Wissensmanagement funktioniert nicht ohne Digitalisierung. Ein wichtiges Element der virtuellen Welt ist seit der Pandemie die Videokonferenz. Denn gerade im persönlichen Austausch entsteht oft neues Wissen. Da irritiert es, wenn wie vor kurzem in Bayern, ausgerechnet Schulen für einen Datenschlamassel sorgen. 140.000 Schüler und Lehrer sind in München in einem einzigen virtuellen Klassenzimmer vereint. Eine Art Münchner Whatsapp ist so entstanden. Cybermobbing ist somit die Tür aufgestoßen. Homeschooling wird in München über die Software Teams von Microsoft organisiert. Das Problem ist, dass alle Schüler in einer Gruppe angelegt sind.

^{Bildquelle: (C) mohamed Hassan / Pixabay}

Dazu passt der jüngste Rüffel der Berliner Datenschutzbeauftragten Maja Smoltczyk, die Mitte Februar Videosysteme wie eben Microsoft Teams, aber auch Teamviewer oder Zoom bei einer Prüfung durchfliegen lässt. Kurios: Die Videodienste sind bereits im vergangenen Jahr durch einen Datenschutztest gerasselt. Im öffentlichen Prüfbericht hat sich bei der Bewertung kaum etwas geändert. Die Behörde versieht alle mit einer roten Ampel. Bei diesen Systemen „liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes ausschließen“, heißt es im Berliner Papier.

Vereinbarung gekippt

Erik Boos erstaunt das nicht. Der Geschäftsführer der Münchner Softwareschmiede Snapview gilt als Pionier der Videoberatung. Bereits seit 15 Jahren begleitet er Unternehmen auf dem Weg in die Digitalisierung. Seiner Meinung nach ist die Kritik berechtigt. Im vorigen Sommer kippt der Europäische Gerichtshof die Datenschutzvereinbarung zwischen Europa und den USA. Für das „Privacy Shield“ gibt es bis dato keinen Nachfolger. Boos übersetzt, was dieser Zustand bedeutet: „Das Problem entsteht potenziell bei der Nutzung von US-amerikanischen Anbietern, die dem CLOUD-Act unterliegen. Es erlaubt amerikanischen Behörden den Zugriff auf Daten die US-Unternehmen speichern oder verarbeiten, egal wo sich diese geographisch befinden“. Auch ein Serverstandort in der EU oder speziell in Deutschland ändert an dieser Situation nichts. Deshalb sei der CLOUD Act für alle europäischen Wissensunternehmen ein Problem. Denn laut DSGVO dürfen Daten nur in sehr engen Grenzen herausgegeben werden.

Eine rechtskonforme Zusammenarbeit mit US-Video-Anbietern sei somit aktuell kaum möglich, verdeutlicht Boos. Denn Apple, Microsoft oder Google sind per Gesetz gezwungen, Daten offen zu legen – und zwar egal wo diese gespeichert sind. Datenschützer haben in der Vergangenheit vor allem darauf geschaut, wo die Daten verarbeitet werden. US-Konzerne haben daraufhin Rechenzentren in Europa installiert und mancher wägt sich in Sicherheit. Ein Irrtum, denn es geht nicht nur darum wo, sondern wer die Daten verarbeitet. Ein US-Unternehmen muss Daten auch dann herausgeben, wenn sich diese in einem Rechenzentrum in Deutschland befinden. Problematisch ist zudem, wenn Subunternehmer mit in der Lieferkette hängen. Auch sie unterliegen dem US-Gesetz.

20 Millionen Euro Bußgeld

Beispiel: Ein deutscher Videokonferenz-Anbieter arbeitet mit einem US-Provider zusammen, der die IT-Infrastruktur betreibt. Da diese Unternehmen Zugriff auf die Daten haben, führt die Konstellation zu einer Unvereinbarkeit mit dem EU-Datenschutz. Folglich müssen deutsche Firmen bei einem Vertrag mit anderen Unternehmen prüfen, ob diese Daten bei einem US-Anbieter speichern. Bis eine belastbare neue Vereinbarung zwischen Europa und USA in Kraft tritt, wird wohl noch Zeit vergehen. „Ohne eine solche ist eine Zusammenarbeit mit US-Plattformen gefährlich“, bilanziert Boos. Wie gefährlich, wissen die Berliner Datenschützer: Gegen Firmen, die US-Produkte einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich.

Quelle: https://www.wissensmanagement.net/themen/artikel/artikel/risiko_videodienste_aus_den_
usa_was_datenschuetzer_bemaengeln_und_wie_wissenskonferenzen_per.html?no_cache=1

Fachbeitrag von Malte Rowe

Deutschland ist bekannt für seine starken Arbeitnehmerrechte: Kündigungsschutz, Mindesturlaub und festgelegte Ruhezeiten sind nur einige der Beispiele, die den Arbeitnehmern rechtlich den Rücken stärken. Auch die informationelle Selbstbestimmung und Privatsphäre der Beschäftigten sind geschützt ­­­- besonders durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz. Diese schreiben beispielsweise vor, dass Unternehmen ihre Mitarbeiter nicht einfach so für Marketing-Fotos ablichten dürfen. Doch was müssen Firmen beim Umgang mit Arbeitnehmerdaten beachten? Helfen Einwilligungen im Arbeitsverhältnis weiter? Und sind Einwilligungen überhaupt erforderlich?

^{Bildquelle: (C) Peggy und Marco Lachmann-Anke / Pixabay}

Einwilligungen nur einholen, wenn es keine andere Rechtsgrundlage gibt

„Hiermit willige ich ein, dass meine Daten im Rahmen des Bewerbungsverfahrens gespeichert und verarbeitet werden.“ Checkboxen mit dieser oder einer ähnlichen Formulierung finden sich auf so mancher Karriereseite. Damit wollen die Unternehmen sichergehen, dass sie die Bewerberdaten DSGVO-konform verarbeiten. Doch Einwilligungen da einzuholen, wo es andere Rechtsgrundlagen zur Datenverarbeitung gibt, ist kontraproduktiv. Zum einen können Einwilligungen jederzeit widerrufen werden. Zum anderen stiften sie rechtlich Verwirrung.

Alle Datenverarbeitungsvorgänge, die für die Erfüllung oder Anbahnung eines Vertrags erforderlich sind, sind rechtmäßig – eine Einwilligung wird hier grundsätzlich nicht benötigt. Der Bewerbungsprozess gilt als Anbahnung eines Arbeitsvertrags und erlaubt somit die Verarbeitung von Bewerberdaten. Doch Vorsicht: Dies gilt nur für personenbezogene Daten, die für den Bewerbungsprozess auch nötig sind. Die Erhebung oder das aktive Erfragen von beispielsweise Familienstand, Alter oder Geschlecht widerspricht dem Prinzip der Datensparsamkeit, da diese für die Entscheidung über eine Einstellung des Kandidaten nicht relevant sind.

Nach einer erfolgreichen Bewerbung und der anschließenden Anstellung, sind weitere Informationen für die Durchführung des Arbeitsverhältnisses nötig. Auch für die Verarbeitung dieser Daten ist keine Einwilligung erforderlich, da sie etwa aus steuerrechtlichen Gründen erhoben und verarbeitet werden müssen. Dazu zählen Kranken- und Sozialversicherungsdaten, Krankmeldungen (zur Weitergabe an die Krankenkasse), die Bankverbindung, auf die das Gehalt überwiesen werden soll, der Familienstand und die Kinderanzahl, Kirchensteuermerkmale sowie die Lohnsteuerklasse.

Für diese Datenverarbeitungsvorgänge sind Einwilligungen nötig

Immer dann, wenn keine andere Rechtsgrundlage greift, ist eine Einwilligung zur Datenverarbeitung nötig. Ein typisches Beispiel ist die Verwendung von Mitarbeiterfotos auf der Unternehmenswebsite oder für Marketingmaterial wie Flyer oder Broschüren.

Auch der Überwachung von Arbeitslaptops oder Firmenhandys während der privaten Nutzung müssen die Mitarbeiter zustimmen. Das lässt sich allerdings vermeiden, indem Mitarbeiter darauf hingewiesen werden, Firmen-Hard- und -Software nur für die Arbeit zu verwenden.

Eine weitere mögliche Rechtsgrundlage zur Datenverarbeitung im Arbeitsverhältnis ist das berechtigte Interesse. Wird aufgrund dieser Rechtsgrundlage verarbeitet, muss immer eine Interessenabwägung durchgeführt und dokumentiert werden. Berechtigtes Interesse kann zum Beispiel an der Videoüberwachung bestimmter Bereiche im Betrieb oder dem GPS-Tracking von Lieferfahrzeugen bestehen.

Wichtig ist: Die Einwilligung sollte auch bei der Datenverarbeitung von Arbeitnehmern das letzte Mittel sein.

Einwilligungen müssen freiwillig sein

Werden die Einwilligungen unter Druck oder in einer Zwangssituation abgegeben, sind sie null und nichtig. In einem Arbeitsverhältnis stellt sich jedoch die Frage: Kann die Freiwilligkeit überhaupt gewährleistet werden, wenn für die Angestellten potenziell ihr Job auf dem Spiel stehen könnte?

Die Antwort ist: ja. Für Arbeitgeber gibt es aber einige Punkte zu beachten, um die Freiwilligkeit einer Einwilligung zu wahren:

1. Die Einwilligung nicht an andere Verträge wie den Arbeitsvertrag koppeln, auch nicht als Anhang. Sie sollte ein eigenständiges, schriftliches und beidseitig unterschriebenes Dokument sein.
2. Die Einwilligung so formulieren, dass die Freiwilligkeit deutlich wird. Es sollte beispielsweise explizit darauf hingewiesen werden, dass bei einem Widerruf oder einer Nicht-Einwilligung keine Nachteile zu befürchten sind.
3. Die Freiwilligkeit muss gelebte Realität im Unternehmen sein: Wenn die Mitarbeiter ihre Einwilligungen nicht abgeben wollen oder nachträglich widerrufen, darf das auf keinen Fall negative Folgen haben. Die Beschäftigten dürfen niemals überredet oder anderweitig unter Druck gesetzt werden.

Verwendung von Mitarbeiterfotos auf der Website

Wenn die Mitarbeiterfotos nur auf der Team- oder Karriereseite des Unternehmens verwendet werden (etwa im Stil von „Ihre Ansprechpartner bei Firma X“), sind Einwilligungen ein recht verlässlicher Weg.

Sollen die Fotos jedoch auf verschieden Websites veröffentlicht werden, gerät das Einwilligungsmanagement schnell außer Kontrolle: Widerruft ein Mitarbeiter seine Einwilligung, muss genau dokumentiert sein, an welchen Orten im Internet sein Foto verwendet wird und dort ersetzt oder gelöscht werden. Eine zuverlässige, konstant aktualisierte Dokumentation ist daher der Schlüssel zum Erfolg.

Manche Unternehmen arbeiten stattdessen mit sogenannten „Model-Release“-Verträgen, die den Beschäftigten ihre Fotos gegen einen Obolus abkaufen. Dann ist die Rechtsgrundlage keine Einwilligung mehr, sondern ein Vertrag.

Einwilligungen enden nicht automatisch mit dem Beschäftigungsverhältnis

Was passiert, wenn ein Arbeitnehmer das Unternehmen verlässt? Einige erteilte Einwilligungen verlieren dann ihren Nutzen. Zum Beispiel wird die Firma keine Daten zum Standort des Firmenwagens der Person mehr erheben oder deren Foto online auf der Team-Seite abbilden wollen.

Sobald also der Zweck weggefallen ist, sollte die Verarbeitung eingestellt werden. Für das oben genannte Beispiel hieße das: das Mitarbeiterfoto von der Webseite nehmen, auch ohne eine gesonderte Aufforderung des Angestellten.

Prinzipiell gilt aber eine Einwilligung so lange, bis sie widerrufen wird. Sie erlischt also nicht in jedem Fall automatisch mit dem Beschäftigungsende. Im Jahr 2015 (vor Inkrafttreten der DSGVO) entschied das Bundesarbeitsgericht sogar, dass ein Widerruf der Einwilligung mitunter nur mit einem plausiblen Grund gültig ist. Eine solche Auslegung der Einwilligung ist seit Gültigkeit der DSGVO allerdings nicht mehr zu erwarten.

Fazit

Einwilligungen sind auch im Angestelltenverhältnis eine wacklige Angelegenheit. Sie müssen dokumentiert werden, korrekt formuliert und freiwillig sein. Zudem besteht bei Einwilligungen immer die Möglichkeit, dass die Mitarbeiter diese widerrufen. Daher sollten Unternehmen genau prüfen, ob sie sich bei der Verarbeitung der personenbezogenen Daten nicht auf eine andere Rechtsgrundlage stützen können.

Quelle: https://www.wissensmanagement.net/themen/artikel/artikel/einwilligungen_im_
arbeitsverhaeltnis_diese_personenbezogenen_daten_duerfen_arbeitgeber_erheben.html?no_cache=1

 Fachbeitrag von Tobias Stepan

Immer häufiger erkennen Unternehmen, dass Consumer Apps wie WhatsApp, Telegram und Signal weder die erforderlichen DSGVO-Standards abdecken noch spezifische Messenger-Funktionen für die berufliche Kommunikation abbilden können. Auf der Suche nach einer Business Messenger-Lösung, treffen Unternehmen sowohl auf Open-Source- als auch auf Out-of-the-box-Lösungen – wie es eben auf dem Software-as-a-Service-(Saas)-Markt üblich ist. Aber welche Strategie ist die richtige für das eigene Unternehmen? Eignet sich eher ein fertiger Business-Messenger oder doch eine Eigenentwicklung auf Basis von Open-Source? Diese Checkliste gibt Antworten.

Bildquelle: (C) Teamwire

1. Gewährleistet die Lösung Datenschutz und -sicherheit?

Ob Out-of-the-box-Produkt oder Open-Source Lösung – Sicherheit und Datenschutz sollten bei einem Business Messenger an oberste Stelle stehen. Dazu gehören auch Aspekte der Datenhoheit nach DSGVO, die Erfüllung umfassender Compliance-Standards und eine höchstmögliche Datensouveränität über Cloud- und Self Hosting-Optionen. Bei fertigen Business Messenger-Lösungen wissen Kunden von vornherein, welche Datenschutz- und Datensicherheitsstandards – gemäß der Ansätze Privacy by Design und Privacy by Default – inkludiert sind. Bei Open-Source Anwendungen obliegt die Sicherheit den Entwicklern und Administratoren im Anwender-Unternehmen – das gilt auch für die Abwehr von Cyberattacken. Der offene Quellcode birgt nämlich das Risiko, dass potenzielle Angreifer Sicherheitslücken entdecken und ausnutzen. Etablierte Messenger-Anbieter hingegen können Schwachstellen in ihrem geschlossenen System meist schneller beheben, sodass alle Anwender mit nur einem Sicherheitsupdate wieder sicher sind.

2. Deckt die Lösung alle relevanten Business-Funktionen ab?

Neben Standardfunktionen wie Gruppen-Chats und Voice-over-IP, die aus dem Consumer Messenger-Bereich hinlänglich bekannt sind, bringen etablierte Business Messenger alle erforderlichen Funktionen für den beruflichen Einsatz mit. Zu diesen gehören beispielsweise Umfragen, Status-Nachrichten und das Teilen des Live-Standorts sowie eine Push-to-Talk-Funktion. Neuere Open-Source Protokolle umfassen zwar zumeist schon relevante Standardfunktionen für Messenger-Apps und eine gute Verschlüsslungstechnologie, aber alle relevanten Business-Funktionen müssen Unternehmen individuell programmieren.

3. Wie steht es um die User Experience?

Out-of-the-box-Lösungen durchlaufen regelmäßige UX-Qualitätsprüfungen. Daraufhin werden sie weiterentwickelt und optimiert. Somit ist das Nutzererlebnis meist besser. Zudem können sich die Nutzer auf ausgereifte und stabile Funktionen verlassen und treffen seltener auf Bugs. Ein ebenso zuverlässiges und hochwertiges Produkt lässt sich auch auf Open-Source Basis entwickeln. Die User Experience können Unternehmen dabei komplett selbst programmieren oder mithilfe verfügbarer, aber kostenpflichtiger Open-Source Clients realisieren. Allerdings ist es generell deutlich aufwendiger und langwieriger einen mit fertigen Business Messengern vergleichbaren Qualitätsstatus zu erreichen und langfristig zu halten.

4. Wie lässt sich die Lösung administrativ vom Unternehmen verwalten?

Out-of-the-box Business Messenger bieten in der Regel eine leicht bedienbare Administrationsoberfläche, sodass IT-Administratoren oder Lösungsbeauftragte die Software optimal verwalten und steuern können. Zum Beispiel lassen sich Nutzer verwalten und Einstellungen hinsichtlich Datenschutz, Compliance und Endgerätmanagement vornehmen – ganz bequem über ein übersichtliches Dashboard. Bei Open-Source Protokollen ist die zentrale Verwaltung nicht als Standard verfügbar. Hier gilt es, individuelle Programmierungen für administrative Verwaltungszwecke vorzunehmen.

5. Ist die Lösung interoperabel?

Im Open-Source Umfeld gibt es die Möglichkeit, verschiedene Messenger-Anbieter mittels sogenanntem Bridging miteinander zu verknüpfen. Bei Out-of-the-box-Lösungen ist dies hingegen eine Frage der Interoperabilität, um den wechselseitigen Informationsaustausch reibungslos und sicher zu gewährleisten. Dies ist besonders für KRITIS-Unternehmen, Behörden, Kliniken sowie Forschungs- und Entwicklungsabteilungen unabhängiger Organisationen relevant. Denn diese müssen oftmals über Abteilungs-, Referats- oder Organisationsgrenzen hinweg kommunizieren. Für solche Anwendungsfälle bieten fertige, interoperable Business Messenger eine einheitliche Kommunikation zwischen autarken Unternehmen.

6. Sind Betreuung und Support gewährleistet?

Bei Open-Source Lösungen erfolgen Betreuung und Support wechselseitig über eine aktive Community. Dort finden Unternehmen Hilfe in Online-Dokumentationen, Foren und Wikis. Die Qualität der Informationen unterliegt aber deutlichen Schwankungen. Gleiches gilt für die Regelmäßigkeit und Qualität von Routine & Fixes Updates, welche die Community oder die eigenen Entwickler bereitstellen. Bei einer professionellen Out-of-the-box-Lösung ist der Support meist schon Teil der Lösung. Inklusive sind regelmäßige Updates, Fehlerbehebungen und Weiterentwicklungen.

7. Mit welchen Kosten und Aufwänden ist zu rechnen?

Zwar mag der Standard-Programmiercode eines Open-Source Messengers gratis verfügbar sein, die Anpassung und Weiterentwicklung der Software für einen individuellen Business Messenger sowie Betrieb und Wartung sind allerdings mit nicht zu unterschätzenden Kosten verbunden. Zudem dauert es – je nach Entwicklungsaufwand – zwischen sechs und 24 Monaten, bis eine Open-Source Lösung einsatzbereit ist. Im Gegenzug dazu ist eine Out-of-the-box-Lösung direkt mit Erwerb der Lizenz einsatzfähig und kann innerhalb von 30 Tagen über die gesamte Organisation ausgerollt werden. Selbst die Anbindung an Drittsysteme ist von vielen etablierten Anbietern bereits via API-Schnittstellen vorbereitet und mit überschaubarem Aufwand realisierbar. Hinsichtlich der Kosten profitieren Anwender vom regen Wettbewerb am Business Messenger-Markt. Hier gibt es zahlreiche hochwertige und auch branchenspezifische Lösungen zum fairen Preis. Betreuung und Weiterentwicklung sind zumeist inklusive. Ein – auch auf lange Sicht ausgelegter – Vergleich der Kosten und Aufwände bei Open-Source vs. Out-of-the-box lohnt sich also.

Fazit: Den passenden Business Messenger finden

Bei der strategischen Wahl des eigenen Business Messengers sollten Unternehmen unter anderem auf Sicherheit, Nutzerfreundlichkeit, eine administrative Verwaltung, die Möglichkeit von Drittsystem-Integrationen und das Hosting achten. Hierbei eignen sich grundsätzlich sowohl Out-of-the-box- als auch Open-Source-Lösungen. Für Unternehmen vieler Branchen, zum Beispiel Behörden, öffentliche Stellen, medizinische Einrichtungen und Blaulichtorganisationen, gibt es am wachsenden Business Messenger-Markt bereits dedizierte Lösungen mit spezialisierten Funktionen. Diese Business Messenger von zum größten Teil etablierten Anbietern decken viele der Aspekte ab, warum Open-Source Lösungen so beliebt sind, etwa die Datensouveränität und digitale Unabhängigkeit von großen amerikanischen Software- und Cloud-Anbietern. Doch für die meisten klein- bis mittelständischen Unternehmen sind Open-Source Lösungen aufgrund des intensiven zeitlichen und finanziellen Aufwands kaum zu stemmen. Daher ist es im ersten Schritt stets ratsam, sich die Business Messenger am Markt anzusehen und zu vergleichen. Und nur bei hochspezifischen Anforderungen oder Fällen, in denen es die Organisationsgröße erfordert, eine Open-Source Alternative in Betracht zu ziehen.

Hintergrundwissen: Open-Source vs. Out-of-the-box – was ist der Unterschied?

Der Unterschied liegt in der Offenheit der Quellcodes, der bei Open-Source Lösungen verfügbar und veränderlich ist. Bei einem Out-of-the-box-Standardprodukt hingegen ist der Quellcode nicht zugänglich und kann somit nur vom Softwarehersteller angepasst oder weiterentwickelt werden. Die Nutzung und Weiterentwicklung einer Open-Source Software kann durch jeden erfolgen, aber es bedarf dafür Programmierkenntnisse. Hingegen ist für eine fertige Software-Lösung – abgesehen von individuellen Konfigurationen – keinerlei Programmier-Know-how oder -Aufwand nötig.

Quelle: https://www.wissensmanagement.net/themen/artikel/artikel/open_source_vs_out_of_the_
box_loesungen_checkliste_fuer_die_business_messenger_wahl.html