Dienstleistungen von Microsoft (insb. Teams und Skype) sowie Zoom sind nicht datenschutzgerecht
Die Berliner Datenschutzbehörde hat sich im Rahmen ihrer Informationen zum Datenschutz während der Corona-Pandemie in einer Stellungnahme und einer Checkliste (PDF), die beide nach den Metadaten der Dokumente auf den 08.04.2020 datieren, zum Datenschutz bei Videokonferenzen geäußert. Diese Initiative der Behörde ist, insbesondere wegen der enthaltenen konkreten Vorgaben, zu begrüßen. Die Feststellung der Behörde, dass Dienstleistungen von Microsoft, namentlich Teams und Skype, sowie die Videokonferenzsoftware Zoom ihrer Auffassung nach nicht datenschutzgerecht einsetzbar sind, erscheint indes diskutabel.
Grundlegende Anforderungen und Empfehlungen der Behörde
Die Berliner Datenschutzbehörde verfolgt mit ihrer Stellungnahme das Ziel, Risiken für betroffene Personen bei Videokonferenzen zu vermeiden oder wenigstens zu minimieren. Gleichzeitig drängt sie darauf, aufgrund der aktuellen Situation, kurzfristig eingesetzte nicht datenschutzkonforme Lösungen durch datenschutzgerechte zu ersetzen. Inhaltich gibt die Behörde dazu zunächst die Empfehlung ab, Videotelefonie und Videokonferenzen ausschließlich auf verschlüsseltem Wege durchzuführen. Dieser Hinweis kann, obwohl die Verschlüsselung von Daten nach Art. 32 Abs. 1 lit. a) DSGVO nur eine mögliche Maßnahme zum technischen Datenschutz ist, als sinnvoll bewertet werden. Eine Konkretisierung zu der Verschlüsselungstiefe oder der Art (z. B. Transport- und/oder Inhaltsverschlüsselung) erfolgt nicht.
Eine weitere Empfehlung gibt die Behörde für Lösungen ab, die durch den Verantwortlichen selbst betrieben werden (self-hosted). Für viele Unternehmen dürfte eine solche Lösung aber wegen des enormen Aufwands unrealistisch sein. Dies erkennt auch die Aufsichtsbehörde und eröffnet daher die Möglichkeit, einen zuverlässigen Dienstleister im Wege der Auftragsverarbeitung zu beauftragen. Diese Auffassung ist grundsätzlich zu begrüßen. Dass die Aufsichtsbehörde direkt auf eine Auftragsverarbeitung abstellt, verwundert jedoch. So ist ebenso denkbar, dass durch die Verwendung einer Verschlüsselung die Anwendung der DSGVO für den Videodienstanbieter ausgeschlossen wird, weil dieser keine Möglichkeit zum Zugriff auf die personenbezogenen Daten hat. Des Weiteren kommt auch eine eigene Verantwortlichkeit des Videodienstanbieters in Betracht, wenn dieser im Rahmen des Dienstes über die Mittel, vor allem aber über die Zwecke der Datenverarbeitung entscheidet. Auch Mischkonstellationen sind hier denkbar und vom jeweiligen Einzelfall abhängig.
Hinsichtlich des Diensteanbieters akzeptiert die Aufsichtsbehörde neben Anbietern aus der EU oder der europäischen Freihandelszone (EFTA) ausdrücklich auch solche in Drittstaaten, wenn diese ein gleichwertiges Datenschutzniveau aufweisen. Neben der Möglichkeit einer Feststellung der Gleichwertigkeit des Schutzniveaus für personenbezogene Daten durch die EU-Kommission verweist die Behörde hier zu Recht auch auf den Einsatz von Standardvertragsklauseln. In der Praxis dürfte in diesem Zusammenhang insbesondere der Angemessenheitsbeschluss der EU-Kommission für eine Übermittlung an US-Verantwortliche, die sich dem EU-US Privacy-Shield unterworfen haben, von Bedeutung sein. Das EU-US Privacy-Shield ist – trotz einiger Kritik durch die Datenschutzaufsicht am tatsächlich gewährleisteten Schutzniveau – nach wie vor eine wichtige und geltende Grundlage für die Datenübermittlung in die USA und genügt den gesetzlichen Anforderungen.
Die weiteren Ausführungen der Aufsichtsbehörde erscheinen weniger stringent an der geltenden Rechtslage orientiert. So empfiehlt die Datenschutzaufsicht für Fälle der Verarbeitung von sensiblen Daten, in denen eine Kenntnisnahme der übermittelten Audio- und Videodaten durch den Anbieter nicht ausgeschlossen werden kann, nur Anbieter in der EU oder der EFTA zu verwenden. Eine solche Unterscheidung hinsichtlich des Anbieterstandorts findet sich in den Art. 44 ff. DSGVO, die – wie aufgezeigt – auf das Datenschutzniveau abstellen, allerdings nicht. Rechtlich verbindlich wird diese Empfehlung folglich wohl nicht gemeint sein.
Die Risiken der Datenverarbeitung
In der Stellungnahme äußert sich die Aufsichtsbehörde auch zum Risiko bei Videokonferenzen und verortet dieses bei einem unbefugten Mithören oder Aufzeichnen sowie einer weiteren Auswertung der Inhalte. Hier könnten sich – so die Datenschutzaufsicht – Nachteile für die Personen, die an der Videokonferenz teilgenommen haben oder über die gesprochen wurde, ergeben. Dieses Risiko sieht die Behörde jedoch nicht nur bei einem Mitschnitt durch Dritte verwirklicht, sondern auch beim Betreiber des Videosystems. Kann dieser also nicht mittels Verschlüsselung aufgesperrt werden, so die Logik der Behörde, könnte er – und wenn auch nur zu Analysezwecken – einen Mitschnitt anfertigen. Als weiteres Argument für das Vorliegen eines solchen Risikos führt die Behörde das Fernmeldegeheimnis an. Dazu stellt sie sachlich richtig fest, dass dieses – zumindest bisher – nicht für Videodienstanbieter gilt, da diese keine Telekommunikationsdienste anbieten, sondern als sog. Over-the-Top-Anbieter fungieren. Ein Argument gegen eine Inanspruchnahme von Videodiensten folgt daraus jedoch nicht. Insoweit räumt daher auch die Aufsichtsbehörde ein, dass dieses Risiko durch eine vertragliche Regelung, wie z.B. einen Vertrag zur Auftragsverarbeitung, erheblich minimiert werden kann. Allerdings erscheint die Ansicht der Behörde, dass ein Mitschnitt zur Verbesserung des Dienstes per se unzulässig ist, ohnehin wenig überzeugend. Zunächst ist der Zweck, den eigenen Dienst zu verbessern oder weiterzuentwickeln, legitim und kann sogar dem Interesse des Nutzers entsprechen. In rechtlicher Hinsicht kommt damit unter anderem ein berechtigtes Interesse zur Verbesserung des Dienstes nach Art. 6 Abs. 1 lit. f) DSGVO, aber auch eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO durch den Nutzer in Betracht. Im Zusammenhang mit Anbietern, die ihren Sitz außerhalb von der EU und der EFTA haben, sieht die Behörde dann auch das vage Risiko, dass ein Vertrag zur Auftragsverarbeitung oder andere vertragliche Regelungen in einer fremden Rechtsordnung durchgesetzt werden müssten und rät zur vollständigen Vereinbarung der Standardvertragsklauseln. Darauf, dass diese nicht die einzige Rechtsgrundlage für eine DSGVO-konforme Übermittlung in Drittstaaten sind, geht die Behörde an dieser Stelle nicht weiter ein.
Die Empfehlungen der Behörde
Innerhalb ihrer Empfehlungen rät die Berliner Datenschutzaufsicht zunächst dazu, statt Videokonferenzen auf Telefonkonferenzen zurückzugreifen, sofern dies möglich ist. Diese seien, so die Aufsichtsbehörde, „sehr viel leichter datenschutzgerecht“ durchzuführen. Unabhängig von der Frage, ob dies tatsächlich der Fall ist, dürfte der Ratschlag für viele Unternehmen aber auch praktisch kaum hilfreich sein. Die Nutzung einer Videokonferenzsoftware, z.B. mit Möglichkeiten zur Moderation oder zum Teilen des eigenen Bildschirms, bietet eben ganz andere Möglichkeiten des kollaborativen Arbeitens. Darüber hinaus gibt die Aufsichtsbehörde Hinweise zu Lösungen, die selbst betrieben werden und solche von europäischen Anbietern, ohne jedoch, wie zuletzt der Landesdatenschutzbeauftragte von Baden-Württemberg, konkrete Produkte zu nennen.
Feststellungen zu Dienstleistungen von Microsoft und Zoom
Sodann kommt die Behörde noch einmal auf „außereuropäische Dienstleister“ zu sprechen, erwähnt aber nur Anbieter aus den USA. Hierzu stellt sie fest, dass das oben dargestellte Risiko von Mitschnitten auch bei solchen Anbietern bestünde, die zwar einen europäischen vertraglichen Ansprechpartner haben, aber einen wesentlichen Teil der Dienstleistung durch außereuropäische Dienstleister der gleichen Unternehmensgruppe erbringen. Dieses Risiko müsse durch gesonderte Garantien vermindert werden, was jedoch häufig nicht der Fall sei. Dazu stellt die Behörde wörtlich fest:
“Prominentes Beispiel sind die Dienstleistungen der Unternehmensgruppe von Microsoft Corporation (z. B. Microsoft Teams) einschließlich seiner Tochter Skype Communications SARL mit Sitz in Luxemburg (mit dem gleichnamigen Produkt)”.
Wie die Aufsichtsbehörde zu der Erkenntnis gelangt, dass einerseits ein nennenswertes Risiko einer Nichteinhaltung von vertraglichen Vereinbarungen durch Microsoft besteht und andererseits eine Durchsetzung etwaiger Ansprüche oder vertraglicher Rechte in den USA ausgeschlossen ist, thematisiert die Aufsichtsbehörde nicht. Auch nicht näher erwähnt wird das Data-Residency-Modell von Microsoft, welches für deutsche Kunden von Microsoft Teams und Skype for Business ausdrücklich eine Speicherung in Deutschland vorsieht. Berücksichtigt man diese Aspekte, erscheint der Schluss der Behörde hinsichtlich der Risikominimierung jedoch keineswegs zwingend.
Die genannten Risiken bei außereuropäischen Dienstleistern sieht die Aufsichtsbehörde auch bei einem direkten Vertragsschluss mit diesen Anbietern. Auch hier seien zur Bewältigung des durch die Übermittlung in ein Drittland entstehenden Risikos zusätzliche rechtliche Garantien notwendig. Bei der Zoom Video Communications Inc., so die Behörde, sei dies jedenfalls mit Stand vom 02.04.2020 nicht der Fall. Genauere Gründe für die Entscheidung nennt die Behörde an dieser Stelle nicht. Allerdings lässt sich einer Pressemitteilung der Behörde vom 31.03.2020 (PDF) entnehmen:
“Achtung: Es gibt Diensteanbieter aus den USA mit großen Marktanteilen, die diese Anforderung nicht erfüllen, weil sie sich nicht ausreichend registriert oder die Standardvertragsklauseln nur in geänderter Form anbieten. Ein Beispiel ist bei Redaktionsschluss Zoom Voice Communications, Inc.”
Auch hieraus lässt sich jedoch nicht entnehmen, aus welchen Gründen die Berliner Aufsichtsbehörde die Registrierung von Zoom unter dem EU-US Privacy-Shield für unzureichend hält. Ebenso wenig ist ersichtlich, welche Mängel die Behörde bei den von Zoom (PDF) eingesetzten Standardvertragsklauseln erkennt. Beide Informationen wären für Verantwortliche jedoch sehr nützlich, da eine Anweisung an Zoom im Rahmen des Vertrages zur Auftragsverarbeitung sonst nicht möglich ist.
Fazit
Aus den veröffentlichen Dokumenten wird deutlich, dass die Berliner Datenschutzbehörde Dienstleitungen von Microsoft, namentlich Teams und Skype, sowie die Videokonferenzlösung von Zoom (letztes mit Stand vom 02.04.2020) für nicht datenschutzgerecht hält. Dies stellt die Behörde in ihrer veröffentlichten Checkliste noch einmal ausdrücklich klar. Dort heißt es:
“Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter die aufgeführten Bedingungen nicht erfüllen, darunter Microsoft, Skype Communications und Zoom Video Communications.”
Da die Behörde jedoch die rechtlichen Anforderungen an den Einsatz von Videokonferenzlösungen mit ihren Empfehlungen vermischt, erscheint der Schluss, dass aus Sicht der Behörde auch ein Gesetzesverstoß vorliegt, unseres Erachtens nicht zwingend. Für diese Auffassung spricht, dass die Behörde lediglich davon spricht, dass die Dienste ersetzt werden “sollten” und gerade nicht ersetzt werden “müssen” und keine konkreten Mängel benennt. Gleichwohl sollten Verantwortliche, welche die genannten Dienste einsetzen, wachsam bleiben. Sowohl Stellungnahmen der betroffenen Unternehmen als auch Ergänzungen der Berliner Datenschutzaufsicht könnten weitere Klarheit bringen.
zurück