Videokonferenzen und Datenschutz: Sind Teams, Zoom & Co. rechtskonform?

#5
praxis_datenschutz
  • Microsoft Teams, Google Meet oder Zoom: Spätestens seit Beginn der Corona-Pandemie und dem damit verbundenen Übergang zu mehr Homeoffice gehören Videokonferenzen für uns zum Alltag. Dabei gibt es jedoch ein Problem.
  • Die Anbieter der gängigsten Videokonferenz-Tools sitzen in den USA – und ihre Produkte sind somit in Bezug auf Datenschutz nicht mit dem europäischen Recht vereinbar.
  • Den Unternehmen, die US-Dienste dennoch verwenden, drohen hohe Bußgelder – teils im Millionenbereich. Aber gibt es sichere sowie gut funktionierende Alternativen zu Teams, Zoom & Co.? Datenschutzexperte Stephan Frank ordnet die aktuelle Situation ein und zeigt verschiedene Möglichkeiten auf.

„Jeden Tag verstoßen wir praktisch alle mehr oder minder wissentlich gegen den Datenschutz und die Gesetze.“ So direkt hört man diese Aussage selten auf Unternehmensseite. Das ist trotzdem die Wahrheit, denn beim Einsatz von Tools wie Microsoft Teams, Zoom und auch Klassikern wie GoToMeeting oder Cisco Webex besteht immer das gleiche Problem und das gleiche Risiko.

In Europa hat jede Person das „Recht auf Schutz der sie betreffenden personenbezogenen Daten“ – so in der Grundrechte-Charta der Europäischen Union im Artikel 8 festgehalten. Dadurch müssen all diejenigen, die unsere Daten verwenden oder verwenden wollen, sicherstellen, dass bei einer Übertragung unserer Daten zu anderen Firmen oder Dienstleistern das gleiche Schutzniveau gewährleistet ist. Daher gilt das Prinzip, dass Daten nur an Orte gesendet werden dürfen, an denen mindestens das gleiche Niveau von Datenschutz und Privatheit gegeben ist wie bei uns in der EU. Das gilt global und ohne Ausnahmen.

Die Suche nach einer einheitlichen Regelung

In der Vergangenheit hatten die EU und die USA – wo bekanntlich viele Technologie-Unternehmen mit ihren Produkten und Dienstleistungen ansässig sind – mit dem Rahmenabkommen „EU-US Privacy Shield“ eine einheitliche Regelung zum gegenseitigen und konformen Umgang mit personenbezogenen Daten getroffen. Leider gibt es in den USA nationale Regelungen, die den Nachrichten- und Geheimdiensten eine anlasslose Durchsuchung der Daten gestatten und bei denen die Möglichkeiten der Betroffenen, gegen diese Maßnahmen vorgehen zu können, beschränkt sind. Entsprechend konnte der Europäische Gerichtshof (EuGH) nicht anders, als dieses Rahmenabkommen rückwirkend zu kippen. Der Fall ist auch unter dem Namen „Schrems II“ bekannt.

Die Folge des rückwirkenden Wegfalls des Abkommens ist eine hohe Rechtsunsicherheit. Schließlich durften Unternehmen US-Dienste urplötzlich nicht mehr auf der Rechtsgrundlage des EU-US-Privacy Shield verwenden und mussten auf eine andere Basis „umschwenken“. Eine solche Basis sind die Standardvertragsklauseln (Standard Contractual Clauses, SCC), die der EuGH auch ausdrücklich als Alternative genannt hat, wenn mit weiterführenden Maßnahmen für ein angemessenes Datenschutzniveau gesorgt werden kann.

Allerdings bleibt die Problematik von „Schrems II“ an sich unverändert – weil die bereits genannte nationale Gesetzgebung in den USA natürlich weiterhin gestattet, dass die dortigen Nachrichten- und Geheimdienste den Zugriff auf faktisch alle Daten der US-Unternehmen erhalten und zwar unabhängig von dem physikalischen „Aufenthaltsort“ der Daten. Deswegen ist es leider auch keine Lösung, europäische Cloud-Bereiche oder Rechenzentren zu wählen.

Homeoffice und der Datenschutz

Die verschiedenen Aufsichtsbehörden der Länder für Datenschutz haben unterschiedliche Positionen zur Verwendung der Dienste und Produkte einiger US-Unternehmen – besonders schwierig ist das aktuell beim Thema Homeoffice. Pandemiebedingt ist der Bedarf an Online-Zusammenarbeit im letzten Jahr faktisch explodiert und es musste genutzt werden, was da war.

Als Microsoft auf die Folgen von „Schrems II“ und den vom EuGH angemahnten weiteren Maßnahmen zum Schutz der personenbezogenen Daten hin die Ankündigung machte, künftig für den angemessenen Datenschutz zu sorgen, sprach eine Aufsicht für Datenschutz von „Nebelkerzen“. Wie oben schon geschrieben, bleiben die rechtlichen Voraussetzungen in den USA ja unverändert und der US-Nachrichtendienst dürfte sich kaum von seiner Arbeit abhalten lassen.

Welche Alternativen gibt es?

Inzwischen gibt es zahlreiche Dienste aus Europa und auch speziell aus Deutschland, die entsprechend unproblematisch sind. Neben den üblichen Verdächtigen haben als mögliche Alternativen Alfaview, Edudip oder auch BigBlueButton Stellung bezogen und sich vor allem auch technisch weiterentwickelt. Technisch versierte Unternehmen können auch über den Betrieb einer eigenen Plattform nachdenken oder Jitsi Meet als eine der freien Open-Source-Lösungen selbstgehostet testen.

Für die Praktiker lohnt sich in jedem Fall der Blick in die Übersicht der Berliner Aufsichtsbehörde für Datenschutz, die sich besonders intensiv mit dem Thema, den verfügbaren Diensten und deren DSGVO-Konformität auseinandergesetzt hat. In einer umfangreichen PDF-Datei hat die Behörde unter anderem verschiedene Videokonferenzdienste angeführt und mithilfe eines Ampelsystems bewertet.

Durchweg rüsten die neuen europäischen Anbieter nach und schaffen mehr und mehr Kapazitäten – Letzteres setzt natürlich auch immer zahlende Kundschaft voraus. Sprich, die Dienste profitieren von neuen Kunden und können damit wiederum die eigene Leistung skalieren und verbessern. Dies trägt dann zur Lösung unseres Problems bei, dass es bisher „ja niemanden gibt, der in gleicher Qualität und ähnlich gutem Preis“ als Dienst in Frage kommt. Sie sehen, ein klassisches Henne-Ei-Problem.

Fazit

Die beste Empfehlung um ein Bußgeld oder auch eine Abmahnung zu vermeiden, kann im Moment nur und weiterhin sein, seine Dienstleister – und nicht nur diejenigen aus den USA – zu kennen, im Auge zu behalten und mindestens zu wissen, welche davon „problematisch“ sind.

Mein Tipp, alle für die Kerntätigkeit und die zentrale Wertschöpfung notwendigen Dienste sollten mindestens wegen „Schrems II“ angesprochen worden sein und die Vertragsgrundlage auf die – noch immer – geltenden „Standardvertragsklauseln“ umgestellt werden. Hier verlangt der EuGH erweiternde Maßnahmen, um den Schutz der Rechte der europäischen Bürger zu gewährleisten – inzwischen haben die Betreiber dies auch mehr und mehr auf dem Schirm. Trotzdem können diese aber den eigenen Rechtsrahmen nicht verlassen – trau, schau, wem!

Stephan Frank betreut seit Jahren Personaldienstleister und -beratungen beim Datenschutz und Informationssicherheit. In das Thema Datenschutz stieg er selbst sehr früh ein und gestaltet seit 2006 den Datenschutz und die Datensicherheit für verschiedene Personaldienstleistungsunternehmen. Als selbstständiger Datenschutzbeauftragter (DSB-TÜV) und -auditor (DSA-TÜV) übernimmt er für Unternehmen diese Aufgaben und berät interne Datenschutzbeauftragte. Er steht Unternehmen sehr gerne auch als Informationssicherheitsbeauftragter & -auditor zur Seite. Als Mitglied des zvoove Partner-Netzwerks bietet er seine Expertise in und für die Personaldienstleistung an. Zudem ist er Dozent der Bundesakademie für Personaldienstleistungen, bildet interne Datenschutzbeauftragte in Unternehmen aus und schult unabhängig zu Datenschutz und Datensicherheit.

EMail |  Xing | 
0 Kommentare

Neuer Kommentar