Datensicher konferieren und von zu Hause arbeiten

Es gibt zwei Begriffe, die seit der Corona-Pandemie mehr denn je Einzug ins alltägliche Leben gehalten haben: Videokonferenz und Homeoffice. So sinnvoll und praktisch diese Institutionen sind, gehen mit ihnen auch Risiken der Datensicherheit und des Datenschutzes einher.

Videokonferenztools kommen in unterschiedlichen Situationen zum Einsatz, die unterschiedliche Anforderungen an den Datenschutz stellen, zum Beispiel im Geschäftsleben, in Bildungseinrichtungen, in Ehrenämtern oder bei Vereinen. Mit der Übertragung von Bildern und Audioaufzeichnungen von Teilnehmer(inne)n einer Videokonferenz werden automatisch personenbezogene Daten (Lichtbilddaten und Sprachdaten) übertragen. Zudem bieten die Tools die Möglichkeit, Bildschirme, personenbezogene Daten oder sogar interne Betriebsangelegenheiten (Geschäftsgeheimnisse) zu teilen. Bei der Nutzung solcher Systeme sollten nicht nur die einzelnen Einrichtungen eines kirchlichen Verbandes, sondern insbesondere auch die Mitarbeitenden die arbeits- und datenschutzrechtlichen Vorgaben beachten.

Es gibt mittlerweile etliche Konferenztools, etwa Adobe Connect, Fastviewer, Microsoft Teams, Skype, Zoom oder Cisco Webex. Doch nicht jedes entspricht den Vorgaben der Aufsichtsbehörden für den Datenschutz. Ein in dieser Hinsicht bei den Aufsichtsbehörden unbeliebtes Tool ist etwa Zoom, da es in vielerlei Hinsicht nicht den aktuellen Datenschutzstandards entspricht.
Dessen dienstlicher Einsatz wird grundsätzlich nicht empfohlen.

Internationalen Datentransfer ausschließen

Aber auch die anderen Alternativen zu Zoom können die Vorgaben des Gesetzes über den Kirchlichen Datenschutz (KDG) und der Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO) teilweise nicht ausreichend erfüllen. So befinden sich die Serverstandorte vieler Diensteanbieter außerhalb der EU/des EWR, was zur Folge hat, dass der hierbei entstehende internationale Datentransfer unter Berücksichtigung besonderer Instrumente datenschutzrechtlich legitimiert werden müsste. Hierbei ist anzumerken, dass ein solcher internationaler Datenverkehr seitens der katholischen Kirche grundsätzlich nicht stattfinden sollte, da vergleichbare Regelungen zu den Europäischen Standarddatenschutzklauseln nach der Datenschutz-Grundverordnung (DSGVO) in der Kirche nicht geschaffen wurden.

Auch wenn ein internationaler Datentransfer bei einem Konferenztool ausgeschlossen werden kann, sind zahlreiche Punkte des Datenschutzes zu regeln. Vor dem Einsatz eines Tools muss die IT-Administration zusammen mit dem betrieblichen Datenschutzbeauftragten und gegebenenfalls dem Datensicherheitsbeauftragten die allgemeinen Anforderungen an die Software prüfen und eine Erforderlichkeits- und Risikobetrachtung durchführen. Neben dem Serverstandort sind Aspekte wie Einsatz von Verschlüsselungstechnologien, die Zuverlässigkeit des Anbieters, der Einsatz als On-Premises-Lösung (Nutzungsmodell, bei dem der Lizenznehmer eine Software auf eigener oder gemieteter Hardware in einem eigenen Rechenzentrum betreibt) oder in einer Cloud, die Aufnahme des Dienstes in das Verzeichnis von Verarbeitungstätigkeiten oder eine erforderliche Regelung zur Auftragsverarbeitung zu prüfen.

In der Planungsphase, bei der Entscheidungsfindung und bei der datenschutzkonformen Einrichtung entsprechender Konferenztools ist es sinnvoll, den betrieblichen Datenschutzbeauftragten einzubeziehen, um Fehlentscheidungen und datenschutzrechtliche Risiken zu vermeiden. Zudem kann der betriebliche Datenschutzbeauftragte dabei unterstützen, ein Konzept zu entwickeln, inwiefern mit Meta-, Protokoll- und Analysedaten umgegangen werden soll und welche Funktionen eines Konferenztools für die Teilnehmenden verfügbar sein sollen. Der betriebliche Datenschutzbeauftragte kann eine Richtlinie zum Einsatz von Videokonferenzsystemen erstellen, welche etwa Regelungen zum Umgang mit den Tools, technisch-organisatorische Maßnahmen für die Nutzung auf privaten Endgeräten oder Regelungen zum eigenen Verhalten bei der Nutzung der Tools beinhaltet.

So praktisch Konferenztools sind: Videokonferenzen sind nicht für alle Gesprächsanlässe geeignet und bergen Gefahren für Datenschutz und Datensicherheit. Grundsätzlich sollte daher immer kritisch geprüft werden, ob das Format wirklich dem Anlass angemessen ist. Die persönliche Begegnung oder das klassische Telefonat kann keine Videokonferenz ersetzen.

Verschiedene Formen von "Homeoffice"

Neben einem Wandel in der Kommunikation hat die Corona-Pandemie auch eine Verlagerung der Tätigkeiten ins "Homeoffice" mit sich gebracht, juristisch korrekt eigentlich Telearbeit genannt. Sie existiert in unterschiedlichen Formen: heimbasierter, alternierender, mobiler und On-Site-Telearbeit.

Bei der heimbasierten Telearbeit wird die arbeitsvertraglich vereinbarte Tätigkeit ausschließlich am häuslichen Arbeitsplatz des Mitarbeitenden verrichtet. Dem/Der Mitarbeiter(in) steht meist kein Arbeitsplatz im Betrieb des Dienstgebers zur Verfügung.

Bei der alternierenden Telearbeit arbeitet der Mitarbeitende sowohl an seinem Arbeitsplatz beim Dienstgeber als auch in seiner Wohnung, wobei er zwischen diesen Arbeitsplätzen hin- und herwechselt.

Bei der mobilen Telearbeit wird die Tätigkeit ortsunabhängig mit Hilfe mobiler Kommunikationstechnik durchgeführt, wohingegen der Mitarbeitende bei der On-Site-Telearbeit seine Tätigkeit vor Ort beim Kunden oder Lieferanten verrichtet.

Telearbeit bietet vielerlei Vorteile: eine Steigerung der Work-Life-Balance, mehr Flexibilität und Produktivität, Ersparnis von Fahrtkosten, bessere Vereinbarkeit von Beruf und Familie oder ein modernes Arbeitsumfeld. Sie bringt jedoch auch Nachteile insbesondere für den Dienstgeber mit sich: So sind rechtliche Regelungen und Schutzmaßnahmen erforderlich. Zudem kann die Realisierung der Telearbeit mit Zusatzkosten zum Beispiel bei der Anschaffung von mobilen Endgeräten verbunden sein.

Datenschutzbeauftragte in allen Stadien miteinbeziehen

Der betriebliche Datenschutzbeauftragte sollte bei der Umsetzung der Telearbeit in allen Stadien miteinbezogen werden. Dem betrieblichen Datenschutzbeauftragten obliegt ein gesetzliches Kontrollrecht über alle Verarbeitungsvorgänge personenbezogener Daten am Telearbeitsplatz. Darunter fällt auch ein Überprüfungsrecht der Heimarbeitsplätze, vorausgesetzt, die Mitarbeiter(innen) sind damit einverstanden oder es wurde zwischen Dienstgeber und Mitarbeitervertretung eine Vereinbarung zur Telearbeit geschlossen. Eine solche ist grundsätzlich sinnvoll für beide Seiten, kann Haftungsfälle und Missverständnisse vermeiden und weist den Mitarbeitenden auf seine Rechte und Pflichten hin. Ferner regelt eine solche Vereinbarung auch die Gestaltung der separaten Räumlichkeiten, die Ausstattung im Homeoffice, Vereinbarungen zu Arbeits- und Pausenzeiten oder zur Erreichbarkeit.