Global menu

Our global pages

Close

Videokonferenzen und Coronavirus

  • Germany
  • Commercial and IT

22-04-2020

Zur Stellungnahme der Berliner Datenschutzbehörde

COVID-19 und die hiermit einhergehende neue Realität

Die bundesweit beschlossenen Präventionsmaßnahmen zur Eindämmung der Pandemie zwingen vielerorts zum Umdenken. Setzen viele Unternehmen nunmehr auf die Arbeit im Homeoffice, so gilt es alternative Wege zu finden, einen effektiven Informationsaustausch zu gewährleisten. Die Kommunikation findet demnach vermehrt über Video- und Telefonkonferenzen statt. Die verfügbaren Dienste, wie etwa Skype oder Zoom, gilt es allerdings auch in Zeiten von Corona datenschutzkonform einzusetzen. Hierzu hat sich inzwischen die Berliner Datenschutzbehörde geäußert. Während es erfreulich ist, dass die Behörde einen Leitfaden herausgegeben hat, ist die konkrete Ausgestaltung der Empfehlung wenig zielführend. Unternehmen sollten daher nicht voreilige Maßnahmen in Anlehnung an die Stellungnahme treffen.

Die Empfehlungen der Behörde im Einzelnen

Videotelefonie und Videokonferenzen sollen nach Ansicht der Behörde nur über verschlüsselte Kanäle stattfinden. Dies ist zum Schutz der personenbezogenen Daten der Beteiligten durchaus lobenswert und im Grundsatz richtig (siehe die Anforderung in Art. 32 Abs. 1 lit. a) DSGVO). Eine konkrete Empfehlung zur Ausgestaltung der Verschlüsselung spricht die Behörde allerdings nicht aus. So bleibt unter anderem offen, welche Art der Verschlüsselung nach Ansicht der Behörde durchzuführen ist (Server-To-Server, Client-To-Server, End-To-End, etc.). Skype verwendet z.B. den erweiterten Verschlüsselungsstandard AES (Advanced Encryption Standard).

Zudem soll jedes Unternehmen vorzugsweise selbst und eigenverantwortlich eine Videokonferenzlösung zur Verfügung stellen, ohne auf einen Drittanbieter zurückzugreifen. Dass dies mit einem erheblichen Mehraufwand verbunden ist, sieht auch die Behörde ein. Nutzen Unternehmen entsprechend Dienste eines Drittanbieters wie Skype oder Microsoft Teams, so gilt es mit dem Anbieter einen Auftragsverarbeitungsvertrag zu schließen. Dies scheint auf den ersten Blick folgerichtig, lässt auf den zweiten Blick allerdings unberücksichtigt, dass dem Anbieter bei hinreichender Verschlüsselung der Zugriff auf personenbezogene Daten nicht möglich ist – zumindest theoretisch. Infolgedessen wäre der Anbieter nicht als Auftragsverarbeiter einzuordnen, ein Vertrag wäre obsolet. Den Einsatz eines Anbieters außerhalb der EU/EFTA sieht die Behörde zwar kritisch, dennoch als akzeptabel, sofern die entsprechenden Schutzmaßnahmen (EU Standardvertragsklauseln, Angemessenheitsbeschluss der EU) eingehalten werden. Allerdings empfiehlt die Behörde für den Fall, dass in Videokonferenzen sensible Daten übertragen werden, nur Dienste von Anbietern zu nutzen, die ihren Sitz in der EU oder EFTA haben. Diese Empfehlung ist rechtliche nicht verankert und ist somit mehr als gut gemeinter Rat zu verstehen.

Datenschutzrisiken einer Videokonferenz

Die Berliner Datenschutzbehörde stellt richtigerweise fest, dass das erheblichste Risiko darin liegt, dass Videokonferenzen unbefugt mitgeschnitten werden. Dabei konzentriert die Behörde sich allerdings weniger auf unbefugte gänzlich unbeteiligte Dritte, sondern mehr auf den Anbieter eines Kommunikationsdienstes. Hierbei wird hervorgehoben, dass der Anbieter potentiell die Kommunikation auswerten könnte, um eigene Interessen zu verfolgen. Um dieses Risiko zu minimieren, empfiehlt die Datenschutzbehörde, den Anbieter durch Verwendung der zuvor erwähnten Standardvertragsklauseln zu binden, welche es erleichtern Ansprüche auch in Drittländern außerhalb der EU / EFTA durchzusetzen. Dabei geht die Behörde davon aus, dass die Verwertung der Kommunikation durch den Anbieter grundsätzlich unzulässig sei. Dies ist, zumindest in dieser Pauschalität nicht zutreffend. Es ist durchaus denkbar, dass der Anbieter und Nutzer eines Dienstes gleichlaufende Interessen verfolgen. Möchte der Anbieter die Zuverlässigkeit und Stabilität eines Kommunikationsdienstes verbessern, so ist dies auch im Sinne der Nutzer. Entsprechend wäre eine Auswertung der Kommunikation durch den Anbieter durch dessen berechtigte Interessen gedeckt und somit nach Artikel 6 (1) Buchstabe f) der Datenschutzgrundverordnung (DSGVO) zulässig, soweit das Interesse der Nutzer an der Vertraulichkeit des Gesprächs nicht überwiegt. Daneben ließe sich eine entsprechende Datenverarbeitung auch auf die Einwilligung der Nutzer stützen.

Auswahl eines zuverlässigen Anbieters

Die Datenschutzbehörde spricht einige Empfehlungen zur Auswahl eines Dienstleisters aus. Hinreichend konkrete Empfehlungen bleiben jedoch aus. Zum einen hat der Anbieter vertrauenswürdig zu sein. Daneben wird auf eine Liste der Fachhochschule Kiel GmbH europäischer Dienste verwiesen, mit dem Vorbehalt, dass die Behörde die konkrete Ausgestaltung der Nutzungsbedingungen bisher nicht überprüfen konnte. Im Übrigen lässt die Berliner Datenschutzbehörde Kritik an US-amerikanischen Dienstleistern verlauten. Namentlich werden Microsoft Teams, Skype und Zoom genannt. Die Begründung hierfür fällt leider sehr kurz aus. Geltend gemacht wird, dass die Nutzung dieser Dienste mit einem erhöhten Risiko verbunden ist, da rechtliche Garantien nicht gewährleistet seien, vertragliche Ansprüche in den USA nicht durchgesetzt werden könnten und beispielsweise Zoom nur leicht abgeänderte Standardvertragsklauseln bei Vertragsschluss anbieten würde. Der Argumentation der Berliner Datenschutzbehörde ist auch in diesem Punkt nicht zu folgen, zumal unberücksichtigt bleibt, dass beispielsweise das data-residency Modell von Microsoft die Datenspeicherung deutscher Kunden in Deutschland vorsieht.

Zudem wird empfohlen, statt auf Videokonferenzdienste auf reine Telefondienste zurückzugreifen. Dies stellt wohl für die wenigsten Unternehmen eine vollwertige Alternative dar, vergisst jedoch, dass die Telefonie heute in Unternehmen meist über das Internet stattfindet – reine Festnetzanschlüsse nur begrenzt genutzt werden. Die Möglichkeit der visuellen Darstellung von Präsentationen und Grafiken und das Shared-Monitoring ist für Unternehmen wesentlich praktikabler als auf einen reinen Telefondienst zurückzugreifen.

Organisatorische Regelungen

Zuletzt spricht die Berliner Datenschutzbehörde noch einige organisatorische Empfehlungen aus. Angehörige von Berufsgruppen, welche mit sensiblen Daten in Kontakt kommen, wie beispielsweise Ärzte, sollten datenschutzrechtliche Belange besonders im Auge haben. Das Vorgehen in einer Videokonferenz sollte bereits im Vorfeld abgesprochen werden. Insbesondere sollte festgelegt werden, worüber nicht gesprochen werden soll. Für den Fall, dass sich im Laufe einer Konferenz Fragen zu datenschutzrechtlichen Belangen ergeben, sollten stets die Kontaktdaten eines Datenschutzexperten zur Verfügung stehen.

Fazit

Die infolge der COVID-19 beschlossenen Maßnahmen schränken uns alle in einer oder der anderen Hinsicht ein. Von daher ist es erfreulich, dass die Berliner Datenschutzbehörde einen Leitfaden zur datenschutzgerechten Nutzung von Video- und Telefonkommunikationsdiensten veröffentlicht hat. Die ausgesprochenen Empfehlungen sind jedoch meist nicht praktikabel, wenig konkret und lassen nicht erkennen, auf welcher Rechtsgrundlage die Empfehlung beruht. Von daher bleibt abzuwarten, ob sich die Berliner Datenschutzbehörde noch klarstellend äußert. Bis dahin sollten die Empfehlungen nur mit Vorsicht genossen werden.