Datenschutz - AKTUELL
AKTUELLES
im Datenschutzrecht
Die Kernkompetenzen der Kanzlei kp.law&privacy resultieren aus langjähriger Berufserfahrung und bilden den Schwerpunkt der Tätigkeit der Beratungstätigkeit.
VIDEO-TELEFONIE (VoIP - Voice over IP) ALS VIRUS - PROFITEUR
Geschäftsmeetings und Corona - Dilemma zwischen Funktionalität und Sicherheit
Der bundesweite, SARS-CoV-2/Covid-19-bedingte, Lockdown hatte teils erhebliche Auswirkungen auf die private Entfaltung. Zudem sahen sich
viele Unternehmen in ihrer Existenz gefährdet. Liquiditätsengpässe durch ausbleibende Einnahmen und die Umgestaltung ganzer Betriebsabläufe erfordern eine Neuordnung der Prioritäten, um den Erhalt der Wirtschaftlichkeit zu ermöglichen. Dass dabei Themen wie Datenschutz schnell in eine untergeordnete Rolle geraten, ist zwar nachvollziehbar, aber gerade in Betrieben mit vielen Angestellten und Kunden auch nicht ganz unriskant. Schließlich ist es grundsätzlich nicht hinnehmbar, dass die ebenfalls durch das Grundgesetz garantierte informationelle Selbstbestimmung, d.h. das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten bestimmen zu dürfen (Art. 1 Abs. 1 in Verbindung mit Art. 2 Abs. 1 Grundgesetz), vernachlässigt würde.
Die Kontakteinschränkungen aufgrund der Corona-Pandemie halten an. Um die für einen laufenden Geschäftsbetrieb notwendige Kommunikation auch in Zeiten von Corona aufrechtzuerhalten, bleibt vielen Unternehmen oft nur die Möglichkeit, wichtige Besprechungen per Videokonferenz durchzuführen. Die Nutzung spezieller Internet-Technologie (Voice over Internet Protocol -VoIP) zur Durchführung von Kunden- oder Team-Meetings, aber auch Fortbildungsseminaren oder Homeschooling ist aus den jeweiligen Betrieben mittlerweile kaum noch wegzudenken. Einige der Vorteile einer digitalisierten Kommunikation zwischen Mitarbeitern, Kunden oder Geschäftspartnern aus verschiedenen überregionalen oder internationalen Standorten seien dabei nur am Rande erwähnt: Nachhaltigkeit, finanzielle Ersparnisse vermeidbarer Dienstreisen, Effizienz in jeder Hinsicht.
Kostenlose Angebote für Videotelefonie wie z.B. ZOOM, SKYPE oder TEAMS erfahren daher zunehmend an Popularität vor allem im im geschäftlichen Bereich. Die VoIP-Anbieter haben die Nachfrage rechtzeitig erkannt und ihre Angebote beispielsweise durch Erhöhung der potentiellen Teilnehmerzahl auch für Unternehmen zunehmend attraktiv gestaltet.
Funktionale Kriterien wie stabile Verbindungen oder vereinfachte Zugangskriterien stehen dabei für die potenziellen Nutzer weiterhin an oberster Stelle. Der Umstand, dass es sich um kostenpflichtige Angebote (sog. SaaS-Dienstleister) oder um Freeware handelt, gibt indes nicht zwangsläufig Aufschluss über die Qualität des Produktes. Dass man sich mit der übereilten Wahl eines beliebigen Anbieters für das eigene Unternehmen leichtfertig auf rechtliches Glatteis begeben kann, findet leider häufig wenig Beachtung. Insbesondere datenschutz- und IT-sicherheitsrechtliche Aspekte werden nach wie vor als wirtschaftshemmend oder realitätsfern eingeordnet und fließen beim Auswahlprozess oftmals nicht oder unzureichend mit ein.
Die Corona-Pandemie löste schließlich in vielen Branchen ein regelrechtes Dilemma aus: Handlungsdruck auf der einen, Funktionalität auf der anderen Seite, führten dazu, dass Daten- und meist auch der Geheimnisschutz auf der Strecke zurückblieben. Zugegeben: Funktionalität und einfache Bedienung bieten viele große und kleinere Anbieter im VoIP-Segment. Bei aller Abwägung insbesondere wirtschaftlich orientierter Interessen ist es dennoch ratsam sich vor Augen zu führen, dass im Rahmen einer geschäftlichen Video-Besprechung nicht nur personenbezogene Daten (das eigene Bild, private Aussagen, etc.) übermittelt, sondern im Einzelfall auch vertrauliche oder die dem Geheimnisschutz unterliegende Betriebs-interna ausgetauscht werden. Dabei liegt das Problem nicht primär bei der Kommunikation mit dem Gesprächspartner als solches, sondern darin, dass mangels entsprechender Sicherheitsvorkehrungen sämtliche Übertragungsdaten ausgespäht werden können. Ob und in welchem Umfang die leicht zugänglichen Gesprächsinhalte zu Zwecken der Betriebsspionage verwendet oder Passwörter im Darknet verkauft werden, ist für das einzelne Unternehmen nicht mehr kontrollierbar. Dies kann im schlimmsten Fall zu existenziell und wirtschaftlich irreparablen Schäden führen.
Mit steigender Aufmerksamkeit und zunehmender Kritik haben einige Anbieter von VoIP-Tools nachgerüstet und arbeiten an sicherheitsorientierten Lösungen. Ob dies den Anforderungen im eigenen Unternehmen auf der einen und den Vorschriften der DS-GVO auf der anderen Seite gerecht wird, bleibt schlussendlich einer Einzelfallprüfung vorbehalten.
Wer sich nicht von sicherheitsrechtlich ungewissen Faktoren leiten lassen möchte, kann zudem eine On-Premise-Lösung (auf den eigenen Servern gehostete Software) in Erwägung ziehen. Jedoch verfügen nicht alle Unternehmen oder sonstige datenschutzrechtlich verantwortliche Organisationen über die notwendigen Ressourcen für die Bereitstellung einer sicheren betriebsinternen Lösung (z.B. mangels eigener IT-Infrastruktur). Fehlen aber auch die Mittel für einen fachlich versierten SaaS-Dienstleister (Software as a Service), greifen gerade kleine Unternehmen vornehmlich zur bekannten Freeware.
HINWEIS:
Jedem datenschutzrechtlich verantwortlichen Betrieb wird empfohlen, die eigenen technischen und organisatorischen Maßnahmen zu überprüfen und ggf. eine konzeptionelle Grundlage für die Verarbeitungstätigkeit ("Videotelefonie") zu schaffen. Ggf. können in diesem Zusammenhang schon lange überfällige oder notwendig werdende (interne) Richtlinien oder Dienstanweisungen auf den Weg gebracht oder zum Beispiel auch Betriebsvereinbarungen verhandelt werden.
Für Unternehmen und sonstige vom Anwendungsbereich der DS-GVO umfasste Organisationen gilt ferner zu beachten, dass unzureichende Sicherheitsvorkehrungen in Form von technisch-organisatorischen Maßnahmen (sog. TOM gemäß Art. 32 DS-GVO), ein fehlendes bzw. unvollständiges Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO, mangelnde Informationen über die Datenverarbeitung für die Beschäftigten oder Kunden nach Art. 12-14 DS-GVO oder eine ausbleibende Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO jeweils einen Verstoß gegen datenschutzrechtliche Bestimmungen darstellen können. Gemäß Art. 82 DS-GVO zieht dies u.U. Schadensersatzansprüche nach sich oder es droht nach Art. 83 DS-GVO die Verhängung von empfindlichen Geldbußen (bis zu 20 Millionen EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes).
Quelle: kp.law&privacy.com
Stand: 01.06.2020
---
Für weitergehende Fragen zum Thema stehe ich Ihnen gern zur Verfügung.
...wird derzeit überarbeitet.