Für Videokonferenzen sind Skype oder Google Hangouts zwar bequeme Tools. Aber nicht für alle Projekte ist das rechtlich auch eine sinnvolle Wahl. Das gilt insbesondere, wenn Sie eine Geheimhaltungsvereinbarung unterschrieben haben.
Bei kleinen Projekten führen Sie meist sorgenfrei mit dem Kunden ein Erstgespräch, gehen die Anforderungen durch und geben dann ein Angebot ab. Bei größeren Projekten hingegen, insbesondere wenn es um frische Ideen oder neue Produkte geht, verlangen viele Kunden zunächst einen unterschriebenen Geheimhaltungsvertrag (im Englischen: Non Disclosure Agreement, kurz NDA). Erst danach senden sie weitere Unterlagen zum Vorhaben. Das NDA soll dafür sorgen, dass vertrauliche Informationen zwischen den Vertragspartnern verbleiben, zum Beispiel Geschäftsideen, Umsatzziele, Produktinformationen, Marketing-Strategien oder Know-how. Aus einer unterschriebenen Geheimhaltungserklärung erwachsen Verpflichtungen, die beide Vertragspartner ernst nehmen müssen.
Disclaimer: Dieser Text stellt keine Rechtsberatung dar. Dafür wenden Sie sich bitte an den Rechtsanwalt Ihres Vertrauens.
Es geht um Schutz und Vertrauen
Ein NDA wird üblicherweise im Rahmen einer beabsichtigten Zusammenarbeit zwischen zwei Parteien geschlossen, die miteinander Informationen austauschen wollen, die nicht für die Öffentlichkeit bestimmt sind. Geregelt werden unter anderem:
- Definition der geheim zu haltenden Informationen
- Nennung der Vertragsparteien und Vertragsausweitung auf Dritte (meist Mitarbeiter des Unternehmens)
- Strafen bei Vertragsverletzung
- Dauer der Geheimhaltung
- Umgang mit den vertraulichen Informationen nach Beendigung der Zusammenarbeit
Grundsätzlich besteht bei einem NDA Vertragsfreiheit, was die Vertragsparteien in die Lage versetzt, konkrete Anforderungen, Bedürfnisse und Möglichkeiten abzubilden. Mit Ihrer Unterschrift haben Sie also dem potentiellen Kunden Vertraulichkeit versprochen.
Das Beispiel Skype soll diese Verpflichtung näher beleuchten. Skype ist ein Instant-Messaging-Dienst, der 2003 von zwei Skandinaviern gegründet wurde und seitdem mehrfach den Besitzer gewechselt hat. Aktueller Eigentümer ist Microsoft. Üblicherweise wird Skype für text- und sprachbasierte Kommunikation verwendet. Seit 2006 sind auch Videokonferenzen möglich.
Skype ist hier wohlgemerkt nur exemplarisch zu verstehen. Auch werden nur die Nutzungs- und Datenschutzbedingungen für die normale Skype-Version betrachtet. Das ist die üblicherweise genutzte Version von Skype im Webworker-Umfeld. In welchem Maße die Business-Version ggf. sogar im Einzelfall individuell verhandelt werden kann, wurde nicht näher betrachtet. Wer die NDA-Verpflichtungen ernst nimmt, sollte sämtliche eingesetzte Software überprüfen, die mit externen Dienstleistungen in Verbindung steht.
Vor der Installation der Software
„BITTE SORGFÄLTIG DURCHLESEN, BEVOR SIE DIE SOFTWARE HERUNTERLADEN ODER DAS PRODUKT BZW. DIE PRODUKTE ODER WEBSITES VON SKYPE NUTZEN“
Wie oft haben Sie solche Formulierungen schon gesehen? Und wie oft haben Sie dann nicht weitergelesen, weil die Textmenge schier überwältigend erschien? In diesem Fall soll es also konkret um die Skype-Nutzungsbedingungen und -Datenschutzrichtlinien gehen. Dazu kommen die „Richtlinien für die faire Nutzung”. Die „Cookie-Richtlinien” bieten eine kleine Überraschung, weil Sie damit auch noch die Datenschutzbedingungen der acht (!) externen Drittanbieter mit ihren jeweils eigenen Datenschutzbedingungen lesen müssten. Vermutlich werden schon die knapp 15.000 Wörter (ohne Datenschutzbedingungen der Drittanbieter!) nur von einem verschwindend geringen Prozentsatz der Nutzer sorgfältig gelesen. Und wahrscheinlich wurde die Software auch bereits vor langer Zeit installiert und es wurde seitdem nie wieder in die Unterlagen geschaut.
Sofern Sie ein NDA unterschrieben haben und somit als Geheimnisträger gelten, ist allerdings die Haltung „Häkchen drunter und weiter” aus vertraglicher Sicht gefährlich. Denn:
Durch die Nutzung der Software gewähren Sie Skype eine Lizenz für geistiges Eigentumsrecht, mit der Skype die Inhalte Ihrer Kommunikation verwenden kann, um die Produkte bereitstellen zu können, z. B. die Übermittlung Ihrer Kommunikation an den vorgesehenen Empfänger.
(Datenschutzbedingungen der Skype-Nutzungsbedingungen, Punkt 5.7 Kommunikationsinhalt)
Auch wenn es aus technischer Sicht durchaus nachvollziehbar ist, dass Skype ein Nutzungsrecht für die Übermittlung der Nachrichten benötigt, ist eine Lizenz für geistiges Eigentumsrecht für übertragene Inhalte problematisch. Zur Erinnerung: Das unterschriebene NDA dient unter anderem dem Schutz von Geschäftsideen, und im NDA ist der Umgang mit als geheim gekennzeichneten Inhalten geregelt. Eine Lizenz für geistiges Eigentumsrecht, das auf Skype übertragen werden darf, müsste im NDA explizit geregelt werden.
Weiterhin enthalten die Nutzungsbedingungen folgende Passage im selben Absatz:
Skype behält sich das Recht vor, die Inhalte, die in oder über die Software, Produkte und Skype-Websites eingegeben werden, zur Durchsetzung der vorliegenden Bedingungen zu überprüfen.
Dabei wird u. a. auf folgende unerwünschte Inhalte überprüft:
- keine illegalen Zwecke
- unangebrachte Bilder (z. B. Nacktheit, Brutalität)
- Viren versenden
- keine Rechte anderer verletzen
Eine solche Überprüfung kann natürlich nur dann stattfinden, wenn Skype die Inhalte analysieren kann. Und Skype bietet Anwendern über die eigene Grundverschlüsselung hinaus keine weiteren Optionen für individuelle Einstellungen. Spätestens seit den Enthüllungen von Edward Snowden sollte jedem Internetnutzer der Datenhunger der Geheimdienste bekannt sein. Dass es dabei auch um Wirtschaftsspionage geht, ist seit der BND-/NSA-Affäre mit den Selektorenlisten auch in Deutschland bekannt.
Und so finden Sie auch in den Datenschutzbestimmungen von Microsoft im Abschnitt Skype/Partnerunternehmen eine längere Passage, die die Situation ziemlich deutlich beschreibt:
Damit noch mehr Menschen Zugang zu Skype haben, gehen wir Partnerschaften mit anderen Unternehmen ein, so dass Skype über die Dienste dieser Unternehmen angeboten werden kann. Wenn Sie Skype über ein anderes Unternehmen als Microsoft nutzen, unterliegt der Umgang mit Ihren Daten den Datenschutzrichtlinien dieses Unternehmens. Um geltendes Recht einzuhalten, auf Gerichtsverfahren zu reagieren oder unser Partnerunternehmen bzw. unseren lokalen Betreiber bei entsprechenden Vorgängen zu unterstützen, können wir auf Ihre Daten zugreifen, diese weitergeben und aufbewahren. Diese Daten können z. B. private Inhalte wie Inhalte Ihrer Sofortnachrichten, gespeicherte Videonachrichten, Voicemails oder Dateiübertragungen beinhalten.
Ein (unbeabsichtigter) Verstoß gegen die Verschwiegenheitsvereinbarung ist nicht ausgeschlossen und kann nur verhindert werden, wenn Sie Skype für die Kommunikation geheimer Informationen nicht einsetzen oder Sie das NDA entsprechend ergänzen.
Speicherfristen
Haben Sie im NDA unterschrieben, dass Sie nach Beendigung (oder bei Nichtzustandekommen) der Zusammenarbeit sämtliche vertraulichen Informationen löschen?
Wenn Sie kein Skype Premium-Abonnent sind, werden Videonachrichten ab dem Sendedatum mindestens 6 Monate lang gespeichert und verfallen ggf. nach dieser Zeit.
(Skype-Nutzungsbedingungen Abschnitt 19.7 Skype-Videonachrichten)
Weiterhin finden Sie Hinweise auf Speicherfristen in den Datenschutzbestimmungen von Microsoft im Abschnitt Skype – Übersetzungsfunktionen:
Damit Sie mit Menschen in verschiedenen Sprachen kommunizieren können, bieten einige Skype-Apps Funktionen zur Übersetzung von Audio und/oder Text an. Bei der Nutzung von Übersetzungsfunktionen werden Ihre Sprach- und Textdaten dazu verwendet, die Spracherkennungs- und Übersetzungsdienste von Microsoft bereitzustellen und zu verbessern.
Sofern als geheim gekennzeichnete Informationen per Skype-Übersetzungsfunktionen zwischen Kommunikationspartnern ausgetauscht wurden, müssen Sie also davon ausgehen, dass diese beliebig lange von Microsoft gespeichert und verwendet werden können. Einer per NDA geregelten üblicherweise unverzüglichen Löschung/Herausgabe der als vertraulich gekennzeichneten Informationen können Sie somit nicht nachkommen. Entsprechende Ausnahmebehandlungen und Unmöglichkeiten zur Löschung müssen daher im NDA festgehalten werden.
Um es noch einmal zu erwähnen: Skype ist nur ein Beispiel von vielen. Bei Evernote etwa werden die zum Löschen gekennzeichneten Inhalte erst nach 12 Monaten endgültig gelöscht:
… es könnten aber aus betriebstechnischen Gründen noch bis zu einem Jahr lang Kopien Ihrer gelöschten Inhalte auf den Backup- und Archivierungssystemen des Evernote-Diensts bestehen bleiben.
(Evernote-Datenschutzrichtlinie Abschnitt IV. Löschen von Informationen)
Google beispielsweise informiert nicht ausreichend über den Speicherort der Daten:
Google verarbeitet personenbezogene Daten auf unseren Servern, die sich in zahlreichen Ländern auf der ganzen Welt befinden. Daher verarbeiten wir Ihre personenbezogenen Daten gegebenenfalls auf einem Server, der sich außerhalb des Landes befindet, in dem Sie leben.
(Willkommen bei der Datenschutzerklärung von Google; Abschnitt „Wie wir die von uns erhobenen Informationen nutzen”)
Auch behält sich Google das Recht vor, gespeicherte Informationen an Dritte weiterzugeben. Dazu lesen Sie im Abschnitt „Von uns weitergegebene Informationen”:
Wir geben keine personenbezogenen Daten an Unternehmen, Organisationen oder Personen außerhalb von Google weiter, außer in einem der folgenden Umstände … (und das sind, wen wundert’s, einige!)
Über die Auskunftspflicht gegenüber US-Behörden informiert Google auf einer eigenen Seite. Da Google seine Datenschutzerklärung für beinahe alle angebotenen Dienste als gültig erklärt, fallen in einem nicht angepassten NDA die beliebten Tools Gmail, Hangouts, Drive und Docs für die vertrauliche Kommunikation aus.
Zusammengefasst: NDA unterschreiben und dann weiter die bequemen kostenlosen Tools nutzen – das passt nicht zusammen. Sie können nicht sicherstellen, dass Sie alles getan haben, um die Ihnen vertraulich mitgeteilten Geschäftsgeheimnisse zu schützen. Die Anmerkungen zu Skype lassen sich auch auf jede andere Software übertragen. Sie können sich die Sichtung der Software-Nutzungsbedingungen (beispielsweise von Google-Diensten) einfacher machen, indem Sie vor allem Antworten auf die relevanten Begrenzer in den Unterlagen suchen:
- Ist sichergestellt, dass die als geheim gekennzeichneten Informationen nur zwischen den vertraglich genannten Parteien und beteiligten Dritten ausgetauscht werden?
- Sofern Daten durch die Verwendung der Software gespeichert werden – wie sind die Aufbewahrungsfristen beziffert und können Sie die Löschung der gespeicherten Daten verlangen?
- Liegen die gespeicherten Daten auf Servern, die die strengeren Datenschutzbestimmungen der EU vorsehen? (Stichwort: EU-US-Abkommen Safe Harbor bzw. Privacy Shield)
Sofern der Kunde einem angepassten NDA nicht zustimmen will, bleiben Ihnen nur wenige Alternativen: der Einsatz von Software auf Servern mit Betriebsstandort in Deutschland, konsequenterweise von Hosting-Unternehmen, die keine Töchter US-amerikanischer Unternehmen sind, idealerweise mit Betrieb freier und Open-Source-Software (Free/Libre Open Source Software, kurz FLOSS).
