Videokonferenzsysteme – sind die Vorgaben des Datenschutzes erfüllt?
Die Corona-Pandemie hat dazu geführt, dass insbesondere im Berufsalltag häufiger als bisher auf Videokonferenzsysteme zurückgegriffen wird. Sie stellen derzeit für viele Unternehmen ein wichtiges Werkzeug dar und werden genutzt, um einen geordneten Geschäftsbetrieb bestmöglich sicherzustellen.
Dabei war die Einführung solcher Systeme nicht selten eine Maßnahme, die leider ohne Beachtung der IT-Sicherheitsaspekte und der datenschutzrechtlichen Vorgaben stattfand. Dies war dem Umstand geschuldet, dass die Umstellung sehr kurzfristig und ungeplant, praktisch von heute auf morgen, erfolgen musste. In dieser Situation lag die Priorität eher darauf, arbeitsfähig zu bleiben. Die vollständige Einhaltung der gesetzlichen Rahmenbedingungen in Sachen Arbeitssicherheit oder Datenschutz war aus Sicht der Unternehmen zweitrangig. Daher wurde häufig die folgende Annahme getroffen: „Die großen Anbieter werden das Thema Datensicherheit und Datenschutz auf dem Schirm haben, also können wir uns erst einmal um andere, dringendere Dinge kümmern“.
Dieses Vorgehen greift jedoch zu kurz, denn die datenschutzrechtlichen Vorgaben der DSGVO gelten bedauerlicherweise nicht unmittelbar für die Produkthersteller und Diensteanbieter, sondern in erster Linie für die Verantwortlichen, also die Unternehmen, welche die Produkte einsetzen. Hierbei geht es insbesondere um die Erfüllung der Pflichten aus Art. 25 DSGVO hinsichtlich der Technikgestaltung (Privacy by Design) und der Voreinstellungen dieser Produkte (Privacy by Default), die Erfüllung der Informationspflichten gem. Artt. 12 ff. DSGVO (siehe auch unseren Online-Beitrag hier) sowie der weiteren datenschutzrechtlichen Bestimmungen. Insbesondere ist eine rechtskonforme Datenübermittlung in ein Drittland nur unter bestimmten Bedingungen möglich. Zudem werden oft die erforderlichen Einwilligungserklärungen nicht eingeholt.
Für die Verantwortlichen bedeutet das, dass sie sich vor dem Einsatz eines solchen Systems mit dem Thema Datensicherheit und Datenschutz intensiv auseinandersetzen müssen, um keine bösen Überraschungen zu erleben (z.B. Bußgelder, Schadensersatzansprüche betroffener Personen, Rufschäden, etc.).
Was hält die Datenschutzaufsicht von den gängigen Systemen?
Hierbei muss berücksichtigt werden, dass die Aufsichtsbehörden beim Thema Videokonferenzsysteme im Rahmen ihrer Einschätzung der einzelnen Anbieter sehr skeptisch oder gar ablehnend sind und den Einsatz einiger Systemen aus datenschutzrechtlicher Sicht schlicht für unzulässig halten. Bezüglich der einzelnen Anbieter wären die Feststellungen der Berliner Beauftragten für Datenschutz und Informationsfreiheut (BlnBfDI), die diese veröffentlicht hat, besonders interessant (vgl. die Hinweise und die Orientierungshilfe der BlnBfDI vom 03.07.2020).
Beim Blick in die Hinweise der BlnBfDI kann festgestellt werden, dass von den 17 untersuchten Systemen lediglich 5 bei der rechtlichen Bewertung die BlnBfDI überzeugten, wobei selbst diese Anbieter bei der technischen Umsetzung ihre Hausaufgaben zu erledigen hätten (vgl. jeweils die gelbe Ampel der BlnBfDI). Dabei zeigen häufig gerade die gängigsten Anbieter, deren Dienste und Tools sehr populär sind und sehr oft eingesetzt werden, nach Ansicht der BlnBfDI erhebliche Mängel.
Die BlnBfDI bemängelt insbesondere die folgenden Punkte:
- fehlende oder unzureichende Auftragsverarbeitungsverträge,
- unzulässige Einschränkungen des Weisungsrechts des Auftraggebers,
- unzulässigen Datenexporte bzw. unklare Regelungen diesbezüglich,
- Verarbeitung der Auftragsdaten durch den jeweiligen Dienstanbieter zu eigenen Zwecken ohne Einhaltung der datenschutzrechtlichen Vorgaben.
Nach unserer Auffassung ging die Berliner Aufsicht ausgesprochen streng vor und setzte bei ihrer Prüfung einen Maßstab an, der durchaus als teilweise überzogen angesehen werden könnte.
So nahm insbesondere Microsoft am 06.05.2020 und am 08.07.2020 zu den durch die BlnBfDI veröffentlichten Hinweisen und Vermerken Stellung und stellte insgesamt fest, dass der Einschätzung der BlnBfDI aus unterschiedlichen Gründen nicht gefolgt werde. Microsoft sieht die von der Aufsichtsbehörde definierten „grundlegenden Anforderungen“ als vollständig erfüllt sowie die unter „Risiken“ aufgeführten Vermerke als nicht bestehend an. Hierbei ist die Argumentation von Microsoft bzgl. der einzelnen Punkte, die die BlnBfDI hinsichtlich der Produkte des Unternehmens bemängelt, unseres Erachtens zumindest teilweise nachvollziehbar und überzeugend. Die Details können der Stellungnahme, die auf der Seite des Unternehmens veröffentlicht wurde, entnommen werden (vgl. die Stellungnahme von Microsoft hinsichtlich der Hinweise der BlnBfDI vom 03.07.2020).
Wenn man diese Argumentation auch auf die Produkte anderer Anbieter überträgt (soweit sich diese im Einzelfall übertragen lassen), würde die eine oder die andere Ampel in den behördlichen Hinweisen von rot ggf. auf gelb oder sogar auf grün schalten. Dies kann mit letzter Sicherheit jedoch nur im Rahmen eines Gerichtsverfahrens geklärt werden, so dass das Risiko eines Bußgelds und von Schadensersatzansprüchen beim Einsatz der in den Hinweisen und der Orientierungshilfe der Berliner Aufsicht als rot markierten Systeme vorerst bestehen bleibt.
Ist jetzt alles verboten oder gibt es auch einen Hoffnungsschimmer?
Zum Glück gibt es seitens der Behörden nicht nur die Auskunft, was nicht möglich und unzulässig ist, sondern auch Hilfestellungen, wie und welche Videokonferenzsysteme datenschutzkonform eingesetzt werden können und welche Aspekte bei der Auswahl eines solchen Systems insbesondere aus technischer Sicht (im Sinne der Datensicherheit) zu berücksichtigen wären.
Insbesondere hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Kompendium Videokonferenzsysteme veröffentlicht, welches an die Entscheider, Planer, Beschaffer, Betreiber, Administratoren, Auditoren und auch Endnutzer adressiert ist und ausführlich über die zu beachtenden Sicherheitsaspekte informiert. Das Kompendium des BSI beschreibt neben dem Funktionsumfang und dem technischen Aufbau moderner Videokonferenzsysteme unter anderem auch Aspekte der Planung sowie der Nutzung dieser Systeme. Zudem wird auf Basis der gewonnenen Erkenntnisse die Gefährdungslage analysiert. Daraus wiederum werden Sicherheitsanforderungen abgeleitet und Umsetzungsempfehlungen ausgesprochen. Die entwickelten Maßnahmen werden anhand von Beispielen veranschaulicht und es wird dargestellt, wie die Entscheider die entwickelten Sicherheitsanforderungen in ihre bestehenden Sicherheitskonzepte integrieren können. Abschließend widmet sich das Kompendium den Auswahlkriterien im Rahmen der Beschaffung einer Videokonferenzlösung.
Zudem informiert die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) in Form einer übersichtlichen FAQ-Liste über die allgemeinen Fragen, die zu ergreifenden technischen und organisatorischen Maßnahmen, sowie über die im Beschäftigtendatenschutz zu beachtenden Aspekte im Rahmen der Nutzung von Videokonferenzsystemen. So werden unter anderem folgende sehr wichtige Fragen beantwortet:
- Auf welche Rechtsgrundlage kann die Durchführung einer Videokonferenz gestützt werden?
- Welche datenschutzrechtlichen Pflichten hat ein Verantwortlicher, der eine Videokonferenz veranstaltet?
- Welche Auswirkungen hat das EuGH-Urteil vom 16.07.2020 in Sachen Facebook ./. Schrems auf die Durchführung von Videokonferenzen?
- Kann mein Arbeitgeber/meine Arbeitgeberin/meine Dienststelle mich zwingen, meine privaten Endgeräte zu nutzen, um Videokonferenzen durchzuführen?
- Muss für den Einsatz von Videokonferenzen eine Datenschutz-Folgenabschätzung durchgeführt werden?
Insbesondere hinsichtlich der Frage nach der Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) stellt die LfD Niedersachsen fest, dass im Rahmen der Prüfung, inwiefern eine DSFA durchgeführt werden muss, neben den behördlichen „Muss-Listen“ auch geprüft werden sollte, inwiefern die in den Leitlinien des Europäischen Datenschutzausschusses (ab Seite 10) aufgestellten neun Kriterien für ein voraussichtlich hohes Risiko erfüllt wären. Soweit zwei von insgesamt neun aufgestellten Kriterien erfüllt wären, wäre eine DSFA in den meisten Fällen obligatorisch.
Was aus Sicht der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) im Rahmen der Nutzung von Videokonferenzsystemen zu beachten wäre, beschreibt die DSK in einer aktuellen Orientierungshilfe. Darin erläutert sie datenschutzrechtliche Anforderungen an die Durchführung von Videokonferenzen durch Unternehmen, Behörden und andere Organisationen und bietet dabei eine praxistaugliche Hilfestellung für Verantwortliche. Neben der Beschreibung der Betriebsmodelle (selbst betriebener Dienst, Betrieb durch einen externen Dienstleister, Online-Dienst) werden jeweils unter Berücksichtigung des jeweiligen Betriebsmodells die rechtlichen Anforderungen unter anderem auch hinsichtlich der Rechtsgrundlage je nach Kategorie der betroffenen Personen und Umständen der Durchführung einer Videokonferenz dargestellt. Auch die technischen und organisatorischen Maßnahmen werden (unter Berücksichtigung verschiedener Risikoszenarien) erläutert.
Um im Rahmen der Einführung oder Nutzung von Videokonferenzsystemen keine wichtigen Punkte zu vergessen, die umzusetzen sind, empfiehlt es sich zudem insbesondere, die Praxishilfe XVI der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD e.V.) zu Rate zu ziehen. Diese beschreibt in einer knappen und übersichtlichen Form, wie die Systeme sicher und rechtskonform eingesetzt werden können. Die GDD-Praxishilfe stellt eine Checkliste bereit, welche die grundsätzlichen Anforderungen an Datenschutz und -sicherheit im Zusammenhang mit dem Einsatz der Videokonferenzsysteme veranschaulicht und einfaches „Abarbeiten“ der vorgestellten Kriterien ermöglicht. Insbesondere finden die Verantwortlichen in der GDD-Praxishilfe einen Anforderungskatalog an den Funktionsumfang der Systeme sowie Auswahlkriterien für einen geeigneten Anbieter unter besonderer Beachtung der Betroffenenrechte und der Anforderungen des Art. 25 DSGVO („Privacy-by-Design“ und „Privacy-by-Default“). Ebenfalls enthalten, sind Hinweise hinsichtlich der Erforderlichkeit der Durchführung einer DSFA sowie der Erforderlichkeit des Abschlusses eines Auftragsverarbeitungsvertrages mit dem Dienstanbieter, soweit es sich um einen externen Dienstleister handeln sollte. Zudem werden unter Berücksichtigung der aktuellen höchstrichterlichen Rechtsprechung auch diverse Aspekte der Drittlandproblematik und der Transparenzanforderungen beschrieben und Tipps zur Risikominimierung gegeben.
Fazit
Zusammenfassend kann festgehalten werden, dass der Einsatz von Videokonferenzsystemen nicht nur faktisch stattfinden, sondern auch entsprechend gut geplant und datenschutzkonform umgesetzt werden soll. Die zahlreichen technischen Lösungen, die in diesem Bereich existieren, machen das zum Glück möglich und können den Verantwortlichen viel Aufwand ersparen, sofern im Vorfeld die datenschutzrechtlichen Hausaufgaben gemacht werden.
Sie beabsichtigen, ein Videokonferenzsystem einzuführen oder betreiben dieses bereits und möchten die Nutzung des Systems datenschutzkonform gestalten? Sprechen Sie uns an, wir helfen Ihnen gerne!