Nach wie vor ist nach Ansicht von Datenschützern bei den populärsten Konferenztools Vorsicht geboten

Die Berliner Datenschutzbehörde rät Unternehmen nach wie vor, den Einsatz von den beliebten Konferenztools Zoom, Teams und Skype sorgfältig zu prüfen, bevor sie zum Einsatz kommen.

Der Herbst scheint uns genau das zu bringen, was viele befürchtet haben. Covid-19 macht sich in einer zweiten Welle mit überall erschreckend hohen Inzidenzzahlen über die Kontinente her. Die gebeutelte Wirtschaft steht also vermutlich vor weiteren schmerzhaften Einschnitten. Videokonferenzen werden auf einem hohen Level weiterhin den Joballtag bestimmen.

Mit zunehmendem Einsatz der „großen“ Konferenz-Tools Zoom, Teams und der Lösungen von Skype kam es gleich zu Beginn der Covid-19-Pandemie zu ernsten Bedenken von Datenschützern, ob bei deren Nutzung der Datenschutz gewährleistet sei. Grundproblem war und ist, dass die Unternehmen mit den höchsten Online-Konferenz-Frequenzen ihre Unternehmenssitze in den USA haben. Allein diese Tatsache macht die Betrachtung von vorneherein so schwierig. Denn es sind nun einmal die grundsätzlichen Unterschiede in Sachen Datenschutz, die die Diskussion zwischen beispielsweise den USA und Europa bedingen. Im Grundsatz sind Unternehmen, die in den USA personenbezogene Daten erfassen, verarbeiten und speichern, durch kein staatsübergreifendes Recht dazu verpflichtet, DSGVO-konform zu agieren. Anders sieht es für die Unternehmen aus, die in Europa angesiedelt sind und in der Praxis mit den genannten Software-Lösungen Ihre Kommunikation durchführen. Sie sind an die Einhaltung aller DSGVO-Bestimmungen gebunden und müssen die personenbezogenen Daten von Geschäftspartnern, Mitarbeitern und Kunden nachweislich schützen.

Noch keine rechtsverbindliche Alternative zum Privacy Shield

Die Vorherrschaft der US-Unternehmen bei funktionierenden Software-Lösungen zum Konferieren führt praktisch dazu, dass Tatsachen geschaffen werden, die über dem Rechtssystem zu stehen scheinen. Es gibt in der EU kaum ein Unternehmen, dass keine Software der US-Giganten nutzt. Allerdings werden die Unternehmen durch die DSGVO dazu gezwungen, die Rechtsunterschiede durch einzeln geschlossene Verträge mit dem jeweiligen Anbieter zu klären. Bis zum Juli wurde dies aus Sicht von Datenschützern mehr schlecht als recht über den „Privacy Shield“ geregelt, der durch ein Urteil des EuGH im Juli gekippt wurde. Nun ist Eile dabei geboten, ein generell gültiges Rechtsabkommen neu zu verhandeln, das den Datenschutz zwischen der EU und den USA regelt. Bis es soweit ist, kommen die EU-Unternehmen nicht umhin, Standardvertragsklauseln anzuwenden, die von der EU-Kommission regelmäßig aktualisiert zur Verfügung gestellt werden.

Konkret empfiehlt die Berliner Datenschutzbehörde:

• Videotelefonie und Videokonferenzen sollen über verschlüsselte Kanäle abgewickelt werden. Dies betrifft sowohl die Vermittlung der Verbindungen als auch die Übertragung der Ton-und Bilddaten.
• Wenn Sie die Videokonferenzlösung nicht selbst sicher und mit angemessenem Aufwand betreiben können (was vorzuziehen wäre), dann können Sie einen zuverlässigen Videokonferenzdienst damit beauftragen. Voraussetzung ist, dass Sie einen Auftragsverarbeitungsvertrag mit ihm schließen und der Betreiber keine Angaben über die Beschäftigten und deren Kommunikation oder die Nutzung der Software für eigene Zwecke verarbeitet oder an Dritte weitergibt.
• Der Dienstleister sollte die Daten in der Europäischen Union, einem Land des Europäischen Wirtschaftsraums oder in einem als gleich sicher geltenden Land verarbeiten und auch dort seinen Sitz haben.

Ein weiterer Hinweis der Datenschützer zielt auf die gängige Praxis ab, dass beim Betreiber des jeweiligen Dienstes Bilder und Töne unverschlüsselt auflaufen. Das ist für den Betreiber schon dafür notwendig, die bei der Konferenz entstehende Datenmenge zu steuern und gegebenenfalls an Serverleistungen oder Endgeräte anzupassen. Das birgt insgesamt die Gefahr, dass der Betreiber „mitschneidet“ und so in den Besitz sensibler personenbezogener Daten kommt. Dagegen hilft laut Datenschutzbehörde lediglich eine „Ende-zu-Ende-Verschlüsselung“, für die der Konferenz-Organisator unbedingt sorgen sollte.

Fazit

Solange es kein gültiges Rechtsabkommen zwischen den USA und der EU gibt, das beschreibt, wie transparenter Datenschutz sicherzustellen ist, laufen europäische Unternehmen bei der Nutzung von US-Tools Gefahr, vehement gegen die DSGVO zu verstoßen. Zumindest erscheint es bis zu einer offiziellen Regelung prüfenswert, inwieweit Videokonferenzen bei Anbietern wie Zoom und Microsoft (Teams, Skype) nicht durch reine Telefonkonferenzen ersetzbar sind. Betroffenen Firmen ist anzuraten, Alternativen zu prüfen und Konferenztools zu nutzen, deren Anbieter ihren Sitz in der EU haben und damit an europäisches Recht – also auch die DSGVO – gebunden sind.