Videokonferenzsysteme
Die Sächsische Datenschutzbeauftragte erreichen immer wieder Anfragen zur Nutzung von Videokonferenzsystemen. Vor allem aufgrund der Corona-Pandemie und der damit einhergehenden Vermeidung physischer Kontakte ist das Interesse an Telefon- und Videokonferenzen stark angestiegen.
Die Datenschutzkonferenz (DSK) sowie einzelne Aufsichtsbehörden haben sich zu allgemeinen Anforderungen an Videokonferenzsysteme sowie zu einzelnen am Markt erhältlichen Systemen frühzeitig positioniert.
Downloads
- Orientierungshilfe Videokonferenzsysteme (PDF-Datei auf der Website der Datenschutzkonferenz)
- Checkliste Datenschutz in Videokonferenzsystemen (PDF-Datei auf der Website der Datenschutzkonferenz)
- Festlegung der Datenschutzkonferenz zu Microsoft 365 (PDF-Datei auf der Website der Datenschutzkonferenz)
- Zusammenfassung des Berichts zur DSK-Arbeitsgruppe »Microsoft-Onlinedienste« (PDF-Datei auf der Website der Datenschutzkonferenz)
Die in den Papieren dargestellten Positionen sind nach wie vor gültig, es wird deutlich ersichtlich, dass insbesondere Angebote großer internationaler Hersteller nicht datenschutzkonform einsetzbar sind oder ein solcher Einsatz mit hohen Hürden für einen Verantwortlichen, insbesondere wenn es sich um eine öffentliche Stelle handelt, verbunden sind.
Im Wesentlichen sind vom Verantwortlichen – vor einem Einsatz – überzeugende Antworten auf folgende Problemstellungen zu finden:
Vertragliche Prüfung
Insbesondere Cloud-Angebote internationaler Hersteller machen eine Prüfung der vertraglichen Grundlagen erforderlich. Dabei sind die Klärung der rechtlichen Verhältnisse, der einschlägigen Rechtsgrundlagen sowie alle beteiligten Unterauftragnehmer, Rechtsabtretungen an Vertragspartner eine komplexe Aufgabe. Je nach Einsatzszenario sind spezifische Regelungen (z. B. VwV Schuldatenschutz, Regelungen im Steuerbereich) zu beachten, die Auswirkungen auf die legale Nutzung haben können. Zusätzlich ist zu bedenken, dass die Verarbeitung von Metadaten dazu geeignet sein kann, den Mitbestimmungstatbestand von § 81 Absatz 2 Nummer 12 Sächsisches Personalvertretungsgesetz (Einführung und Anwendung technischer Einrichtungen, die dazu objektiv geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen) zu erfüllen. Für ein Vergabeverfahren generell gilt, dass der Nachweis hinreichender Garantien für die Einhaltung der DSGVO Mindestanforderung für die Beschaffung von Leistungen der öffentlichen Hand ist. Diese Anforderungen hat der Auftraggeber zu prüfen und der Auftragnehmer nachzuweisen. Angebote, die den Mindeststandard nicht aufweisen, sind unzulässig.
Informationspflichten und Umsetzung der Betroffenenrechte
Es gilt die Frage zu beantworten, ob der Verantwortliche einer Videokonferenzlösung die Informationspflichten und die Umsetzung der Betroffenenrechte in vollem Umfang gewährleisten kann. Dies gilt sowohl für Beschäftigte als Nutzer, als auch als Verwalter/Administratoren sowie ggf. externe Nutzer einer Lösung.
Einwilligungsproblematik im Beschäftigungsverhältnis
Wird die Videokonferenztechnik im Beschäftigungsverhältnis eingesetzt, ist der Rückgriff auf eine Individualeinwilligung des Beschäftigten als Rechtsgrundlage für die Datenverarbeitung regelmäßig zweifelhaft, da die Freiwilligkeit im Beschäftigungsverhältnis nicht vorausgesetzt werden kann.
Soweit der Arbeitgeber / Dienstherr dem Beschäftigten die Videokonferenztechnik zum Zweck der Erfüllung arbeitsvertraglicher Aufgaben als notwendiges Arbeitsmittel zur Verfügung stellt, besteht kein Raum für eine (freiwillige) Einwilligung des Beschäftigten in die Nutzung des Dienstes und der damit verbundenen Datenverarbeitungen.
Fehlende Rechtsgrundlage für Nutzung von Daten durch Hersteller für eigene Zwecke
Wenn ein Anbieter Nutzugsdaten auf Grundlage des Artikel 6 Absatz 1 Buchstabe f DSGVO (»berechtigtes Interesse«) für eigene Zwecke (z. B. Verbesserung der Dienste) verarbeitet, gibt es dafür keine tragfähige Rechtsgrundlage. Dies gilt für alle Formen der Bereitstellung des Dienstes (z. B. Verarbeitung von Nutzungsdaten innerhalb einer SaaS-Umgebung und Nutzung von herstellerseitigen Clients mit Telemetrie-Komponenten). Auch wenn die Datenverarbeitung auf technisch erforderliche Daten beschränkt ist, bleibt der Zweck entscheidend, die Grenzen der Auftragsdatenverarbeitung sind zu beachten. Um es klar zu formulieren: Die öffentliche Hand hat weder die Aufgabe, noch das Recht zum wirtschaftlichen Erfolg von Unternehmen durch Preisgabe personenbezogener Daten Beschäftigter beizutragen.
Datentransfers in unsichere Drittstaaten
Am 4. September 2023 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Anwendungshinweise zum Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzrahmen EU‐USA (EU‐US Data Privacy Framework) vom 10. Juli 2023 veröffentlicht. Mit dem Angemessenheitsbeschluss ist eine Datenübermittlung in die USA rechtlich prinzipiell unter den genannten Bedingungen wieder möglich, nach dem der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16. Juli 2020 (Rechtssache C-311/18) den Beschluss 2016/1250 der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) für unwirksam erklärt hatte.
Es ist jedoch zu beachten, dass insbesondere Cloud-Dienste personenbezogene Daten auch in weiteren Ländern durch Unterauftragnehmer verarbeiten lassen und für viele Länder kein Angemessenheitsbeschluss besteht. Neben einer Prüfung der Rechtsgrundlagen ist daher stets eine Überprüfung aller Unterauftragnehmer erforderlich.
Empfehlungen und aufsichtsrechtliche Konsequenzen
Die Sächsische Datenschutzbeauftragte rät aufgrund der bestehenden rechtlichen Risiken in den Auftragsverarbeitungsverträgen großer internationaler Hersteller von einer Nutzung dieser Angebote ab und empfiehlt ausschließlich die Nutzung von europäischen Lösungen mit hinreichend sicheren Auftragsverarbeitungsverträgen oder der Bereitstellung von Videokonferenzen in eigener Verantwortung.
Die Sächsische Datenschutzbeauftragte hat bei Anhaltspunkten, welche auf eine Datenverarbeitung hindeuten, die nicht im Einklang mit den Vorschriften der Datenschutz-Grundverordnung stattfindet, aufsichtsrechtliche Maßnahmen nach Artikel 58 Absatz 2 DSGVO zu prüfen und kann eine Datenverarbeitung auch untersagen.