Orientierungshilfe der Datenschutzkonferenz von Bund und Ländern für Videokonferenzdienste: Für US-Lösungen bleibt wenig Spielraum.
Am 30. Okt. 2020 haben die Datenschutzbeauftragten von Bund und Ländern eine Orientierungshilfe zum Einsatz von Videokonferenzsystemen veröffentlicht. Dort heißt es: „Ganz grundsätzlich ist bei der Auswahlentscheidung für einen Anbieter darauf zu achten, dass dieser geeignete technische und organisatorische Maßnahmen ergreift, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und der Anbieter hierfür hinreichende Garantien bietet. Die größten und bekanntesten Anbieter von Videokonferenzprodukten haben ihren Firmensitz allerdings in den USA und verarbeiten dort die Daten.“
Seit dem EuGH-Urteil vom Juli 2020, welches das transatlantischen Privacy Shield für ungültig erkläre, stehe dieses nun „als Instrument für die Sicherstellung eines angemessenen Schutzes in die USA übermittelter Daten nicht mehr zur Verfügung“.
Verantwortliche für die Auftragsdatenverarbeitung müssten daher „vor Beginn der Übermittlung die Rechtslage im Drittland im Hinblick auf behördliche Zugriffe und Rechtsschutzmöglichkeiten für betroffene Personen analysieren […]. Bei Defiziten sind zusätzliche Maßnahmen erforderlich; ggf. muss der Datenexport unterbleiben.“
Vor diesem Hintergrund wurden in einem Vergleichstest der Berliner Datenschutzbeauftragten Maja Smoltczyk bereits Anfang Juli führende Videokonferenzsysteme wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting und Cisco WebEx als problematisch eingestuft, was „eine rechtskonforme Nutzung des Dienstes“ angeht.
Demgegenüber wurden in dem Kurztest selbst die als Software-as-a-Service (SaaS) bereitgestellten Instanzen von Open-Source-Lösungen wie Jitsi Meet (angeboten von Netways oder sichere-videokonferenz.de), die Tixeo Cloud, BigBlueButton-Instanzen von Werk21 sowie der Messenger Wire als positiv bewertet.
Uneingeschränkt zu empfehlen sei es, den Dienst auf einem gemieteten Server selbst zu betreiben. Das habe „den Vorteil, dass sich Fragen nach der Notwendigkeit des Abschlusses eines Auftragsverarbeitungsvertrags (Art.28 DS-GVO) oder einer Vereinbarung zur gemeinsamen Verantwortung (Art.26 DS-GVO) ebenso wenig stellen, wie die nach einer evtl. gemeinsamen Haftung.“
Alternativ könne damit aber auch ein Dienstleister beauftragt werden, beispielsweise wenn eigene technische und personelle Ressourcen fehlen. „Hierfür ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 DS-GVO abzuschließen. […] Dabei ist zu beachten, dass die eingesetzte oder Teilnehmern angebotene Software auf Datenabflüsse an den Hersteller und dritte Stellen zu untersuchen ist. Dies schließt Diagnose- und Telemetriedaten oder sonstige Datenabflüsse ein. Entsprechende Datenabflüsse müssen unterbunden werden, soweit nicht eine Rechtsgrundlage hierfür besteht.“
So weit die Orientierungshilfe der Datenschutzkonferenz.
Ausschließlich Systeme, die diese strengen Voraussetzungen erfüllen, sind uneingeschränkt zu befürworten – gerade im Bildungsbereich. Den Aufwand sollten uns die personenbezogenen Daten unserer Schülerinnen und Schüler schon wert sein!