Berliner Datenschutzbehörde überprüft Anbieter von Videokonferenztools

Dr. Carlo Piltz

Die Berliner Aufsichtsbehörde hat mehrere Anbieter von Videokonferenztools überprüft. Umfasst von dieser Überprüfung (PDF) waren auch die weitverbreiteten Dienste von Zoom, Google Meet, GoToMeeting und Cisco WebEx.

Die Behörde fokussierte ihre Prüfung zunächst auf die vertragliche Ebene, nämlich den Abschluss von datenschutzkonformen Auftragsverarbeitungsverträgen, die den Anforderungen des Art. 28 DSGVO genügen. Die Aufsichtsbehörde stellte diesbezüglich bei den verschiedenen Anbietern diverse Mängel fest.

So wurde etwa gerügt, dass darauf zu achten sei, dass der Auftragsverarbeitungsvertrag im Falle eines Online-Vertragsschlusses auch wirksam in den Hauptdienstvertrag einbezogen wird. Weiterhin wurden Mängel in der Weisungsgebundenheit der Anbieter gesehen, wonach die Anbieter die Daten nicht zu eigenen Zwecken oder Zwecken Dritter verarbeiten dürfen. Verantwortliche (also die Kunden der Anbieter) müssen zudem die Möglichkeit haben, die technischen und organisatorischen Maßnahmen der Anbieter auch im Zuge von Vor-Ort-Überprüfungen kontrollieren zu können. Diese Möglichkeit ist nach Feststellung der Aufsichtsbehörde nur in wenigen Fällen tatsächlich gegeben. Die Bereitstellung entsprechender Nachweise über die Einhaltung angemessener technischer und organisatorischer Maßnahmen muss alle erforderlichen Informationen umfassen und darf nicht etwa auf bestimmte für den vollständigen Nachweis nicht ausreichende Dokumente beschränkt werden. Ebenso darf das Kontrollrecht nicht etwa auf die Anforderung von oder die Einsicht in Unterlagen beschränkt werden. In ganz besonderen Ausnahmefällen muss auch eine unangekündigte Vor-Ort-Kontrolle möglich sein. Jedenfalls für Überprüfungen, die wegen Verstößen der Anbieter gegen ihre Pflichten erforderlich werden, muss eine Kostentragungspflicht der Verantwortlichen ausgeschlossen sein, da sonst das Überprüfungsrecht faktisch entwertet würde.

Weiterhin würden häufig auch Subunternehmer von den Anbietern eingesetzt, die ihren Sitz in Ländern außerhalb der EU und EWR haben. Insbesondere unter Berücksichtigung des kurz nach der Überprüfung ergangenen Urteils des Europäischen Gerichtshofs „Schrems II“ (EuGH, Urteil vom 16.07.2020 – C-311/18) sei die Sicherstellung einer adäquaten Rechtsgrundlage für die Drittlandsübermittlung und die Gewährleistung eines angemessenen Datenschutzniveaus nicht in allen Fällen gegeben. Zudem war die Benennung von Subunternehmen bisweilen zu vage formuliert. Pauschale Bezeichnungen wie „verbundene Unternehmen“ oder eine Angabe ohne vollständigen Namen inkl. Rechtsform und Anschrift wurden nicht als ausreichend angesehen.

Von insgesamt 17 überprüften Anbietern wurden nur fünf als datenschutzrechtlich unbedenklich bewertet.

Unternehmen sollten daher nach Möglichkeit prüfen, ob sie einen von der Aufsichtsbehörde geprüften Dienst nutzen und welche Änderungen an dem bestehenden Vertrag erforderlich sein könnten.

[August 2020]