Berliner Datenschutzaufsicht: Stellungnahme und Checkliste zum Datenschutz bei Videokonferenzen

 
WEITER LESEN
News reuschlaw Legal Consultants

Berliner Datenschutzaufsicht: Stellungnahme und
Checkliste zum Datenschutz bei Videokonferenzen
Ein Beitrag von Dr. Carlo Piltz und Stefan Hessel

Dienstleistungen von Microsoft (insb. Teams und Skype) sowie Zoom sind nicht datenschutzgerecht
Die Berliner Datenschutzbehörde hat sich im Rahmen ihrer Informationen zum Datenschutz während der
Corona-Pandemie in einer Stellungnahme und einer Checkliste , die beide nach den Metadaten der Dokumente
auf den 08.04.2020 datieren, zum Datenschutz bei Videokonferenzen geäußert. Diese Initiative der Behörde
ist, insbesondere wegen der enthaltenen konkreten Vorgaben, zu begrüßen. Die Feststellung der Behörde, dass
Dienstleistungen von Microsoft, namentlich Teams und Skype, sowie die Videokonferenzsoftware Zoom ihrer
Auffassung nach nicht datenschutzgerecht einsetzbar sind, erscheint indes diskutabel.

Grundlegende Anforderungen und Empfehlungen der Behörde
Die Berliner Datenschutzbehörde verfolgt mit ihrer Stellungnahme das Ziel, Risiken für betroffene Personen
bei Videokonferenzen zu vermeiden oder wenigstens zu minimieren. Gleichzeitig drängt sie darauf, aufgrund
der    aktuellen      Situation,   kurzfristig   eingesetzte   nicht   datenschutzkonforme   Lösungen   durch
datenschutzgerechte zu ersetzen. Inhaltich gibt die Behörde dazu zunächst die Empfehlung ab, Videotelefonie
und Videokonferenzen ausschließlich auf verschlüsseltem Wege durchzuführen. Dieser Hinweis kann, obwohl
die Verschlüsselung von Daten nach Art. 32 Abs. 1 lit. a) DSGVO nur eine mögliche Maßnahme zum technischen
Datenschutz ist, als sinnvoll bewertet werden. Eine Konkretisierung zu der Verschlüsselungstiefe oder der Art
(z. B. Transport- und/oder Inhaltsverschlüsselung) erfolgt nicht.

Eine weitere Empfehlung gibt die Behörde für Lösungen ab, die durch den Verantwortlichen selbst betrieben
werden (self-hosted). Für viele Unternehmen dürfte eine solche Lösung aber wegen des enormen Aufwands
unrealistisch sein. Dies erkennt auch die Aufsichtsbehörde und eröffnet daher die Möglichkeit, einen
zuverlässigen Dienstleister im Wege der Auftragsverarbeitung zu beauftragen. Diese Auffassung ist
grundsätzlich zu begrüßen. Dass die Aufsichtsbehörde direkt auf eine Auftragsverarbeitung abstellt,
verwundert jedoch. So ist ebenso denkbar, dass durch die Verwendung einer Verschlüsselung die Anwendung
der DSGVO für den Videodienstanbieter ausgeschlossen wird, weil dieser keine Möglichkeit zum Zugriff auf
die personenbezogenen Daten hat. Des Weiteren kommt auch eine eigene Verantwortlichkeit des

                                                                                                        Seite 1
News reuschlaw Legal Consultants

Videodienstanbieters in Betracht, wenn dieser im Rahmen des Dienstes über die Mittel, vor allem aber über die
Zwecke der Datenverarbeitung entscheidet. Auch Mischkonstellationen sind hier denkbar und vom jeweiligen
Einzelfall abhängig.

Hinsichtlich des Diensteanbieters akzeptiert die Aufsichtsbehörde neben Anbietern aus der EU oder der
europäischen Freihandelszone (EFTA) ausdrücklich auch solche in Drittstaaten, wenn diese ein gleichwertiges
Datenschutzniveau aufweisen. Neben der Möglichkeit einer Feststellung der Gleichwertigkeit des
Schutzniveaus für personenbezogene Daten durch die EU-Kommission verweist die Behörde hier zu Recht
auch auf den Einsatz von Standardvertragsklauseln. In der Praxis dürfte in diesem Zusammenhang
insbesondere der Angemessenheitsbeschluss der EU-Kommission für eine Übermittlung an US-
Verantwortliche, die sich dem EU-US Privacy-Shield unterworfen haben, von Bedeutung sein. Das EU-US
Privacy-Shield ist – trotz einiger Kritik durch die Datenschutzaufsicht am tatsächlich gewährleisteten
Schutzniveau – nach wie vor eine wichtige und geltende Grundlage für die Datenübermittlung in die USA und
genügt den gesetzlichen Anforderungen.

Die weiteren Ausführungen der Aufsichtsbehörde erscheinen weniger stringent an der geltenden Rechtslage
orientiert. So empfiehlt die Datenschutzaufsicht für Fälle der Verarbeitung von sensiblen Daten, in denen eine
Kenntnisnahme der übermittelten Audio- und Videodaten durch den Anbieter nicht ausgeschlossen werden
kann, nur Anbieter in der EU oder der EFTA zu verwenden. Eine solche Unterscheidung hinsichtlich des
Anbieterstandorts findet sich in den Art. 44 ff. DSGVO, die – wie aufgezeigt – auf das Datenschutzniveau
abstellen, allerdings nicht. Rechtlich verbindlich wird diese Empfehlung folglich wohl nicht gemeint sein.

Die Risiken der Datenverarbeitung
In der Stellungnahme äußert sich die Aufsichtsbehörde auch zum Risiko bei Videokonferenzen und verortet
dieses bei einem unbefugten Mithören oder Aufzeichnen sowie einer weiteren Auswertung der Inhalte. Hier
könnten sich – so die Datenschutzaufsicht – Nachteile für die Personen, die an der Videokonferenz
teilgenommen haben oder über die gesprochen wurde, ergeben. Dieses Risiko sieht die Behörde jedoch nicht
nur bei einem Mitschnitt durch Dritte verwirklicht, sondern auch beim Betreiber des Videosystems. Kann
dieser also nicht mittels Verschlüsselung aufgesperrt werden, so die Logik der Behörde, könnte er – und wenn
auch nur zu Analysezwecken – einen Mitschnitt anfertigen.

                                                                                                             Seite 2
News reuschlaw Legal Consultants

Als weiteres Argument für das Vorliegen eines solchen Risikos führt die Behörde das Fernmeldegeheimnis an.
Dazu stellt sie sachlich richtig fest, dass dieses – zumindest bisher – nicht für Videodienstanbieter gilt, da diese
keine Telekommunikationsdienste anbieten, sondern als sog. Over-the-Top-Anbieter fungieren. Ein Argument
gegen eine Inanspruchnahme von Videodiensten folgt daraus jedoch nicht. Insoweit räumt daher auch die
Aufsichtsbehörde ein, dass dieses Risiko durch eine vertragliche Regelung, wie z.B. einen Vertrag zur
Auftragsverarbeitung, erheblich minimiert werden kann.

Allerdings erscheint die Ansicht der Behörde, dass ein Mitschnitt zur Verbesserung des Dienstes per se
unzulässig ist, ohnehin wenig überzeugend. Zunächst ist der Zweck, den eigenen Dienst zu verbessern oder
weiterzuentwickeln, legitim und kann sogar dem Interesse des Nutzers entsprechen. In rechtlicher Hinsicht
kommt damit unter anderem ein berechtigtes Interesse zur Verbesserung des Dienstes nach Art. 6 Abs. 1 lit. f)
DSGVO, aber auch eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO durch den Nutzer in Betracht. Im
Zusammenhang mit Anbietern, die ihren Sitz außerhalb von der EU und der EFTA haben, sieht die Behörde
dann auch das vage Risiko, dass ein Vertrag zur Auftragsverarbeitung oder andere vertragliche Regelungen in
einer fremden Rechtsordnung durchgesetzt werden müssten und rät zur vollständigen Vereinbarung der
Standardvertragsklauseln. Darauf, dass diese nicht die einzige Rechtsgrundlage für eine DSGVO-konforme
Übermittlung in Drittstaaten sind, geht die Behörde an dieser Stelle nicht weiter ein.

Die Empfehlungen der Behörde
Innerhalb ihrer Empfehlungen rät die Berliner Datenschutzaufsicht zunächst dazu, statt Videokonferenzen auf
Telefonkonferenzen zurückzugreifen, sofern dies möglich ist. Diese seien, so die Aufsichtsbehörde, „sehr viel
leichter datenschutzgerecht“ durchzuführen. Unabhängig von der Frage, ob dies tatsächlich der Fall ist, dürfte
der Ratschlag für viele Unternehmen aber auch praktisch kaum hilfreich sein. Die Nutzung einer
Videokonferenzsoftware, z.B. mit Möglichkeiten zur Moderation oder zum Teilen des eigenen Bildschirms,
bietet eben ganz andere Möglichkeiten des kollaborativen Arbeitens. Darüber hinaus gibt die Aufsichtsbehörde
Hinweise zu Lösungen, die selbst betrieben werden und solche von europäischen Anbietern, ohne jedoch, wie
zuletzt der Landesdatenschutzbeauftragte von Baden-Württemberg, konkrete Produkte zu nennen.

Feststellungen zu Dienstleistungen von Microsoft und Zoom
Sodann kommt die Behörde noch einmal auf „außereuropäische Dienstleister“ zu sprechen, erwähnt aber nur
Anbieter aus den USA. Hierzu stellt sie fest, dass das oben dargestellte Risiko von Mitschnitten auch bei solchen
Anbietern bestünde, die zwar einen europäischen vertraglichen Ansprechpartner haben, aber einen
wesentlichen Teil der Dienstleistung durch außereuropäische Dienstleister der gleichen Unternehmensgruppe
                                                                                                              Seite 3
News reuschlaw Legal Consultants

erbringen. Dieses Risiko müsse durch gesonderte Garantien vermindert werden, was jedoch häufig nicht der
Fall sei. Dazu stellt die Behörde wörtlich fest:

"Prominentes Beispiel sind die Dienstleistungen der Unternehmensgruppe von Microsoft Corporation (z. B.
Microsoft Teams) einschließlich seiner Tochter Skype Communications SARL mit Sitz in Luxemburg (mit dem
gleichnamigen Produkt)".

Wie die Aufsichtsbehörde zu der Erkenntnis gelangt, dass einerseits ein nennenswertes Risiko einer
Nichteinhaltung von vertraglichen Vereinbarungen durch Microsoft besteht und andererseits eine
Durchsetzung etwaiger Ansprüche oder vertraglicher Rechte in den USA ausgeschlossen ist, thematisiert die
Aufsichtsbehörde nicht. Auch nicht näher erwähnt wird das Data-Residency-Modell von Microsoft, welches für
deutsche Kunden von Microsoft Teams und Skype for Business ausdrücklich eine Speicherung in Deutschland
vorsieht. Berücksichtigt man diese Aspekte, erscheint der Schluss der Behörde hinsichtlich der
Risikominimierung jedoch keineswegs zwingend.

Die genannten Risiken bei außereuropäischen Dienstleistern sieht die Aufsichtsbehörde auch bei einem
direkten Vertragsschluss mit diesen Anbietern. Auch hier seien zur Bewältigung des durch die Übermittlung in
ein Drittland entstehenden Risikos zusätzliche rechtliche Garantien notwendig. Bei der Zoom Video
Communications Inc., so die Behörde, sei dies jedenfalls mit Stand vom 02.04.2020 nicht der Fall. Genauere
Gründe für die Entscheidung nennt die Behörde an dieser Stelle nicht. Allerdings lässt sich
einer Pressemitteilung der Behörde vom 31.03.2020 entnehmen:

"Achtung: Es gibt Diensteanbieter aus den USA mit großen Marktanteilen, die diese Anforderung nicht erfüllen,
weil sie sich nicht ausreichend registriert oder die Standardvertragsklauseln nur in geänderter Form anbieten.
Ein Beispiel ist bei Redaktionsschluss Zoom Voice Communications, Inc."

Auch hieraus lässt sich jedoch nicht entnehmen, aus welchen Gründen die Berliner Aufsichtsbehörde die
Registrierung von Zoom unter dem EU-US Privacy-Shield für unzureichend hält. Ebenso wenig ist ersichtlich,
welche Mängel die Behörde bei den von Zoom (PDF) eingesetzten Standardvertragsklauseln erkennt. Beide
Informationen wären für Verantwortliche jedoch sehr nützlich, da eine Anweisung an Zoom im Rahmen des
Vertrages zur Auftragsverarbeitung sonst nicht möglich ist.

                                                                                                         Seite 4
News reuschlaw Legal Consultants

Fazit
Aus den veröffentlichen Dokumenten wird deutlich, dass die Berliner Datenschutzbehörde Dienstleitungen
von Microsoft, namentlich Teams und Skype, sowie die Videokonferenzlösung von Zoom (letztes mit Stand vom
02.04.2020) für nicht datenschutzgerecht hält. Dies stellt die Behörde in ihrer veröffentlichten Checkliste noch
einmal ausdrücklich klar. Dort heißt es:

"Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter die aufgeführten Bedingungen nicht
erfüllen, darunter Microsoft, Skype Communications und Zoom Video Communications."

Da die Behörde jedoch die rechtlichen Anforderungen an den Einsatz von Videokonferenzlösungen mit ihren
Empfehlungen vermischt, erscheint der Schluss, dass aus Sicht der Behörde auch ein Gesetzesverstoß vorliegt,
unseres Erachtens nicht zwingend. Für diese Auffassung spricht, dass die Behörde lediglich davon spricht, dass
die Dienste ersetzt werden "sollten" und gerade nicht ersetzt werden "müssen" und keine konkreten Mängel
benennt. Gleichwohl sollten Verantwortliche, welche die genannten Dienste einsetzen, wachsam bleiben.
Sowohl       Stellungnahmen          der     betroffenen        Unternehmen          als    auch      Ergänzungen         der     Berliner
Datenschutzaufsicht könnten weitere Klarheit bringen.

[April 2020]

        über reuschlaw Legal Consultants
        reuschlaw Legal Consultants gehört zu den führenden wirtschaftsberatenden Kanzleien im Produkthaftungsrecht und berät seit 2004 national und
        international tätige Unternehmen mit Schwerpunkt Produktsicherheitsrecht, Produkthaftungsrecht, Datenschutz & Cybersecurity,
        Rückrufmanagement, Versicherungsrecht, Compliance Management und Vertragsrecht.

        Unternehmenskontakt: Melanie Schaumann I Head of Marketing & Communications I T > +49 30 / 2332895 0 I E melanie.schaumann@reuschlaw.de

                                                                                                                                      Seite 5
Sie können auch lesen