss entsprechender Standarddatenschutzklauseln.
• Für Datenübermittlungen in die USA: Eine Zertifizierung unter dem EU-US Privacy Shield.

7. Datenschutzhinweise

Zudem sollten die
Gesprächsteilnehmer (d.h. sowohl Mitarbeiter als auch externe Kommunikationsteilnehmer)
entsprechend Art. 13 und 14 DSGVO vor der Gesprächsteilnahme über die
Verarbeitung ihrer personenbezogenen Daten aufgeklärt werden. Demnach muss u.a.
über die Zwecke, Umfang und Dauer der Verarbeitung sowie die Empfänger der
Daten (in einem Drittland inkl. entsprechender Garantie eines angemessenen
Datenschutzniveaus, soweit gegeben) informiert werden.

In der Praxis hat sich bewährt,
diese Datenschutzhinweise
im Rahmen von (Video)Konferenzen als Link in der Einladung zum Meeting und/oder
auf der entsprechenden Login-Seite zur Verfügung zu stellen. Bei reinen
Messenger-/Chat-Tools wäre ein angemessener Weg, soweit möglich, die
Bereitstellung vor bzw. unmittelbar bei der Installation oder als Link in einer
automatischen Nachricht bei der ersten Kontaktaufnahme.

Entgegen immer noch weitverbreiteten Irrglaubens müssen in derlei Datenschutzhinweise weder eingewilligt werden noch sind diese in irgendeiner Weise aktiv zu bestätigen, um den entsprechenden Nachweispflichten der DSGVO nachzukommen.

8. Beteiligung entsprechender Gremien wie Mitarbeitervertretung und Datenschutzbeauftragter

In Organisationen mit Mitarbeitervertretungen wie Betriebs- oder Personalrat sind diese üblicherweise vor dem Einsatz solcher Tools entsprechend zu beteiligen, da sich der Einsatz solcher Dienste grundsätzlich zur Überwachung von Verhalten oder Leistung der Beschäftigten eignet (vgl. bspw. so ausdrücklich § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz – BetrVG).

Daneben sollte auch der Datenschutzbeauftragte, soweit benannt, bereits bei der Auswahl geeigneter Kommunikationstools einbezogen werden. Dies ergibt sich aus Art. 38 Abs. 1 DSGVO. Der DSB kann entsprechende Empfehlungen zu Themen wie Datenschutz durch Technikgestaltung und datenschutzfreundlichen Voreinstellungen, TOM oder Datenschutzhinweisen geben.

9. Verzeichnis der Verarbeitungstätigkeiten (VVT)

Art. 30 Abs. 1 S. 1 DSGVO legt fest, dass jeder datenschutzrechtlich Verantwortliche eine entsprechende Datenschutzdokumentation (sog. Verzeichnis von Verarbeitungstätigkeiten, kurz VVT) zu führen hat. In dieses VVT sind auch die Verarbeitungsprozesse eingesetzter Kommunikationstools aufzunehmen. Soweit man schon entsprechende Datenschutzhinweise erstellt hat, können die jeweiligen Informationen hieraus für das VVT verwendet werden, da vollständige Datenschutzhinweise üblicherweise alle notwendigen Informationen für einen Eintrag im VVT bereits enthalten. Die deutschen Datenschutzbehörden haben bspw. ein Muster für Verantwortliche veröffentlicht.

10. Durchführung einer Datenschutz-Folgenabschätzung

Je nach Messenger-Dienst bzw. Video- und Onlinekonferenz Tool kann auch die Durchführung einer sog. Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGV erforderlich sein. Die DSFA ist eine Art datenschutzrechtliche Risikoevaluation inkl. Identifizierung bzw. Ableitung entsprechender risikominierender Maßnahmen. Die deutschen Datenschutzbehörden haben eine Liste der Verarbeitungstätigkeiten veröffentlicht, für die eine DSFA durchzuführen ist. Dies ist bspw. bei automatisierter Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen oder andere Arten von Profiling der Fall.

11. Beachtung weiterer einschlägiger Gesetze wie TMG & TKG

Je nach Art und Einsatz des Kommunikationstools kann es sich hierbei um einen sog. Telekommunikationsdienst gem. Telemedien- bzw. Telekommunikationsgesetz handeln. Sollte dies der Fall sein, gelten ggf. zusätzliche Anforderungen bzw. Beschränkungen. Hier sei insbesondere das strafrechtlich geschützte Fernmeldegeheimnis gem. § 88 TKG genannt. In Deutschland sind allerdings sowohl die generelle Anwendbarkeit des TMG neben der DSGVO (dies verneinend insoweit die deutschen Aufsichtsbehörden) als auch die Anwendbarkeit des TKG im Beschäftigungsverhältnis höchst umstritten. Inwieweit solche Normen im Einzelfall einschlägig sind, sollte im Vorfeld also durch einen kundigen Rechtsberater geklärt werden. Nach einer neueren Rechtsprechung des Europäischen Gerichtshofs Anfang 2020 kann zumindest die praxisfremde Forderung der deutschen Aufsichtsbehörden hins. der Anwendbarkeit des TKG und insoweit Beachtung des Fernmeldegeheimnisses im Beschäftigungsverhältnis nach hier vertretener Auffassung nicht mehr aufrecht gehalten werden. Eine vertiefende Betrachtung dieser Probleme würde aber den Rahmen dieses Beitrages sprengen.

12. Spezielle Anforderungen bei Apps

Sollen Messenger-Dienste bzw. Video- und Onlinekonferenz Tools als App auf Mobiltelefonen oder Tablets genutzt werden, gilt es folgende zusätzlichen Anforderungen zu beachten:

• Einsatz aktueller Software-Versionen.
• Keine automatisierte Synchronisation des Adressbuchs.
• Sicherstellung, dass Chat-Anhänge nicht in der Mediathek des Endgeräts gespeichert werden bzw. Dritt-Applikationen keinen Zugriff darauf haben.
• Einsatz sog. Container-Lösungen bzw. Sandboxing.
• Deaktivierung von Cloud-Backups.
• Ausreichende Absicherung der Endgeräte (Zugriffssperre, Verschlüsselung).

Einen ausführlichen Prüfkatalog für den technischen Datenschutz bei Apps, der als zusätzliche Orientierung dienen kann, hat das Bayerische Landesamt für Datenschutzaufsicht veröffentlich.

In diesem Zusammenhang wird häufig gefragt, inwieweit WhatsApp als einer der verbreitetsten Messenger-Dienste für die in- bzw. externe Kommunikation aus datenschutzrechtlicher Sicht genutzt werden kann. Während einige deutsche Datenschutzbehörden den betrieblichen bzw. geschäftlichen Einsatz von WhatsApp grundsätzlich für datenschutzwidrig halten, erachten andere Datenschutzbehörden den Einsatz unter den o.g. Voraussetzungen für möglich. Um Risiken zu vermeiden, empfiehlt es sich Alternativen wie Threema, SIMSme, Wire, Hoccer oder Chiffry zu nutzen.

13. Spezielle Anforderungen im Gesundheitsbereich

Für den Einsatz von Messenger-Diensten bzw. Video- und Onlinekonferenz Tools im Gesundheitsbereich gelten darüber hinaus noch gesonderte Anforderungen, soweit damit (auch) Gesundheitsdaten verarbeitet werden sollen. Denn die Verarbeitung von Gesundheitsdaten als besondere Kategorien personenbezogener Daten (vgl. Art. 9 DSGVO) ist nur unter Beachtung hoher Anforderungen möglich. Daneben gelten hier oftmals besondere berufsrechtliche Vorgaben (vgl. § 10 MBO Ä; § 630f BGB). Die deutschen Datenschutzbehörden haben hierzu Ende 2019 ein ausführliches Whitepaper zu den technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich veröffentlicht, der analog auch für den restlichen Gesundheitsbereich gilt und auf den an dieser Stelle verwiesen wird.

14. Fazit

Wie gesehen, gibt es ein ganzes Bündel an verschiedenen Punkten und erforderlichen Maßnahmen, die beim Einsatz von Messenger-Diensten bzw. Video- und Onlinekonferenz Tools zu beachten sind. Die Einbindung von Experten wie dem DSB, IT-Spezialisten sowie ggf. zusätzlicher Rechtsberater vor Einsatz solcher Dienste ist oftmals sehr empfehlenswert, um mögliche Compliance-Risiken sowie Beeinträchtigungen der Rechte und Freiheiten der betroffenen Personen zu verhindern bzw. zu minimieren.