Covid-19 und alternative Kommunikations-Kanäle

Datenschutz im Homeoffice: Aufgrund der strengen Präventivmaßnahmen gegen die Ausbreitung des Coronavirus haben sehr viele Unternehmen ihre Geschäftstätigkeit und somit ihre Mitarbeiter ins Homeoffice verlegt. Das hat zur Folge, dass die Kommunikation zwischen Mitarbeitern untereinander und mit Kunden gern auch über alternative Kommunikationswege erfolgt, die nicht vom Unternehmen und Arbeitgeber „freigegeben“ wurden. Zu den alternativen Kommunikationsmöglichkeiten gehören Anwendungen wie WhatsApp, Zoom, iMessage oder Microsoft Teams und viele weitere Chat-Programme, die zum Teil kostenlos und außerhalb des Blickfelds der Unternehmens-IT genutzt werden können, zum Beispiel um Dateien und Bilder auszutauschen.

Durch die Nutzung solcher Programme verarbeiten Mitarbeiter oft eine Menge personenbezogener Daten, und seien es auch nur die Kundenkontaktdaten, die auf den Servern der Anbieter in den USA liegen und/oder mit anderen Diensten des Anbieters vermengt werden. Ein Beispiel ist die Nutzung von WhatsApp für die Unternehmenskommunikation. Die Datenschutzaufsichtsbehörden gehen in der Regel davon aus, dass Unternehmen, die WhatsApp für die geschäftliche Kommunikation nutzen, gegen die DSGVO verstoßen, da gespeicherte Kontakte und Telefonnummern grundsätzlich ohne deren Zustimmung an WhatsApp übermittelt werden. 

Gemäß den Allgemeinen Geschäftsbedingungen von WhatsApp erfolgt eine solche Übermittlung automatisch während der Nutzung. Eine datenschutzkonforme Nutzung von WhatsApp ohne Übermittlung von Telefonnummern kommt nach Ansicht der Behörden nur dann in Betracht, wenn der Zugriff auf die Kontakte direkt nach der Installation dauerhaft deaktiviert wird oder wenn alle Kontakte ihre Zustimmung zur Übermittlung gegeben haben. 

Zudem muss auch sichergestellt werden, dass die interne Unternehmenskommunikation ausreichend vor unberechtigtem Zugriff geschützt ist – eine Frage, die gerade bei Zoom in den letzten Wochen für Schlagzeilen sorgte.

Andere Kommunikationsdienste bergen ähnliche Risiken im Hinblick auf die Vereinbarkeit mit der DSGVO. Es sollte daher vorab geprüft werden, ob und in welchem Umfang der Anbieter personenbezogene Daten speichert (wie Chat-Historien oder Log-in-Daten), auf welchen Servern die Speicherung erfolgt und ob der Dienst ein ausreichendes Maß an Datensicherheit gewährleistet. Insbesondere sollte auch geprüft werden, ob der Anbieter des Dienstes nach EU-US Privacy Shield zertifiziert ist (sofern es sich um einen US-Anbieter handelt) oder EU-Standardvertragsklauseln eingeht, sodass der Datentransfer in ein Drittland datenschutzkonform erfolgen kann. 

Eine weitere Frage, die mit der geschäftlichen Nutzung von Kommunikationsdiensten einhergeht, ist, ob Lizenzen dafür überhaupt erworben oder eingeräumt wurden. Oft sehen die Lizenzbestimmungen der Anbieter die ausschließliche Nutzung für Privatzwecke vor oder sind inhaltlich auf eine gewisse Anzahl an Usern beschränkt. Arbeitet die Belegschaft nun vorwiegend im Homeoffice, sind etwaige Nutzungsbeschränkungen schnell außer Acht gelassen. Unternehmen sollten deswegen auch hier prüfen, ob und in welchem Umfang Lizenzen bestehen und gegebenenfalls zusätzliche Lizenzen erwerben.