Videokonferenzdienste

Seiteninhalt

Datenschutzkonforme Dienste auswählen

Die Stimme und das Bild der Teilnehmenden von Video- oder Telefonkonferenzen gehören genauso wie ihre Namen, Mailadressen und die in der Konferenz besprochenen Inhalte zu schützenswerten Daten. Auch in Krisenzeiten muss die Verarbeitung dieser Daten den geltenden Gesetzen und Sicherheitsvorgaben entsprechen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit als zuständige Datenschutz-Aufsichtsbehörde der HTW Berlin hat am 3. Juli 2020 Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten veröffentlicht. Mit Hilfe eines Ampelsystems wird darin dargelegt, dass einige verbreitet eingesetzte Dienste nicht alle Rechtmäßigkeitsvoraussetzungen erfüllen. Lösungen, die aufgrund der Einführung der Kontaktbeschränkungen an der HTW Berlin notbedingt kurzfristig eingesetzt wurden, müssen daher so bald wie möglich abgelöst bzw. so nachgebessert werden, dass sie den datenschutzrechtlichen Mindestanforderungen entsprechen. Vor diesem Hintergrund sprechen sich die Informationssicherheitsbeauftragten der HTW Berlin gegen den Einsatz von Diensten aus:

  • bei denen die Diensteanbieter die bei den Videokonferenzen anfallenden Daten für eigene Zwecke verarbeiten, die über die Bereitstellung der Konferenzplattform hinausgehen,
  • bei denen die Daten in einem Drittland außerhalb der EU (z.B. USA) verarbeitet werden und
  • deren Anbieter_innen keine rechtskonformen Auftragsverarbeitungsverträge anbieten.

Ihre Verantwortung

Wenn Sie Lizenzen für einen Videokonferenzdienst eigenständig erworben haben und diesen im Hochschulbetrieb verwenden - etwa für die Kommunikation mit Studierenden oder Kolleg_innen - ist dies keine "private Nutzung" im Sinne des Datenschutzrechts. Nur weil Sie einen etwaigen Zugang privat lizensiert haben, agieren Sie in Lehre oder Verwaltung nicht privat, sondern im dienstlichen Kontext. Sie tragen somit die Verantwortung für die Verarbeitung der Daten in dem von Ihnen genutzten Tool.

Wenn Sie das Tool oder den Dienst eines externen Anbieters im Hochschulbetrieb verwenden, spricht man von einer so genannten „Auftragsverarbeitung“. Das Tool bzw. der Dienst empfängt von Ihnen Daten und verarbeitet diese in Ihrem Auftrag weiter. Es besteht zwischen Ihnen und dem Dienstanbieter daher ein Rechtsverhältnis, das in einem so genannten Auftragsverarbeitungsvertrag (AVV) geregelt werden muss. Die Verantwortung für die Datenverarbeitung durch den Dienstanbieter wird grundsätzlich Ihnen als Verfahrensverantwortliche_n zugerechnet. Die zentrale Vorschrift für Auftragsverarbeitungen in der DSGVO ist Art. 28. Im Bundesdatenschutzgesetz (BDSG) finden sich in §§ 62, 63 nähere Hinweise.

Die Aufsichtsbehörde der HTW Berlin hat explizit darauf hingewiesen, dass nur Auftragsverarbeiter (also Tools oder Dienste) eingesetzt werden dürfen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Bei der Prüfung von Verantwortlichen beabsichtigt die Aufsichtsbehörde, auf diesen Aspekt besonderes Augenmerk zu legen. Das heißt, Sie als Verantwortliche_r müssen vor einem Einsatz des Dienstes nachweisen können (Art. 5 Abs. 2 DSGVO), dass diese Anforderungen erfüllt sind. Werden Sie von der Aufsichtsbehörde geprüft (z.B. in Folge einer Beschwerde), sind Sie in der Nachweispflicht.

Die zentrale Lösung der HTW Berlin

Aus technischer Sicht ist grundsätzlich vom Einsatz von Diensten, die Videokonferenzen als Software-as-a-Service (SaaS) anbieten mit vorkonfigurierten Einstellungen, die in vielen Fällen nicht oder nur durch großen Aufwand verändert werden können, abzusehen und der Betrieb eines Dienstes durch die HTW Berlin selbst (ggf. auf einer durch einen Auftragsverarbeiter bereitgestellten Plattform) vorzuziehen, da die HTW Berlin die Umstände der Datenverarbeitung nur dann vollumfänglich selbst bestimmen kann. Mit Big Blue Button bietet die HTW Berlin eine solche zentrale, selbst in unserem eigenen Rechenzentrum betriebene Lösung an, die die datenschutzrechtlichen Auflagen erfüllt und ohne Auftragsdatenverarbeitung in einem nicht EU-Land oder mit einer nicht in der EU ansässigen Firma auskommt. Die Informationssicherheitsbeauftragten der HTW Berlin unterstützen und empfehlen daher ausdrücklich den Einsatz des Videokonferenzdienstes Big Blue Button.

Grundsätzliches Problem: Datenverarbeitungen außerhalb der EU

Bei einigen verbreitet eingesetzten Diensten ist der Ort der Datenverarbeitung nicht auf die EU bzw. den EWR beschränkt, da diese oftmals von Unternehmen in den USA angeboten werden und die Daten auf Servern in den USA verarbeitet werden. Die DSGVO sieht besondere Anforderungen für die Übermittlung personenbezogener Daten in ein Land außerhalb der EU bzw. des EWR (sogenanntes „Drittland“) vor etwa ein angemessenes Schutzniveau im Drittstaat, geeignete Garantien oder ähnliches.

Das Risiko beim Einsatz von solchen Diensten besteht darin, dass die Daten, für die Sie verantwortlich sind, ihre Einflusssphäre verlassen und nicht mehr Ihrer Verfügungsgewalt unterliegen. Sie sind dadurch nicht mehr in der Lage zum Beispiel die datenschutzkonforme Verarbeitung der Daten zu kontrollieren, zu entscheiden, welche Subunternehmer in welchen Ländern eingesetzt werden, die Löschung von Daten zu veranlassen usw. Und das, obwohl sie dazu per Gesetz verpflichtet sind.

Da Sie für die Datenverarbeitung verantwortlich sind, sollten Sie also stets darauf achten, dass die Daten im Hoheitsbereich und unter der Verfügungsgewalt der HTW Berlin verbleiben. Wenn Sie externe Dienstleister (Tools, Software etc.) mit der Verarbeitung von Daten beauftragen, sollten Sie darauf achten, dass die Daten innerhalb der EU verarbeitet werden, und dass Sie wasserdichte Auftragsverarbeitungsverträge abschließen können, um Ihre gesetzlichen Rechte und Pflichten ausüben zu können.

Aktuelles EuGH-Urteil zu Datenverarbeitungen in den USA

Übermittlungen von personenbezogenen Daten in Länder außerhalb des EWR sind nur dann zulässig, wenn diese sogenannten "Drittländer" ein Datenschutzniveau aufweisen, das gleichwertig mit den europäischen Grundrechten ist. Der europäische Gerichtshof (EuGH) als höchstes europäisches Gericht erklärte in seiner Entscheidung vom 16. Juli 2020, dass dies in den USA weitgehend nicht der Fall ist. Der EuGH erklärte das „EU-US Privacy Shield“ für ungültig und stellte fest, dass US-Behörden zu weitreichende Zugriffsmöglichkeiten auf Daten europäischer Bürgerinnen und Bürger haben, da in den USA staatliche Überwachungsmaßnahmen bestehen, die mit einer massenhaften Sammlung personenbezogener Daten ohne klare Beschränkungen einhergehen. Daraus folgt, dass personenbezogene Daten bis zu einer Änderung der Rechtslage in aller Regel nicht mehr wie bisher in die USA übermittelt werden dürfen. Bereits ins Drittland übermittelte Daten müssen zurückgeholt werden. Der EuGH betonte ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet sind, nach diesen Maßstäben unzulässige Datenexporte zu verbieten, und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen können.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen - dazu zählt auch die HTW Berlin - auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln. Die Berliner Datenschutzbeauftragte sagt hierzu in einer Presseerklärung:

"Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen. Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen."

Fazit

Too long; didn't read? Hier die Kurzzusammenfassung: Bitte nutzen Sie für die Kommunikation in Lehre, Forschung und Verwaltung den zentral von der HTW Berlin angebotenen Dienst Big Blue Button, da dieser datenschutzkonform betrieben werden kann. Sollten Sie spezielle Features vermissen oder Probleme auftreten, wenden Sie sich an das Team Academic Services im HRZ.