Viele IT-Abteilungen wollen TeamViewer bei der Analyse und Lösung von IT-Problemen der Mitarbeiter im Umgang mit deren Arbeitscomputern als Hilfsmittel nutzen. Datenschutzrechtlich ist dies jedoch nicht uneingeschränkt möglich. Im Folgenden werden die wesentlichen Punkte zum datenschutzkonformem Einsatz von TeamViewer am Beispiel des genannten Falls dargestellt. IT-Sicherheitsaspekte werden nicht beleuchtet.
Was kann TeamViewer?
TeamViewer ist eine Desktop-Sharing-Software, welche Fernwartungen, Online-Präsentationen, Onlinemeetings, Webkonferenzen, Dateitransfer und VPN-Verbindungen ermöglicht. Die Software wird auf dem jeweiligen Rechner, dessen Desktop geteilt werden soll, installiert. Ist TeamViewer auf einem anderen Rechner innerhalb desselben Netzwerks installiert, findet der Zugriff auf den jeweiligen Rechner wie folgt statt:
- Neben einer automatisch generierten PartnerID erzeugt TeamViewer ein Sitzungskennwort, das sich bei jedem Start ändert.
- Nach einer aktiven Freigabe durch den Nutzer, wird eine verschlüsselte Verbindung zwischen den jeweiligen Rechnern aufgebaut.
Daneben besteht jedoch auch die Möglichkeit, Teamviewer mit Windows automatisch starten zu lassen und so einen Zugriff ohne einer aktiven Freigabe zu ermöglichen. Zusätzlich kann TeamViewer so konfiguriert werden, dass dieser als Hintergrundprozess für den Nutzer unsichtbar arbeitet. Diese Konfiguration ist jedoch nicht standardmäßig aktiviert sondern muss von dem jeweiligen Administrator vorher eingestellt werden.
Weiterhin besteht die Möglichkeit, dass der Rechner im Rahmen der so genannten Wake-on-LAN-Funktion automatisch eingeschaltet und anschließend aus der Ferne gesteuert werden kann. Auch hier ist jedoch eine gesonderte Konfiguration nötig.
Datenschutzrechtliche Problemstellung
Datenschutzrechtlich ist TeamViewer vor allem deshalb problematisch, weil die Software grundsätzlich auch dazu eingesetzt werden kann, das Verhalten und/oder die Leistung der Arbeitnehmer (heimlich) zu überwachen. Damit fällt TeamViewer unter den Wortlaut des § 87 Abs. 1 Nr. 6 BetrVG. Danach hat
der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, mitzubestimmen (Mitbestimmungsrecht des Betriebsrats).
Bevor dem Betriebsrat jedoch die Anwendung zur Mitbestimmung vorgelegt werden kann, muss geprüft werden, ob TeamViewer datenschutzkonform eingesetzt werden kann.
§ 32 BDSG als Rechtsgrundlage
Da es TeamViewer in dem hier geschilderten Fall innerhalb des Beschäftigtenverhältnisses eingesetzt werden soll, ist zunächst an § 32 BDSG als mögliche Rechtsgrundlage zu denken. Fraglich ist hierbei jedoch, ob die Anwendung tatsächlich zur „Durchführung“ eines Beschäftigungsverhältnisses erforderlich ist, wie es § 32 BDSG fordert.
Hieran bestehen erhebliche Zweifel. Die Arbeiten, die der Mitarbeiter im Zusammenhang mit seinem Computer zu erledigen hat, sind auch ohne eine entsprechende Fernwartungssoftware möglich. Die Software dürfte daher in den überwiegenden Fällen nicht zur Durchführung des Beschäftigungsverhältnisses erforderlich sein. Auch die Mitarbeiter in der IT-Abteilung können Ihre Aufgaben auf andere Art und Weise wahrnehmen und sind nicht zwingend auf den Einsatz von TeamViewer angewiesen.
Somit dürfte die Anwendung des § 32 BDSG vorliegend ausscheiden.
§ 28 Abs. 1 BDSG als Rechtsgrundlage
Als Rechtsgrundlage käme jedoch weiterhin § 28 Abs. 1 Nr.2 BDSG in Betracht, der nach der hier vertretenen Auffassung auch neben § 32 BDSG anwendbar ist. Nach § 28 Abs. 1 Nr.2 BDSG ist
das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.
Interessen der verantwortlichen Stelle (Arbeitgeber)
Das Interesse des Arbeitgebers an einer effektiven und zeitnahen Bearbeitung von IT-Problemen über eine Fernwartungssoftware kann durchaus als berechtigtes Interesse im Sinne der Vorschrift gewertet werden. Eine Verarbeitung ist jedoch nur dann möglich, wenn die schutzwürdigen Interessen der Betroffenen nicht überwiegen.
Interessen der Betroffenen (Arbeitnehmer)
Das Interesse der Betroffenen besteht darin, keiner Überwachung am Arbeitsplatz ausgesetzt zu sein, da dies ein nicht unerheblichen Eingriff in Ihre Persönlichkeitsrechte darstellen würde. Das Merkmal der Erforderlichkeit i.S.d. § 28 Abs. 1 Nr. 2 BDSG setzt voraus, dass für die Erreichung des geplanten Zwecks kein gleich geeignetes, milderes Mittel zur Verfügung steht und der Einsatz von Fernwartungssoftware zur Erreichung des verfolgten Zwecks verhältnismäßig ist.
Erforderlichkeit
Als milderes Mittel käme die Analyse und Problemlösung durch die IT-Mitarbeiter an den jeweiligen Arbeitsplätzen in Betracht. Soweit es sich um kleinere Unternehmen handelt, kann man hier unter Umständen schon dazu kommen, dass dies tatsächlich das weniger einschneidende Mittel zur Zweckerreichung darstellt. Eine Fernwartungssoftware, wie TeamViewer, wäre sodann nicht mehr erforderlich.
Zweifelhaft ist dies aber in großen Unternehmen mit einer Vielzahl von Mitarbeitern. Hier kann tatsächlich die Fernwartungssoftware das mildeste Mittel darstellen. In diesem Fall muss der Einsatz von TeamViewer aber insgesamt noch verhältnismäßig sein. Hierzu müssten die schutzwürdigen Interessen der Betroffenen ausreichend gewahrt sein.
Wahrung der Rechte der Betroffenen
Zur Interessenwahrung ist es nach der hier vertretenen Auffassung unabdingbar, dass die folgenden Maßnahmen eingehalten werden:
- Deaktivierung der (unbemerkten) Hintergrundaktivität (Der Mitarbeiter muss bemerken, wann die Fernwartung erfolgt.)
- Deaktivierung der Wake-On-LAN-Funktion
- Sicherstellung, dass der Mitarbeiter bei der Fernwartung stets anwesend ist (z.B. paralleles Telefonat mit dem zuständigen Mitarbeiter aus der IT)
- Möglichkeit für den Mitarbeiter die Fernwartung jederzeit zu unterbrechen
- Erstellung einer Betriebsvereinbarung zum Schutz vor Leistungs- und Verhaltenskontrollen
Werden diese Maßnahmen eingehalten, wäre nach der hier vertretenen Auffassung auch die Verhältnismäßigkeit im Rahmen der Erforderlichkeitsprüfung gewahrt. An dieser Stelle sei noch darauf hingewiesen, dass auf Grund der Mitbestimmungsrechte des Betriebsrats hier ein zeitnaher und konstruktiver Dialog gesucht werden sollte, um Missverständnissen vorzubeugen. Ist kein Betriebsrat vorhanden, so sind die Mitarbeiter entsprechend ins Boot zu holen.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de