Im aktuellen Newsletter „Datenschutz im Blick“ des AOK-Verlages thematisiert Sven Venzke-Caprarese von der datenschutz nord GmbH das Betriebsrätemodernisierungsgesetz. Aus datenschutzrechtlicher Sicht birgt insbesondere § 79a BetrVG Neuerungen. Dieser regelt das lange umstrittene datenschutzrechtliche Verhältnis zwischen Betriebsrat und Arbeitgeber. Nun ist eindeutig festgelegt, dass der Arbeitgeber für die Datenverarbeitung des Betriebsrats die verantwortliche Stelle ist. Infolgedessen muss der Arbeitgeber sämtlichen datenschutzrechtlichen Pflichten auch für den Bereich des Betriebsrats nachkommen. Da der Betriebsrat weitestgehend unabhängig agiert und viele seiner Informationen dem Arbeitgeber nicht bekannt werden sollen, stellt sich die Frage, wie diese Pflichten in der Praxis umgesetzt werden sollen. Klar ist aber, dass Arbeitgeber und Betriebsrat zusammenarbeiten müssen, um die Datenschutz-Regelungen erfolgreich anzuwenden.
Diese Zusammenarbeit sollte schon bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten für die Sphäre des Betriebsrats beginnen – denn § 79a BetrVG verlangt, dass auch die Verarbeitungstätigkeiten des Betriebsrats dokumentiert werden müssen. Ohne die Hilfe des Betriebsrats wird der Arbeitgeber die Dokumentation jedoch nicht erstellen können.
Ebenfalls von Bedeutung ist, dass der/die Datenschutzbeauftragte seinen/ihren Aufgaben und Pflichten auch gegenüber dem Betriebsrat nachkommen muss. Um hier einen Interessenkonflikt zu vermeiden, wurde nun gesetzlich klargestellt, dass der/die Datenschutzbeauftragte gegenüber dem Arbeitgeber zur Verschwiegenheit hinsichtlich sämtlicher Sachverhalte aus der Sphäre des Betriebsrats verpflichtet ist.
Letztlich stellt die neue Verantwortlichkeitsregelung alle Beteiligten – also Arbeitgeber, Betriebsräte und Datenschutzbeauftragte – vor neue Aufgaben und Herausforderungen. Um in diesem Bereich schnell datenschutzrechtlich gut aufgestellt zu sein, sollten praktikable Lösungsansätze anvisiert werden. Die datenschutz nord GmbH hat hierfür die Softwarelösung datenschutzBR entwickelt, die als ganzheitliche Lösung Arbeitgeber und Betriebsräte bei der Umsetzung des Datenschutzes im Betriebsrat unterstützt. Mehr Informationen finden Sie unter https://www.datenschutz-br.de.
Videokonferenzen via Zoom
Ein weiteres Thema des aktuellen Newsletters betrifft den Einsatz des Videokonferenztools Zoom im Gesundheitsbereich. Für diesen Bereich wurde eine spezielle Zoom-Version entwickelt, die sich an den Vorgaben des HIPAA orientiert. Die Abkürzung HIPAA steht für Health Insurance Portability and Accountability Act, ein US-amerikanisches Gesetz, welches für Gesundheitseinrichtungen gilt. Die Erfüllung der HIPAA-Anforderungen wurden durch das American Institute of Certified Public Accountants (AICPA) geprüft und als gegeben angesehen. Dieses Attest ist auf der Website von Zoom als PDF zum Download bereitgestellt.
Die Server-Standorte dieser Zoom-Version können frei gewählt werden. Standardmäßig werden die Server ausgewählt, die sich in der Region befinden, in der das Nutzerkonto angelegt wurde. Europäischen Nutzern werden daher auch Server innerhalb Europas zugewiesen.
Problematisch ist jedoch, dass es sich bei der Zoom Inc. um ein US-amerikanisches Unternehmen handelt. Nach dem Aus für das EU-US Privacy Shield, ist auf die EU-Standardvertragsklauseln zurückzugreifen, die jedoch wegen des Schrems II-Urteils des EuGHs nur genutzt werden können, wenn zusätzliche Schutzmaßnahmen für die Schaffung eines adäquaten Schutzniveaus getroffen wurden. Hier kann grundsätzlich die Transportverschlüsselung (TLS 1.2 mit 256-Bit Advanced Encryption Standard (AES)) und die Aktivierung der Ende-zu-Ende-Verschlüsselung aufgeführt werden. Ob diese Maßnahmen in Anbetracht der Verarbeitung von Gesundheitsdaten ausreichend sind, kann nicht abschließend beantwortet werden.
Wenn Sie die nächste Ausgabe von „Datenschutz im Blick“ per E-Mail erhalten möchten, können Sie sich für den kostenlosen Newsletter beim AOK-Verlag anmelden.
Christoph Schmees PC-Fluesterer. info
24. September 2021 @ 15:43
„Ob diese Maßnahmen … ausreichend sind, kann nicht abschließend beantwortet werden“. Doch, kann, und die Antwort lautet: NEIN.
Zoom verwendet eine MCU, in der sämtliche Inhalte unverschlüsselt vorliegen. Zoom kann also sämtliche Inhalte mitlesen und tut das auch. Das ist nicht nur technisch nachweisbar, sondern auch phänomenologisch: Zoom-Mitarbeiter haben mehrfach ‚missliebige‘ Konferenzen unterbrochen. Zoom ist ein US-Unternehmen und unterliegt damit dem CLOUD Act und dem PATRIOT Act. Das heißt: Was Zoom weiß, wissen auch die Dienste mit drei Buchstaben. Fazit: Zoom verletzt die DSGVO, Punkt. Technische Details und Links zu Quellen gibt es hier: https://www.pc-fluesterer.info/wordpress/aktuelle-themen/corona-covid-19-sars-cov-2-und-das-internet/videotelefonie-und-konferenz/darum-kein-zoom/