Die Corona-Pandemie erzwang eine abrupte Umstellung aufs Homeoffice. Was vorher „Face-to-Face“ besprochen wurde, musste sich in den digitalen Raum verlagern. Schnell wurden praktische Dienste und Tools zur Abstimmung mit den Kollegen eingesetzt. Was hierbei schnell vergessen wird: Der Datenschutz!
Datenschutz wird gern vergessen
Was im Privaten gerne mal großzügig übersehen wird, ist bei der Arbeit stets zu berücksichtigen: Ist der digitale Dienst und das verwendete Tool auch datenschutzkonform gemäß der Datenschutzgrundverordnung (DSGVO)?
Die gute Nachricht dabei ist: Viele Anbieter – darunter viele US-amerikanische – haben sich seit Inkrafttreten der DSGVO auf die Anforderungen eingerichtet und ihre Dienste entsprechend angepasst. Dennoch sollte vor der Verwendung von neuen Anbieter ein erster Datenschutz-Check vorgenommen werden.
Dieser Artikel soll eine Orientierung im Umgang mit Datenschutzanforderungen bieten. Die Informationen erheben keinen Anspruch auf Vollständigkeit. Eine individuelle, fallbezogene Prüfung sowie das Einholen einer fundierten, juristischen Beurteilung ist unabdingbar.
Vor dem Einsatz neuer Tools
Bevor ein Tool eingesetzt werden soll, ist es ratsam, sich mit den Kolleg*innen aus der IT in Verbindung zu setzen. Vielleicht gibt es bereits Alternativen zu Funktionen, die in anderen Diensten bereits vorhanden sind oder einfach zu integrieren sind. Eventuell befinden sich die Kolleg*innen bereits in Verhandlungen mit Anbietern. Denn wenn ein Dienst im Arbeitskontext angewendet werden soll, dann muss in der Regel ein Auftragsverarbeitungsvertrag (AVV) mit dem entsprechenden Anbieter abgeschlossen werden.
Darüber hinaus bestehen noch weitere Formen der Datenverarbeitung die zum Tragen kommen können. Ein erster positiver Hinweis auf eine mögliche Erfüllung der Datenschutzanforderungen kann sein, wenn der Anbieter aus der Europäischen Union kommt und damit die Datenspeicherung in der EU oder Deutschland gewährleistet. Konformität mit dem EU-US-Privacy Shield-Abkommen bietet hingegen keine Gewähr mehr.
Ein AVV mit einem Dienstleister muss im Vorfeld mit dem Datenschutzbeauftragten oder alternativ mit der Rechtsabteilung geprüft und gegebenenfalls individuell verhandelt werden, damit er den besonderen Datenschutzanforderungen entspricht.
Manche Problematiken des Datenschutzes lassen sich zum Teil umgehen, indem man sich für Open Source-Software entscheidet. Doch auch hier gilt es zu prüfen, ob eventuell integrierte Dienste oder Plug-Ins von Drittanbieter ebenfalls den Datenschutzanforderungen entsprechen. Hinzu kommt, dass die Sicherheit des Servers durch die IT in Form regelmäßiger Updates und einer Firewall sichergestellt sein muss.
Vor einer Anfrage beim internen Datenschutzbeauftragten hilft eine kurze Vorprüfung und Dokumentation des Dienstes, um einschätzen zu können, in welchem Umfang dieser die Anforderungen des Datenschutzes erfüllt. Details lassen sich vor der Schließung eines AVV mit dem Dienstleister klären und gegebenenfalls nachverhandeln.
Checkliste
Zur Erstellung einer Entscheidungsgrundlage sollten möglichst im Vorfeld alle Informationen bekannt sein. Fehlende Informationen können den Entscheidungsprozess zu einem späteren Zeitpunkt gefährden. Die folgenden Punkte können in der Vorbereitung der Bewertung des Datenschutzniveaus helfen:
1. Beschreibung der Anforderungen
- Beschreibung der benötigten Funktionen der Aufgaben
- Welcher Anbieter bietet die datenschutzfreundlichsten Service
- Gibt es Alternativen, die sparsamer bei der Erhebung von Daten sind?
- Begründung warum diese(r) Anbieter ausgewählt wurden
Gut im Vorfeld zu wissen: - Was sind die Alternativen, falls eine Prüfung negativ verläuft?
- Sind benötigte Funktionen eventuell über bereits eingesetzte Software abgebildet?
- Gibt es alternative Tools und Ressourcen, die einen Betrieb auf eigenen Servern ermöglichen?
2. Beschreibung der Software sowie Beschreibung des Einsatzes
- Beschreibung des Einsatzes der Software oder des Dienst. Was soll die Software leisten? Beschreibung der Szenarien sowie Abgrenzung zu anderen Einsatzzwecken.
- Beschreibung der grundlegenden Funktionen der Software.
3. Erhobene und verarbeitete Daten
- Zweck der Datenerhebung und Verarbeitung
- Welche Daten fallen an und sollen verarbeitet werden?
- Wenn bekannt, sollten möglichst alle bei der Nutzung des Dienstes anfallenden und verarbeitenden Daten benannt und beschrieben werden.
4. Technische Details
- Hier sind alle verfügbaren Informationen relevant, die der Anbieter zur Verfügung stellt. Diese finden sich entweder in den AGBs, den technischen Spezifikationen oder in den Hinweisen zum Datenschutz. Dort sind zumeist die eingesetzten Dienste von Drittanbietern aufgeführt.
- Manche Anbieter veröffentlichen umfassend ihre Informationen zu den Technisch-Operativen-Maßnahmen (TOMs) oder senden diese auf Anfrage mit dem Standard-AVV zu.
Teile des Beitrags wurden erstmals veröffentlicht auf MEZZANIN, dem Online-Magazin des Projektes „Digital Knowledge Transfer Model“ an der Leuphana Universität Lüneburg, gefördert vom Europäischen Fonds für regionale Entwicklung und dem Land Niedersachsen.