INFORMATIONEN

Die Risiken der Online-Überwachung von Mitarbeitern während der COVID-19-Krise

Die „soziale Distanzierung“ und die Aussperrung, die während der anhaltenden Covid-19-Gesundheitskrise eingeführt wurden, haben für viele Arbeitnehmer weltweit und insbesondere in der Europäischen Union einen neuen Standard für Hausaufgaben gesetzt. Um die Kontinuität des Geschäftsbetriebs zu gewährleisten, sind die Unternehmen gezwungen, rasch neue Instrumente (Software, Systeme, Anwendungen oder IT-Ausrüstung) einzuführen. Dabei steht viel auf dem Spiel: Letztlich geht es darum, Arbeitnehmern, Kunden und Partnern die Gewissheit zu geben, dass der Betrieb wie gewohnt weiterläuft.

Dieser abrupte und unvorhergesehene Wechsel von der Offline- in die Online-Welt führt jedoch zu einer immer größeren Anhäufung von persönlichen Daten der Mitarbeiter. Montagmorgens finden keine physischen Teambesprechungen mehr statt. Diese Besprechungen finden jetzt auf Videokonferenzseiten statt, und über Instant-Messaging-Apps ausgetauschte Emoji ersetzen die Kaffeepause mit den Kollegen.

Die Datenschutzbehörden in der EU haben im Laufe der Jahre Leitlinien für die Überwachung von Arbeitnehmern erlassen und diese Leitlinien an den technischen Fortschritt angepasst. In Frankreich beispielsweise betreffen die Vorschriften der CNIL die Überwachung der Internet- oder E-Mail-Nutzung von Arbeitnehmern, die Überwachung und Aufzeichnung von Anrufen und die Kombination von Videoaufzeichnungen oder Screenshots mit Telefonaufzeichnungen. Solche Richtlinien können als Grundlage für die Einführung neuer Technologien wie Anwendungen für Videokonferenzen dienen, die es den Arbeitnehmern ermöglichen, weiterhin von zu Hause aus zu arbeiten.

Der EDPB hat angesichts der jüngsten Ereignisse angekündigt, dass er Empfehlungen für Telearbeitsressourcen und -aktivitäten im Zusammenhang mit dem Ausbruch von COVID-19 ausarbeitet. Die Annahme dieser Leitlinien wurde jedoch verschoben, um Leitlinien für Apps zur Ermittlung von Kontaktpersonen und die Verarbeitung von Gesundheitsdaten zu Forschungszwecken Vorrang zu geben.

Die Krise von Covid-19 ändert nichts an den Grundsätzen und Regeln, auf denen der Schutz der Privatsphäre der Arbeitnehmer beruht. Unternehmen, die ihren Mitarbeitern Heimarbeitssoftware anbieten, müssen sicherstellen, dass die Verarbeitung ihrer Mitarbeiterdaten den Normen und Vorschriften der Allgemeinen Datenschutzverordnung (DSGVO) entspricht, und sie müssen auch die besonderen Vorschriften zum Schutz der Privatsphäre der Mitarbeiter nach nationalem Recht beachten, unabhängig von den verwendeten Technologien, Tools und Drittanbietern.

Einschränkung des Zwecks

Der Zweck der Verarbeitung muss, unabhängig von der aktuellen Situation, definiert, ausdrücklich und gültig sein. Ohne einen vorher festgelegten und besonderen Grund können einige Unternehmen wissentlich oder sogar unabsichtlich große Mengen personenbezogener Daten sammeln. Jedes Unternehmen kann sich auch dafür entscheiden, eine automatisierte und strukturierte Überwachung der Leistung seiner Mitarbeiter einzurichten, z. B. durch eine verstärkte Überwachung der Arbeitszeiten. Die Unternehmen müssen sicherstellen, dass es einen triftigen Grund für eine solche Produktion gibt.

Datenminimierung: Ist es angemessen, alle personenbezogenen Daten zu erfassen?

Personenbezogene Daten dürfen nur dann erhoben werden, wenn dies zur Erreichung eines bestimmten Ziels erforderlich ist. Die grundlegende Theorie der Verhältnismäßigkeit ist in der aktuellen Covid-19-Krise von entscheidender Bedeutung. Ist es beispielsweise für die Planung virtueller Aktivitäten unerlässlich, systematisch Videokonferenzen aufzuzeichnen oder die von Mitarbeitern geführten Chats zu sammeln?

Welche Daten werden außerdem benötigt, um den Schutz der Informationssysteme des Unternehmens zu gewährleisten (z. B. Aktivierung von Webcams, Dokumentation von Mausbewegungen, Screenshots)? Um dem Konzept der Datenminimierung gerecht zu werden, müssten die Unternehmen festlegen, wie die Datensicherheit durch Design und Standardeinstellungen in solche Tools eingebettet werden muss.

Integrität und Vertraulichkeit: Wie können sie gewährleistet werden?

Die Mitarbeiter nutzen ihre Geräte (Computer, Tablets, Smartphones) immer häufiger für technische Zwecke und sind auf VPN-Verbindungen angewiesen, um aus der Ferne auf die Informationssysteme ihres Unternehmens zuzugreifen, was das Geschäftsrisiko erhöhen kann. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) hat einige praktische Tipps zur Umsetzung von Hausaufgaben-Anwendungen auf EU-Ebene veröffentlicht.

Einige Datenschutzbehörden haben auch Leitlinien auf nationaler Ebene herausgegeben, wie z. B. die CNIL-Leitlinien für Arbeitgeber und Arbeitnehmer, die einige der besten Praktiken enthalten. Die CNIL hat außerdem kürzlich ihr Merkblatt zu BYOD (Bring Your Device) überarbeitet, um einige dieser Themen direkt zu erörtern.

In jüngster Zeit haben mehrere Datenschutzbehörden auch Empfehlungen für die Nutzung von Videokonferenzsoftware herausgegeben. So hat die irische Datenschutzbehörde eine detaillierte Liste mit Tipps für Arbeitnehmer und Arbeitgeber zusammengestellt. Vor der Installation einer Videokonferenzsoftware bietet die CNIL ebenfalls eine Liste mit Vorsichtsmaßnahmen an.

Die Unternehmen müssen in diesem Zusammenhang angemessene Sicherheitsmaßnahmen ergreifen und ihre Sicherheitsprotokolle und andere interne Dokumente anpassen, um besondere Probleme wie Heimarbeit und BYOD zu lösen.

Wenn Hacker und andere Cyberkriminelle die Verwundbarkeit von Unternehmen ausnutzen, um ihnen Phishing-E-Mails oder Spam zu schicken, ist die Gefahr von Datenschutzverletzungen ebenfalls gestiegen. Daher müssen Unternehmen auf der Hut sein und ihre Mitarbeiter auf solche Bedrohungen aufmerksam machen.

DFA-Bewertung

Außerdem müssen Unternehmen unter den derzeitigen Umständen eine Datenschutz-Folgenabschätzung durchführen, wenn die Verarbeitung „wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten“ natürlicher Personen führt (Artikel 35 der Datenschutz-Grundverordnung). Wenn mindestens zwei der neun in den EDPB-Leitlinien aufgeführten Anforderungen erfüllt sind, ist eine Datenschutz-Folgenabschätzung erforderlich, zum Beispiel (1) systematische Überwachung.

Einige Datenschutzbehörden haben die laufende Überwachung von Mitarbeitern auf nationaler Ebene als eine Form der Verarbeitung beschrieben, die routinemäßig eine Datenschutz-Folgenabschätzung erfordert (in Frankreich beispielsweise führte die CNIL eine Verarbeitung auf der schwarzen Liste durch, um „die Aktivitäten der betroffenen Mitarbeiter kontinuierlich zu überwachen“).

Zusammenfassend lässt sich sagen, dass die derzeitige Krise von Covid-19 die Unternehmen dazu zwingt, die Art und Weise, wie der Einzelne arbeitet und sich vernetzt, zu überdenken und zu verbessern. Infolgedessen müssen Unternehmen darauf achten, dass sie keine Technologie in einer Weise einsetzen, die die Datenschutzrechte ihrer Mitarbeiter verletzen könnte.

Die Datenschutzbehörden werden die Rechte der Bürger auch in Krisenzeiten schützen und die DSGVO und die nationalen Datenschutzgesetze aufrechterhalten. Auch wenn sich einige Datenschutzbehörden (z. B. im Vereinigten Königreich und in Irland) bewusst zu sein scheinen, dass sie die Last der Einhaltung der DSGVO eine Zeit lang abnehmen müssen, bedeutet dies nicht, dass sie bei schweren Verstößen gegen die DSGVO ein Auge zudrücken können.

Ernennung eines Datenschutzbeauftragten

04/11/2021 Keine Kommentare

Angesichts der rasant zunehmenden Auswirkungen der Technologie auf unser persönliches Leben ist es notwendig geworden, eine angemessene Datenschutzpolitik durchzusetzen. Um das zu stärken, was man

mehr »

Was ist in einem Mietvertrag unter dem Gesichtspunkt des Datenschutzes zulässig?

28/08/2021 Keine Kommentare

Bei Beendigung eines Mietverhältnisses müssen personenbezogene Daten erhoben werden. Mieter und Vermieter sollten einige Dinge beachten. Wir stellen die wichtigsten Datenschutzrechte und -pflichten vor. Für

mehr »

DSGVO. Der Grundsatz der Datenminimierung

02/12/2021 Keine Kommentare

Nach dem Minimierungsprinzip müssen Sie so wenig personenbezogene Daten wie möglich einholen, um Ihr Ziel zu erreichen. Was ist das Prinzip der Datenminimierung? Artikel 5

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Die Risiken der Online-Überwachung von Mitarbeitern während der COVID-19-Krise

Einschränkung des Zwecks

Datenminimierung: Ist es angemessen, alle personenbezogenen Daten zu erfassen?

Integrität und Vertraulichkeit: Wie können sie gewährleistet werden?

DFA-Bewertung

Ernennung eines Datenschutzbeauftragten

Was ist in einem Mietvertrag unter dem Gesichtspunkt des Datenschutzes zulässig?

DSGVO. Der Grundsatz der Datenminimierung

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen