INFORMATIONEN

Die Risiken der Online-Überwachung von Mitarbeitern während der COVID-19-Krise

Die „soziale Distanzierung“ und die Aussperrung, die während der anhaltenden Covid-19-Gesundheitskrise eingeführt wurden, haben für viele Arbeitnehmer weltweit und insbesondere in der Europäischen Union einen neuen Standard für Hausaufgaben gesetzt. Um die Kontinuität des Geschäftsbetriebs zu gewährleisten, sind die Unternehmen gezwungen, rasch neue Instrumente (Software, Systeme, Anwendungen oder IT-Ausrüstung) einzuführen. Dabei steht viel auf dem Spiel: Letztlich geht es darum, Arbeitnehmern, Kunden und Partnern die Gewissheit zu geben, dass der Betrieb wie gewohnt weiterläuft.

Dieser abrupte und unvorhergesehene Wechsel von der Offline- in die Online-Welt führt jedoch zu einer immer größeren Anhäufung von persönlichen Daten der Mitarbeiter. Montagmorgens finden keine physischen Teambesprechungen mehr statt. Diese Besprechungen finden jetzt auf Videokonferenzseiten statt, und über Instant-Messaging-Apps ausgetauschte Emoji ersetzen die Kaffeepause mit den Kollegen.

Die Datenschutzbehörden in der EU haben im Laufe der Jahre Leitlinien für die Überwachung von Arbeitnehmern erlassen und diese Leitlinien an den technischen Fortschritt angepasst. In Frankreich beispielsweise betreffen die Vorschriften der CNIL die Überwachung der Internet- oder E-Mail-Nutzung von Arbeitnehmern, die Überwachung und Aufzeichnung von Anrufen und die Kombination von Videoaufzeichnungen oder Screenshots mit Telefonaufzeichnungen. Solche Richtlinien können als Grundlage für die Einführung neuer Technologien wie Anwendungen für Videokonferenzen dienen, die es den Arbeitnehmern ermöglichen, weiterhin von zu Hause aus zu arbeiten.

Der EDPB hat angesichts der jüngsten Ereignisse angekündigt, dass er Empfehlungen für Telearbeitsressourcen und -aktivitäten im Zusammenhang mit dem Ausbruch von COVID-19 ausarbeitet. Die Annahme dieser Leitlinien wurde jedoch verschoben, um Leitlinien für Apps zur Ermittlung von Kontaktpersonen und die Verarbeitung von Gesundheitsdaten zu Forschungszwecken Vorrang zu geben.

Die Krise von Covid-19 ändert nichts an den Grundsätzen und Regeln, auf denen der Schutz der Privatsphäre der Arbeitnehmer beruht. Unternehmen, die ihren Mitarbeitern Heimarbeitssoftware anbieten, müssen sicherstellen, dass die Verarbeitung ihrer Mitarbeiterdaten den Normen und Vorschriften der Allgemeinen Datenschutzverordnung (DSGVO) entspricht, und sie müssen auch die besonderen Vorschriften zum Schutz der Privatsphäre der Mitarbeiter nach nationalem Recht beachten, unabhängig von den verwendeten Technologien, Tools und Drittanbietern.

Einschränkung des Zwecks

Der Zweck der Verarbeitung muss, unabhängig von der aktuellen Situation, definiert, ausdrücklich und gültig sein. Ohne einen vorher festgelegten und besonderen Grund können einige Unternehmen wissentlich oder sogar unabsichtlich große Mengen personenbezogener Daten sammeln. Jedes Unternehmen kann sich auch dafür entscheiden, eine automatisierte und strukturierte Überwachung der Leistung seiner Mitarbeiter einzurichten, z. B. durch eine verstärkte Überwachung der Arbeitszeiten. Die Unternehmen müssen sicherstellen, dass es einen triftigen Grund für eine solche Produktion gibt.

Datenminimierung: Ist es angemessen, alle personenbezogenen Daten zu erfassen?

Personenbezogene Daten dürfen nur dann erhoben werden, wenn dies zur Erreichung eines bestimmten Ziels erforderlich ist. Die grundlegende Theorie der Verhältnismäßigkeit ist in der aktuellen Covid-19-Krise von entscheidender Bedeutung. Ist es beispielsweise für die Planung virtueller Aktivitäten unerlässlich, systematisch Videokonferenzen aufzuzeichnen oder die von Mitarbeitern geführten Chats zu sammeln?

Welche Daten werden außerdem benötigt, um den Schutz der Informationssysteme des Unternehmens zu gewährleisten (z. B. Aktivierung von Webcams, Dokumentation von Mausbewegungen, Screenshots)? Um dem Konzept der Datenminimierung gerecht zu werden, müssten die Unternehmen festlegen, wie die Datensicherheit durch Design und Standardeinstellungen in solche Tools eingebettet werden muss.

Integrität und Vertraulichkeit: Wie können sie gewährleistet werden?

Die Mitarbeiter nutzen ihre Geräte (Computer, Tablets, Smartphones) immer häufiger für technische Zwecke und sind auf VPN-Verbindungen angewiesen, um aus der Ferne auf die Informationssysteme ihres Unternehmens zuzugreifen, was das Geschäftsrisiko erhöhen kann. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) hat einige praktische Tipps zur Umsetzung von Hausaufgaben-Anwendungen auf EU-Ebene veröffentlicht.

Einige Datenschutzbehörden haben auch Leitlinien auf nationaler Ebene herausgegeben, wie z. B. die CNIL-Leitlinien für Arbeitgeber und Arbeitnehmer, die einige der besten Praktiken enthalten. Die CNIL hat außerdem kürzlich ihr Merkblatt zu BYOD (Bring Your Device) überarbeitet, um einige dieser Themen direkt zu erörtern.

In jüngster Zeit haben mehrere Datenschutzbehörden auch Empfehlungen für die Nutzung von Videokonferenzsoftware herausgegeben. So hat die irische Datenschutzbehörde eine detaillierte Liste mit Tipps für Arbeitnehmer und Arbeitgeber zusammengestellt. Vor der Installation einer Videokonferenzsoftware bietet die CNIL ebenfalls eine Liste mit Vorsichtsmaßnahmen an.

Die Unternehmen müssen in diesem Zusammenhang angemessene Sicherheitsmaßnahmen ergreifen und ihre Sicherheitsprotokolle und andere interne Dokumente anpassen, um besondere Probleme wie Heimarbeit und BYOD zu lösen.

Wenn Hacker und andere Cyberkriminelle die Verwundbarkeit von Unternehmen ausnutzen, um ihnen Phishing-E-Mails oder Spam zu schicken, ist die Gefahr von Datenschutzverletzungen ebenfalls gestiegen. Daher müssen Unternehmen auf der Hut sein und ihre Mitarbeiter auf solche Bedrohungen aufmerksam machen.

DFA-Bewertung

Außerdem müssen Unternehmen unter den derzeitigen Umständen eine Datenschutz-Folgenabschätzung durchführen, wenn die Verarbeitung „wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten“ natürlicher Personen führt (Artikel 35 der Datenschutz-Grundverordnung). Wenn mindestens zwei der neun in den EDPB-Leitlinien aufgeführten Anforderungen erfüllt sind, ist eine Datenschutz-Folgenabschätzung erforderlich, zum Beispiel (1) systematische Überwachung.

Einige Datenschutzbehörden haben die laufende Überwachung von Mitarbeitern auf nationaler Ebene als eine Form der Verarbeitung beschrieben, die routinemäßig eine Datenschutz-Folgenabschätzung erfordert (in Frankreich beispielsweise führte die CNIL eine Verarbeitung auf der schwarzen Liste durch, um „die Aktivitäten der betroffenen Mitarbeiter kontinuierlich zu überwachen“).

Zusammenfassend lässt sich sagen, dass die derzeitige Krise von Covid-19 die Unternehmen dazu zwingt, die Art und Weise, wie der Einzelne arbeitet und sich vernetzt, zu überdenken und zu verbessern. Infolgedessen müssen Unternehmen darauf achten, dass sie keine Technologie in einer Weise einsetzen, die die Datenschutzrechte ihrer Mitarbeiter verletzen könnte.

Die Datenschutzbehörden werden die Rechte der Bürger auch in Krisenzeiten schützen und die DSGVO und die nationalen Datenschutzgesetze aufrechterhalten. Auch wenn sich einige Datenschutzbehörden (z. B. im Vereinigten Königreich und in Irland) bewusst zu sein scheinen, dass sie die Last der Einhaltung der DSGVO eine Zeit lang abnehmen müssen, bedeutet dies nicht, dass sie bei schweren Verstößen gegen die DSGVO ein Auge zudrücken können.

Anonymisierung oder Pseudonymisierung?

Zum Schutz der Menschen und zur Verringerung des Risikos des Diebstahls personenbezogener Daten schreibt die neueste europäische Gesetzgebung vor, dass Organisationen ihre Daten pseudonymisieren und

mehr »

WhatsApp und Datenschutz

WhatsApp sammelt eine Vielzahl von Informationen von seinen Nutzern, um detaillierte Nutzerprofile zu erstellen. Der Messenger-Dienst nutzt ein Schlupfloch in der Datenschutzverordnung. Der Messenger-Dienst des

mehr »