Videokonferenz nach der Schrems-II-Entscheidung (Symbolbild)
Login

Schrems II: Update zum Datenschutz bei Videokonferenzdiensten

Die Nutzung von Videokonferenzdiensten wirft auch Monate nach dem Beginn der Corona-Pandemie unbeantwortete datenschutzrechtliche Fragen auf. Die bereits im juris Magazin festgestellte Dynamik der Beurteilung besteht dabei weiterhin fort. So haben sich zwischenzeitlich zwar verschiedene Aufsichtsbehörden intensiver mit den Anforderungen an eine DSGVO-konforme Nutzung von Videodiensten beschäftigt, von einer abschließenden Klärung oder gesicherten Rechtslage kann jedoch keine Rede sein. Das „Schrems II“-Urteil des EuGH stellt die Nutzer von US-Diensten nun vor neue Herausforderungen.

Der Artikel behandelt ein wegen der sich stets verändernden Krisenlage hochaktuelles Thema. Nach Erscheinen können sich sehr schnell Änderungen der Sach- und Rechtslage ergeben. Unser Autor gibt die ihm bekannte Sach- und Rechtslage mit Stand vom 20.08.2020 wieder.

Die Rechtslage bleibt dynamisch

Zumindest teilweise werden Videokonferenzdienste bzw. ihre Anbieter durch die Aufsichtsbehörden unterschiedlich bewertet. Die Berliner Datenschutzaufsicht geht beispielsweise in ihren neuen, überaus umfangreichen, Hinweisen zu Videokonferenzdiensten für Berliner Verantwortliche davon aus, dass beim Anbieter Zoom „Zweifel an der Zulässigkeit“ bestehen. Währenddessen sieht der Landesdatenschutzbeauftragte von Baden-Württemberg das Unternehmen auf einem guten Weg und daher keinen „Anlass mehr, seine an alle Schulen in Baden-Württemberg ausgesprochene Warnung länger aufrechtzuerhalten“. Diese beiden Ansichten sind nicht in Einklang zu bringen. Zur Klärung der Frage, welche Behörde richtig liegt, ist jedoch eine gerichtliche Entscheidung notwendig. Da bisher jedoch keine aufsichtsbehördlichen Maßnahmen gegen Verantwortliche, die Zoom einsetzen, bekannt geworden sind, erscheint eine zeitnahe Streitentscheidung unwahrscheinlich. Mit Rechtssicherheit ist also weiterhin nicht zu rechnen. Etwas mehr Licht ins Dunkel könnte jedoch eine Stellungnahme der Datenschutzkonferenz (DSK) bringen.

Vorweg: Anforderungen an eine Auftragsverarbeitung

Soweit Videokonferenzdienste nicht vom Verantwortlichen in Eigenregie betrieben werden, liegt meist eine Auftragsverarbeitung vor. Diese erfordert gemäß Art. 28 Abs. 9 DSGVO einen schriftlichen bzw. elektronischen Vertrag mit dem in Art. 28 Abs. 3 und Abs. 4 DSGVO näher bestimmten Inhalt. Aus Sicht der Berliner Datenschutzaufsicht erfüllten die Standardverträge vieler Anbieter diese gesetzlichen Anforderungen in der Vergangenheit jedoch nicht. Deswegen verwundert es wenig, dass die Behörde in ihren oben bereits erwähnten Hinweisen zum Ergebnis kommt, dass nur fünf von 17 geprüften Anbietern die Anforderungen der DSGVO erfüllen.

Zwingend erforderlich soll nach der Ansicht der Behörde unter anderem sein, dass der Anbieter vollständig weisungsgebunden handelt und personenbezogene Daten nicht zu eigenen Zwecken oder zu Zwecken Dritter verarbeitet. Außerdem wurde bemängelt, dass die Verträge oftmals nicht vorsähen, dass personenbezogene Daten sofort nach Abschluss der Leistungserbringung herausgegeben oder gelöscht wurden und, dass in diesem Kontext das Wahlrecht des Verantwortlichen nicht hinreichend berücksichtigt würde. Auch Vor-Ort-Prüfungen durch den Verantwortlichen und die Verpflichtung zur Bereitstellung erforderlicher Unterlagen würden oftmals unzulässig, beispielsweise durch Kostentragungspflichten zu Ungunsten des Verantwortlichen, eingeschränkt. Vor dem Hintergrund dieser umfassenden Kritik sollten Verantwortliche – insbesondere wenn sie unter der Aufsicht der Berliner Behörde stehen – prüfen, ob sie einen der geprüften Dienst nutzen und ggfs. notwendige Änderungen am bestehenden Vertrag veranlassen.

juris PartnerModul IT-Recht jetzt 4 Wochen gratis testen Gratis testen

Neue Herausforderungen bei der Nutzung von US-Diensten

Für Verantwortliche, die Anbieter aus den USA oder anderen Drittstaaten nutzen, hat das Urteil des EuGH in der Rechtssache C-311/18, auch bekannt als „Schrems II“-Urteil, eine weitere Baustelle geschaffen. In dieser Entscheidung, die im juris Magazin bereits ausführlich kommentiert wurde, hat der EuGH den Angemessenheitsbeschluss für Datenübermittlungen in die USA, das sog. EU-US Privacy Shield, für ungültig erklärt. Zugleich hat das Gericht höhere Anforderungen an Datentransfers in Drittländer gestellt, wenn diese auf Basis von Standardvertragsklauseln stattfinden. Verantwortliche müssen demnach bei der Verwendung von Standardvertragsklauseln zunächst prüfen, ob die Vereinbarung der Klauseln ein hinreichendes Datenschutzniveau gewährleisten. Maßstab hierfür ist das europäischen Recht, insbesondere die EU-Grundrechtecharta.

In der Praxis dürfte es empfehlenswert sein, dem jeweiligen Empfänger zur Rechtslage im Zielland Fragen zu stellen und sich die Einhaltung der Standardvertragsklauseln zusichern zulassen. Ist dies zur Wahrung eines angemessenen Datenschutzniveaus nicht ausreichend, müssen zusätzliche Garantien geschaffen werden. In Bezug auf die USA ist davon auszugehen, dass insbesondere bei Unternehmen, die dem Foreign Intelligence Surveillance Act (FISA), der Executive Order (EO) 12.333 oder dem CLOUD Act unterliegen, ein angemessenes Datenschutzniveau durch die Vereinbarung von Standardvertragsklauseln allein nicht gewährleistet werden kann. Folglich sind zusätzliche Garantien erforderlich. Dies wirft die Frage auf, worin solche allgemein und bei Videodiensten im Speziellen bestehen könnten.

Zusätzliche Garantien bei Videodiensten

Eine einfache Lösung für diese Problematik könnte bei Videodiensten in einer Ende-zu-Ende-Verschlüsselung sämtlicher Kommunikationsinhalte bestehen. Die Inhalte einer Videokonferenz wären dann nur von den jeweiligen Teilnehmern einsehbar. Eine unzulässige Datenverarbeitung durch den Diensteanbieter wäre technisch ausgeschlossen. Allerdings ist eine Ende-zu-Ende-Verschlüsselung bei Videokonferenzdiensten nicht Stand der Technik und darüber hinaus technisch limitiert. Gleichwohl gibt es jedoch Anbieter, die bereits eine Ende-zu-Ende-Verschlüsselung ermöglichen beziehungsweise, wie z.B. Zoom, an einer solchen arbeiten.

Doch selbst soweit eine Ende-zu-Ende-Verschlüsselung vorliegt, dürften die im Kontext einer Videokonferenz anfallenden Verbindungsdaten (sog. Metadaten), einen Personenbezug aufweisen und es läge dennoch ein Datentransfer in ein Drittland vor. Schließlich erlauben insbesondere Metadaten über Kommunikationsvorgänge sehr viele Rückschlüsse. Der Bundesbeauftragte für den Datenschutz (BfDI) hat dies zuletzt im Zusammenhang mit WhatsApp in einem Schreiben an alle Bundesministerien und obersten Bundesbehörden betont und eine dienstliche Nutzung in seinem Zuständigkeitsbereich für unzulässig erklärt. Eine Ende-zu-Ende-Verschlüsselung ohne weitere Garantien dürfte daher zumindest im Kontext von Videokonferenzen unzureichend sein. Neben weiteren technischen Maßnahmen sollten Verantwortliche deswegen erwägen mit den Anbietern von Videokonferenzdiensten zusätzliche vertragliche Garantien zu vereinbaren. Diese können beispielsweise in einer Verpflichtung des Anbieters bestehen keine Hintertüren in die eingesetzte Software einzubauen oder staatliche Auskunftsanfragen in einem vertraglich vereinbarten Prozess zu bearbeiten. Auch Gerichtsstandsvereinbarungen und Vertragsstrafen können zusätzliche Garantien darstellen. Darüber hinaus sollten Verantwortliche klären, inwieweit der jeweilige Anbieter Überwachungsgesetzen unterworfen ist und, ob die Gesetze mit europäischen Maßstäben vereinbar sind. Inwieweit US-Anbieter sich auf derartige Maßnahmen einlassen und ob diese wirklich ausreichend sind, bleibt allerdings abzuwarten. Dies darf Verantwortliche jedoch nicht dazu verleiten untätig zu bleiben, da von Betroffenen-Initiativen bereits erste Beschwerden zu US-Transfers bei den Aufsichtsbehörden eingelegt wurden.

Nicht in Aussicht: EU-US Privacy Shield 2.0

Eine Lösung, welche die praktischen Schwierigkeiten von zusätzlichen Garantien bei Standardvertragsklauseln umgeht, könnte die Vereinbarung eines neuen Datenschutzabkommens mit den USA bzw. eine Überarbeitung des EU-US Privacy Shield nach den Vorgaben des EuGH sein. Doch obwohl diesbezüglich erste Verhandlungen aufgenommen wurden, ist eine zeitnahe Lösung aus mehreren Gründen unwahrscheinlich. Als ausgeschlossen erscheint insoweit zunächst eine Vereinbarung vor den US-Präsidentschaftswahlen im November. Selbst wenn sich Joe Biden dann gegenüber Donald Trump durchsetzen sollte, ist jedoch eher mit langwierigen Verhandlungen, als mit einer schnellen Lösung zu rechnen. Ein neues Abkommen, das den Anforderungen des EuGH genügt, würde nämlich ein Einschränkung der US-Überwachungsgesetze gegenüber EU-Bürgern erfordern. Hierzu dürfte selbst ein Präsident Biden jedoch nicht ohne weiteres bereit sein. Nachdem der EuGH mit dem EU-US Privacy Shield zuletzt und mit dem Safe Harbour Abkommen bereits im Jahr 2015 bereits zwei Angemessenheitsbeschlüsse der EU-Kommission gekippt hat, dürfte von EU-Seite gleichzeitig wenig Verhandlungsspielraum bestehen.

Fazit

Um der aktuellen Entwicklung Rechnung zu tragen, müssen Verantwortliche zunächst die Verträge zur Auftragsverarbeitung mit dem Anbieter auf Übereinstimmung mit den Anforderungen der DSGVO prüfen. Dies mag zunächst trivial klingen, verlangt dem Verantwortlichen jedoch einiges ab. Darüber hinaus müssen Verantwortliche prüfen, ob bei der Nutzung des Videokonferenzdiensts Daten auf Basis von Standardvertragsklauseln in Drittländer, insbesondere die USA, übermittelt werden. Ist dies der Fall müssen – wie bei anderen US-Transfers – zusätzliche Garantien für eine Einhaltung der Klauseln geschaffen werden. Insbesondere im US-Kontext kann dies schwierig bis unmöglich sein. Darauf, dass es zeitnah einen Nachfolger für das EU-US Privacy Shield gibt, sollten sich Unternehmen indes aufgrund der politischen Lage in den USA nicht verlassen.

Lesen Sie zum Thema "Videokonferenzen" auch:

Lesen Sie weitere interessante Beiträge im juris Magazin:


juris unterstützt Sie in allen Rechts- und Themengebieten.

Finden Sie aus unserer Auswahl das für Sie passende Modul oder Produkt:


			juris PartnerModul Datenschutz
juris PartnerModul Datenschutz
Umfassende Fachliteratur zur DSGVO und zum neuen BDSG - in EINEM Modul, sukzessive aktualisiert.
Weitere Produktinformationen

			juris PartnerModul IT-Recht
juris PartnerModul IT-Recht
Beantwortet alle Fragen aus dem IT-rechtlichen Alltag (DSGVO, BDSG, TMG, TKG u.v.m.) unter Berücksichtigung von UWG und StGB.
Weitere Produktinformationen

			juris PartnerModul Compliance premium
juris PartnerModul Compliance premium
Erfahren Sie u.a. welche Maßnahmen bei der Prävention und Vermeidung von Haftung und Strafbarkeit zu ergreifen sind.
Weitere Produktinformationen

			juris PartnerModul Compliance
juris PartnerModul Compliance
Lösungsansätze zur Umsetzung von compliance-rechtlichen Vorgaben innerhalb diverser Rechtsgebiete, wie z. B. dem Arbeits- oder Wirtschaftsrecht.
Weitere Produktinformationen

			juris PartnerModul Gewerblicher Rechtsschutz / Urheberrecht
juris PartnerModul Gewerblicher Rechtsschutz / Urheberrecht
Renommierte Kommentare, Fachzeitschriften und Handbücher - für alle Fragen im Urheberrecht.
Weitere Produktinformationen

			AnwaltZertifikatOnline IT-Recht
AnwaltZertifikatOnline IT-Recht
Herausgeber: Prof. Dr. Dirk Heckmann und Prof. Dr.peter Bräutigam
Fortbildungsdetails

Nicht das Passende für Sie dabei?

Wir beraten Sie gerne persönlich und unverbindlich: 0800 – 587 47 33