26.01.2021

Video-Conferencing: Was es aus Datenschutzsicht zu beachten gibt

Führte man früher Telefonate noch über eine gewöhnliche Festnetzleitung, so benutzt man heute gerne die neuen Technologien wie VoIP-Lösungen, Video-Conferencing, Planungstools und anderes. Ziel ist es dem Gegenüber ein möglichst persönliches Gefühl zu geben und effizient zusammen zu arbeiten. Hierbei dürften neben den bereits vorhandenen Software-Tools auch neue Lösungen evaluiert und eingesetzt werden.

Von: Carmen de la Cruz Böhringer  DruckenTeilen 

Carmen de la Cruz Böhringer

spezialisiert in IT-Recht, ist Rechtsanwältin und dipl. Wirtschaftsinformatikerin, de la cruz beranek Rechtsanwälte AG

 zum Portrait

Video-Conferencing

Video-Conferencing

Für Unternehmen bedeutet dies, Lösungen einzusetzen, die regulatorischen Anforderungen entsprechen wie die EU Datenschutz-Grundverordnung oder das Datenschutzgesetz. Zusätzlich zu den besagten datenschutzrechtlichen Aspekten kommt bei Geheimnisträgern wie Ärzte oder Anwälte hinzu, dass sie die ihnen zur Verfügung gestellten Informationen und (Personen)daten speziell schützen müssen. Das Anwaltsgeheimnis verpflichtet denn auch Rechtsanwälte dabei Informationen, welche im Zusammenhang mit der Berufsausübung erfahren wurden, vertraulich zu behandeln. Dies umfasst insofern bereits auch das vorhanden sein einer Mandatsbeziehung mit der Klientschaft. Nachfolgend sollen die rechtlichen Anforderungen an eine anwaltsrechtlich konforme Umsetzung von Kollaborationsplattformen aufgezeigt werden.

Anforderungen gemäss DSG und DSGVO

DSG

Neben den spezifischen Bestimmungen zum Anwaltsgeheimnis ist bei jeder Bearbeitung von Personendaten auch das Datenschutzgesetz (DSG) zu beachten. Da in der Schweiz noch immer juristische Personen vom Geltungsbereich umfasst werden, sind in sämtlichen Mandatsdossiers Personendaten vorhanden, weshalb die Grundsätze gemäss Art. 4 ff. DSG eingehalten werden müssen.

Bei der Verwendung von Software findet nicht selten auch ein Datentransfer zum jeweiligen Hersteller in irgendeiner gearteten Form und Qualität statt. So ist bei einem grenzüberschreitenden Datentransfer, was einer Bekanntgabe der Daten gleichkommt, gemäss Art. 6 DSG ein angemessener Schutz zu gewährleisten. Die möglichen Schutzmassnahmen werden dabei in Art. 6 Abs. 2 DSG spezifiziert.

Aufgrund der anhaltenden und immer stärkeren Verbreitung von Pishing- und Hacking-Attacken ist insbesondere Art. 7 DSG, welcher die Datensicherheit betrifft von zentraler Bedeutung. Art. 7 Abs. 1 DSG verpflichtet Nutzer, technische und organisatorische Massnahmen (TOM) zu treffen, welche die Personendaten vor unbefugtem Bearbeiten schützen sollen. Die Verordnung zum Datenschutzgesetz (VDSG) gibt in Art. 8 ff. VDSG zwar Szenarien vor, gegen welche die Personendaten zu schützen sind, benennt aber keine konkreten Massnahmen, wie das Ziel erreicht werden soll. Insofern ist der Hinweis in Art. 8 Abs. 2 VDSG hilfreich, dass die Ausgestaltung der TOMs abhängig von der Art, Zweck und der Risikobeurteilung der Datenverarbeitung sein soll sowie den aktuellen Stand der Technik zu berücksichtigen hat.

Es ist deshalb unumgänglich, bei den avisierten oder bereits implementierten Lösungen zu prüfen, ob die datenschutzrechtlichen Vorgaben eingehalten und die entsprechenden technischen und organisatorischen Massnahmen implementiert sind. Darüber geben insbesondere Datenschutzerklärungen, Datenschutzanhänge resp. Auftragsdatenverarbeitungsvereinbarungen (ADV) sowie AGB’s des Service Providers Auskunft.

DSGVO

Die oben genannten Ausführungen gelten selbstverständlich auch gemäss DSGVO: Das Unternehmen, welches eine Lösung implementiert, hat sicherzustellen, dass die Bestimmungen der DSGVO eingehalten werden. Damit muss einerseits ein Service Provider gewählt werden, der DSGVO-konform ist, sprich Personendaten EU bearbeitet resp. in einem Land, welches über ein adäquates Datenschutzniveau verfügt oder aber Privacy Shield zertifiziert ist (wobei es hier auch gegenüber einzelnen Anbietern Vorbehalte gegeben hat). Anderseits muss ein entsprechenden schriftlichen Vertrag (ADV) mit dem Service Anbieter abgeschlossen werden, in welchem festgehalten wird, welche Personendaten vom Service Anbieter bearbeitet und genutzt werden. Werden Daten an Dritte weitergegeben (z.B. Facebook), so muss dies im ADV ebenfalls explizit angegeben werden. Diese Hinweise müssen wiederum dem Nutzer (Mitarbeiter, Kunden etc.) zur Kenntnis gebracht werden (Vertrag, Datenschutzerklärung etc.). Der Weitergabe von Daten an nicht beteiligte Dritte im Zusammenhang mit der Nutzung von Kollaborationsplattformen wie Video-Conferencing muss der Nutzer zustimmen, ansonsten sie nicht zulässig ist.

Privacy by Design

Eine anvisierte Lösung muss so designed sein, dass datenschutzfreundliche Einstellungen implementiert sind und auch angepasst werden können: So dürfen Inhalte wie Chats, hochgeladene Dokumente oder Präsentationen nicht automatisch gespeichert oder vom Service Provider genutzt werden. Die Kommunikationen sind zu verschlüsseln, damit Dritte keinen Zugang zu solchen Inhalten haben. Plattformen sind vermehrt Ziel von Hacker-Angriffen geworden, so dass es wichtig ist, dies zu prüfen.

Die Instanzen, auf welchen eine Lösung gehostet wird, muss vor der Nutzung klar sein (z.B. China oder USA) etc. Je nach Ausgangslage bedeutet dies nämlich, dass zusätzliche Notifikationen oder Einwilligungen eingeholt werden müssen, um den datenschutzrechtlichen Anforderungen gerecht zu werden. Nicht alle insbesondere auch gratis verfügbaren Tools sind hier datenschutzkonform aufgestellt, weshalb dieser Punkt speziell geprüft werden muss.

Anwalts- und Arztgeheimnis

Grundlagen

Die rechtlichen Grundlagen für das Bestehen des Anwaltsgeheimnisses lassen sich hauptsächlich in (i) Art. 13 BGFA, diejenigen des Anwalts- und Arztgeheimnisses zudem in (ii) Art. 321 StGB und (iii) und in Art. 35 DSG finden. Die daraus resultierenden Verweigerungs- und Geheimhaltungsrechte lassen sich wieder verteilt über die einzelnen Rechtsbiete (insbesondere in den Verfahrensordnungen) finden.

Bundesgesetz über die Freizügigkeit der Anwälte

Art. 13 des Bundesgesetzes über die Freizügigkeit der Anwältinnen und Anwälte (BGFA) bindet die Anwälte an die Verschwiegenheit über sämtliche ihr von der Klientschaft anvertrauten Informationen, gegenüber jedermann und zeitlich unbegrenzt. Weiter sind vom Berufsgeheimnis nach BGFA auch die beigezogenen Hilfspersonen nach Art. 101 OR erfasst. Die Anwälte haben folglich auch bei den beigezogenen IT-Dienstleistern, Treuhänder etc. dafür zu sorgen, dass sie sämtlichen Aspekten des Berufsgeheimnisses genügen.

Strafrecht

Weiter ist Art. 321 StGB zu beachten, welcher die Offenbarung von Geheimnissen unter Strafe stellt, die den Rechtsanwälten, Ärzten oder ihren Hilfspersonen infolge ihrer Berufsausübung anvertraut worden sind oder infolge dessen Ausübung wahrgenommen haben. Die Definition der Hilfspersonen richtet sich ebenfalls nach Art. 101 OR und umfasst folglich sämtliche IT-Dienstleister der Anwaltskanzleien.

Offen ist, ob nun Anwalts- und Arztgeheimnis schon verletzt sind, wenn Drittdienstleister beigezogen werden: Die herrschende Lehre und das Bundesgericht (vgl. BGer 6B_1403/2017, E. 1.2.2) verneinen dies: Es braucht eine effektive Verletzung –dem Berufsgeheimnis unterliegende offengelegte Informationen -, damit eine Verletzung des Berufsgeheimnisses vorliegt. Eine Minderheitsmeinung (und das Obergericht des Kantons Zürich / Urteil UE190028-O vom 27. Dezember 2019) geht davon aus, dass bereits die Nutzung solcher Dritter ohne Einwilligung des Betroffenen eine Verletzung darstellt.

Tipp: Betroffene müssen über die Nutzung von Drittdienstleistern, die Zugang zu geschützten Informationen haben könnten, informiert werden. Es ist insbesondere für Anwälte oder Ärzte wichtig, dass Kunden dem explizit zustimmen, um sicher keine Berufsgeheimnisverletzung zu begehen.

Einsatzgebiet der Kollaborationsplattformen

Telefon- /Videokonferenzen

Aufgrund der geltenden Einschränkungen des Personenverkehrs sehen sich Dienstleister wie Anwälte oder Treuhänder, gezwungen viele Termine nicht mehr persönlich wahrzunehmen, sondern digital abzuhalten. Ob dabei nur das gesprochene Wort (Telefon, VoIP) oder auch Bild (Video-Konferenz) genutzt werden soll, ist unerheblich. Beiden Einsätzen ist gemein, dass der Datenfluss zwischen dem Klienten oder Dritten und dem Dienstleistungserbringer über einen Dritten hergestellt wird. Dies trifft zwar auch bei einem gewöhnlichen Telefonat zu, doch bearbeiten die herkömmlichen Telekommunikationsanbieter die Daten nur sehr eingeschränkt zu eigenen Zwecken und die Datenbearbeitungen sind für die Erbringung der Dienstleistung zwingend.

Datenaustausch/-bearbeitung

Neben der Möglichkeit Gespräche zu führen, ist für ein funktionierendes «Homeoffice» ein Transfer der notwendigen Daten für die Mitarbeiter notwendig. Sind die Daten am gewöhnlichen Arbeitsplatz allenfalls auf einem kleinen Datenserver gespeichert, so stellt sich der Zugriff von ausserhalb als weitaus schwieriger dar. Freigaben für den Fernzugriff, notwendige Sicherheitsmassnahmen und ein genügend grosser Datendurchsatz seitens der Internetanbindung sind dabei zu beachten.

Hat man diese Hürde überwunden, so stellt sich die Frage, wie zusammen mit dem Team oder dem Klienten an Dokumenten gearbeitet werden kann. Meist als Clouddienste angeboten, stellt sich auch hierbei die Frage, welche Daten für den Anbieter zugänglich sind.

Damit müssen für die Nutzung der Plattformen auf die obigen Punkte verwiesen werden: Wo werden die Daten gespeichert und wer hat Zugriff darauf? Wird die Kommunikation verschlüsselt und ist der Zugriff individualisiert und überprüfbar? Werden Inhalte gelöscht oder gar an Dritte weitergegeben?

Um die Beantwortung der Fragen kommt man nicht herum, bevor man sich mittels Vertrag für eine Lösung entscheidet.

Fazit Video-Conferencing

Die Evaluation und Nutzung einer Kollaborationsplattform für Voice over IP, Video-Conferencing, Webinare etc. bedarf der sorgfältigen Prüfung der Datenschutzkriterien. Je nach Business (z.B. Anwaltspraxis oder Spital) gelten zusätzliche Hürden (Zustimmung der Betroffenen od. Angehöriger etc.). Zudem kann es sich lohnen, für unterschiedliche Zwecke unterschiedliche Service Provider zu evaluieren.

Nicht zu vergessen sind die Informationsrechte: Kunden, Mitarbeiter, Dritte sind darüber zu informieren, welche Daten verarbeitet, gesammelt, an Dritte weitergegeben (soweit zulässig) oder gelöscht werden.

Auch in hektischen Zeiten gilt deshalb, wichtige Punkte zu prüfen und dann Entscheidungen über Einsatzmöglichkeiten zu fällen. Dazu ist es auch nie zu spät.

Produkt-Empfehlungen

  • Newsletter Arbeitsrecht

    Newsletter Arbeitsrecht

    Die neuesten Gerichtsentscheide und Praxisfälle, verständlich kommentiert.

    CHF 98.00

  • HR-Professional

    HR-Professional

    Maximale Unterstützung bei Ihrer Personalarbeit dank HR-Fachwissen sowie über 1300 zeitsparenden Vorlagen und Arbeitshilfen.

    Mehr Infos

  • personalSCHWEIZ

    personalSCHWEIZ

    Kompetent, fokussiert und pragmatisch! Das Magazin für die Schweizer Personalpraxis.

    Mehr Infos

Seminar-Empfehlungen

  • Fachtagung, 1 Tag, Crowne Plaza , Zürich

    21. WEKA Arbeitsrecht-Kongress 2021

    Aktuelles Schweizer Arbeitsrecht – Neuerungen, knifflige Fälle, Praxis-Tipps

    Nächster Termin: 16. März 2021

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Datenschutz am Arbeitsplatz

    Rechte und Pflichten im Umgang mit Mitarbeiter- und Bewerberdaten

    Nächster Termin: 10. Juni 2021

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos