DER DATENSCHUTZ-JAHRESRÜCKBLICK

Das Jahr 2020 wird uns allen wohl noch lange in Erinnerung bleiben. Die Corona-Pandemie hat unser Leben in vielen Bereichen auf den Kopf gestellt. Mit Sicherheit gibt es in den Augen vieler – so auch einiger Politiker – „wichtigere“ Rechte deren Einhaltung derzeit geboten ist als das Recht auf Datenschutz. Wir dürfen jedoch nicht vergessen, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist und auch als solches behandelt werden muss. In diesem außergewöhnlichen Jahr haben uns insbesondere folgende datenschutzrechtliche Fragestellungen bzw. Aspekte begleitet: 


WELCHE AUSWIRKUNGEN HAT DIE CORONA-PANDEMIE AUF DEN DATENSCHUTZ?

Die zweite Welle der Corona-Pandemie rollt derzeit über Deutschland hinweg. In diesem Zuge werden erneut immer wieder kurzfristig Regelungen und neue Maßnahmen zur Bekämpfung des Corona-Virus (SARS-CoV-2) getroffen. Die Verordnung sehen hierbei auch Regelungen zur Verarbeitung personenbezogener Daten vor. Die Grundsätze des Datenschutzes sind bei der Bewältigung der Corona-Pandemie ohne Frage nicht außer Acht zu lassen.

Mittlerweile haben sie die meisten Datenschutz-Aufsichtsbehörden zum Datenschutzrecht in der Corona-Pandemie positioniert. Die Hinweise des Sächsischen Datenschutzbeauftragten sind hier abrufbar. Hilfreich hierzu sind ebenfalls die „FAQs“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg sowie die Informationen des Unabhängigen Landeszentraum für den Datenschutz Schleswig-Holstein.

Besondere Bedeutung erlangt in diesem Zusammenhang ebenfalls die Corona-Warn-App (CWA). Nach einer beachtenswerten medienöffentlichen Diskussion ist die Funktionsweise der CWA wohl als datenschutzkonform einzustufen. Selbstverständlich muss die Nutzung der CWA stets auf freiwilliger Basis erfolgen und darf auf keinen Fall zweckentfremdet werden.


WELCHE DATENSCHUTZRECHTLICHEN REGELUNGEN GELTEN IM HOMEOFFICE?

Unternehmen, Behörden und sonstige Organisationen schicken wann auch immer es möglich ist ihre Beschäftigten aktuell wieder ins Homeoffice, sofern diese von dort überhaupt zurückgekehrt sein sollten. Der Arbeitgeber seinerseits bleibt auch bei der Verlagerung des Arbeitsplatzes Verantwortlicher im Sinne des Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO). Selbstredend müssen Beschäftigte auch bei dem Arbeiten von Zuhause die datenschutzrechtlichen Vorgaben beachten. Aus Sicht des Arbeitgebers ist es daher dringend anzuraten entsprechende, dem Risiko angemessene und wirksame technische und organisatorische Maßnahmen zu treffen, um die Arbeit von zu Hause datenschutzkonform gestalten zu können.

Eine Hilfestellung zum Datenschutz im Homeoffice bietet u.a. die Landesbeauftragte für den Datenschutz Niedersachsen. Hilfreich sind zudem die Informationen aus dem Best-Practice-Ansatz des Bayrischen Landesamtes für Datenschutzaufsicht.  


WAS IST BEIM EINSATZ VON VIDEOKONFERENZSYSTEMEN ZU BEACHTEN?

Und noch ein datenschutzrechtliches Themengebiet, welches im Zusammenhang mit der Corona-Pandemie offen zu Tage getreten ist. Welche grundlegenden Voraussetzungen an einen datenschutzkonformen Einsatz eines Videokonferenzsystems geknüpft sind, haben wir ebenso bereits in einem Beitrag dargestellt wie eine Auseinandersetzung, mit der die zu diesem Thema veröffentlichte Orientierungshilfe der Datenschutzkonferenz.  


ZWEI JAHRE DS-GVO: WO STEHEN WIR?

Die DS-GVO sieht in Art. 97 vor, dass sie zwei Jahre nach dem Wirkungsbeginn 2018 und danach alle vier Jahre einer Evaluierung durch die EU-Kommission unterzogen wird. In ihrem Bericht zieht die Kommission eine vorwiegend positive Bilanz, da die Datenschutz-Grundverordnung insbesondere als zeitgemäß gilt und die Rechte der Bürgerinnen und Bürger stärkt. 


IST DER EINSATZ VON COOKIES NOCH ZULÄSSIG?

Dieser Frage beschäftigte seit dem Urteil des Bundesgerichtshof (BGH) im sog. „Cookie-II-Urteil“ (BGH, Urt. V. 28.05.2020 – I ZR 7/16) die Webseitenbetreiber sowie Marketingverantwortlichen. Dem Grunde nach konnte das Urteil des BGH allerdings aufgrund der vorangegangenen Entscheidung des Europäischen Gerichtshof (EuGH) in der Rechtssache Planet 49 (EuGH, Urt. V. 01.10.2019 – C-673/17) erwartet werden. Die größere Verwunderung führte der BGH mit seinem Weg zur Urteilsfindung und einer sehr abenteuerlichen Auslegung des § 15 Abs. 3 Telemediengesetz (TMG) herbei. Wahrscheinlich auch, um dem Gesetzgeber den Wink zur Notwendigkeit einer gesetzlichen Neuregelung zu geben.

Selbstverständlich bleibt der Einsatz von Cookies bzw. die Einbindung vergleichbarer Drittanbieterdienste (bspw. Analyse-, Marketing-, Tracking-, Karten-, Video-, Push-Nachrichten- und Umfrage-Dienste) zulässig, jedoch nur unter bestimmten Voraussetzungen. In einer Vielzahl von Fällen wird es erforderlich eine datenschutzrechtliche Einwilligung der Nutzerinnen und Nutzer einzuholen. Die Landesbeauftragte für den Datenschutz Niedersachsen hat diesbezüglich eine hilfreiche Handreichung veröffentlicht. 


DATENSCHUTZ-AUFSICHTSBEHÖRDE VS: MICROSOFT: KANN ES EINEN GEWINNER GEBEN?

Aufhänger des öffentlichen Diskurses zwischen der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBfDI) und Microsoft war die Veröffentlichung einer „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ im Mai 2020 durch die BlnBfDI, in welcher vor dem Einsatz verschiedener Videokonferenzsysteme – darunter Microsoft Teams und Skype – warnt (die ursprüngliche Mitteilung ist mittlerweile nicht mehr verfügbar, da Microsoft die BlnBfDI für das Veröffentlichen unrichtiger Informationen abgemahnt hatte). Es folgte eine Pressemitteilung sowie eine Überarbeitung der Checkliste durch die Aufsichtsbehörde. Die Warnung vor dem Einsatz von Microsoft-Produkten wird aber aufrechterhalten.

Nachdem der Europäische Datenschutzbeauftragte in einem Gutachten vom 02. Juli 2020 sich ebenfalls zum Einsatz von Microsoft-Produkten geäußert hatte, konkretisierte die BlnBfDI in einem Schreiben an Microsoft ihre rechtliche Bewertung. Microsoft passte im weiteren Verlauf seine Stellungnahme an.

Mittlerweile hat sich die Datenschutzkonferenz zu Microsoft Office 365 im Allgemeinen geäußert. Das Unternehmen hat seine Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) mehrfach angepasst und neuerdings eine Ergänzung zu den Standardvertragsklauseln veröffentlicht.

Beendet ist nach alledem die Auseinandersetzung zwischen der BlnBfDI und Microsoft mit Sicherheit noch nicht. Auch die generelle Bewertung der Datenschutzkonformität von Microsoft-Produkten wird uns noch eine Wiele begleiten.


SIND DATENÜBERMITTLUNGEN IN DRITTLÄNDER NOCH MÖGLICH?

Im Juli dieses Jahres ließ der EuGH die nächste datenschutzrechtliche Bombe platzen, obwohl man hier, wenn man ehrlich ist, das Ende auch bereits längere Zeit kommen sehen konnte. Mit Urteil vom 16. Juli 2020 (Az.: C-311/18) – sog. „Schrems II“-Entscheidung erklärte der EuGH den sog. „EU-US-Privacy-Shield“ für unzulässig und stellte somit die Datenübermittlung in die USA auf den Kopf. Gleichzeitig formulierte der Gerichtshof die zukünftig einzuhaltenden Voraussetzungen einer Datenübermittlung in Drittländer. Eine Zusammenfassung zum Urteil haben wir bereits gegeben. Seit dem Urteilsspruch ringen Organisationen mit den Fragen der Legitimierung eines solchen Drittstaatentransfers sowie der Einhaltung der vom EuGH aufgestellten Voraussetzungen. Daher muss die Frage erlaubt sein, ob sich der internationale Datenschutz mit der DS-GVO in der Sackgasse befindet.


WAS ERWARTET UNS 2021?

Auch im kommenden Jahr werden uns Datenschützer wohl allem voran die Probleme im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer beschäftigten. Dies gilt umso mehr, als dass das Vereinigte Königreich ab 01.01.2021 ebenfalls als ein solches Drittland zu qualifizieren sein wird.

In diesem Zusammenhang wird mit Sicherheit der weitere Werdegang von Microsoft und anderer US-Dienstleister sowie die künftige datenschutzrechtliche Ausgestaltung vertraglicher, technischer sowie organisatorischer Maßnahmen einiges an Spannungen bereithalten.  

Alle Arbeitgeber und im Homeoffice tätigen Arbeitnehmer sollten insbesondere die weitere Entwicklung des aktuellen Referentenentwurfes eines Gesetzes zur mobilen Arbeit (Mobile Arbeit-Gesetz – MAG) beobachten. 

Ansonsten bleibt abzuwarten, was das Jahr 2021 sonst für uns bereithalten wird. In diesem Sinne wünschen wir unseren Blog-Lesern besinnliche Weihnachtsfeiertage, einen ruhigen Jahresausklang sowie einen gesunden Start in das neue Jahr!

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Cookie
  • Corona-Pandemie
  • Drittstaaten
  • DS-GVO
  • Homeoffice
  • Jahresrückblick
  • Videokonferenzen
Lesen

ORIENTIERUNGSHILFE DER DSK: ORIENTIERUNG? HILFE?

Am 23. Oktober 2020 hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz [DSK]) eine Orientierungshilfe zum Einsatz von Videokonferenzsystemen herausgegeben. Die sich hieraus ergebenden datenschutzrechtlichen Anforderungen haben wir bereits in der letzten Woche dargestellt. Der folgende Beitrag setzt sich kritisch mit der Frage auseinander, ob die Orientierungshilfe der DSK ihrem Namen gerecht wird. Antwort vorweg: Ja, aber. Für Datenschutz-Praktiker ist die Orientierungshilfe teils wirklich hilfreich und definitiv lesenswert.


HILFREICH UND LESENSWERT – ABER:

Auf 25 Seiten (!) werden oft allgemeine Datenschutzgrundsätze wiederholt, statt sie auf das Thema anzuwenden. Man muss (bestenfalls) schmunzeln, wenn mittendrin (Seite 13 unten und Seite 14 oben, unter Ziff. 3.5.1) von den Verantwortlichen etwas verlangt wird, das die Datenschutzkonferenz nicht schafft: Informationen, die „für einen durchschnittlichen Nutzer des Dienstes ohne übermäßigen Aufwand verständlich sind“. „Übermäßig komplexe Formulierungen und technische oder juristische Fachbegriffe sollten vermieden werden“. In dieser Hinsicht gut gelungen ist die anfängliche Unterscheidung zwischen möglichen Betriebsmodellen (On-Premise, externer IT-Dienstleister, Online-Dienst). Aber: Zwischen den beiden letztgenannten Fällen besteht datenschutzrechtlich kein nennenswerter Unterschied. Ausreichend wäre die Differenzierung: Auftragsverarbeiter beteiligt – ja oder nein.

Nicht überraschend, trotzdem ärgerlich ist, dass die DSK ganz schwierige aktuelle Themen (nämlich gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO und Drittstaatstransfer, insbesondere in die USA) anspricht, ohne brauchbare Aussagen zu treffen:

Beim Thema gemeinsamer Verantwortlichkeit (in der Orientierungshilfe unter Ziff. 3.3) dürfte für Videokonferenzsysteme richtig sein, dem Dienstleister eine Datenverarbeitung zu eigenen Zwecken schlicht zu untersagen. Die nach der EuGH-Rechtsprechung schwierige Frage der Abgrenzung zwischen separaten Verarbeitungen verschiedener Verantwortlicher und der Verarbeitung in gemeinsamer Verantwortlichkeit stellt sich dann nicht.

Hinsichtlich des Drittstaat-Transfers (insbesondere in die USA): Fast alle Anbieter von Videokonferenzsystemen sind entweder selbst in den USA tätig oder haben dort ansässige Sub-Auftragsverarbeiter eingeschaltet. Die Ausführungen des EuGH im Urteil Schrems II (16.07.2020, Rechtssache C-311/18) laufen darauf hinaus, dass DS-GVO-Verantwortliche für ein angemessenes Datenschutzniveau bei Datenempfängern in den USA den Zugriff dortiger Geheimdienste insbesondere nach FISA 702 ausschließen müssen. Dies ist (natürlich) unmöglich. Weder die Datenschutzkonferenz, noch der Europäische Datenschutzausschuss können dafür Wege aufzeigen. Sie behelfen sich mit (richtigen, aber völlig inhaltsleeren) Formulierungen: Die Verantwortlichen müssten im Einzelfall sorgfältig prüfen, angemessene Maßnahmen ergreifen, Datenschutz-Grundsätze beachten – und so weiter und so fort (in der Orientierungshilfe S. 16-18 unter 3.5.6). Sehr viel konkreter und konsequenter ist die Empfehlung, soweit irgend möglich auf Drittstaats-Transfers zu verzichten, also EU-Dienstleister zu bevorzugen (z.B. LfDI Baden-Württemberg). Aber ist eine „Daten-Insel EU“ lebensnah? Die Orientierungshilfe Videokonferenzsysteme geht insoweit immerhin an die Grenzen offizieller Äußerungen, wenn sie schreibt: „Es bedarf noch weiterer Analysen, um im Lichte dieser vom EuGH klargestellten Anforderungen konkretere Aussagen dahingehend treffen zu können, ob […] personenbezogene Daten in die USA […] übermittelt werden können“ (Ziff. 2.3, Seite 7 unten). Eine „eingehende Analyse“ der EuGH-Entscheidung war bei Entstehung der Orientierungshilfe, drei Monate nach dem EuGH-Urteil, natürlich längst abgeschlossen. Sie führt eben zu dem unerträglichen, praktisch nicht umsetzbaren Ergebnis, dass mit den Anforderungen des EuGH keine Übermittlung personenbezogener Daten in die USA (und viele Staaten dieser Welt) möglich ist.


ORIENTIERUNGSHILFE IN TEILEN MISSVERSTÄNDLICH

In einer kurzen und übersichtlichen Orientierungshilfe hätten zwei typische Datenschutz-Gefahren bei Videokonferenzsystemen mehr Beachtung verdient:

Teilnehmer an Videokonferenzen sind meist über die Funktionen der Software nicht ausreichend informiert, also höchst unsicher in deren Handhabung. Nutzer werden ganz ohne Vorbereitung oder mit Einweisung unter hohem Zeitdruck „allein gelassen“. Oft genug müssen sie „im Selbstversuch“ herausfinden, wie die Software funktioniert, wie z.B. Video- und Audiofunktionen aktiviert / deaktiviert werden. Eine kurze Unterweisung des Nutzers vor Einsatz der Software ist deshalb (auch) unter Datenschutz-Aspekten obligatorisch.

Der heimliche „Mitschnitt“ von Ton (und Bild) wird von vielen Nutzern nicht als strafbar (§ 201 StGB) erkannt. Die Mitschnittmöglichkeit nehmen viele Nutzer als zusätzlichen Vorteil der Videokonferenzsysteme (im Vergleich mit traditionellen persönlichen Treffen) wahr, von der man (spielerisch oder „vorsorglich“) Gebrauch macht. Darin liegt eines der größten Datenschutz-Risiken beim Einsatz von Videokonferenzsystemen. In der Orientierungshilfe wird es unter Ziff. 3.4.8 (Seite 13) nur sehr versteckt erwähnt.

Zuletzt zwei Punkte, bei denen die Orientierungshilfe in die Irre führt:

(1) Entgegen Ziff. 4.2.4 (dort dritter Spiegelstrich) sind Gastzugänge bei Videokonferenzsystemen nicht nur zulässig, wenn alle Teilnehmer „untereinander bekannt sind“. Vielmehr dürfen Systeme auch mit völlig offenem Teilnehmerkreis betrieben werden. Notwendig ist dafür nur, dass die offene Teilnahme bekannt ist (Beispiel: Online-Besprechung einer Bürgerinitiative).

(2) In Ziff. 4.8 verlangt die Orientierungshilfe, dass Teilnehmende die technische Möglichkeit haben müssten, „Kamera und Mikrofon auszuschalten, wobei getrennte Deaktivierungsmöglichkeiten für Audio- und Videoübertragung vorzusehen sind“. Eine solche „Abschaltmöglichkeit“ ist datenschutzrechtlich nirgends generell vorgeschrieben. Es gibt im Gegenteil sogar Anwendungsfälle (z.B.: Bild- und Tonübertragung bei Hauptversammlungen von Aktiengesellschaften), bei denen die lückenlose Übertragung der versammlungsleitenden Personen rechtlich gefordert wird.


FAZIT

Dank an die DSK für die Stellungnahme zu einem Thema, das in Corona-Zeiten naturgemäß jeden Datenschutzbeauftragten beschäftigt. Bitte an die DSK: Orientierungshilfen noch kürzer, klarer, konkreter.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht.

    Tags:
  • Datenschutzkonferenz
  • Kommentar
  • Orientierungshilfe
  • Schrems II
  • Videokonferenzen
Lesen

EINSATZ VON VIDEOKONFERENZSYSTEMEN

Im Zuge der Corona-Pandemie wurde durch Veränderungen im beruflichen Alltag – insbesondere bei der Durchführung von Meetings und Besprechungen – und einer damit gleichlaufenden Verlagerung von Tätigkeiten ins Homeoffice der Bedarf an Videokonferenzen merklich gesteigert. Mit dem Einsatz und der Verwendung von sogenannten Videokonferenzsystemen gehen eine Vielzahl von datenschutzrechtlichen Fragestellungen einher, welche im folgenden Beitrag näher beleuchtet werden sollen.


WELCHE ARTEN VON VIDEOKONFERENZSYSTEMEN SIND ZU UNTERSCHEIDEN?

Für Verantwortliche bieten sich bei dem Einsatz von Videokonferenzsystem grundsätzlich drei Möglichkeiten:

(1) Betrieb der ausgewählten Software auf eigenen Servern. Diese Lösung wird als sogenannte „on-permise-Lösung“ bezeichnet, also ein Nutzungsmodell auf eigenen IT-Ressourcen. Der Veranstalter der Konferenz ist für die jeweilige Videokonferenz demnach auch der Verantwortliche i.S.d Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO).

(2) In Abwandlung zur ersten Alternative kann sich der Verantwortliche bei dem Betrieb der Software der Serverleistung eines externen IT-Dienstleisters bedienen. Der auf diesem Wege eingesetzte Dienstleister ist ein Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DS-GVO.

(3) Schließlich besteht die Möglichkeit, dass Verantwortliche Videokonferenzsysteme über einen cloudbasierten Online-Dienst („Software-as-a-Service“) nutzen. Der Anbieter einer solchen Softwarelösung ist regelmäßig nicht als Verantwortlicher der konkreten Konferenz, sondern als Auftragsverarbeiter zu qualifizieren. Verarbeitet der Anbieter, die im Rahmen der Konferenz übermittelten Daten jedoch zu eigenen Zwecken, ist er für diese Datenverarbeitung insoweit als Verantwortlicher einzustufen.

Je nach Ausgestaltung des Einsatzes der Anwendung müssen Verantwortliche unterschiedlichen Anforderungen nach den Bestimmungen der DS-GVO nachkommen. Dies betrifft allen voran die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO, wonach der Verantwortliche die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen können muss. Erforderlich ist mithin die Anlage eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DS-GVO. Unter Umständen kann die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO geboten sein. Darüber hinaus ist insbesondere bei dem Einsatz eines Auftragsverarbeiters ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DS-GVO mit dem betroffenen Dienstleister abzuschließen.


AUF WELCHE RECHTSGRUNDLAGE KANN DIE DURCHFÜHRUNG EINER VIDEOKONFERENZ GESTÜTZT WERDEN?

Bei der Durchführung einer Videokonferenz handelt es sich unstreitig um eine Verarbeitung personenbezogener Daten. Zur rechtmäßigen Verarbeitung bedarf es gemäß Art. 5 Abs. 1 lit. a), Art. 6 DS-GVO einer belastbaren Rechtsgrundlage. Die konkrete Erlaubnisnorm ist in Kontext der jeweiligen Verarbeitungssituation zu bestimmen. Erfolgt die Videokonferenz über einen cloudbasierten Dienst, um beispielsweise einen Online-Kurs oder ein Seminar durchzuführen, wird die Verarbeitung regelmäßig zur Erfüllung eines Vertrages gemäß Art. 6 Abs. 1 S. 1 lit. b) DS-GVO erforderlich sein. Ebenso kommt Art. 6 Abs. 1 lit. f) DS-GVO in Betracht. Abhängig vom Einzelfall wird die Teilnehme von Mitarbeitern in vielen Fällen gemäß Art. 88 Abs. 1 DS-GVO i.V.m. § 26 Abs. 1 S. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses erforderlich sein. Daneben kann ebenfalls die Einwilligung der Teilnehmer gemäß Art. 6 Abs. 1 S. 1 lit. a) DS-GVO herangezogen werden.

Außerdem sind weitere Rechtsgrundlagen zu überprüfen, wenn neben der eigentlichen Durchführung der Videokonferenz andere Verarbeitungstätigkeiten durchgeführt werden, beispielsweise die Aufzeichnung der Konferenz oder die Übermittlung personenbezogener Daten in Drittländer.


WER MUSS DIE DATENSCHUTZINFORMATION ERFÜLLEN?

Der Veranstalter einer Videokonferenz muss die Informationspflichten gemäß Art. 13 DS-GVO gegenüber allen Betroffenen erfüllen. Nicht ausreichend ist hierbei auf die Datenschutzinformationen des Diensteanbieters zu verweisen. Diese Hinweise können nicht die Informationspflichten des Verantwortlichen ersetzen. Dieser muss gegenüber den Betroffenen für seinen Verantwortungsbereich den Informationspflichten nachkommen und unter Umständen Betroffenenrechte umsetzen. Von der Informationsverpflichtung werden unter anderem Hinweise zum Verantwortlichen und gegebenenfalls zum Datenschutzbeauftragten, zu den Verarbeitungszwecken sowie zur Rechtsgrundlage für die Verarbeitung, und den berechtigten Interessen, die bei einer Verarbeitung gemäß Art. 6 Abs. 1 S. 1 lit. f) DS-GVO umfasst werden sowie der Speicherdauer. Ferner muss über die Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde informiert werden.

Im Rahmen der Informationspflichten ist insbesondere zu beachten, dass gemäß Art. 13 Abs. 1 lit. f) DS-GVO anzugeben ist, wenn eine Übermittlung personenbezogener Daten in ein Drittland erfolgt und ob diese Übermittlung auf einen Angemessenheitsbeschluss der EU-Kommission oder andere Garantien gestützt wird.

Möglich ist es bspw. den Teilnehmenden einer Videokonferenz im Vorfeld per E-Mail die Informationen zur Verfügung zu stellen. In Betracht gezogen werden kann auch, dass der Text auf der Organisationswebseite zur Verfügung gestellt wird und in der Konferenzeinladung eine entsprechende Verlinkung erfolgt.


WELCHE TECHNISCHEN UND ORGANISATORISCHEN MAßNAHMEN MÜSSEN VERANTWORTLICHE TREFFEN?

Der Verantwortliche muss dafür Sorge tragen, dass nach den Grundsätzen der Art. 5 Abs. 1 lit. f) DS-GVO, Art. 24, Art. 25 und Art. 32 DS-GVO geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Mittlerweile haben sich folgende generische technische und organisatorische Maßnahmen herausgebildet (Auflistung nicht abschließend):
– Wird keine on-permise-Lösung genutzt, müssen Serverstandorte überprüft werden,
– Verschlüsselte Übertragung (Transportverschlüsselung oder ggf. Ende-zu-Ende-Verschlüsselung),
– Aufzeichnungsfunktion der Konferenz deaktivieren,
– Verhaltensüberwachung beziehungsweise Aufmerksamkeitstracking ausschalten,
– Zugangsbeschränkungen durch Login,
– Zutritt zur Konferenz regeln (beispielsweise über Warteraumfunktionen),
– Möglichkeiten zu Hintergründen und Weichzeichnern (»background blur«) aufzeigen,
– Privacy by Default (Kamera und Mikrofon deaktivieren, Freigabe durch Teilnehmer selbst ermöglichen),
– Löschung von Protokollen und Aufzeichnungen, sobald sie nicht mehr erforderlich sind,
– Datensparsame Zugangsmöglichkeiten (beispielsweise über den Browser oder per Telefon).


WELCHE HERAUSFORDERUNGEN ERGEBEN SICH BEI DEM EINSATZ VON DIENSTLEISTERN IN SOGENANNTEN DRITTSTAATEN?

Herausforderungen ergeben sich außerdem bei einer mit dem Einsatz von Konferenzsystemen verbundenen Übermittlung von personenbezogenen Daten in sogenannte Drittländer, insbesondere die USA, durch beispielsweise den Einsatz eines entsprechenden Dienstleisters. Hierbei rücken – durch die Unzulässigkeitserklärung des sog. Privacy-Shields durch den Europäischen Gerichtshof – die sogenannten Standarddatenschutzklauseln als Legitimationsgrundlage in das Blickfeld der Verantwortlichen. Diese sind jedoch zur Sicherstellung geeigneter Garantien nicht ausreichend. Vielmehr bedarf es der Sicherstellung weiterer technische und organisatorischer sowie rechtlicher Maßnahmen.


FAZIT

Vor der Inbetriebnahme eines entsprechenden Videokonferenzsystems müssen Verantwortliche einzelfallbezogen eine Reihe von datenschutzrechtlichen Anforderungen umsetzen. Nur so kann der rechtkonforme Einsatz gewährleistet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

    Tags:
  • Auftragsverarbeitung
  • Datenschutzinformation
  • Drittstaaten
  • Technische-organisatorische Maßnahmen
  • Videokonferenzen
Lesen