Datenschutz : Videokonferenzen im Kreuzfeuer
Durch das (erzwungene) Homeoffice und das Verbot von Besprechungen vor Ort erleben Videokonferenzanbieter starken Zulauf und Aufmerksamkeit. Am Anfang stand die Sicherstellung des Betriebs von Unternehmen und Behörden im Vordergrund. Im Zuge öffentlicher Überlegungen, Homeoffice und Videokonferenzen zu einem festen Bestandteil im Unternehmen zu machen, rückt die Frage der Rechtmäßigkeit stärker in den Vordergrund.
Von drei Seiten geraten Nutzer und Anbieter von Videokonferenzsystemen unter Druck:
- Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat jüngst bekannte und weniger bekannte Anbieter von Videokonferenzsystemen einer Kurzprüfung unterzogen.
- Etwa zur gleichen Zeit hat sich der Europäische Datenschutzbeauftragte (EDPS), der als Aufsichtsbehörde die Einrichtungen der EU beaufsichtigt, mit Microsoft-Produkten und -Diensten beschäftigt.
- Mit seinem Urteil „Schrems II“ hat der Europäische Gerichtshof (EuGH) am 16.07.2020 den EU-US Privacy Shield für unwirksam erklärt. Damit sind auch US-Anbieter von Videokonferenzsystemen – neben vielen anderen Diensten – betroffen. Für Nutzer besteht dringender Handlungsbedarf.
Prüfung durch die BlnBDI
Im Rahmen einer Kurzprüfung[1] untersuchte die BlnBDI schwerpunktmäßig die Gestaltung von Auftragsverarbeitungsverträgen (AVV) von Anbietern gehosteter Videokonferenzanwendungen. Eine technische Prüfung erfolgte nur bei wenigen Anbietern und dort auch eher kursorisch und punktuell. Da im Rahmen einer Videokonferenz regelmäßig personenbezogene Daten verarbeitet werden, sind die Vorgaben des Datenschutzrechts zu beachten. Grundsätzlich ist der Abschluss eines AVV nach Art. 28 Datenschutz-Grundverordnung (DS-GVO) erforderlich. Die BlnBDI weist ausdrücklich darauf hin, dass ihre Prüfung weder abschließend noch vollständig ist. Damit müssen Nutzer weiterhin selbst prüfen, ob ihre Dienstleister rechtmäßig beauftragt und deren Systeme genutzt werden dürfen.
Die Aufsichtsbehörde hat bei fast allen Anbietern gravierende Mängel in den bereitgestellten AVV gefunden. Aus ihrer Sicht gravierende Mängel – im Bericht rot gefärbt – wurden bspw. bei den AVV von Cisco WebEx (weniger Mängel bei Cisco WebEx über Telekom), Google Meet, GoToMeeting, Microsoft Teams, Skype und Zoom festgestellt.
Die BlnBDI nennt in ihrem Bericht die konkreten Mängel in den AVV. Es empfiehlt sich, die Mängel zu prüfen, inwieweit diese für die eigene Vertragsbeziehung mit dem jeweiligen Anbieter zum Tragen kommen. Je nachdem, welche Daten im Rahmen der Videokonferenz verarbeitet werden, können im Einzelfall Mängel auch weniger stark wiegen.
Aus den häufig genannten Mängeln in den AVV lassen sich Hinweise ablesen, welche Vertragsgestaltungen die BlnBDI als unvereinbar mit Art. 28 Abs. 1 bis 4 DS-GVO ansieht: Anbieter behält sich die Verarbeitung von Auftragsdaten zu eigenen Zwecken vor
- unklare Regelungen zu möglichen Datenexporten,
- unzulässige Einschränkungen des Weisungsrechts,
- unzulässige Datenexporte,
- unzulässig beschränkter Anwendungsbereich,
- unzulässige Einschränkungen der Löschpflicht.
Kritisch äußert sich die Aufsichtsbehörde auch zu Vertragsklauseln, die dem Auftraggeber die Kosten für die Mitwirkung des Auftragnehmers bei Kontrollen in jedem Fall aufbürden. Um das Kontrollrecht nicht durch eine Kostenschranke ins Leere laufen zu lassen, erwartet die BlnBDI eine Ausnahme von der Kostenübernahme bei „durch Vertragsverstöße erforderlich gewordenen Überprüfungen“. Ähnlich sieht es der bayrischen Landesdatenschutzbeauftragten[2].
Für nutzende Unternehmen der betroffenen Anbieter bedeutet das,
- entweder einen individuellen AVV, der die Mängel nicht aufweist, abzuschließen,
- den Anbieter zu wechseln oder
- selbst zu hosten.
Eine weitere Nutzung stellt einen Verstoß u. a. gegen Art. 28 DS-GVO dar, d. h. es besteht ein Bußgeldrisiko für das nutzende Unternehmen.
Für die einsetzenden Unternehmen bleibt zu beachten, dass sich diese Bewertung nur auf die „Papierlage“ der AVV bezieht. Es bleibt damit den einsetzenden Unternehmen selbst überlassen, die weiteren rechtlichen und technischen Fragen des Einsatzes zu bewerten.
EU-Datenschutzbeauftragter und Microsoft
Der europäische Datenschutzbeauftragte (EDPS), der als Aufsichtsbehörde die Institutionen der EU beaufsichtigt, hat die vertragliche Vereinbarung zwischen Microsoft und den Institutionen der EU geprüft[3]. Der EDPS prüfte auf Basis der Verordnung (EU) 2018/1725, die die DS-GVO für EU-Institutionen umsetzt. Insofern können Verstöße gegen die Verordnung (EU) 2018/1725 auch Verstöße gegen die DS-GVO bedeuten.
Für Unternehmen ist der Bericht insofern wichtig, um zu prüfen, ob die beanstandeten Regelungen auch in eigenen Verträgen mit Microsoft zu finden sind und ob gesetzliche Vorschriften verletzt werden.
Zu den vom EDPS festgestellten Mängeln zählen:
Das einseitige Recht von Microsoft die „Parameter seiner Verarbeitungsaktivitäten“ zu verändern, führe in Konsequenz dazu, dass Microsoft nicht als Auftragsverarbeiter, sondern als Verantwortlicher einzustufen sei. Für Unternehmen bedeutet dies, dass sie eine Rechtsgrundlage haben müssen, um personenbezogene Daten an Microsoft zu übermitteln. Eine solche Rechtsgrundlage besteht regelmäßig nicht, so dass in Konsequenz beispielsweise die Verarbeitung personenbezogener Daten mit von Microsoft gehosteten Produkten unzulässig ist.
Weitere Mängel sind die fehlende Kontrolle über die von Microsoft eingesetztenUnterauftragnehmer,
- die fehlende Kontrolle über den Ort der Datenspeicherung,
- unvollständige Informationen über die Zwecke und den Umfang der Verarbeitungstätigkeiten.
Datenströme in Drittstaaten
Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) geurteilt, dass der Privacy-Shield-Beschluss (EU) 2016/1250 ungültig ist (C-311/18). Damit verliert der Privacy Shield sofort seine Wirksamkeit und jeder Transfer personenbezogener Daten an einen Empfänger in den USA unter dem Privacy Shield wird unrechtmäßig und ordnungswidrig. Es gibt aus Sicht des EuGH keine Übergangsfrist. Grundsätzlich lässt sich ein Datentransfer in die USA auch auf die EU-Standardverträge stützen. Bei den Standardverträgen handelt es sich um feststehende, von der EU-Kommission bereitgestellte Vertragstexte mit wenigen zu füllenden Textfeldern, mit denen zwischen dem Datenexporteur und dem Empfänger im Drittland vertragliche Regelungen zur Einhaltung des nach dem Unionsrecht erforderlichen Schutzes der übermittelten Daten getroffen werden. Die Texte dürfen von den Parteien nicht verändert werden.
Aus dem Urteil ergeben sich allerdings neue Prüfpflichten beim Einsatz dieser EU-Standardverträge. Der Exporteur sollte sich vom Importeur bestätigen lassen, dass er in keiner Weise an der Erfüllung seiner Pflichten aus den Standardverträgen gehindert ist. Bestehende Hindernisse sind sodann durch zusätzliche vertragliche Vereinbarungen oder technische Maßnahmen zu beseitigen. Bei einem Importeur gilt zudem: Liegt das Hindernis im Rechtssystem, das den Importeur beispielsweise zur Herausgabe von Daten an lokale Behörden verpflichtet, ist grundsätzlich die für den Exporteur zuständige Datenschutzaufsichtsbehörde einzuschalten. Diese muss insbesondere weitere Maßnahmen vorschlagen oder den Export untersagen.
Der EuGH sieht die Datenschutzaufsichtsbehörden in der Pflicht, zu prüfen, ob z. B. das Rechtssystem in einem Drittstaat die Herstellung eines angemessenen Schutzniveaus durch Anwendung der EU-Standardverträge verhindert. Wenn das der Fall ist, muss der europäische Datenschutzausschuss generell die Anwendung der Standardverträge für diesen Drittstaat untersagen. Zum Redaktionsschluss lag ein solcher Beschluss nicht vor.
Der EuGH verweist in diesem Zusammenhang darauf, dass hiermit Übermittlungen in solche Drittstaaten nicht generell ausgeschlossen werden. So ließen sich neben den EU-Standardverträgen – wenig praktikabel, da insbesondere auf Einzelfälle beschränkt – weiter noch die Ausnahmen aus Art. 49 DS-GVO nutzen.
Dr. Niels Lepperhoff, Geschäftsführer der Xamit Bewertungsgesellschaft mbH und der DSZ Datenschutz Zertifizierungsgesellschaft mbH (einem Gemeinschaftsunternehmen des 1) BvD e. V. und der GDD e. V.)
[1] 1) BlnBDI (2020): Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten, Version 1.0 vom 3. Juli 2020
[2] ) Bayerischer Landesbeauftragter für den Datenschutz (2019): Auftragsverarbeitung Orientierungshilfe, S. 21
[3] ) EDPS (2020): Outcome of own-initiative investigation into EU institutions’ use of Microsoft products and services, 2 July 2020