DAS NEUE TTDSG UND VIDEOKONFERENZDIENSTE

Das TTDSG heißt eigentlich „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) und soll am 01.12.2021 in Kraft treten. Bereits in unseren Beiträgen aus Dezember 2020 sowie Mai 2021 haben wir über die wesentlichen Inhalte des damaligen Gesetzesentwurfes berichtet. Dieser Blogbeitrag soll nun zur Information über das verabschiedete Gesetz dienen und zentrale Aspekte, insbesondere im Hinblick auf Videokonferenzdienste, kurz darstellen.


BRAUCHEN WIR NOCH EIN DATENSCHUTZGESETZ?

Der Gesetzgeber hat sich mit der Novellierung des bereits bestehenden Telekommunikations- (TKG) sowie Telemediengesetzes (TMG) dafür entschieden, für diesen Bereich ein eigenes Gesetz zur Konkretisierung der allgemeinen Datenschutzanforderungen, insbesondere aus der Datenschutz-Grundverordnung (DS-GVO) sowie Bundesdatenschutzgesetz (BDSG) und Landesdatenschutzgesetzen, zu schaffen. Übrigens etwas, worum Datenschützer und Unternehmen in Bezug auf den Beschäftigtendatenschutz seit Jahr(zehnt)en bitten. Eine Novellierung der bisherigen Regelungen war aufgrund der seit 2018 geltenden DS-GVO sowie der ePrivacy-Richtline von 2002 (geänderte Fassung von 2009) dringend geboten und soll nach dem Wunsch des Gesetzgebers die bestehenden Rechtsunsicherheiten – zumindest in diesem Bereich – beseitigen. Zentral ist sicherlich die explizite Regelung des Einwilligungserfordernisses bei Cookies, Browser Fingerprinting, Smarthome etc. und deren Ausnahmen (§ 25 TTDSG) sowie die Möglichkeit von Diensten zur entsprechenden zentralen Einwilligungsverwaltung (§ 26 TTDSG). Darüber hinaus wurden Regelungen z.B. zum lang umstrittenen „Digitalen Erbe“ aufgenommen. Sowohl das TMG als auch das TKG bleiben grundsätzlich bestehen, das TKG wurde jedoch im gleichen Zuge modernisiert.


FÜR WEN GILT DAS GESETZ?

Zunächst einmal gilt das Gesetz nur für Anbieter von Telemedien- bzw. Telekommunikationsdiensten. Zu den Telemediendiensten nach § 1 Abs. 1 S. 1 TMG zählen zum Beispiel Internetauftritte, Onlineshops sowie Werbe-E-Mails (siehe hierzu auch Praxishilfe der GDD zum TTDSG).

Wer ein Telekommunikationsanbieter ist, beantwortet sich nach dem neuen § 3 TKG. Hierzu gehören sogenannte nummerngebundene sowie – neu – nummernunabhängige interpersonelle Kommunikationsdienste. Letztere werden auch „Over-the-top-Dienste“ (OTT) genannt. Die Internetanbieter, deren Infrastruktur zur Erbringung genutzt werden, haben auf diese keinen Einfluss. Gemeint sind z.B. webbasierte E-Mail-Dienste oder Messenger- Dienste wie WhatsApp oder Threema. Diese wurden bisher nicht von den telekommunikationsrechtlichen Vorgaben (siehe hierzu auch EuGH-Urteil vom 13.06.2019 – C-193/18) erfasst, sodass allein die allgemeinen Datenschutzregeln, insbesondere der DS-GVO, galten. Dienste, welche allein die Weitergabe von Inhalten (z.B. Nachrichtenportale) zum Ziel haben, sind auch weiterhin keine Telekommunikationsanbieter.


HANDELT ES SICH BEI VIDEOKONFERENZDIENSTEN DANN NOCH UM AUFTRAGSVERARBEITER?

Ob es sich bei Videokonferenzdiensten um Telekommunikationsdienste handelt und welche Auswirkungen dies auf die datenschutzrechtliche Beurteilung hat, ist derzeit noch nicht abschließend geklärt. Hierbei muss sicherlich zwischen den verschiedenen Arten des Einsatzes (insbesondere SaaS/Online-Dienst bzw. on-Premise) unterschieden werden. Eine gute Darstellung hierzu findet sich in der DSK-Orientierungshilfe Videokonferenzsysteme. Derzeit wird von den Aufsichtsbehörden davon ausgegangen, dass es sich bei der Nutzung von Videokonferenzen und Messengern in Form von SaaS/Online-Diensten in der Regel um eine Auftragsverarbeitung handelt. Allerdings verweist die Berliner Aufsichtsbehörde im Rahmen der – zugegebenermaßen viel diskutierten – Prüfung der Verträge verschiedener Anbieter darauf, dass der deutsche Gesetzgeber diese eigentlich aufgrund der EU-Vorgaben bereits bis zum 21. Dezember 2020 im Rahmen neuer Regelungen für „Over-the-top-Dienste“ (OTT) hätte regeln müssen und es nur mangels einer deutschen Regelung bei der alten Rechtslage bleibt.

Anders sieht dies jedoch bisher bei Telekommunikationsanbietern aus, insofern diese keine hierüber hinausgehenden Zusatzdienste anbieten. Der Anbieter der Telekommunikationsleistungen (z.B. Telefon, Internet) wird insoweit nach dem Verständnis der Artikel-29-Gruppe als Verantwortlicher für die – technisch bzw. zur Sicherheitsabwehr notwendigen – Verkehrsdaten sowie für die Verarbeitung der Rechnungsdaten verantwortlich. Für die inhaltliche Komponente und diesbezügliche Datenverarbeitungen im Rahmen der Angebotsnutzung sind die Anwender allein verantwortlich. Entsprechend ist beispielsweise kein Auftragsverarbeitungsvertrag in Bezug auf die Nutzung eines E-Mail-Anbieters erforderlich.  Es gilt also zu hinterfragen, inwieweit diese Ausführungen noch – die Aussagen der Artikel-29-Gruppe entstammen aus der Zeit vor der DS-GVO und auch vor dem Urteil des EUGH – gelten können und beispielsweise auch auf Messenger- und Videokonferenzdienste anwendbar sind.


WAS UNTERSCHEIDET VIDEOKONFERENZDIENSTE VON KLASSISCHEN TELEKOMMUNIKATIONSANBIETERN?

Unstrittig ist sicherlich, dass ein Videokonferenzsystem in der Regel neben der reinen Videotelefonie noch weitere Funktionen beinhaltet. Denn neben der Möglichkeit der Aufzeichnung existieren häufig auch parallele Chatmöglichkeiten sowie die Möglichkeit des Austauschs von Daten. Insofern könnte man davon ausgehen, dass die Dienste über die „reine Telekommunikation“ hinausgehen. Zusammengefasst dienen diese Funktionen aber alle dem Ziel der Kommunikation zwischen den beteiligten Parteien. Aus einem Brief wurde eine E-Mail und aus dieser ein Messenger-Dienst. Und aus dem Telefon wurde die Videotelefonie und schließlich in Verbindung mit Messengern-Diensten – und der damit verbundenen Möglichkeit, neben Texten auch Dokumente zu teilen – das Videokonferenzsystem als Basis weiterer kollaborativer Systeme.

Entsprechend einem klassischen Telekommunikationsdienst werden die übertragenen Inhalte bei all diesen Systemen allein durch die Nutzer gesteuert. Demgegenüber hat der Nutzer keinen Einfluss auf die technische Datenübertragung, da diese häufig aus Gründen der Diensterbringung, Systemsicherheit oder Abrechnung durch den Systemanbieter gesteuert wird.


WAS SPRICHT NOCH FÜR EINE AUFTRAGSVERARBEITUNG ODER EINE GEMEINSAME DATENVERARBEITUNG?

Unter diesem Gesichtspunkt kann die Annahme einer Auftragsverarbeitung als Versuch gesehen werden, die möglicherweise höheren Risiken dieser Systeme zu minimieren. Gleichzeitig bietet ein Vertrag zur Auftragsverarbeitung vermeintliche Rechtssicherheit, da dieser gleichzeitig eine Rechtsgrundlage für die Verarbeitung der Daten durch den Dienstleister beinhaltet. Durch die Notwendigkeit einen geeigneten Dienstleister auszuwählen, soll sichergestellt werden, dass nur möglichst datenschutzfreundliche Dienste eingesetzt werden, wodurch wiederum seitens der Kunden Druck auf die Anbieter ausgeübt werden. Mit mäßigem Erfolg, wie man sieht…

Demgegenüber besteht bei Annahme einer gemeinsamen oder auch parallelen alleinigen Verantwortung von Anbieter und Anwender keine Privilegierung mehr, das heißt der Diensteanbieter würde gegenüber den Betroffenen mehr in die Pflicht genommen werden. Er muss insbesondere eine eigene Rechtsgrundlage für die systemimmanenten Datenverarbeitungen vorweisen können und ist für die Einhaltung der diesbezüglichen Betroffenenrechte allein verantwortlich. Eine ausführliche Darstellung der Datenverarbeitung durch beide Parteien wird auch unabhängig von einer Auftragsverarbeitung aus Gründen der Informiertheit zu fordern sein.

Daneben wird es auch hier Wettbewerbsdruck auf die Anbieter geben. Denn die Systeme müssen Funktionen vorweisen können, welche es dem Anwender als inhaltlich Verantwortlichen gestatten, selbst datenschutzfreundlich agieren zu können. Hierbei ist grundsätzlich auch zu prüfen, ob es mildere Mittel gibt oder die Datenverarbeitung eingeschränkt werden kann. Dabei muss auch berücksichtigt werden, dass die Systeme nicht nur ein höheres Risikopotenzial haben, sondern in weiten Teilen auch mehr technische Schutzmöglichkeiten (z.B. Moderationsrechte, Passwortschutz, Verschlüsselung) bieten, als dies beispielsweise bei Telefon, Fax und E-Mail möglich ist. Ob ein entsprechender Dienst durch den Nutzer im Rahmen eines beruflichen Kontextes (z.B. Webmeeting mit Geschäftspartnern, Studienberatung, digitale Lehre) nutzbar ist, wird sich daher auch weiterhin im Wesentlichen nach der Erforderlichkeit, der bestehenden Rechtsgrundlage und den spezifisch getroffenen technischen und organisatorischen Maßnahmen bestimmen. Hierbei ist stets auch zu berücksichtigen, inwieweit andere Kommunikationsteilnehmer verpflichtet sind, das entsprechende System zu nutzen und der Datenverarbeitung durch den Diensteanbieter zuzustimmen.


HAT DIES EINFLUSS AUF DIE ZULÄSSIGKEIT DER NUTZUNG US-AMERIKANISCHER DIENSTE?

Spannend dürfte auch der Einfluss auf die Problematik der Datenübermittlung in die USA oder andere datenschutzrechtliche Drittländer durch Nutzung entsprechender Dienste sein. Hier müsste konkret beleuchtet werden, inwieweit überhaupt Daten gemäß Art. 44 DS-GVO vom Verantwortlichen bzw. in dessen Einflussbereich übermittelt werden und inwieweit die Verarbeitung der Daten in den USA durch andere Rechtsgrundlagen und im Verantwortungsbereich des Dienstleisters gedeckt sein kann. Im Falle eines einfachen Telefonats unter Nutzung eines amerikanischen Telefonanbieters sowie der Nutzung eines amerikanischen E-Mail-Anbieters kann der Zugriff durch amerikanische Ermittlungsbehörden faktisch ebenfalls nicht ausgeschlossen werden. Insoweit – bei Abkehr von der bisherigen Annahme einer Auftragsverarbeitung – die Verantwortung bei dem jeweiligen Anbieter und nicht durch den Nutzer initialisiert wurde, liegt keine Übermittlung nach Art. 44 DS-GVO, sondern eine eigene Datenerhebung durch den Anbieter vor. Dem Anbieter obliegt jedoch unabhängig davon die Einhaltung der Anforderungen nach DS-GVO, da in der Regel der räumliche Anwendungsbereich nach Art. 3 DS-GVO eröffnet sein wird. Der Anwender wird seinerseits im Rahmen der oben genannten Punkte prüfen müssen, ob sich der Einsatz des Dienstes mit seinen rechtlichen Anforderungen in Einklang bringen lässt.


FAZIT

Es bleibt abzuwarten, ob und in welchem Umfang sich die Aufsichtsbehörden zum datenschutzrechtlichen Einfluss des TTDSG allgemein sowie in Bezug auf Videokonferenzdienste positionieren. Wir können nur hoffen, dass dies zeitnah und in Abstimmung aller deutschen Aufsichtsbehörden erfolgt. Alles andere würde dazu führen, dass verantwortliche Stellen neben den sonstigen bestehenden Corona-Unsicherheiten auch in Hinblick auf die Anwendung von Systemen, welche in weiten Bereichen ein Homeoffice erst möglich macht, allein gelassen werden.

Über die Autorin: Kristin Beyer ist Wirtschaftsjuristin und als externe Datenschutzbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie unterstützt in Ihrem Fachbereich insbesondere Hoch-/Schulen, sonstige Bildungseinrichtungen sowie Forschungseinrichtungen in allen Fragen des Datenschutzes.

    Tags:
  • Auftragsverarbeitung
  • Drittlandübermittlung
  • Telemedien
  • TTDSG
  • Videokonferenzen
Lesen

DIE DATENSCHUTZRECHTLICHEN FOLGEN DES BREXIT

Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union (EU) ausgetreten. Auf Grundlage des Austrittsübereinkommens vom 17. Oktober 2019 gilt das Recht der EU – und somit auch die Datenschutz-Grundverordnung (DS-GVO) – für eine Übergangszeit bis zum 31. Dezember 2020 fort. Die aktuellen Entwicklungen deuten jedoch darauf hin, dass zu Beginn des neuen Jahres das Vereinigte Königreich als datenschutzrechtliches Drittland anzusehen ist und somit für Datenübermittlungen die gleichen Anforderungen wie beispielsweise in die USA gelten.


RECHTSLAGE BIS ZUM 31. DEZEMBER 2020

Gemäß Art. 4 in Verbindung mit Art. 67 Abs. 1 lit. b des Abkommens über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft gelten die Regelungen der DS-GVO im Vereinigten Königreich und Nordirland bis zum 31. Dezember 2020 fort. Während dieses Übergangszeitraums sind für Datenübermittlungen an andere verantwortliche Stellen und Auftragsverarbeiter neben dem Vorliegen einer einschlägigen Übermittlungsgrundlage (z.B. Vertrag zur Auftragsverarbeitung) keine datenschutzrechtlichen Besonderheiten zu beachten. Die Regelungen des Kapitel V der DS-GVO hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen sind im genannten Zeitfenster mithin nicht einschlägig.


RECHTSLAGE AB DEM 01. JANUAR 2021

Mit Ablauf des Übergangszeitraums gilt das Vereinigte Königreich mangels eines weiteren internationalen Abkommens als datenschutzrechtliches Drittland im Sinne des Kapitel V der DS-GVO. Neben einer einschlägigen Übermittlungsgrundlage bedarf es auf der zweiten Stufe somit zusätzlich der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Da zum gegenwärtigen Zeitpunkt seitens der Europäischen Kommission jedoch kein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DS-GVO verabschiedet wurde, welcher den nationalen datenschutzrechtlichen Regelungen des Vereinigten Königreichs ein gleichwertiges Niveau zu denen der DS-GVO attestiert, scheidet die „Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses“ als besondere Voraussetzung einer Datenübermittlung an Verantwortliche und Auftragsverarbeiter im Vereinigten Königreich bereits aus.

Zur Gewährleistung einer datenschutzkonformen Übermittlung personenbezogener Daten sind durch den Verantwortlichen somit regelmäßig geeignete Garantien im Sinne des Art. 46 DS-GVO vorzuweisen. Hierzu zählen insbesondere folgende Garantien:
– durch die zuständige Aufsichtsbehörde zu genehmigende verbindliche interne Datenschutzvorschriften, sogenannte Binding Corporate Rules (BCR), gemäß Art. 47 DS-GVO;
Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, unter besonderer Berücksichtigung der aktuellen EuGH-Rechtsprechung hinsichtlich der Ergänzung durch zusätzliche technische und organisatorische Maßnahmen im Rahmen der Datenübermittlung, z.B. der Verschlüsselung personenbezogener Daten;
genehmigte Verhaltensregeln gemäß Art. 40 DS-GVO oder ein genehmigter Zertifizierungsmechanismus gemäß Art. 42 DS-GVO;
– einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden.

Liegen keine geeigneten Garantien im Sinne des Art. 46 DS-GVO vor, so ist eine Datenübermittlung in ein datenschutzrechtliches Drittland gemäß Art. 49 DS-GVO ausnahmsweise insbesondere dann zulässig, sofern:
– die betroffene Person in die Datenübermittlung ausdrücklich einwilligt, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde,
– die Übermittlung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen notwendig oder
– die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Die aufgeführten Ausnahmetatbestände des Art. 49 DS-GVO sind jedoch durchweg restriktiv auszulegen und stellen keinesfalls eine belastbare Grundlage für regelmäßige Datenübermittlungen dar.


DIESE MAßNAHMEN SIND NUN ERFORDERLICH

Verantwortliche Stellen, die personenbezogene Daten an andere verantwortliche Stellen oder Auftragsverarbeiter mit Sitz im Vereinigten Königreich übermitteln, sollten zeitnah überprüfen, ob neben einer Übermittlungsgrundlage ebenfalls mindestens eine der in Art. 44 ff. DS-GVO aufgeführten Voraussetzungen zur Übermittlung personenbezogener Daten in ein Drittland vorliegt. Im Regelfall wird es diesbezüglich auf den Abschluss von Standarddatenschutzklauseln hinauslaufen, welche im Idealfall durch zusätzliche technische und organisatorische Maßnahmen ergänzt werden. Zur Erstellung von Standardvertragsklauseln stellt die britische Datenschutzaufsichtsbehörde auf ihrer Internetseite einen entsprechenden Generator zur Verfügung.

Unter Umständen kann die Übermittlung personenbezogener Daten in ein Drittland auch durch einen Wechsel zu einem Dienstleister mit Sitz innerhalb der EU grundsätzlich vermieden werden.

Im Falle der Aufrechthaltung des Drittlandtransfers sind weiterhin folgende Maßnahmen zu treffen:
– die Ergänzung der Datenschutzinformationen gemäß Art. 13 oder Art. 14 DS-GVO hinsichtlich der Übermittlung personenbezogener Daten in ein Drittland unter Nennung der im Einzelfall einschlägigen Voraussetzung der Artt. 44 ff. DS-GVO,
– die Ergänzung einer vollständigen Darstellung der Datenübermittlung im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO,
– gegebenenfalls die Vornahme von oder die Prüfung und Ergänzung bereits erfolgter Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO,
– die vollständige Beauskunftung der Drittlandübermittlung im Rahmen der Beantwortung von Auskunftsansprüchen gemäß Art. 15 DS-GVO.


UPDATE VOM 04. JANUAR 2021

In einer Pressemitteilung vom 28. Dezember 2020 weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hinsichtlich des Handels- und Zusammenarbeitsabkkommens zwischen dem Vereinigten Königreich und der Europäischen Union auf eine Übergangsregelung bezüglich Datenübermittlungen hin. Demnach sind Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich und Nordirland für einen Übergangszeitraum von maximal sechs Monaten nicht als Übermittlung in ein datenschutzrechtliches Drittland anzusehen. Der Sächsische Datenschutzbeauftragte Andreas Schurig hierzu: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden.“


FAZIT

Sämtliche verantwortliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln sollten zeitnah das Vorliegen der besonderen datenschutzrechtlichen Voraussetzungen des Kapitel V der DS-GVO überprüfen und die dargestellten notwendigen Maßnahmen ergreifen. Die Aufsichtsbehörden können im Falle von Verstößen Datenübermittlungen aussetzen sowie hierzu ergänzend Bußgelder verhängen. Das Aussitzen der datenschutzrechtlichen Folgen des Brexit und das (erfolglose?) Warten auf einen Angemessenheitsbeschluss der Kommission stellt somit keine ernsthafte Alternative dar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Auftragsverarbeitung
  • Brexit
  • Datenübermittlungen
  • Drittstaaten
  • Standardvertragsklauseln
Lesen

EINSATZ VON VIDEOKONFERENZSYSTEMEN

Im Zuge der Corona-Pandemie wurde durch Veränderungen im beruflichen Alltag – insbesondere bei der Durchführung von Meetings und Besprechungen – und einer damit gleichlaufenden Verlagerung von Tätigkeiten ins Homeoffice der Bedarf an Videokonferenzen merklich gesteigert. Mit dem Einsatz und der Verwendung von sogenannten Videokonferenzsystemen gehen eine Vielzahl von datenschutzrechtlichen Fragestellungen einher, welche im folgenden Beitrag näher beleuchtet werden sollen.


WELCHE ARTEN VON VIDEOKONFERENZSYSTEMEN SIND ZU UNTERSCHEIDEN?

Für Verantwortliche bieten sich bei dem Einsatz von Videokonferenzsystem grundsätzlich drei Möglichkeiten:

(1) Betrieb der ausgewählten Software auf eigenen Servern. Diese Lösung wird als sogenannte „on-permise-Lösung“ bezeichnet, also ein Nutzungsmodell auf eigenen IT-Ressourcen. Der Veranstalter der Konferenz ist für die jeweilige Videokonferenz demnach auch der Verantwortliche i.S.d Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO).

(2) In Abwandlung zur ersten Alternative kann sich der Verantwortliche bei dem Betrieb der Software der Serverleistung eines externen IT-Dienstleisters bedienen. Der auf diesem Wege eingesetzte Dienstleister ist ein Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DS-GVO.

(3) Schließlich besteht die Möglichkeit, dass Verantwortliche Videokonferenzsysteme über einen cloudbasierten Online-Dienst („Software-as-a-Service“) nutzen. Der Anbieter einer solchen Softwarelösung ist regelmäßig nicht als Verantwortlicher der konkreten Konferenz, sondern als Auftragsverarbeiter zu qualifizieren. Verarbeitet der Anbieter, die im Rahmen der Konferenz übermittelten Daten jedoch zu eigenen Zwecken, ist er für diese Datenverarbeitung insoweit als Verantwortlicher einzustufen.

Je nach Ausgestaltung des Einsatzes der Anwendung müssen Verantwortliche unterschiedlichen Anforderungen nach den Bestimmungen der DS-GVO nachkommen. Dies betrifft allen voran die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, wonach der Verantwortliche die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen können muss. Erforderlich ist mithin die Anlage eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Unter Umständen kann die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO geboten sein. Darüber hinaus ist insbesondere bei dem Einsatz eines Auftragsverarbeiters ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO mit dem betroffenen Dienstleister abzuschließen.


AUF WELCHE RECHTSGRUNDLAGE KANN DIE DURCHFÜHRUNG EINER VIDEOKONFERENZ GESTÜTZT WERDEN?

Bei der Durchführung einer Videokonferenz handelt es sich unstreitig um eine Verarbeitung personenbezogener Daten. Zur rechtmäßigen Verarbeitung bedarf es gemäß Art. 5 Abs. 1 lit. a), Art. 6 DS-GVO einer belastbaren Rechtsgrundlage. Die konkrete Erlaubnisnorm ist in Kontext der jeweiligen Verarbeitungssituation zu bestimmen. Erfolgt die Videokonferenz über einen cloudbasierten Dienst, um beispielsweise einen Online-Kurs oder ein Seminar durchzuführen, wird die Verarbeitung regelmäßig zur Erfüllung eines Vertrages gemäß Art. 6 Abs. 1 S. 1 lit. b) DS-GVO erforderlich sein. Ebenso kommt Art. 6 Abs. 1 lit. f) DS-GVO in Betracht. Abhängig vom Einzelfall wird die Teilnehme von Mitarbeitern in vielen Fällen gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 S. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich sein. Daneben kann ebenfalls die Einwilligung der Teilnehmer gemäß Art. 6 Abs. 1 S. 1 lit. a) DS-GVO herangezogen werden.

Außerdem sind weitere Rechtsgrundlagen zu überprüfen, wenn neben der eigentlichen Durchführung der Videokonferenz andere Verarbeitungstätigkeiten durchgeführt werden, beispielsweise die Aufzeichnung der Konferenz oder die Übermittlung personenbezogener Daten in Drittländer.


WER MUSS DIE DATENSCHUTZINFORMATION ERFÜLLEN?

Der Veranstalter einer Videokonferenz muss die Informationspflichten gemäß Art. 13 DS-GVO gegenüber allen Betroffenen erfüllen. Nicht ausreichend ist hierbei auf die Datenschutzinformationen des Diensteanbieters zu verweisen. Diese Hinweise können nicht die Informationspflichten des Verantwortlichen ersetzen. Dieser muss gegenüber den Betroffenen für seinen Verantwortungsbereich den Informationspflichten nachkommen und unter Umständen Betroffenenrechte umsetzen. Von der Informationsverpflichtung werden unter anderem Hinweise zum Verantwortlichen und gegebenenfalls zum Datenschutzbeauftragten, zu den Verarbeitungszwecken sowie zur Rechtsgrundlage für die Verarbeitung, und den berechtigten Interessen, die bei einer Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO umfasst werden sowie der Speicherdauer. Ferner muss über die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde informiert werden.

Im Rahmen der Informationspflichten ist insbesondere zu beachten, dass gemäß Art. 13 Abs. 1 lit. f) DS-GVO anzugeben ist, wenn eine Übermittlung personenbezogener Daten in ein Drittland erfolgt und ob diese Übermittlung auf einen Angemessenheitsbeschluss der EU-Kommission oder andere Garantien gestützt wird.

Möglich ist es bspw. den Teilnehmenden einer Videokonferenz im Vorfeld per E-Mail die Informationen zur Verfügung zu stellen. In Betracht gezogen werden kann auch, dass der Text auf der Organisationswebseite zur Verfügung gestellt wird und in der Konferenzeinladung eine entsprechende Verlinkung erfolgt.


WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN MÜSSEN VERANTWORTLICHE TREFFEN?

Der Verantwortliche muss dafür Sorge tragen, dass nach den Grundsätzen der Art. 5 Abs. 1 lit. f) DS-GVO, Art. 24, Art. 25 und Art. 32 DS-GVO geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mittlerweile haben sich folgende generische technische und organisatorische Maßnahmen herausgebildet (Auflistung nicht abschließend):
– Wird keine on-permise-Lösung genutzt, müssen Serverstandorte überprüft werden,
– Verschlüsselte Übertragung (Transportverschlüsselung oder ggf. Ende-zu-Ende-Verschlüsselung),
– Aufzeichnungsfunktion der Konferenz deaktivieren,
– Verhaltensüberwachung beziehungsweise Aufmerksamkeitstracking ausschalten,
– Zugangsbeschränkungen durch Login,
– Zutritt zur Konferenz regeln (beispielsweise über Warteraumfunktionen),
– Möglichkeiten zu Hintergründen und Weichzeichnern (»background blur«) aufzeigen,
– Privacy by Default (Kamera und Mikrofon deaktivieren, Freigabe durch Teilnehmer selbst ermöglichen),
– Löschung von Protokollen und Aufzeichnungen, sobald sie nicht mehr erforderlich sind,
– Datensparsame Zugangsmöglichkeiten (beispielsweise über den Browser oder per Telefon).


WELCHE HERAUSFORDERUNGEN ERGEBEN SICH BEI DEM EINSATZ VON DIENSTLEISTERN IN SOGENANNTEN DRITTSTAATEN?

Herausforderungen ergeben sich außerdem bei einer mit dem Einsatz von Konferenzsystemen verbundenen Übermittlung von personenbezogenen Daten in sogenannte Drittländer, insbesondere die USA, durch beispielsweise den Einsatz eines entsprechenden Dienstleisters. Hierbei rücken – durch die Unzulässigkeitserklärung des sog. Privacy-Shields durch den Europäischen Gerichtshof – die sogenannten Standarddatenschutzklauseln als Legitimationsgrundlage in das Blickfeld der Verantwortlichen. Diese sind jedoch zur Sicherstellung geeigneter Garantien nicht ausreichend. Vielmehr bedarf es der Sicherstellung weiterer technische und organisatorischer sowie rechtlicher Maßnahmen.


FAZIT

Vor der Inbetriebnahme eines entsprechenden Videokonferenzsystems müssen Verantwortliche einzelfallbezogen eine Reihe von datenschutzrechtlichen Anforderungen umsetzen. Nur so kann der rechtkonforme Einsatz gewährleistet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzinformation
  • Drittstaaten
  • Technische-organisatorische Maßnahmen
  • Videokonferenzen
Lesen

ÄUßERUNG DER DATENSCHUTZKONFERENZ ZU MS OFFICE 365

Durch eine am 02. Oktober 2020 herausgegebene Pressemitteilung wurde bekannt, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) die Bewertung ihres Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020 mehrheitlich zustimmend zur Kenntnis genommen hat. Die Entscheidung der Datenschutzkonferenz erging mit einer knappen Mehrheit von neun Stimmen bei acht Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist.


WAS WURDE GEPRÜFT?

Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und hinsichtlich der Erfüllung der Anforderungen von Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) bewertet. Im Einzelnen:

(1) Zunächst kritisiert der Beschluss die fehlende Beschreibung von Art und Zweck der Verarbeitung – selbst wenn es unter der Berücksichtigung des Dienstes MS Office 365 als cloudspezifischer Dienst sachdienlich sein kann, beide Kategorien verallgemeinert darzustellen – insbesondere wenn es um die Verarbeitung besonderer personenbezogener Daten im Sinne von Art. 9 DS-GVO geht. Es soll hierbei der Abstraktionsgrad auf Seiten von Microsoft verringert werden.

(2) Weiterhin merkt der Arbeitskreis an, dass innerhalb der Datenschutzbestimmungen für Microsoft Online-Dienste zwar darauf verwiesen wird, dass Microsoft als ein unabhängiger Verantwortlicher anzusehen ist, soweit personenbezogene Daten im Zusammenhang mit den legitimen Geschäftszwecken von Microsoft verarbeitet werden. Jedoch geht aus den Bestimmungen nicht eindeutig hervor, welche personenbezogenen Daten in diesem Rahmen verarbeitet werden. Zudem liegt für die Übermittlung weiterer personenbezogener Daten vom Verantwortlichen an Microsoft, z.B. im Rahmen der Telemetriedaten, neben dem Auftragsverarbeitungsvertrag keine weitere belastbare Rechtsgrundlage vor. Die ist insbesondere für öffentliche Stellen problematisch, da diese sich gemäß Art. 6 Abs. 1 S. 2 DS-GVO in der Erfüllung ihrer Aufgaben vorgenommenen Verarbeitungen nicht auf ein etwaiges berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DS-GVO berufen können.

(3) Ferner kritisiert der Arbeitskreis, dass Microsoft Daten offenlegen muss, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben ist. Insbesondere wird hierbei auf den sogenannten Cloud-Act verwiesen, dem Microsoft als US-Dienstleister unterliegt.

(4) Gerügt wird außerdem, dass seitens Microsoft keine ausreichende Darstellung erfolgt, welche dem Risiko angemessenen Maßnahmen der angebotene Onlinedienst für die Verarbeitung von personenbezogenen Daten bietet. Die derzeitige Darstellung zu den technischen und organisatorischen Maßnahmen allein reiche nicht aus, um eine objektive Einschätzung zu treffen, ob die Maßnahmen dem Risiko angemessen sind.

(5) Außerdem wird angemerkt, dass durch Microsoft Daten, die zu eigenen Zwecken verarbeitet werden, nicht gelöscht werden.

(6) Schließlich wird eine fehlende Transparenz hinsichtlich des Einsatzes von Unterauftragnehmern kritisiert. Diesbezüglich soll Microsoft in Zukunft proaktiv Mechanismen zur Benachrichtigung der Kunden treffen.


WAS WURDE NICHT GEPRÜFT?

Microsoft hat seine OST sowie seine DPA seit Januar 2020 bereits mehrfach überarbeitet und angepasst. Hierbei wurden Änderungen in den Verträgen und auch in den Dokumentationen vorgenommen. Die Prüfung des Arbeitskreises beruht nicht auf den aktualisierten Dokumenten. Es erfolgt keine differenzierte Betrachtung einzelner Produkte. Microsoft Office 365 ist vielmehr ein Oberbegriff für eine ganze Produktgruppe, welche strenggenommen in Office 365 und Microsoft 365 zu unterteilen sind. Innerhalb der Produktgruppen gibt es zudem zahlreiche Produkte, Lizenzen und Konfigurationsmöglichkeiten. Keine Berücksichtigung fand ferner das Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II).


WELCHE AUSWIRKUNGEN HAT DER BESCHLUSS FÜR DIE PRAXIS?

Festzuhalten bleibt, dass nicht alle Aufsichtsbehörden der DSK der datenschutzrechtlichen Bewertung des Arbeitskreises folgen. Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des EuGH zu internationalen Datentransfers. Sie unterstützen im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Die genannten Aufsichtsbehörden sehen die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif an. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist.

Ziel des Beschlusses war es, dass eine Grundlage geschaffen wird, auf deren Basis in den Dialog mit Microsoft getreten werden kann. Diese Gespräche sollen federführend durch den Landesbeauftragten für den Datenschutz Brandenburg und das Bayerischen Landesamts für Datenschutzaufsicht zeitnah aufgenommen werden.

Die größte Herausforderung seitens Microsoft dürfte die Anpassung hinsichtlich der Offenlegung z.B. gegenüber Strafverfolgungsbehörden (beispielsweise aufgrund des Cloud-Act) sein. Microsoft selbst setzt bereits vor dem Urteil des EuGH auf die sogenannten EU-Standardvertragsklauseln. Jedoch kann auch so ein Zugriff durch US-Behörden nicht ausgeschlossen werden. Ein Problem, welches jedoch nahezu alle US-Dienstleister gleichermaßen betrifft. Abzuwarten bleibt hier die Entwicklung hinsichtlich der Wirksamkeit der Standardvertragsklauseln.

Aufgrund der vorangestellten Ausführungen sind derzeit wohl keine konkreten Maßnahmen seitens der Aufsichtsbehörden aufgrund des Dokumentes des Arbeitskreises zu erwarten. Vielmehr geht die DSK selbst davon aus, dass eben jenes Dokument zunächst eine Gesprächsgrundlage mit Microsoft bilden kann. Organisationen in der Praxis sollten in aller erster Linie Ruhe bewahren und keine voreiligen Entscheidungen treffen. Vielmehr sollte mit größter Sorgfalt die weitere Entwicklung beobachtet werden. Deutlich wird jedoch, dass ohne jegliche Konfiguration Produkte aus den Gruppen Office 365 und Microsoft 365 nicht datenschutzkonform genutzt werden können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzkonferenz
  • Microsoft
  • Office 365
  • Standardvertragsklauseln
  • USA
Lesen