Cloud Computing ist das neue Lieblingstool der Unternehmensleitungen: Die Nutzung internetgestützter Collaboration-Tools zur Kommunikation und zum Austausch von Wissen und Inhalten ermöglicht eine flexible und vor allem orts- und zeitunabhängige Zusammenarbeit auf Basis eines gemeinsamen Sach- und Wissensstandes. Vor Einsatz solcher Programme und der digitalen Vernetzung stellt sich allerdings immer die Frage: Ist der Einsatz zulässig? Sind wir trotzdem compliant und datenschutzrechtskonform unterwegs? Dieser Beitrag gibt Antwort auf diese Fragen. Er basiert auf einem Aufsatz der Rechtsanwälte Sascha Kremer und Jana Garsztecki in der HRPerformance, der hier heruntergeladen werden kann.
Collaboration-Tools
Collaboration-Tools werden typischerweise zur Aufgaben- und Projektplanung, zur Zeiterfassung oder zur Kommunikation/Mitteilung von Inhalten und Informationen verwendet. Sie zeichnen sich dabei nicht nur durch ihre internetgestützte Nutzung aus, die einen ortsunabhängigen und jederzeitigen Zugriff ermöglicht, sondern auch durch ihre multi-Funktionalität. Beispiele solcher Tools sind Wrike (Projektmanagement), Trello (Aufgabenplanung), Toggl (Zeiterfassung) oder Office 365 von Microsoft, das in einer Vielzahl selbständiger, aber miteinander vernetzter Tools eine umfassende Kommunikations- und Planungsplattform bietet.
Produktivität vs. Datenschutz?
Im Rahmen der Nutzung dieser Tools werden zwangsläufig personenbezogene Daten (zukünftig nach Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO): Informationen über eine identifizierte oder identifizierbare natürliche Person) verarbeitet. Dies beginnt bei einfachen Daten wie Name oder E-Mail-Adresse. Tatsächlich wird es aber deutlich komplexer, wenn es um personenbezogene Inhalte der Kommunikation – dann ist auch das Fernmeldegeheimnis i.S.v. Art. 10 GG betroffen – und die Metadaten wie Standort-, Verbindungs- und Kommunikationspartnerdaten geht. Nach der Entscheidung (C-582/14) des Europäischen Gerichtshofs (EuGH) in der Sache Patrick Breyer gegen die Bundesrepublik Deutschland ist zumindest die lange umstrittene Frage geklärt, dass dynamische IP-Adressen personenbezogene Daten sind, wenn die datenverarbeitende Stelle die Möglichkeiten und Kenntnisse hat, die dahinter stehende Person zu bestimmen (relative Bestimmbarkeit).
Bevor ein Unternehmen ein Collaboration-Tool einsetzt, muss es demnach prüfen, ob die datenschutzrechtlichen Vorschriften eingehalten werden. Das Datenschutzrecht fußt auf dem Grundsatz des Verbots mit Erlaubnisvorbehalt, der auch in der DSGVO bestehen bleiben wird (vgl. Art. 6 Abs. 1 S. 1 DSGVO). Danach ist eine Verarbeitung personenbezogener Daten grundsätzlich verboten und nur ausnahmsweise erlaubt, wenn ein Gesetz (noch das BDSG, ab Mai 2018 die DSGVO und das BDSG-neu als Teil des Datenschutz Anpassungs- und Umsetzungsgesetzes)) oder eine andere Rechtsvorschrift (z.B. eine Betriebsvereinbarung) die Verarbeitung erlaubt oder eine Einwilligung der betroffenen Person vorliegt. Dies gilt es zwingend vorab zu prüfen.
Die Rolle des Betreibers oder datenschutzrechtliche Fallstricke
Tatsächlich hat auch die interne Nutzung innerhalb eines einzelnen Unternehmens keine Privilegierung zur Folge. Durch die internetgestützte Verfügbarkeit verbleiben die personenbezogenen Daten nicht im Unternehmen, sondern werden extern transportiert oder gespeichert, um eben zu jeder Zeit und von jedem Ort verfügbar zu sein. Die Daten werden somit in den meisten Fällen auf Servern gespeichert, die von Dritten betrieben werden. Das Verhältnis zwischen den Betreibern und den Unternehmen stellt sich dann regelmäßig als Auftragsdatenverarbeitung dar (zukünftig: Auftragsverarbeitung). Das Unternehmen ist verantwortlich für die Verarbeitung (also Herr der Daten) und – was ab Mai 2018 nach der DSGVO ausschlaggebend sein wird – entscheidet über Zwecke und Mittel der Verarbeitung, während der Betreiber lediglich weisungsabhängig als verlängerter Arm des Unternehmens tätig wird.
Wichtig ist es auch, dass das Unternehmen im Vorhinein den Server-Standort in Erfahrung bringt. Befindet sich der Server außerhalb der Europäischen Union und der Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum (EU/EWR) ist vor Einsatz des Tools eine zweistufige Prüfung vorzunehmen. Zum einen gilt es, die datenschutzrechtliche Zulässigkeit zu prüfen (und zu dokumentieren!), s.o. Darüber hinaus muss das Unternehmen als für die Verarbeitung Verantwortlicher sicherstellen, dass der Betreiber einem angemessenen Datenschutzniveau unterworfen ist. Dies kann zum Beispiel durch die Verwendung von Standard-Vertragsklauseln (sog. Standard Contractual Clauses„) oder der Unterwerfung des Betreibers unter das – noch gültige – EU-US Privacy-Shield erfolgen oder weil ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, in dem ein angemessenes Datenschutzniveau für das Empfängerland festgestellt wurde.
Viele Betreiber bieten inzwischen die Möglichkeit, sich bewusst für Server innerhalb von EU/EWR zu entscheiden, sodass der zusätzliche Prüfschritt wegfällt. Dies ist aber bewusst zu wählen (geschieht also nicht von selbst für innerhalb von EU/EWR ansässige Unternehmen) und in jedem Fall vorab zu prüfen.
Und was heißt das jetzt für mich als Unternehmer?
Collaboration-Tools ermöglichen ein sehr flexibles Arbeiten und erleichtern Abstimmungen und die Kommunikation innerhalb eines Unternehmens oder einzelner Gruppen/Teams/Abteilungen. Obwohl es einige rechtliche (insbesondere datenschutzrechtliche) Aspekte zu beachten und vorab zu prüfen gibt, werden in vielen Fällen die (wirtschaftlichen) Vorteile die Umstände der rechtlichen Prüfung überwiegen, vor allem was Unternehmen angeht, deren Mitarbeiter viel unterwegs sind oder ortsübergreifend zusammenarbeiten und Unternehmen, die an mehreren Standorten vertreten sind.
Wir unterstützen Sie gerne bei der Zulässigkeitsprüfung, Beschaffung, Implementierung und Nutzung. Wenden Sie sich an unsere im IT- und Datenschutzrecht spezialisierten Rechtsanwälte Sascha Kremer, Christian Völkel, Julia Christmann-Thoma und Jana Garsztecki!