Ber­li­ner Daten­schutz­auf­sicht: Stel­lung­nah­me und Check­lis­te zum Daten­schutz bei Videokonferenzen

Dienst­leis­tun­gen von Micro­soft (insb. Teams und Sky­pe) sowie Zoom sind nicht datenschutzgerecht

Die Ber­li­ner Daten­schutz­be­hör­de hat sich im Rah­men ihrer Infor­ma­tio­nen zum Daten­schutz wäh­rend der Corona-Pandemie in einer Stel­lung­nah­me und einer Check­lis­te (PDF), die bei­de nach den Meta­da­ten der Doku­men­te auf den 08.04.2020 datie­ren, zum Daten­schutz bei Video­kon­fe­ren­zen geäu­ßert. Die­se Initia­ti­ve der Behör­de ist, ins­be­son­de­re wegen der ent­hal­te­nen kon­kre­ten Vor­ga­ben, zu begrü­ßen. Die Fest­stel­lung der Behör­de, dass Dienst­leis­tun­gen von Micro­soft, nament­lich Teams und Sky­pe, sowie die Video­kon­fe­renz­soft­ware Zoom ihrer Auf­fas­sung nach nicht daten­schutz­ge­recht ein­setz­bar sind, erscheint indes diskutabel.

Grund­le­gen­de Anfor­de­run­gen und Emp­feh­lun­gen der Behörde

Die Ber­li­ner Daten­schutz­be­hör­de ver­folgt mit ihrer Stel­lung­nah­me das Ziel, Risi­ken für betrof­fe­ne Per­so­nen bei Video­kon­fe­ren­zen zu ver­mei­den oder wenigs­tens zu mini­mie­ren. Gleich­zei­tig drängt sie dar­auf, auf­grund der aktu­el­len Situa­ti­on, kurz­fris­tig ein­ge­setz­te nicht daten­schutz­kon­for­me Lösun­gen durch daten­schutz­ge­rech­te zu erset­zen. Inhal­tich gibt die Behör­de dazu zunächst die Emp­feh­lung ab, Video­te­le­fo­nie und Video­kon­fe­ren­zen aus­schließ­lich auf ver­schlüs­sel­tem Wege durch­zu­füh­ren. Die­ser Hin­weis kann, obwohl die Ver­schlüs­se­lung von Daten nach Art. 32 Abs. 1 lit. a) DSGVO nur eine mög­li­che Maß­nah­me zum tech­ni­schen Daten­schutz ist, als sinn­voll bewer­tet wer­den. Eine Kon­kre­ti­sie­rung zu der Ver­schlüs­se­lungs­tie­fe oder der Art (z. B. Transport- und/oder Inhalts­ver­schlüs­se­lung) erfolgt nicht.

Eine wei­te­re Emp­feh­lung gibt die Behör­de für Lösun­gen ab, die durch den Ver­ant­wort­li­chen selbst betrie­ben wer­den (self-hosted). Für vie­le Unter­neh­men dürf­te eine sol­che Lösung aber wegen des enor­men Auf­wands unrea­lis­tisch sein. Dies erkennt auch die Auf­sichts­be­hör­de und eröff­net daher die Mög­lich­keit, einen zuver­läs­si­gen Dienst­leis­ter im Wege der Auf­trags­ver­ar­bei­tung zu beauf­tra­gen. Die­se Auf­fas­sung ist grund­sätz­lich zu begrü­ßen. Dass die Auf­sichts­be­hör­de direkt auf eine Auf­trags­ver­ar­bei­tung abstellt, ver­wun­dert jedoch. So ist eben­so denk­bar, dass durch die Ver­wen­dung einer Ver­schlüs­se­lung die Anwen­dung der DSGVO für den Video­di­enst­an­bie­ter aus­ge­schlos­sen wird, weil die­ser kei­ne Mög­lich­keit zum Zugriff auf die per­so­nen­be­zo­ge­nen Daten hat. Des Wei­te­ren kommt auch eine eige­ne Ver­ant­wort­lich­keit des Video­di­enst­an­bie­ters in Betracht, wenn die­ser im Rah­men des Diens­tes über die Mit­tel, vor allem aber über die Zwe­cke der Daten­ver­ar­bei­tung ent­schei­det. Auch Misch­kon­stel­la­tio­nen sind hier denk­bar und vom jewei­li­gen Ein­zel­fall abhängig.

Hin­sicht­lich des Diens­te­an­bie­ters akzep­tiert die Auf­sichts­be­hör­de neben Anbie­tern aus der EU oder der euro­päi­schen Frei­han­dels­zo­ne (EFTA) aus­drück­lich auch sol­che in Dritt­staa­ten, wenn die­se ein gleich­wer­ti­ges Daten­schutz­ni­veau auf­wei­sen. Neben der Mög­lich­keit einer Fest­stel­lung der Gleich­wer­tig­keit des Schutz­ni­veaus für per­so­nen­be­zo­ge­ne Daten durch die EU-Kommission ver­weist die Behör­de hier zu Recht auch auf den Ein­satz von Stan­dard­ver­trags­klau­seln. In der Pra­xis dürf­te in die­sem Zusam­men­hang ins­be­son­de­re der Ange­mes­sen­heits­be­schluss der EU-Kommission für eine Über­mitt­lung an US-Verantwortliche, die sich dem EU-US Privacy-Shield unter­wor­fen haben, von Bedeu­tung sein. Das EU-US Privacy-Shield ist – trotz eini­ger Kri­tik durch die Daten­schutz­auf­sicht am tat­säch­lich gewähr­leis­te­ten Schutz­ni­veau – nach wie vor eine wich­ti­ge und gel­ten­de Grund­la­ge für die Daten­über­mitt­lung in die USA und genügt den gesetz­li­chen Anforderungen.

Die wei­te­ren Aus­füh­run­gen der Auf­sichts­be­hör­de erschei­nen weni­ger strin­gent an der gel­ten­den Rechts­la­ge ori­en­tiert. So emp­fiehlt die Daten­schutz­auf­sicht für Fäl­le der Ver­ar­bei­tung von sen­si­blen Daten, in denen eine Kennt­nis­nah­me der über­mit­tel­ten Audio- und Video­da­ten durch den Anbie­ter nicht aus­ge­schlos­sen wer­den kann, nur Anbie­ter in der EU oder der EFTA zu ver­wen­den. Eine sol­che Unter­schei­dung hin­sicht­lich des Anbie­ter­stand­orts fin­det sich in den Art. 44 ff. DSGVO, die – wie auf­ge­zeigt – auf das Daten­schutz­ni­veau abstel­len, aller­dings nicht. Recht­lich ver­bind­lich wird die­se Emp­feh­lung folg­lich wohl nicht gemeint sein.

Die Risi­ken der Datenverarbeitung

In der Stel­lung­nah­me äußert sich die Auf­sichts­be­hör­de auch zum Risi­ko bei Video­kon­fe­ren­zen und ver­or­tet die­ses bei einem unbe­fug­ten Mit­hö­ren oder Auf­zeich­nen sowie einer wei­te­ren Aus­wer­tung der Inhal­te. Hier könn­ten sich – so die Daten­schutz­auf­sicht – Nach­tei­le für die Per­so­nen, die an der Video­kon­fe­renz teil­ge­nom­men haben oder über die gespro­chen wur­de, erge­ben. Die­ses Risi­ko sieht die Behör­de jedoch nicht nur bei einem Mit­schnitt durch Drit­te ver­wirk­licht, son­dern auch beim Betrei­ber des Video­sys­tems. Kann die­ser also nicht mit­tels Ver­schlüs­se­lung auf­ge­sperrt wer­den, so die Logik der Behör­de, könn­te er – und wenn auch nur zu Ana­ly­se­zwe­cken – einen Mit­schnitt anfer­ti­gen. Als wei­te­res Argu­ment für das Vor­lie­gen eines sol­chen Risi­kos führt die Behör­de das Fern­mel­de­ge­heim­nis an. Dazu stellt sie sach­lich rich­tig fest, dass die­ses – zumin­dest bis­her – nicht für Video­di­enst­an­bie­ter gilt, da die­se kei­ne Tele­kom­mu­ni­ka­ti­ons­diens­te anbie­ten, son­dern als sog. Over-the-Top-Anbieter fun­gie­ren. Ein Argu­ment gegen eine Inan­spruch­nah­me von Video­diens­ten folgt dar­aus jedoch nicht. Inso­weit räumt daher auch die Auf­sichts­be­hör­de ein, dass die­ses Risi­ko durch eine ver­trag­li­che Rege­lung, wie z.B. einen Ver­trag zur Auf­trags­ver­ar­bei­tung, erheb­lich mini­miert wer­den kann. Aller­dings erscheint die Ansicht der Behör­de, dass ein Mit­schnitt zur Ver­bes­se­rung des Diens­tes per se unzu­läs­sig ist, ohne­hin wenig über­zeu­gend. Zunächst ist der Zweck, den eige­nen Dienst zu ver­bes­sern oder wei­ter­zu­ent­wi­ckeln, legi­tim und kann sogar dem Inter­es­se des Nut­zers ent­spre­chen. In recht­li­cher Hin­sicht kommt damit unter ande­rem ein berech­tig­tes Inter­es­se zur Ver­bes­se­rung des Diens­tes nach Art. 6 Abs. 1 lit. f) DSGVO, aber auch eine Ein­wil­li­gung nach Art. 6 Abs. 1 lit. a) DSGVO durch den Nut­zer in Betracht. Im Zusam­men­hang mit Anbie­tern, die ihren Sitz außer­halb von der EU und der EFTA haben, sieht die Behör­de dann auch das vage Risi­ko, dass ein Ver­trag zur Auf­trags­ver­ar­bei­tung oder ande­re ver­trag­li­che Rege­lun­gen in einer frem­den Rechts­ord­nung durch­ge­setzt wer­den müss­ten und rät zur voll­stän­di­gen Ver­ein­ba­rung der Stan­dard­ver­trags­klau­seln. Dar­auf, dass die­se nicht die ein­zi­ge Rechts­grund­la­ge für eine DSGVO-konforme Über­mitt­lung in Dritt­staa­ten sind, geht die Behör­de an die­ser Stel­le nicht wei­ter ein.

Die Emp­feh­lun­gen der Behörde

Inner­halb ihrer Emp­feh­lun­gen rät die Ber­li­ner Daten­schutz­auf­sicht zunächst dazu, statt Video­kon­fe­ren­zen auf Tele­fon­kon­fe­ren­zen zurück­zu­grei­fen, sofern dies mög­lich ist. Die­se sei­en, so die Auf­sichts­be­hör­de, „sehr viel leich­ter daten­schutz­ge­recht“ durch­zu­füh­ren. Unab­hän­gig von der Fra­ge, ob dies tat­säch­lich der Fall ist, dürf­te der Rat­schlag für vie­le Unter­neh­men aber auch prak­tisch kaum hilf­reich sein. Die Nut­zung einer Video­kon­fe­renz­soft­ware, z.B. mit Mög­lich­kei­ten zur Mode­ra­ti­on oder zum Tei­len des eige­nen Bild­schirms, bie­tet eben ganz ande­re Mög­lich­kei­ten des kol­la­bo­ra­ti­ven Arbei­tens. Dar­über hin­aus gibt die Auf­sichts­be­hör­de Hin­wei­se zu Lösun­gen, die selbst betrie­ben wer­den und sol­che von euro­päi­schen Anbie­tern, ohne jedoch, wie zuletzt der Lan­des­da­ten­schutz­be­auf­trag­te von Baden-Württemberg, kon­kre­te Pro­duk­te zu nennen.

Fest­stel­lun­gen zu Dienst­leis­tun­gen von Micro­soft und Zoom

Sodann kommt die Behör­de noch ein­mal auf „außer­eu­ro­päi­sche Dienst­leis­ter“ zu spre­chen, erwähnt aber nur Anbie­ter aus den USA. Hier­zu stellt sie fest, dass das oben dar­ge­stell­te Risi­ko von Mit­schnit­ten auch bei sol­chen Anbie­tern bestün­de, die zwar einen euro­päi­schen ver­trag­li­chen Ansprech­part­ner haben, aber einen wesent­li­chen Teil der Dienst­leis­tung durch außer­eu­ro­päi­sche Dienst­leis­ter der glei­chen Unter­neh­mens­grup­pe erbrin­gen. Die­ses Risi­ko müs­se durch geson­der­te Garan­tien ver­min­dert wer­den, was jedoch häu­fig nicht der Fall sei. Dazu stellt die Behör­de wört­lich fest:

“Pro­mi­nen­tes Bei­spiel sind die Dienst­leis­tun­gen der Unter­neh­mens­grup­pe von Micro­soft Cor­po­ra­ti­on (z. B. Micro­soft Teams) ein­schließ­lich sei­ner Toch­ter Sky­pe Com­mu­ni­ca­ti­ons SARL mit Sitz in Luxem­burg (mit dem gleich­na­mi­gen Produkt)”.

Wie die Auf­sichts­be­hör­de zu der Erkennt­nis gelangt, dass einer­seits ein nen­nens­wer­tes Risi­ko einer Nicht­ein­hal­tung von ver­trag­li­chen Ver­ein­ba­run­gen durch Micro­soft besteht und ande­rer­seits eine Durch­set­zung etwa­iger Ansprü­che oder ver­trag­li­cher Rech­te in den USA aus­ge­schlos­sen ist, the­ma­ti­siert die Auf­sichts­be­hör­de nicht. Auch nicht näher erwähnt wird das Data-Residency-Modell von Micro­soft, wel­ches für deut­sche Kun­den von Micro­soft Teams und Sky­pe for Busi­ness aus­drück­lich eine Spei­che­rung in Deutsch­land vor­sieht. Berück­sich­tigt man die­se Aspek­te, erscheint der Schluss der Behör­de hin­sicht­lich der Risi­ko­mi­ni­mie­rung jedoch kei­nes­wegs zwingend.

Die genann­ten Risi­ken bei außer­eu­ro­päi­schen Dienst­leis­tern sieht die Auf­sichts­be­hör­de auch bei einem direk­ten Ver­trags­schluss mit die­sen Anbie­tern. Auch hier sei­en zur Bewäl­ti­gung des durch die Über­mitt­lung in ein Dritt­land ent­ste­hen­den Risi­kos zusätz­li­che recht­li­che Garan­tien not­wen­dig. Bei der Zoom Video Com­mu­ni­ca­ti­ons Inc., so die Behör­de, sei dies jeden­falls mit Stand vom 02.04.2020 nicht der Fall. Genaue­re Grün­de für die Ent­schei­dung nennt die Behör­de an die­ser Stel­le nicht. Aller­dings lässt sich einer Pres­se­mit­tei­lung der Behör­de vom 31.03.2020 (PDF) ent­neh­men:

“Ach­tung: Es gibt Diens­te­an­bie­ter aus den USA mit gro­ßen Markt­an­tei­len, die die­se Anfor­de­rung nicht erfül­len, weil sie sich nicht aus­rei­chend regis­triert oder die Stan­dard­ver­trags­klau­seln nur in geän­der­ter Form anbie­ten. Ein Bei­spiel ist bei Redak­ti­ons­schluss Zoom Voice Com­mu­ni­ca­ti­ons, Inc.”

Auch hier­aus lässt sich jedoch nicht ent­neh­men, aus wel­chen Grün­den die Ber­li­ner Auf­sichts­be­hör­de die Regis­trie­rung von Zoom unter dem EU-US Privacy-Shield für unzu­rei­chend hält. Eben­so wenig ist ersicht­lich, wel­che Män­gel die Behör­de bei den von Zoom (PDF) ein­ge­setz­ten Stan­dard­ver­trags­klau­seln erkennt. Bei­de Infor­ma­tio­nen wären für Ver­ant­wort­li­che jedoch sehr nütz­lich, da eine Anwei­sung an Zoom im Rah­men des Ver­tra­ges zur Auf­trags­ver­ar­bei­tung sonst nicht mög­lich ist.

Fazit

Aus den ver­öf­fent­li­chen Doku­men­ten wird deut­lich, dass die Ber­li­ner Daten­schutz­be­hör­de Dienst­lei­tun­gen von Micro­soft, nament­lich Teams und Sky­pe, sowie die Video­kon­fe­renz­lö­sung von Zoom (letz­tes mit Stand vom 02.04.2020) für nicht daten­schutz­ge­recht hält. Dies stellt die Behör­de in ihrer ver­öf­fent­lich­ten Check­lis­te noch ein­mal aus­drück­lich klar. Dort heißt es:

“Wir wei­sen dar­auf hin, dass eini­ge ver­brei­tet ein­ge­setz­te Anbie­ter die auf­ge­führ­ten Bedin­gun­gen nicht erfül­len, dar­un­ter Micro­soft, Sky­pe Com­mu­ni­ca­ti­ons und Zoom Video Communications.”

Da die Behör­de jedoch die recht­li­chen Anfor­de­run­gen an den Ein­satz von Video­kon­fe­renz­lö­sun­gen mit ihren Emp­feh­lun­gen ver­mischt, erscheint der Schluss, dass aus Sicht der Behör­de auch ein Geset­zes­ver­stoß vor­liegt, unse­res Erach­tens nicht zwin­gend. Für die­se Auf­fas­sung spricht, dass die Behör­de ledig­lich davon spricht, dass die Diens­te ersetzt wer­den “soll­ten” und gera­de nicht ersetzt wer­den “müs­sen” und kei­ne kon­kre­ten Män­gel benennt. Gleich­wohl soll­ten Ver­ant­wort­li­che, wel­che die genann­ten Diens­te ein­set­zen, wach­sam blei­ben. Sowohl Stel­lung­nah­men der betrof­fe­nen Unter­neh­men als auch Ergän­zun­gen der Ber­li­ner Daten­schutz­auf­sicht könn­ten wei­te­re Klar­heit bringen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.