Kateryna - stock.adobe.com
Wann Videokonferenzen datenschutzkonform sind
Mit dem Data Privacy Framework scheinen Online-Videokonferenzen kein Datenschutzproblem mehr darzustellen. In Wirklichkeit aber gibt es weiterhin Datenrisiken bei Online-Meetings.
Meldungen wie „Mit Schutzmaßnahmen ist Zoom für Lehrveranstaltungen an Hessischen Hochschulen nutzbar“ oder „Der EDSB stellt fest, dass die Nutzung von Cloud-Videokonferenzdiensten durch den EuGH mit dem Datenschutzrecht vereinbar ist“ könnten vermuten lassen, dass die Herausforderungen für den Datenschutz bei Online-Videokonferenzen doch nicht so groß sind.
Zudem gibt es inzwischen den Angemessenheitsbeschluss der EU-Kommission für EU-US-Datentransfers Data Privacy Framework (siehe auch EU-US Data Privacy Framework: Datentransfer in die USA und EU-US Data Privacy Framework: Alte Idee, neu verpackt?). Demnach können personenbezogene Daten aus der EU an die USA wieder fließen, ohne dass zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern die Organisation, an die sie übermittelt werden, auch unter dem EU-US Data Privacy Framework zertifiziert ist.
Doch sind damit wirklich alle Datenschutzprobleme vom Tisch?
Einzelfallentscheidungen der Aufsicht nicht einfach verallgemeinern
Wenn man sich die Entscheidung des Europäischen Datenschutzbeauftragen (EDSB) zum Einsatz von WebEx durch den Europäischen Gerichtshof (EuGH) ansieht, findet man darin den wichtigen Hinweis: „Bei dieser Entscheidung handelt es sich weder um eine allgemeine Billigung noch um eine Zertifizierung der Datenschutzkonformität der Videokonferenzdienste.“.
Dazu erklärte Wojciech Wiewiórowski, EDSB: „Die Organe, Einrichtungen, Ämter und Agenturen der EU müssen bei ihrer täglichen Arbeit die Grundrechte des Einzelnen und insbesondere die Datenschutzvorschriften bei der Nutzung von Videokonferenztools wahren. Dies gilt umso mehr, als es bei der Nutzung dieser Tools zu einer Übermittlung personenbezogener Daten in Länder außerhalb der EU und des Europäischen Wirtschaftsraums (EWR) kommen kann, was zu erhöhten Risiken für die Rechte und Freiheiten natürlicher Personen führen kann. Ich begrüße, dass das Gericht die Führung übernommen hat, um wesentliche Änderungen von Cisco zu erreichen. Wir hoffen, dass dieser Erfolg als Beispiel für andere EU-Institutionen, -Einrichtungen, -Ämter und -Agenturen dienen kann.“
Wie Datenrisiken bei Videokonferenzen zu bewerten sind
Die Datenschutzaufsichtsbehörden haben zudem vor mehreren Jahren schon eine Checkliste zur Datenschutzprüfung von Videokonferenzdiensten (PDF) veröffentlicht, die weiterhin hilfreich ist. Darin ist die Frage nach der Übermittlung personenbezogener Daten an Drittländer nur eine von vielen. Auch alle anderen Punkte in der Checkliste wollen geklärt sein.
Der Bundesdatenschutzbeauftragte gab zu Videokonferenzdiensten unter anderem diese Hinweise:
Dem Unternehmen oder der Behörde obliegt die Risikoabwägung, ob eine Videokonferenz überhaupt stattfindet, welches Videokonferenzsystem verwendet wird (zum Beispiel eigenes oder externes System) und welche besonderen Einstellungen die Sicherheit der personenbezogenen Daten zusätzlich gewährleisten können.
Für die Abwägung ist das Gesamtgefährdungspotential der konkret betroffenen personenbezogenen Daten von besonderer Bedeutung. Hier gibt es verschiedene Parameter. So ist ein besonders hohes Gefährdungspotential zu sehen, wenn besonders sensible Daten betroffen sind oder wenn die Teilnehmerinnen und Teilnehmer einer Videokonferenz im Rahmen eines grundsätzlich bestehenden Abhängigkeitsverhältnisses an dieser teilnehmen, wie etwa in der Schule oder auch im Arbeitsverhältnis.
Das EU-US Data Privacy Framework regelt nicht alles
Auch das Data Privacy Framework (DPF) sorgt nicht etwa dafür, dass es bei Nutzung von Online-Videokonferenzen keine Probleme mehr gibt aus Datenschutzsicht.
So erklärt der Landesdatenschutzbeauftragte von Bayern: „Der Erlass des Angemessenheitsbeschlusses für das EU-U.S. Data Privacy Framework bringt auch für bayerische öffentliche Stellen manche Erleichterung mit sich. Allerdings erfassen die damit verbundenen Artikel der DSGVO nur einen Teilaspekt grenzüberschreitender Datenverarbeitungen.“
So verweist der Landesdatenschutzbeauftragte am Beispiel sozialer Netzwerke auf das Problem einer möglichen Datenerhebung durch den Betreiber auch für eigene Zwecke, um damit umfangreiche Nutzerprofile zu erstellen und diese kommerziell zu nutzen, insbesondere zur Vermarktung zielgruppenorientierter Werbung. Welche personenbezogenen Daten in welcher Art und Weise konkret verarbeitet werden, bleibe allerdings weitgehend unklar, so der Datenschützer. Die Rechenschaftspflichten, die die DSGVO dem Anwenderunternehmen auferlegt, sind so kaum zu erfüllen.
Es müssen also weiterhin Datenrisiken ausgeschlossen werden, damit zum Beispiel Online-Videokonferenzen datenschutzkonform genutzt werden können. Freifahrtscheine gibt es im Datenschutz nicht so einfach, wie sich das manche erhoffen.