23.04.2020

Meetings datenschutzkonform organisieren

Wer Meetings zu organisieren hat, geht mit personenbezogenen Daten um. Der Beitrag greift die wichtigsten Punkte auf. Dabei behandelt er klassische Besprechungen, aber auch Telefon- und Videokonferenzen.

Datenschutz Meetings

Von der Vorbereitung bis zur Nachbereitung einer Zusammenkunft kommt einiges an personenbezogenen Daten zusammen. Da heißt es, die Kolleginnen und Kollegen dafür zu sensibilisieren, wo sie ins Fettnäpfchen treten können.

Einladung zum Meeting

Am Anfang steht die Terminfindung. Dazu ist eine Kontaktaufnahme mit allen nötig, die am Meeting teilnehmen sollen. Das kann beispielsweise per Telefon oder per Mail geschehen.

Solange die Telefonnummern und E-Mail-Adressen aktuell sind, sollte kaum etwas schiefgehen. Ansonsten kann die Einladung einen Adressaten erreichen, der sie gerade nicht sehen soll.

Beispiel (nicht erfunden!): Es geht um die mögliche Kündigung einer Führungskraft. Das Sekretariat verwendet einen „Mailverteiler Führungskräfte“, der auch die Mailadresse des Betroffenen enthält.

Bei Meetings, die voraussichtlich heikel sind, gilt deshalb: Den Mailverteiler lieber erst einmal ausdrucken und prüfen, ob er wirklich passt.

Die Tücken von Doodle

Noch mehr ist zu bedenken, wenn Einladungstools wie Doodle zum Einsatz kommen.

Besonders die Funktion „Online-Terminplaner“ von Doodle ist sehr beliebt. Sie ermöglicht Absprachen mit Teilnehmern innerhalb und außerhalb des Unternehmens. Es handelt sich also nicht etwa um ein „internes System“, wie manche glauben.

Die Gruppe, innerhalb der Absprachen erfolgen, kann zudem beliebig groß sein. Auch hier gilt deshalb: Erst nachdenken, dann die Anfrage absenden.

Datenschützer sehen Doodle im Regelfall ausgesprochen kritisch. Das hat durchaus gewichtige Gründe:

  • Wer auf eine Terminanfrage zugreifen will, muss einen Link aufrufen, der ihm zugesandt wurde. Dieser Link lässt sich leicht weitergeben, auch an Unbefugte. Sie haben dann Zugriff auf die Daten aller Teilnehmer aund können diese Daten nicht nur zur Kenntnis nehmen, sondern auch manipulieren. Reine Theorie? Nur so lange, bis es passiert!
  • Die Speicherung der Daten erfolgt nicht bei dem Unternehmen, das die Software nutzt, sondern beim Anbieter der Software (Doodle AG in Zürich). Das wäre an sich noch kein Problem, weil die Schweiz sich an die EU-Vorgaben für den Datenschutz hält. Die Doodle AG speichert ihre Daten jedoch auch in Drittstaaten (etwa den USA). Damit verlassen diese Daten den Geltungsbereich der Datenschutz-Grundverordnung (DSGVO).

Manche Aufsichtsbehörden geben angesichts dieser Situation den Rat, in Doodle nicht die echten Namen der Teilnehmer zu benutzen, sondern „Pseudonyme“. Damit sind Abkürzungen von Namen gemeint oder auch Fantasienamen.

Das funktioniert in der Theorie gut, in der Praxis führt es zu Verwechslungen bis hin zum Chaos.

Alternativen zu Doodle

Besser ist es deshalb, andere Systeme als Doodle zu verwenden. Sie vermeiden die beschriebenen Probleme.

Der Bayerische Landesbeauftragte für den Datenschutz empfiehlt die Software „dudle“ der Technischen Universität Dresden und den „DFN-Terminplaner“. Beide Angebote sind kostenlos.

Tücken bei Telefonkonferenzen

Für Telefonkonferenzen sind virtuelle Konferenzräume von kostenlosen Anbietern beliebt. Erstaunlich wenig Gedanken machen sich viele dabei darüber, ob auch Unbefugte den Konferenzraum „betreten“ können.

Manche Konferenzanbieter haben die Möglichkeit, den Konferenzraum „abzuriegeln“, wenn ihn alle befugten Teilnehmer betreten haben. Das geschieht, indem die Konferenzleitung eine Ziffernkombination eingibt, die der Anbieter zur Verfügung stellt. Ansonsten besteht die Gefahr, dass sich irgendwann während der Konferenz Unbefugte einklinken.

Es ist eine gefährliche Illusion, dass dies stets durch ein „Klickgeräusch“ oder ein ähnliches Signal auffällt. Die Konferenzleitung sollte zuverlässig dokumentieren, wer an einer Telefonkonferenz teilnimmt. Öfter, als man glauben sollte, fehlt es daran.

Generell heißt es, nur auf Konferenzanbieter zurückzugreifen, die über Sicherheitszertifikate anerkannter Organisationen verfügen. Sagt etwa ein Anbieter nichts dazu, wie er die Daten der Teilnehmer verschlüsselt, fehlt es an einer Verschlüsselung möglicherweise völlig oder sie ist nicht ausreichend sicher.

Große Zurückhaltung ist bei der Aufzeichnung von Telefonkonferenzen geboten.

Solche Konferenzen aufzuzeichnen, ist nur mit Zustimmung jedes einzelnen Teilnehmers erlaubt. Ansonsten liegt eine Straftat gemäß § 201 Strafgesetzbuch vor (Verletzung der Vertraulichkeit des Wortes).

Es ist dringend zu raten, die Zustimmung zu Beginn der Konferenz ausdrücklich zu erfragen – und zwar so, dass alle anderen Konferenzteilnehmer sie hören. Sonst fehlt es im Streitfall möglicherweise an erforderlichen Zeugen.

Tücken bei Videokonferenzen

Videokonferenzen erzeugen ein tückisches Gefühl der Sicherheit, weil man scheinbar ja „alles sehen kann“.

Selbstverständlich lassen sie sich aber genauso abhören wie Telefonkonferenzen. Das Thema „Verschlüsselung“ ist deshalb auch hier relevant. Es gibt Anbieter, die eine „Ende-zu-Ende-Verschlüsselung“ einsetzen.

Damit stellt sich die Frage, ob ein geringerer Standard noch akzeptabel ist. Jedenfalls wenn bei einer Konferenz besondere Arten personenbezogener Daten im Sinn von Art. 9 DSGVO ausgetauscht werden, ist sie in der Regel zu verneinen.

Überraschend viele Anbieter von Videokonferenzen sind außerhalb der EU ansässig, v.a. in den USA.

Dann ist zu prüfen, ob sie dort auf der Basis des Privacy Shield registriert sind. Ansonsten ist es nicht vertretbar, auf sie zurückzugreifen.

Umgang mit Teilnehmerlisten

Teilnehmerliste ist nicht gleich Teilnehmerliste. Es macht v.a. einen grundlegenden Unterschied, ob es sich um eine interne Besprechung oder um eine Veranstaltung mit externen Teilnehmern handelt:

  • An einer internen Besprechung nehmen nur Beschäftigte des Unternehmens teil. Zweck ist typischerweise die interne Diskussion und Abstimmung. Die Beteiligten sind also durch einen gemeinsamen Zweck verbunden.
  • Ganz anders bei einer Veranstaltung mit externen Teilnehmern, etwa einer Schulungsveranstaltung für Kunden. Hier verfolgt jeder Teilnehmer seine eigenen Interessen, mögen sie auch in die gleiche Richtung gehen. Zugleich muss das Unternehmen als Veranstalter seine Funktion als Dienstleister wahrnehmen können. Dazu gehört beispielsweise das Ausstellen von Teilnahmebestätigungen oder das Erstellen von Rechnungen für die Teilnahme.
  • Für den Umgang mit beiden Arten von Teilnehmerlisten sind deshalb völlig unterschiedliche Grundsätze zu beachten:
  • Bei einer internen Besprechung kann jeder Teilnehmer eine Teilnehmerliste mit den Namen und den dienstlichen (nicht privaten) Kommunikationsdaten aller Teilnehmer erhalten. Das ist erforderlich, damit die Teilnehmer zum Thema der Besprechung auch noch später miteinander in Kontakt treten können.
  • Bei einer Schulungsveranstaltung mit externen Teilnehmern ist es dagegen nicht zulässig, eine Teilnehmerliste zu verteilen. Sie ist nicht erforderlich, um das Ziel der Veranstaltung zu erreichen. Anders darf nur verfahren werden, wenn die Einwilligung jedes Teilnehmers vorliegt, der auf der Liste stehen soll. Die Liste intern zu nutzen, um Teilnahmebestätigungen auszustellen und Rechnungen zu erstellen, ist dagegen kein Problem.

Interne Notizen über Teilnehmer

Nur wenn man auf manche Eigenheiten von Teilnehmern eingeht, gelingt eine Besprechung. So ist für einen Imbiss z.B. wichtig, zu wissen, ob jemand Veganer ist.

Nach solchen Informationen fragt man den Betroffenen normalerweise selbst, entweder direkt oder über seine Assistenz. Dadurch erfährt er davon und weiß, was über ihn festgehalten wird.

Heikler wird es bei internen Notizen, wenn es um problematische Eigenheiten geht („neigt zu körperlicher Nähe“).

Die DSGVO lässt solche Aufzeichnungen im Ergebnis durchaus zu. Denn jeder darf seine eigenen berechtigten Interessen verfolgen (Art. 6 Abs. 1 Unterabsatz 1 Buchst. f DSGVO).

Gerade deshalb dürfen solche Informationen innerhalb des Unternehmens strikt nur an die gehen, die sie wirklich haben müssen. Außerdem sind sie besonders sorgfältig gegen unbefugten Zugriff zu sichern.

Autor*in: Dr. Eugen Ehmann (Dr. Ehmann ist Regierungsvizepräsident von Mittelfranken und ist seit Jahren im Datenschutz aktiv.)