Auf unseren Beitrag „TeamViewer: Datenschutzrechtliche Grenzen im Unternehmenseinsatz“ meldete sich TeamViewer und verlangte eine Gegendarstellung, da der Beitrag wohl falsche Tatsachenbehauptungen enthalte.
Inhaltsverzeichnis
- Gesetzesgrundlage
- Gegendarstellung
- Stellungnahme
1. Gesetzesgrundlage
Dabei stützt TeamViewer seinen Anspruch auf Gegendarstellung auf § 11 Hamburgisches Pressegesetz.
Zunächst stellen wir fest, dass TeamViewer die falsche Rechtsgrundlage für den Anspruch auf eine Gegendarstellung gewählt hat. Nicht § 11 Hamburgisches Pressegesetz, sondern § 56 RStV ist hier die einschlägige Norm, da unser Newsletter sowohl periodisch erscheinend, als auch journalistisch-redaktionell aufbereitet ist. Uns ist Transparenz sehr wichtig und somit kommen wir selbstverständlich dem Verlangen auf eine Gegendarstellung nach. Es folgt die Gegendarstellung von TeamViewer, wie sie uns erreichte.
2. Gegendarstellung
Am 12.09.2014 hat Herr Tim Becker unter dem Titel „TeamViewer: Datenschutzrechtliche Grenzen im Unternehmenseinsatz“ einen Fachbeitrag über die TeamViewer-Software verfasst.
Dieser enthält falsche Tatsachenbehauptungen, die wir nachfolgend richtig stellen möchten:
Aussage Herr Becker: „Zusätzlich kann TeamViewer so konfiguriert werden, dass dieser als Hintergrundprozess für den Nutzer unsichtbar arbeitet.“
Hierzu stellen wir fest, dass TeamViewer niemals so konfiguriert werden kann, dass das Programm unsichtbar als Hintergrundprozess arbeitet. Der Nutzer sieht immer, wenn eine Verbindung besteht; dies wird ihm durch ein aktives TeamViewer-Fenster auf seinem Monitor angezeigt. Der Mitarbeiter hat zudem die Möglichkeit, die Fernwartung jederzeit zu unterbrechen.
Aussage Herr Becker: „Weiterhin besteht die Möglichkeit, dass der Rechner im Rahmen der so genannten Wake-on-LAN-Funktion automatisch eingeschaltet und anschließend aus der Ferne gesteuert werden kann. Auch hier ist jedoch eine gesonderte Konfiguration nötig.“
Hierzu stellen wir fest, dass Wake-on-LAN kein automatisches Einschalten des Rechners erlaubt. Vielmehr muss das Aufwachen aktiv von einem anderen Rechner aus angestoßen werden. Zuvor muss bei dem aufzuweckenden Rechner lokal eingestellt werden, wer zum Aufwecken berechtigt ist.
Ist der Remote-Rechner eingeschaltet/aufgeweckt, setzt die Verbindung mit ihm die Kenntnis des Passwortes des lokalen Benutzers voraus. Dieser Schritt kann unter keinen Umständen von TeamViewer umgangen werden, auch nicht mit einer „gesonderten Konfiguration“.
Aussage Herr Becker: „Datenschutzrechtlich ist TeamViewer vor allem deshalb problematisch, weil die Software grundsätzlich auch dazu eingesetzt werden kann, das Verhalten und/oder die Leistung der Arbeitnehmer (heimlich) zu überwachen.“
Hierzu stellen wir fest, dass eine heimliche Überwachung mit TeamViewer ausgeschlossen ist. Zudem sieht der Anwender, sobald eine Anfrageverbindung eingeht. Während der gesamten Remote-Verbindung ist ein Verbindungsfenster sichtbar, das den aktiven Status anzeigt. Der Mitarbeiter hat zudem die Möglichkeit, die Fernwartung jederzeit zu unterbrechen.
In einem der Kommentare zu dem Artikel von Herrn Becker steht geschrieben: „Daneben bietet TeamViewer auch die Möglichkeit einen TeamViewer Server im eigenen Unternehmen aufzusetzen. Damit ist dann auch keine „3rd Party“ involviert.“
Hierzu stellen wir fest, dass wir keine Möglichkeit bieten, einen TeamViewer Server im eigenen Unternehmen aufzusetzen.
3. Stellungnahme
Diese Gegendarstellung möchten wir jedoch gerade mit Blick auf den Arbeitnehmerdatenschutz nicht unkommentiert stehen lassen und nehmen deshalb zu den einzelnen Punkten wie folgt Stellung.
TeamViewer Server im eigenen Unternehmen?
Zunächst korrigieren wir die Aussage aus dem Kommentar. Man kann keinen TeamViewer Server im eigenen Unternehmen aufsetzen. Hierbei handelt es sich um einen bedauerlichen redaktionellen Fehler unsererseits.
„Unsichtbarer“ Hintergrundprozess?
Diesbezüglich nutzen wir die Gelegenheit, um Missverständnisse zu beseitigen und stellen noch einmal deutlicher heraus, was mit der Formulierung gemeint war. Die weiteren Ausführungen und Ergebnisse basieren auf einer Prüfung auf einem Windows-System.
Durch entsprechende Einstellungen in der Windows-Registry kann das Programm TeamViewer (nicht die Fernwartung selbst) als Hintergrundprozess vom Nutzer vollständig unbemerkt mit dem Systemstart gestartet werden. In diesem Fall erscheint auch kein TeamViewer Icon im System-Tray (alle Icons, bis auf die Urzeit werden ausgeblendet). Erst beim Fernzugriff selbst erscheint ein kleines Fenster. Dieser Fernzugriff ist mittels der TeamViewer-Host-Version auch ohne eine aktive Handlung des Nutzers möglich, wenn der Zugreifende das Passwort kennt, was regelmäßig der Fall ist, wenn er den TeamViewer-Host eingerichtet hat. Gemeint war daher, dass der Nutzer nicht zwingend aktiv an der Freigabe mitwirken muss und somit auch ein unbeaufsichtigter Zugriff auf den Rechner des Nutzers, z.B. in dessen Abwesenheit möglich ist.
Zudem weißt das eingeblendete Fenster nicht deutlich auf einen „Fernzugriff“ auf den eigenen Rechner hin. Für den Nutzer ist damit nicht eindeutig ersichtlich, dass auf seinen Rechner zugegriffen wird. Vielmehr erinnert das Anzeigefenster an ein kleines Chat-Tool (Symbole wie: Audiokonferenz, Dateiübertragung, Chatfenster). Der Durchschnitts-Nutzer, aus dessen Betrachtung eine Beurteilung vorgenommen werden muss, wird bei einer derartigen Anzeige nicht in erster Linie an eine Übernahme/Beobachtung seines Rechners denken, wenn er das TeamViewer Fenster sieht. Wird der Rechner von seinem Arbeitgeber vorkonfiguriert, wird er die installierten Programme und beim Systemstart erscheinenden Fenster regelmäßig nicht ernsthaft hinterfragen. Der Zugriff kann daher „unbemerkt“ vom Nutzer erfolgen.
Darüber hinaus kann auch für kurze Zeit eine Verbindung aufgebaut und etwa ein Screenshot erstellt werden, während der Nutzer abwesend ist. Damit wird auch die Möglichkeit der Mitarbeiterüberwachung eröffnet (hierzu: siehe unten).
Zwar kann der Nutzer den Fernzugriff jederzeit durch klicken des „X“ beenden. Dazu müsste er jedoch erst einmal wissen, dass auf sein Rechner zugegriffen wird. Hier fehlt es aus unserer Sicht aus den oben genannten Gründen eindeutig an Transparenz gegenüber dem Nutzer. Hinzu kommt, dass TeamViewer auch so konfiguriert werden kann, dass das Programm (nicht die Fernwartung) vom Nutzer nicht beendet werden kann („erweiterte Einstellungen“). Damit ist sodann selbst bei einer Unterbrechung des Fernzugriffs durch den Nutzer eine jederzeitige neue Verbindung durch den Fernzugreifenden (z.B. bei Abwesenheit des Mitarbeiters) möglich.
Fernsteuerung nach Wake-on-LAN-Funktion?
Hinsichtlich der von uns gewählten Beschreibung der Wake-on-LAN-Funktion sehen wir keinen Widerspruch zu den tatsächlichen Gegebenheiten. Es versteht sich von selbst, dass eine Aufwachfunktion zunächst initiiert werden muss, indem ein anderer Rechner den Fernzugriff anstößt. Der Wortlaut: „Auch hier ist jedoch eine gesonderte Konfiguration nötig.“ beschreibt dabei zusammenfassend, dass diese Funktion nicht standardmäßig eingeschaltet ist und von dem Administrator oder der Person, die eine Überwachung/Fernwartung vornehmen möchte entsprechend eingerichtet („konfiguriert“) werden muss. Beim Einrichten ist dieser Person selbstverständlich auch das von ihm vergebene Passwort bekannt. Damit kann er ohne Zutun des Nutzers Kontrolle über den Rechner des Nutzers erlangen.
Datenschutzrechtlich ist TeamViewer vor allem deshalb problematisch, weil…
Zunächst merken wir an, dass wir die Auffassung vertreten, dass es sich bei der fraglichen Aussage aus dem Artikel vielmehr um eine Meinungsäußerung, als um eine Tatsachenbehauptung handelt. Gleichwohl möchten wir auch zu diesem Aspekt eine rechtliche Würdigung vornehmen.
Dass TeamViewer im dargestellten Einsatzszenario datenschutzrechtlich problematisch ist und grundsätzlich auch zur Leistungs- und Verhaltenskontrolle eingesetzt werden kann, werden wir daher mit der folgenden rechtlichen Würdigung noch einmal darstellen. Die Frage der datenschutzrechtlichen Zulässigkeit stellt sich insbesondere im Rahmen des Arbeitnehmerdatenschutzes. Schon aus zahlreichen Diskussionen mit Betriebsräten verschiedener Unternehmen, die regelmäßig Bedenken gegen den Einsatz von TeamViewer haben, zeigt sich, dass TeamViewer ein gewisses Konfliktpotential in sich birgt. Gemäß § 87 Abs. 1 Nr. 6 BetrVG besteht ein Mitbestimmungsrecht des Betriebsrates bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen;“. TeamViewer stellt eine technische Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG dar. Eine technische Einrichtung ist dann zur Überwachung bestimmt, wenn sie objektiv geeignet ist, Verhalten und Leistung der Arbeitnehmer zu überwachen (Klebe in: Däubler/Kittner/Klebe/Wedde § 87 BetrVG Rn. 154 m.w.N.). Die objektive Eignung liegt bereits vor, wenn durch Verarbeitung gleich welcher Daten Aussagen über Verhalten und Leistung der Arbeitnehmer gewonnen werden können (Klebe in: Däubler/Kittner/Klebe/Wedde § 87 BetrVG Rn. 154 m.w.N.). Schließlich ist es irrelevant, ob der Arbeitgeber eine Beurteilung von Verhalten oder Leistung überhaupt beabsichtigt und entsprechend vornimmt (Klebe in: Däubler/Kittner/Klebe/Wedde § 87 BetrVG Rn. 153 m.w.N.). Durch die Beobachtung des Bildschirms des Arbeitnehmers (mit oder ohne Kenntnis des Mitarbeiters) wird dem Arbeitgeber ein direkter Blick auf die Tätigkeit des Arbeitnehmers ermöglicht. Er kann das (Arbeits-)Verhalten des Arbeitnehmers direkt bewerten und seine Tätigkeiten bewerten. Wie oben dargestellt ist ein Fernzugriff auch unbeaufsichtigt durch den Arbeitnehmer möglich. In diesem Fall kann der Arbeitgeber z.B. mittels Screenshots in regelmäßigen Abständen die Leistung des Arbeitnehmers, etwa den Arbeitsfortschritt, oder auch das Unterlassen der vertraglich geschuldeten Arbeitsleistung protokollieren, auswerten und bewerten. Gerade durch einen unbemerkten Zugriff kann der Arbeitgeber überprüfen, ob der Arbeitnehmer seiner vertraglich geschuldeten Leistungspflicht nachkommt. Somit können mittels TeamViewer Aussagen über das Verhalten und die Leistung der Arbeitnehmer getroffen werden, weshalb die objektive Eignung vorliegt. Mithin ist TeamViewer auch dazu bestimmt i.S.d. § 87 Abs. 1 Nr. 6 BetrVG das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Erfolgt ein Zugriff in Abwesenheit des Mitarbeiters (Mittagspause oder Toilettengang) findet eine Überwachung auch unbemerkt, also „heimlich“ statt.
Damit bestehen nach unserer Auffassung keine Zweifel, dass TeamViewer mit Blick auf den Arbeitnehmerdatenschutz datenschutzrechtlich problematisch ist und entsprechende Vorkehrungen zum datenschutzkonformen Einsatz im Unternehmen unternommen werden. Hierzu verweisen wir auf die Maßnahmen aus dem streitigen Artikel.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de