Datenschutz bei Video-Tools

Die bundesweit beschlossenen Präventionsmaßnahmen zur Eindämmung der Pandemie zwingen immer noch zum Umdenken. Weil viele Unternehmen auf die Arbeit im Home­office setzen, gilt es Wege zu finden, einen effektiven Informationsaustausch zu gewährleisten. Die Kommunikation findet deshalb vermehrt über Video- und Telefonkonferenzen statt. Die verfügbaren Dienste, wie Skype oder Zoom, müssen allerdings auch in Zeiten von Corona datenschutzkonform eingesetzt werden. Hierzu hat sich inzwischen die Berliner Datenschutzbehörde geäußert. Während es erfreulich ist, dass die Behörde einen Leitfaden he­rausgegeben hat, ist die Ausgestaltung wenig zielführend.

Videotelefonie und Videokonferenzen sollen nach Ansicht der Behörde nur über verschlüsselte Kanäle stattfinden. Das ist zum Schutz der personenbezogenen Daten der Beteiligten durchaus lobenswert und im Grundsatz richtig (siehe die Anforderung in Art. 32 Abs. 1 lit. a) DSGVO). Eine konkrete Empfehlung zur Verschlüsselung spricht die Behörde aber nicht aus. So bleibt etwa offen, welche Art der Verschlüsselung durchzuführen ist (Server to Server, Client to Server, End to End und so weiter). Skype verwendet zum Beispiel den erweiterten Verschlüsselungsstandard AES (Advanced Encryption Standard).

Zudem soll jedes Unternehmen vorzugsweise selbst und eigenverantwortlich eine Videokonferenzlösung zur Verfügung stellen, ohne auf einen Drittanbieter zurückzugreifen. Dass dies mit einem erheblichen Mehraufwand verbunden ist, sieht auch die Behörde ein. Nutzen Unternehmen Dienste eines Drittanbieters wie Skype oder Microsoft Teams, so soll mit dem Anbieter ein Auftragsverarbeitungsvertrag geschlossen werden.

Dies scheint auf den ersten Blick folgerichtig, lässt auf den zweiten Blick allerdings unberücksichtigt, dass dem Anbieter bei hinreichender Verschlüsselung der Zugriff auf personenbezogene Daten nicht möglich ist - zumindest theoretisch. Infolgedessen wäre der Anbieter nicht als Auftragsverarbeiter einzuordnen und ein Vertrag wäre obsolet. Den Einsatz eines Anbieters außerhalb der EU/EFTA hält die Behörde zwar für kritisch, aber für akzeptabel, sofern die entsprechenden Schutzmaßnahmen (EU-Standardvertragsklauseln, Angemessenheitsbeschluss der EU) eingehalten werden. Jedoch empfiehlt sie für den Fall, dass in Videokonferenzen sensible Daten übertragen werden, nur Dienste von Anbietern zu nutzen, die ihren Sitz in der EU oder EFTA haben. Diese Empfehlung ist rechtlich nicht verankert und somit mehr als gut gemeinter Rat zu verstehen.

Die Datenschutzbehörde spricht einige Empfehlungen zur Auswahl eines Dienstleisters aus. Hinreichend genaue Angaben bleiben jedoch aus. Zum einen hat der Anbieter vertrauenswürdig zu sein. Daneben wird auf eine Liste europäischer Dienste der Fachhochschule Kiel GmbH verwiesen, mit dem Vorbehalt, dass die Behörde die Nutzungsbedingungen bisher nicht überprüfen konnte. Im Übrigen lässt die Berliner Datenschutzbehörde Kritik an US-Dienstleistern verlauten. Namentlich werden Microsoft Teams, Skype und Zoom genannt.

Die infolge von Covid-19 beschlossenen Maßnahmen schränken uns alle in der einen oder anderen Hinsicht ein. Daher ist es erfreulich, dass die Berliner Datenschutzbehörde einen Leitfaden zur datenschutzgerechten Nutzung von Video- und Telefonkommunikationsdiensten veröffentlicht hat. Die ausgesprochenen Empfehlungen sind jedoch meist nicht praktikabel, wenig konkret und sie lassen nicht erkennen, auf welcher Rechtsgrundlage sie beruhen. Es bleibt abzuwarten, ob sich die Berliner Behörde noch klarstellend äußert. Bis dahin sollten die Empfehlungen nur mit Vorsicht genossen werden.