Erfahre hier, wie Du Slack Datenschutz-rechtlich zulässig ohne Abmahnung, Bußgeld oder Schadensersatz für Deine Videokonferenzen, Dein Messaging und Deine Teamorganisation nutzt
von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht.
Inhalt
- Kann ich Slack DSGVO konform verwenden?
- Kann ich Slack DSGVO konform verwenden, obwohl es ein US Anbieter ist?
- Brauche ich einen Auftragsverarbeitungsvertrag, um Slack DSGVO konform zu verwenden?
- Muss Slack nach der DSGVO in der Datenschutzerklärung angegeben werden?
- Muss ich Slack verschlüsselt verwenden?
- Muss ich weitere Einstellungen für Slack Datenschutz vornehmen?
- Ergebnis zu Slack und DSGVO
1. Kann ich Slack DSGVO konform verwenden?
Slack ist ein umfangreiches Kollaborationstool. Es bietet viel mehr als nur die Abhaltung von Videokonferenzen. Slack ist Messenger, Teamorganisation und vieles mehr. Je nachdem, wie Du Slack verwendest, bietet die kostenfreie Version von Slack keinen hinreichenden Datenschutz. Es sind einige Vorkehrungen und Einstellungen erforderlich, um Slack DSGVO konform zu nutzen. Das betrifft insbesondere die umfangreiche Rechteverwaltung.
2. Kann ich Slack DSGVO konform verwenden, obwohl es ein US Anbieter ist?
Wenn Du Slack verwendest, werden immer auch Daten Deiner Kunden oder Mitarbeiter an Slack übertragen. Ein Datenexport ist nach der DSGVO aber nur erlaubt, wenn die Daten innerhalb der EU verbleiben oder von der EU für das Empfängerland ein gleichwertiger Datenschutz festgestellt wurde. Letzteres betrifft etwa die Schweiz, Kanada oder Neuseeland. Die USA gehören dazu nicht ohne weiteres. Hier ist vielmehr erforderlich, dass der Anbieter bei privacy shield registriert ist. Vor kurzem ist privacy shield jedoch vom EuGH für unwirksam erklärt worden. Damit ist Slack nicht mehr ohne weiteres Datenschutz konform nutzbar.
Slack hat zwar einige Vorkehrungen getroffen, um den Anforderungen nach dem Ende von privacy shield gerecht zu werden. So kannst Du in Slack auswählen, in welchem Land Deine Daten gespeichert werden. Dabei sind auch Server in der EU wählbar. Das bedeutet aber nicht, das bei der Nutzung von Slack keine Daten mehr in die USA übertragen werden. Die Verarbeitung findest immer noch auf Amazon Servern (Amazon Web Services) in den USA statt. Damit ist ein Zugriff von US Behörden weiterhin nicht ausgeschlossen und damit die Maßstäbe des EuGH Urteils nicht erfüllt. Eine empfehlenswerte Einstellung ist die Speicherung in der EU aber allemal.
Weiter bietet Slack ein Enterprise Key Management (EKM) an. Damit kannst Du Deine eigenen Schlüssel nutzen, um Daten zu verschlüsseln und Zugriffe gezielt steuern. Slack hat damit keinen direkten Zugriff auf die Daten mehr. Generell kann das eine Lösung sein, denn wenn auch Slack die Kundendaten nicht mehr entschlüsseln kann, kann Slack die Daten auch nicht mehr an US-Behörden rausgeben. Derzeit scheitert das aber noch daran, dass die Deine Schlüssel dann bei Amazon Web Services aufbewahrt werden – und damit wieder in den USA. Slack kündigt im Blog aber an, dass eine Einstellung folgen wird, nach der Du auch auswählen kannst, in welchem Land Deine EKM Schlüssel gespeichert werden. Dann könnte Slack tatsächlich abschließend zulässig sein.
Ich gehe davon aus, das Slack mit den beiden genannten Maßnahmen – Speicherung in der EU und Nutzung von EKM Schlüsseln – schon jetzt nur noch begrenzte Restrisiken für eine Abmahnung birgt. Endgültig zulässig könnte – jedenfalls soweit privacy shield betroffen ist – Slack dann wieder werden, wenn die regionale Speicheurng der EKM Schlüssel möglich ist (und das möglichst auch bei einem EU-Anbieter).
Achtung neue Rechtlslage: Seit der Executive Order des US Präsidenten vom 7.10.2002 sind US-Dienste wieder deutlich eher zulässig, näher dazu in unserem Blogpost hier.
3. Brauche ich einen Auftragsverarbeitungsvertrag, um Slack DSGVO konform zu verwenden?
Jede Weitergabe von Daten an Dritte erhöht die datenschutzrechtlichen Risiken. Daher ist nach der DSGVO eine Übertragung von personenbezogenen Daten an Dritte nur unter bestimmten Voraussetzungen erlaubt.
Dennoch sollen nach der DSGVO Subunternehmer und Dienstleister nicht verhindert werden. An solche kannst Du die Daten Deiner Kunden weitergeben, wenn Du mit dem Anbieter einen Auftragsverarbeitungsvertrag abschließt. Darin ist festgehalten, dass der Dritte Deinen Anweisungen bei der Verarbeitung der Daten folgt. Der Subunternehmer, Dienstleister oder Drittanbieter wird damit zu einer Art verlängertem Arm von Dir. Er muss dann aufgrund des Vertrages ausführen, was Du ihm für die Daten Deiner Kunden vorgibst, etwa bestimmte Daten berichtigen, löschen oder in sonstiger Form verarbeiten.
Du musst also mit Slack einen Auftragsverarbeitungsvertrag abschließen, ehe Du damit Videokonferenzen abhalten kannst. Den Auftragsverarbeitungsvertrag für den Slack Datenschutz kannst Du Dir ansehen. Du musst ihn gegenüber Slack gemäß den dortigen Hinweisen bestätigen.
4. Muss Slack nach der DSGVO in der Datenschutzerklärung angegeben werden?
Ob Du Slack nach der DSGVO in Deiner Datenschutzerklärung angeben must, entscheidet sich danach, wie und wofür Du Slack verwendest. Bei einer rein internen Verwendung von Slack ist das nicht in gleichem Maße erforderlich wie wenn Du Slack auf mit Dritten außerhalb Deines Unternehmens verwendest. Grade bei dem Einsatz von freien Mitarbeitern oder externen Dienstleistern sind hier die Grenzen schnell fließend.
Sicher ist, Du brauchst für jede Verwendung von Slack eine Datenschutzerklärung. Bei praktisch jeder Verwendung von Slack werden Daten Deiner Gesprächsteilnehmer erfasst, wie IP- und Mail-Adresse, aber auch die jeweils eigegebenen Daten und Gesprächsinhalte.
Das einfachste ist auf jeden Fall, Du erwähnst Slack DSGVO konform in Deiner Datenschutzerklärung, dann kannst Du zum Start und bei der Verwendung jeweils darauf verweisen. Zwingend ist das, wenn Du die Möglichkeit bietest, Slack Calls direkt über Deine Website zu buchen oder zu starten, denn dann musst Du auf die Verwendung der Daten hinweisen.
Lese hier mehr dazu, ob du für Slack finden willst.
5. Muss ich Slack verschlüsselt verwenden?
Art. 5 Abs. 1 lit. f DSGVO bestimmt für jede Website, auf der Nutzer personenbezogene Daten eingeben, dass sie verschlüsselt werden muss. Ganz allgemein empfehle ich Dir ohnehin, Deine Website zu verschlüsseln (https://). Das gilt auch für Deinen Slack Austausch nach DSGVO. Auch in Slack werden von den Teilnerhmern regelmäßig personenbezogene Daten eingegeben. Du solltest also eine verschlüsselte Übertragung einstellen.
6. Muss ich weitere Einstellungen für Slack Datenschutz vornehmen?
Die DSGVO betrifft auch die Kommunnikation in Slack selbst. Du musst Slack DSGVO konform einstellen, ehe Du es verwendest.
Alle Einstellungen, die ein:
- Tracking des Kundenverhaltens bei der Beratung (z.B. Klicks an bestimmten Stellen),
- eine Beobachtung des Kundenverhaltens anlässlich der Beratung (z.B. Aktivität bei der Teilnahme) oder
- eine Aufzeichnung (z.B. durch Aufnahme oder Screen-Sharing)
ermöglichen, solltest Du nur verwenden, wenn sie wirklich erforderlich sind: Das ist nur der Fall, wenn die Funktion
- einem erlaubten Zweck dient (z.B. nicht einfach Überwachung)
- geeignet ist, diesen Zweck zu erfüllen
- erforderlich ist, diesen Zweck zu erfüllen (es gibt kein milderes Mittel für den Datenschutz)
- soweit möglich, Schutzmaßnahmen ergriffen sind.
Geht es etwa um eine Gesprächskanäle, bei denen später noch der genaue Inhalt relevant ist, kann eine Speicherung länger erforderlich sein, als für einen Austausch, bei dem nur ganz wenige Inhalte später noch relevant sind, weil Du einzelne Punkte einfach (datenschutzfreundlicher) notieren kannst.
Auch musst Du bei der Nutzung von Slack beachten, dass möglichst wenig Daten anfallen und diese möglichst kurzfristig gelöscht werden. Das betrifft z.B. die Aufzeichnung von Gesprächen selbst, aber auch weitergehende Daten. Hier findest Du weitergehende Einstellungen, die Du möglichst vornehmen solltest.
7. Ergebnis zu Slack und DSGVO
Ein Messenger wie Slack ist ein hervorragendes Werkzeug für Dein Unternehmen und im Zuge von Corona wichtiger denn je. Beachtest Du die rechtlichen Vorgaben und nutzt die passenden Muster für Deine Datenschutzerklärung, kannst Du Slack DSGVO konform ohne Angst vor einer Abmahnung oder einem Bußgeld verwenden. Dafür wünschen wir viel Erfolg.
Welche Vorkehrungen Du allgemein für Videokonferenzen treffen solltest, findest Du in unserem umfassenden Guide hierzu.
Mehr Informationen zur DSGVO findest Du hier.
Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.
Pingback: Videokonferenz DSGVO ohne Abmahnung oder teures Bußgeld!
Aktualisierung notwendig!
Slack fällt als OTT Dienst in das TTDSG und bedarf demnach ggf. keinen Vertrag zur Auftragsverarbeitung mehr (je nach Nutzung).
Danke für den Hinweis, sehe ich mir mal an.