Im Gegensatz zur österreichischen Datenschutzbehörde beleuchten jene aus Deutschland, wo jedes Bundesland einen eigenen Landesdatenschutz-Beauftragten hat, immer wieder einzelne konkrete Themenbereiche. Die unter den deutschen Datenschutzbehörden als vergleichsweise „scharf“ geltende Berliner Beauftragte für Datenschutz und Informationsfreiheit hat Kurzprüfungen der Videokonferenzdienste verschiedener Anbieter wie Microsoft Teams, Cisco Webex, Google Meet usw. durchgeführt und die Ergbenisse am 18. Februar 2021 veröffentlicht.
Bekanntlich lässt die Datenschutz-Grundverordnung DSGVO Verantwortliche in vielen Details im Unklaren bzw. eröffnet den Verantwortlichen weite Ermessensspielräume. Um solche Unklarheiten zu bereinigen oder Ermessensspielräume einzugrenzen, sind veröffentlichte Meinungen von Datenschutzbehörden wirklich hilfreich. Mangels gleichwertigen Veröffentlichungen der österreichischen Datenschutzbehörde werfen wir Datenschutz-Experten daher immer wieder einen Blick in die Veröffentlichungen deutscher Behörden.
Trotz der Tatsache, dass es sich bei der DSGVO um ein europaweit gültiges Regelwerk handelt, muss dabei stets berücksichtigt werden, dass es sich um die Veröffentlichungen von deutschen Datenschutzbehörden handelt, die nicht 1:1 auf Österreich umgelegt werden können. Dazu kommt, dass sich die sechszehn deutschen Datenschutzbehörden untereinander auch nicht immer einig sind und fallweise zu ein und demselben Themenblock unterschiedliche Rechtsmeinungen vertreten.
Eher als „scharf“ ist die Berliner Datenschutzbehörde bekannt. Entsprechend kritisch fallen die Prüfungsergebnisse der Videokonferenzdienste aus. Dies insbesondere auch deshalb, weil im Rahmen der Prüfungen auch das Urteil „Schrems II“ (siehe meinen Beitrag EU-US-Privacy Shield-Abkommen: Gibt es praktikable Lösungen?) berücksichtigt wurde. Spätestens jetzt können Sie sich denken wie das Fazit der Berliner Datenschutz-Beauftragten ausgefallen ist …
Viele Ampeln auf rot
Im ersten Teil der Prüfung warf die Behörde einen Blick auf die Gestaltung und Umsetzung des Auftragsverarbeitungsverhältnisses mit dem Videokonferenzdienst. Die Ergebnisse werden mit einer symbolisierten Ampel dargestellt. Ampel auf rot bedeutet, dass Mängel voeliegen, „die eine rechtskonforme Nutzung des Dienstes ausschließen“. Grüne Ampeln sagen aus, dass bei der Kurzprüfung keine Mängel gefunden wurden.
Bei allen großen (also in der Regel von US-Anbietern betriebenen) Diensten steht die Ampel auf rot:
- Cisco Webex Meetings,
- Jitsi,
- Google Meet,
- GoToMeeting,
- Microsoft Teams,
- Skype und Skype for Business,
- TeamViewer und
- last, but not least Zoom.
Dazu kommt, dass bei all diesen Diensten der Ort der Datenverarbeitung von personenbezogenen Daten nicht auf die Europäische Union bzw. den Europäischen Wirtschaftsraum beschränkt ist. Eine rechtskonforme Nutzung ist also laut der Berliner Datenschutz-Beauftragten auszuschließen.
Mit grüner Ampel werden beispielsweise Dienste wie alfaview, Cloud1X Meet, mailbox.org, meetzi, NETWAYS, OSC BigBlueButton und TixeoCloud bewertet. Nur diese „grünen“ Anbieter wurden einer Prüfung hinsichtlich technischer und organisatorischer Maßnahmen unterzogen. Diese fiel überweigend positiv (grüne oder gelbe Ampel) aus.
Abschließend äußerte die Berliner Datenschutzbehörde ausführliche Anmerkungen zu den einzelnen Videokonferenzdiensten. Beschrieben werden die Gründe, die zum jeweiligen Ergebnis (rote, gelbe und grüne Ampel) geführt haben. Diese hier wiederzugeben, würde den Rahmen sprengen, daher finden Sie unten den Link zu den Hinweisen für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten. Schon der Titel weist darauf hin, dass die Hinweise für Datenschutzverantwortliche in Berlin gedacht sind. Nachdem es aber von den Videokonferenzdiensten keine rein Berliner Versionen geben wird, sondern eher internationale Versionen, die auch in Österreich zum Ensatz kommen, können die Prüfergebnisse für heimische Datenschutzverantwortliche interessant sein.
Rechtskonformes Nutzen von US-Diensten unmöglich
Im Grunde bestätigen die Ergebnisse was wir verantwortliche Unternehmer ohnehin schon wissen: genau genommen dürfen Anwendungen und Dienste von US-Anbieter spätestens seit dem Urteil Schrems II nicht mehr genutzt werden bzw. darf kein Datentransfer an US-amerikanische Unternehmen mehr stattfinden. Denn mit dem Urteil Schrems II hat der EuGH das Datenschutzabkommen zwischen der EU und den USA für ungültig erklärt, womit für den Datentransfer an die USA bzw. US-amerikanische Unternehmen die Rechtsgrundlage fehlt. Dass Datenschutzbehörden diese Rechtsansicht auch im Zusammenhang mit Videokonferenzdienste vertreten (müssen), überrascht daher nicht. Solche Feststellungen stellen nur leider keinen praktikablen Lösungsansatz für Unternehmen dar. Das Datenschutz-Dilemma setzt sich also fort.
Kluft zwischen Theorie & Praxis
Anhand dieses Beispiels bzw. der Ergebnisse der Berliner Datsnchutzbehörde zeigt sich einmal mehr, wie Theorie und Praxis (nicht nur beim Datenschutz) auseinander klaffen. Aus dem Blickwinkel einer Aufsichtsbehörde, die selbstverständlich die gesetzlichen Bestimmungen als das Maß aller Dinge ansehen muss, stellen sich Gesetze und deren Folgen für die unternehmerische Praxis einfach dar: ist nicht rechtskonform, ist daher verboten. So einfach ist aber in der Realität nicht. Ganz abgesehen davon, das eine Datenschutzbehörde nichts anderes zu tun hat als sich den ganzen Tag um Datenschutz zu kümmern , während Unternehmer dutzende Gesetze gleichzeitig erfüllen müssen.
Wie sollen kleine und kleinste Unternehmen denn beispielsweise sicherstellen, dass Sub-Auftragnehmer von Google, Microsoft & Co. (die irgendwo auf der Welt verstreut sitzen können) den europäischen Datenschutz-Standard einhalten? Zumal es nicht einmal den europäischen Institutionen gelingt, DSGVO-konform zu agieren (siehe Beitrag auf der Internetseite von Max Schrems: NOYB bringt Beschwerde gegen das europäische Parlament ein). Ich würde mich wünschen, dass sich insbesondere der europäische Gesetzgeber ein paar Schritte zurück in RIchtung Realität bewegt. Neueste Verordnungsentwürfe – siehe das Beispiel DORA (Digital Finance Package: Strategie für ein digitales Finanzwesen in der EU) – zeugen aber leider vom Gegenteil. Es wird immer surriler … wo soll das noch hinführen?
Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten (externer Link zum Download des PDFs)
