Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Ulrich Kühn hat die Senatskanzlei der Stadt Hamburg offiziell vor dem Einsatz des Videotelefonkonferenz-Softwareprogramms Zoom in der sogenannten on-demand-Variante gewarnt. Kühn hatte nach Abschied von Johannes Caspar das Amt des Datenschutzbeauftragten bis zur gestrigen Wahl von Thomas Fuchs interim geführt. Da die Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden sei, verstoße der Einsatz nach Ansicht des Datenschutzbeauftragten gegen die Datenschutz-Grundverordnung (DSGVO). Die Senatskanzlei erwägt nun die Erhebung einer Klage beim Verwaltungsgericht.
Der Inhalt im Überblick
Als es das EU-US-Privacy Shield noch gab…
Noch vor dem Urteil des Europäischen Gerichtshofs (EuGH) zur Unwirksamkeit des EU-US-Privacy Shields verkündete der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) im Juni 2020 in einer Pressemitteilung, dass die ursprüngliche Warnung zur Nutzung des Videokonferenz-Tools nicht mehr aufrechterhalten werden könne. Nach einem intensiven Gespräch mit dem LfDI habe Zoom eine Änderung beim Umgang mit Datensicherheitsfragen glaubhaft machen und die Änderungen durch mehrere zwischenzeitlich durchgeführte Updates belegen können.
Kurzprüfung zeigt datenschutzrechtliche Mängel
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlichte bereits im Juli 2020 die Ergebnisse von durchgeführten Kurzprüfungen der Videokonferenzdienste verschiedener Anbieter. Die Ergebnisse werden regelmäßig, zuletzt im Februar 2021, aktualisiert. Nach den Ausführungen der BlnBDI weist Zoom Mängel auf, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe erfordern. Die rechtliche Bewertung des BlnBDI beruht dabei auf einer Vielzahl von festgestellten Mängeln im Auftragsverarbeitungsvertrag. So wird u.a. eine umfassende Löschung der verarbeiteten personenbezogenen Daten nach Vertragsende ausgeschlossen. Neue Sub-Auftragsverarbeiter werden pauschal genehmigt und der Einspruch gegen Unterauftragsverarbeiter ist für den Verantwortlichen faktisch unmöglich.
Nach Einleitung eines formalen Verfahrens folgt nun die formale Warnung
Nach den Ausführungen des Hamburger Datenschutzbeauftragten besteht in den USA kein ausreichender Schutz für die personenbezogenen Daten der Behördenbeschäftigten und externen Gesprächsbeteiligten. Dies sei im Rahmen des Schrems-II-Urteil des Europäischen Gerichtshofs vom Juli 2020 festgestellt worden. Datentransfers in unsichere Drittländer wie die USA seien nur noch unter sehr engen Voraussetzungen möglich. Diese liegen nach Ansicht von Kühn bei dem geplanten Einsatz von Zoom durch die Senatskanzlei nicht vor. Trotz der Feststellungen des EuGHs habe die Senatskanzlei nicht von ihren Plänen abweichen wollen. Selbst die Einleitung eines formalen Verfahrens Mitte Juni habe zu keinem anderen Ergebnis geführt. Bisher seien dem HmbBfDI keine Unterlagen vorgelegt oder Argumente mitgeteilt worden, die eine andere rechtliche Bewertung zuließen. Folglich wurde nun die formale Warnung gemäß Art. 58 Abs. 2 lit. a) DSGVO ausgesprochen. Hierzu führt Kühn aus:
„Öffentliche Stellen sind an die Einhaltung des Rechts in besonderem Maße gebunden. Daher ist es mehr als bedauerlich, dass es zu einem solchen formalen Schritt kommen musste.“
Klagt die Senatskanzlei nun vor dem Verwaltungsgericht?
Der Senatssprecher widerspricht den Ausführungen des Hamburger Datenschutzbeauftragten. Die Senatskanzlei habe am 14. April sowie am 01. und 15. Juli umfangreiche Unterlagen an die Datenschutzbehörde übermittelt und eine Vielzahl von Fragen beantwortet. Die Belange des Datenschutzes seien demnach besonders beachtet worden.
„Zoom stellt durch eine lückenlose Ende-zu-Ende-Verschlüsselung technisch sicher und garantiert vertraglich, dass keine Inhalte einer Videokonferenz – also weder das gesprochene Wort noch Videoaufzeichnungen – durch das Unternehmen abgerufen werden oder in die Hände Dritter gelangen können.“
Nach Angaben des Senatssprechers wird derzeit noch geprüft, ob Klage gegen die formale Warnung beim Verwaltungsgericht erhoben werden soll.
Dataport als mögliche Alternative?
Grundsätzlich steht allen Mitarbeitern in Hamburg flächendeckend Dataport als Videokonferenztool zu Verfügung. Dieser Dienstleister der öffentlichen Verwaltung für die vier Bundesländer Hamburg, Schleswig-Holstein, Bremen und Sachsen-Anhalt hat sich nach Ansicht des HmbBfDI bewährt und ist im Hinblick auf Drittlandübermittlungen unproblematisch. Für den HmbBfDI sei es aus diesem Grund unverständlich warum die Senatskanzlei auf den Einsatz eines rechtlich problematischen Systems besteht.
Zitat: „Für den HmbBfDI sei es aus diesem Grund unverständlich warum die Senatskanzlei auf den Einsatz eines rechtlich problematischen Systems besteht.“
Weil sie machen können was sie wollen und ihnen nichts passiert. Siehe Autobahnmaut, aktuell Afghanistan. Wenn was passiert sind immer andere schuld – Verantwortung übernehmen??? Nach dem Motto:“ Das will ich aber haben und ihr anderen habt mir gar nix zu sagen – basta!!“
Die Moral unsrer Politiker…, obwohl, ich glaube die haben gar keine mehr. Und Hirn haben sie scheinbar auch nicht, sonst kämen sie wohl nicht auf die Idee politische Diskussionen/Entscheidungen (wenn in dem Fall nur „regionale“) den US Geheimdiensten auf dem Silbertablett zu servieren.
Und dann auch noch dagegen klagen zu wollen – diese abgehobene Überheblichkeit von einem Großteil unserer Politiker macht mich fassungslos und wütend.
Hallo!
[…] Datentransfers in unsichere Drittländer wie die USA seien nur noch unter sehr engen Voraussetzungen möglich. […]
Wo finde ich denn diese „sehr engen Voraussetzungen“?
Vielen Dank.
Dem Thema haben wir mehrere Beiträge gewidmet:
Privacy Shield ungültig – EDSA veröffentlicht FAQ zum EuGH-Urteil + Schrems-II-Urteil: Aktualisierte Orientierungshilfe aus Baden-Württemberg.
Und zu den Änderungen durch die neuen Standardvertragsklauseln:
EU-Kommission verabschiedet DSGVO-Standardvertragsklauseln + die Stellungnahme des EDSA und die Pressemitteilung der DSK.
Lässt sich zur Not nicht alles mit berechtigtem Interesse und den EU-Standardvertragsklauseln und vor allem einer Einwilligung regeln? Zumal eine Ende-zu-Ende-Verschlüsselung garantiert ist. Außerdem kann ich die bemängelten Stellen im AV-Vertrag nicht finden, oder sie wurden zwischenzeitlich angepasst. Klar, wenn es nationale Lösungen gibt, kann man diese vorziehen um es sich einfacher zu machen. Wenn es einfacher wäre. Wenn ich die Seite von Dataport besuche, erkenne ich nicht, wie ich dort eine Videokonferenzlösung benutzen kann. Muss ich da erst schriftlich anfragen, oder was? Soviel zu einfach. Es hat schon seinen Grund warum sich nicht jeder mit nationalen Lösungen anfreunden kann.
„Grundsätzlich steht allen Mitarbeitern in Hamburg flächendeckend Dataport als Videokonferenztool zu Verfügung.“
Dataport ist als AöR natürlich kein Videokonferenztool, wie sich später ergibt. Aber welche Tools Dataport genau anbietet wäre ja durchaus relevant – Jitsi, BigBlueButton, Skype, Webex, MS Teams? Wenn letztere, wie gewährleistet Dataport die Rechtmäßigkeit? Wird selbst gehostet?