Videokonferenzsysteme
Die Sächsische Datenschutzbeauftragte erreichen immer wieder Anfragen zur Nutzung von Videokonferenzsystemen.
Hintergrund sind oftmals laufende Überlegungen, die pandemiebedingten Ad-hoc-Lösungen als stetige Arbeitsmittel der Verwaltung für verschiedene Einsatzszenarien dauerhaft zu etablieren.
Die Datenschutzkonferenz (DSK) sowie einzelne Aufsichtsbehörden haben sich frühzeitig zu allgemeinen Anforderungen an Videokonferenzsysteme sowie zu einzelnen am Markt erhältlichen Systemen positioniert.
Downloads
- Orientierungshilfe Videokonferenzsysteme (PDF-Datei auf der Website der Datenschutzkonferenz)
- Checkliste Datenschutz in Videokonferenzsystemen (PDF-Datei auf der Website der Datenschutzkonferenz)
- Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten (PDF-Datei auf der Website der Berliner Beauftragten für Datenschutz und Informationsfreiheit)
(Hinweis: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat eine Vielzahl marktgängiger Videokonferenzsysteme auf technische und juristische Anforderungen hin überprüft. Die Sächsische Datenschutzbeauftragte teilt diese Bewertung, die Ergebnisse sind daher unmittelbar anwendbar.)
- Protokoll 3. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 22. September 2020 (PDF-Datei auf der Website der Datenschutzkonferenz) (»kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich«)
Die in den Papieren dargestellten Positionen sind nach wie vor gültig, es wird deutlich ersichtlich, dass insbesondere Angebote großer internationaler Hersteller nicht datenschutzkonform einsetzbar sind oder ein solcher Einsatz mit hohen Hürden für einen Verantwortlichen, insbesondere wenn es sich um eine öffentliche Stelle handelt, verbunden sind.
Im Wesentlichen sind vom Verantwortlichen – vor einem Einsatz – überzeugende Antworten auf folgende Problemstellungen zu finden:
Vertragliche Prüfung
Insbesondere Cloud-Angebote internationaler Hersteller machen eine Prüfung der vertraglichen Grundlagen erforderlich. Dabei sind die Klärung der rechtlichen Verhältnisse, der einschlägigen Rechtsgrundlagen sowie alle beteiligten Unterauftragnehmer, Rechtsabtretungen an Vertragspartner eine komplexe Aufgabe. Je nach Einsatzszenario sind spezifische Regelungen (z. B. VwV Schuldatenschutz, Regelungen im Steuerbereich) zu beachten, die Auswirkungen auf die legale Nutzung haben können. Zusätzlich ist zu bedenken, dass die Verarbeitung von Metadaten dazu geeignet sein kann, den Mitbestimmungstatbestand von § 81 Absatz 2 Nummer 12 Sächsisches Personalvertretungsgesetz (Einführung und Anwendung technischer Einrichtungen, die dazu objektiv geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen) zu erfüllen. Für ein Vergabeverfahren generell gilt, dass der Nachweis hinreichender Garantien für die Einhaltung der DSGVO Mindestanforderung für die Beschaffung von Leistungen der öffentlichen Hand ist. Diese Anforderungen hat der Auftraggeber zu prüfen und der Auftragnehmer nachzuweisen. Angebote, die den Mindeststandard nicht aufweisen, sind unzulässig.
Informationspflichten und Umsetzung der Betroffenenrechte
Es gilt die Frage zu beantworten, ob der Verantwortliche einer Videokonferenzlösung die Informationspflichten und die Umsetzung der Betroffenenrechte in vollem Umfang gewährleisten kann. Dies gilt sowohl für Beschäftigte als Nutzer, als auch als Verwalter/Administratoren sowie ggf. externe Nutzer einer Lösung.
Einwilligungsproblematik im Beschäftigungsverhältnis
Wird die Videokonferenztechnik im Beschäftigungsverhältnis eingesetzt, ist der Rückgriff auf eine Individualeinwilligung des Beschäftigten als Rechtsgrundlage für die Datenverarbeitung regelmäßig zweifelhaft, da die Freiwilligkeit im Beschäftigungsverhältnis nicht vorausgesetzt werden kann.
Soweit der Arbeitgeber / Dienstherr dem Beschäftigten die Videokonferenztechnik zum Zweck der Erfüllung arbeitsvertraglicher Aufgaben als notwendiges Arbeitsmittel zur Verfügung stellt, besteht kein Raum für eine (freiwillige) Einwilligung des Beschäftigten in die Nutzung des Dienstes und der damit verbundenen Datenverarbeitungen.
Fehlende Rechtsgrundlage für Nutzung von Daten durch Hersteller für eigene Zwecke
Wenn ein Anbieter Nutzugsdaten auf Grundlage des Artikel 6 Absatz 1 Buchstabe f DSGVO (»berechtigtes Interesse«) für eigene Zwecke (z. B. Verbesserung der Dienste) verarbeitet, gibt es dafür keine tragfähige Rechtsgrundlage. Dies gilt für alle Formen der Bereitstellung des Dienstes (z. B. Verarbeitung von Nutzungsdaten innerhalb einer SaaS-Umgebung und Nutzung von herstellerseitigen Clients mit Telemetrie-Komponenten). Auch wenn die Datenverarbeitung auf technisch erforderliche Daten beschränkt ist, bleibt der Zweck entscheidend, die Grenzen der Auftragsdatenverarbeitung sind zu beachten. Um es klar zu formulieren: Die öffentliche Hand hat weder die Aufgabe, noch das Recht zum wirtschaftlichen Erfolg von Unternehmen durch Preisgabe personenbezogener Daten Beschäftigter beizutragen.
Datentransfers in unsichere Drittstaaten
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt. Die Cloud-Dienste führender US-amerikanischer Hersteller stützen zum Teil stattfindende Datenübermittlungen (Teile der Verarbeitung finden in den USA statt) weiterhin auf Standard-Vertragsklauseln. Hinzu kommt, dass auch bei einer überwiegenden Verarbeitung in Europa oder durch eine in Europa angesiedelte Konzern-Tochter ein Zugriff durch eine in einem unsicheren Drittland angesiedelte Konzern-Mutter nicht wirksam ausgeschlossen werden kann. Bei solchen Datenverarbeitungen, bei denen bereits für den öffentlichen Bereich die Erforderlichkeit in Frage steht, müssen nach Auffassung der DSK und des Europäischen Datenschutzausschusses (EDSA) vor einer Übermittlung in ein Drittland ergänzende Maßnahmen getroffen werden, welche ein Schutzniveau nach europäischen Niveau garantieren (siehe Pressemitteilung auf der Website der Datenschutzkonferenz (PDF)). Solche Maßnahmen sind für das Szenario Videokonferenzen nicht ersichtlich. Weder eine ohnehin erforderliche Transportverschlüsselung noch eine Verschlüsselung von Datenträgern am Zielort stellen wirksame Maßnahmen dar. Im Ergebnis ist ein Einsatz von internationalen Cloud-Diensten in aller Regel nicht rechtskonform möglich. Auch bei einer Nutzung von sog. On-Premise-Angeboten ist der Verantwortliche in der Pflicht zu prüfen, ob alle Datenverarbeitungen tatsächlich »on premise«, also in ausschließlicher eigener Verantwortlichkeit, stattfinden.
Empfehlungen und aufsichtsrechtliche Konsequenzen
Die Sächsische Datenschutzbeauftragte rät aufgrund der von der Berliner Beauftragten für Datenschutz und Informationsfreiheit festgestellten Mängel in den Auftragsverarbeitungsverträgen großer internationaler Hersteller von einer Nutzung dieser Angebote ab und empfiehlt ausschließlich die Nutzung von europäischen Lösungen mit hinreichend sicheren Auftragsverarbeitungsverträgen oder der Bereitstellung von Videokonferenzen in eigener Verantwortung.
Die Sächsische Datenschutzbeauftragte hat bei Anhaltspunkten, welche auf eine Datenverarbeitung hindeuten, die nicht im Einklang mit den Vorschriften der Datenschutz-Grundverordnung stattfindet, aufsichtsrechtliche Maßnahmen nach Artikel 58 Absatz 2 DSGVO zu prüfen und kann eine Datenverarbeitung auch untersagen.