Datenschutzrechtliche Informationen zu den Tools
Datenschutz
Virtuelle Tools zu verwenden ist datenschutzrechtlich nicht verboten, aber es gibt bei manchen Tools Kritikpunkte/Minuspunkte im Datenschutz. Oft ist es eine gesamtheitliche Entscheidung im konkreten Betrieb für oder gegen ein gewisses Tool, zB wird ein Tool vom Vertragspartner vorgegeben oder ist es im Hinblick auf Usability am besten geeignet. Datenschutz sollte ein wichtiger Punkt bei der Abwägung sein, daher haben wir diese Checkliste erstellt:
- Auftragsverarbeitervertrag: Wenn das Tool nicht selbst gehostet/betrieben wird, ist in den meisten Fällen ein Auftragsverarbeitervertrag (Artikel 28 DSGVO) mit dem Betreiber (üblich: der IT-Dienstleister) abzuschließen. Von einigen Anbietern wird dieser direkt zB durch die Nutzungsbedingungen zur Verfügung gestellt und daher auch Vertragsinhalt. Manchmal wird vom Anbieter aber auch ein Vertrag für die gemeinsame Verarbeitung zur Verfügung gestellt, zB bei Social Medias.
- Ort: Wo werden die Daten gespeichert/gehostet (zB Rechenzentrum oder Serverstandort)? Innerhalb der EU gilt die EU-Datenschutz-Grundverordnung, der „Goldstandard“ im Datenschutz (Beispiele für Datenspeicherung in Österreich finden Sie zB bei Anbietern der Austrian Cloud). Außerhalb der EU wird es wesentlich schwieriger und muss dann geprüft werden, ob der Datentransfer überhaupt möglich ist. Die meisten Anbieter sitzen in den USA, in diesen Fällen müssen spezielle Standardvertragsklauseln mit Ergänzungen vorliegen.
- IT-Sicherheit: Werden ausreichend IT-Sicherheitsmaßnahmen beschrieben und angeboten, zB End-to-End-Verschlüsselung, bei Videokonferenztools zB auch Absicherungen wie Zutrittscodes für Sitzungen, Warteräume etc? Auch ISO/IEC 27001 Zertifizierungen wären gute Standards.
- Grundlage: Die Grundlage für die Verarbeitung personenbezogener Daten in den Tools selbst ist normalerweise die Erfüllung eines Vertrages, ein berechtigtes Interesse oder manchmal auch eine Einwilligung. Vor der Nutzung des Tools ist zu prüfen, welche Grundlage herangezogen wird. Eine Einwilligung ist zB sinnvoll, wenn ein Videocall aufgezeichnet wird. Viele Anbieter bieten die Möglichkeit, im Tool selbst einzuwilligen (zB durch Pop-Ups, die von den TeilnehmerInnen dann zu bestätigen sind).
- Information: Über die Anbieter, die man verwendet, ist transparent zu informieren, dh es ist in der Datenschutzerklärung einzuarbeiten, dass zB EyesOn für Videokonferenzen verwendet wird.
- Protokoll: Die Informationen sind genauso auch im internen Verarbeitungsverzeichnis aufzunehmen. Das hilft auch im Fall einer Überprüfung durch die Datenschutzbehörde den Überblick zu bewahren.
- Sonderfälle: Werden neue Tools mit umfassender Datenverarbeitung verwendet (zB spezielle Trackingmöglichkeiten im Tool), muss auch eine Datenschutz-Folgenabschätzung gemacht werden.
- Mitarbeiter: Werden Tools zB für die Überwachung von Mitarbeitern eingesetzt, sind auch arbeitsrechtliche Punkte zu prüfen (zB Beiziehung Betriebsrat, Einwilligungen).
Weitere Infos:
- Empfehlungen für datenschutzfreundliche Videokonferenztools finden Sie zB hier oder auch von der Berliner Datenschutzbeauftragten.
- Einige Anbieter sind datenschutzrechtlich aufgefallen und extra geprüft worden. Infos finden Sie hier.
- Eine längere Checkliste und Orientierungshilfe wurde von der deutschen Datenschutzkonferenz erstellt.