Datenschutz bei der Videokonferenz ist wichtig und die Bedeutung des Schutzes Personen bezogenen Daten wird mit fortscheitender Digitalisierung eher steigen als sinken. Datenschutz ist aber auch ein sperriges Thema. Denn Datenschutz ist komplex und Datenschutz ist immer auch ein juristisches Thema.

Datenschutz wäre noch komplexer, wenn es nicht zumindest für die Europäische Union einheitliche(re) Regeln gäbe.

Doch viele und erfolgreich Dienste werden von US-amerikanischen Unternehmen oder deren Tochtergesellschaften. Was hat das für Konsequenzen

Datenschutz bei der Videokonferenz

Foto P. Whelen

Zugriff der amerikanischen Behörden bei US-Anbietern möglich

Datentransfers von Unternehmen aus der EU an Cloud-Dienste in den USA wie Microsoft, Amazon, Google oder Dropbox sind rechtswidrig, wenn die dortigen Datenempfänger den US-Überwachungsgesetzen unterliegen und Zugriff auf die Dateninhalte im Klartext haben.

US Amerikanische Unternehmen unterliegen US-amerikanischem Recht. Die US-Sicherheitsgesetze ermöglichen den Behörden Zugriff auf die Dateninhalte im Klartext.

„Dies könnte im Zusammenhang mit Videokonferenzdiensten insbesondere bei US-amerikanischen Unternehmen oder deren Tochtergesellschaften zu datenschutzrechtlichen Problemen führen, […]“

 „Hinweise darauf, dass insoweit nach europäischem Recht unzulässige Zugriffsbefugnisse bestehen könnten, gibt es zwischenzeitlich.“

US-Behörden Zugriff auf die Inhalte im Klartext

Foto D. Abraham

Dabei handeln die Unternehmen nicht zwangsläufig böswillig. Vielmehr operieren Sie grenzübergreifend und sind gezwungen die sich wiedersprechenden Gesetze von EU und den USA zu berücksichtigen.

Frühere Datenschutz-Abkommen sind gescheitert

Safe-Harbor-Abkommen

Zum Schutz der persönlichen Daten von EU-Bürgern bei amerikanischen Unternehmen gab es zuvor zwei Abkommen. Im Jahr 2000 gab es das Safe-Harbor-Abkommen zum Datenaustausch zwischen der EU und den USA. Doch der Europäische Gerichtshof kippt dies Abkommen im Oktober 2015.

Das Abkommen stelle faktisch keinen wirksamen Schutz dar. Die US-amerikanischen Unternehmen seinen weiter verpflichtet personenbezogene Daten an die US-amerikanischen Sicherheitsbehörden herauszugeben. Zudem fehle es an Regeln, die diese Eingriffe durch Behörden begrenzen. Noch gäbe es einen wirksamen Rechtsschutz gegen solche Eingriffe.

EU-US Privacy Shield

Darauf vereinbarten die Europäische Union und die Vereinigten Staaten von Amerika das EU-US Privacy Shield (auch EU-US-Datenschutzschild). Die Kommission hatte 2016 beschlossen, dass das Privacy Shield das europäische Datenschutzniveau sicherstellt.

Wieder wurde am Ende der Europäische Gerichtshof zur Klärung angerufen. Am 16. Juli 2020 (Rechtssache C-311/18) wurde der Beschluss der Kommission kassiert.

Das hat Konsequenzen für die Verantwortlichen können sich beim Datentransfer zu Auftragsverarbeitern in der Vereinigten Staaten sich nicht mehr auf das Privacy Shield berufen.

Bei beiden Entscheidungen spielte ein Individuum eine wichtige Rolle.

Der Datenschutzaktivist Maximilian „Max“ Schrems (Jahrgang 1987) brachte beide Klagen ins Rollen.

Das Urteil zum EU-US-Datenschutzschild wird auch als Schrems II – Urteil bezeichnet.

Die Berliner Verantwortliche für Datenschutz empfiehlt Verantwortlichen, die „Videokonferenzdienste nutzen wollen, deren Anbieter direkt oder indirekt ausländischem Recht unterliegen, müssen daher entsprechende Prüfungen selbst vornehmen und die weiteren Entwicklungen genau beobachten.“ https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

Zu beachten wären dann auch die „Besonderheiten bei Übermittlung an Drittländer“. Diese sind „Orientierungshilfe Videokonferenzsysteme“ der Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder). https://www.datenschutzkonferenz-online.de/media/oh/20201023_oh_videokonferenzsysteme.pdf

Datenschutz sicher und einfach bei europäischen Videokonferenz-Diensten

Die einfachste Lösung ist die Nutzung eines Videokonferenz-Anbieters aus Europa, der auch keine Daten in Drittländer exportiert.

Dann gilt europäisches Recht und die Daten und Festplatten befinden auf europäischen Boden. Verbraucher und Behörden genießen einen wirksamen Rechtschutz.

Das macht es für den Verantwortlichen der Videokonferenz um ein vielfaches einfacher. Manchmal ist es so leicht, das Richtige zu tun.

europäischen Videokonferenz-Diensten

Foto: P. Bamin

Koordinierte Kontrollen durch Datenschutzaufsichtsbehörden angekündigt

Die Datenschutzaufsichtsbehörden haben Kontrollen angekündigt. So sollen unzulässige Datentransfers ausgesetzt werden.

Unternehmen, die Daten in Drittstaaten (Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums) übermitteln, werden durch die Behörden angeschrieben und erhalten einen Fragenkatalog zum Beispiel zum E-Mail-Versand, zum Hosting von Internetseiten oder zum Webtracking.

Die kündigte die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg am 1.6.2021 in einer Pressemitteilung an.

Mehr über Datenschutz bei der Videokonferenz