Videokonferenzen mit Drittländern – Perspektive des EuGH und der Datenschutzgrundverordnung (DSGVO)
In Zeiten der Pandemie, die durch Einschränkungen der Bewegungs- und Versammlungsfreiheit gekennzeichnet ist, überrascht es nicht, dass das Arbeiten im Homeoffice sowie dazu notwendige Werkzeuge zu einem hochaktuellen Thema geworden sind. Obwohl die meisten Einschränkungen im Zusammenhang mit der Pandemie bereits weggefallen sind, sind Videokonferenzen zum Standard geworden. Es lohnt sich daher sicherzugehen, dass diese im Einklang mit den geltenden Datenschutzvorschriften erfolgen.
Verarbeitung personenbezogener Daten während Videokonferenzen
Die Nutzung einer Software zur Unterstützung von Videokonferenzen durch Unternehmer ist normalerweise mit der Verarbeitung personenbezogener Daten ihrer Teilnehmer verbunden. Zu den personenbezogenen Daten gehören beispielsweise die Nachnamen (Pseudonyme) der Teilnehmer, E-Mail-Adressen, Firma und Funktion des Teilnehmers, das Abbild (während der Nutzung des Dienstes registriert oder z.B. als Profilbild) und sonstige Daten, die während der Videokonferenz automatisch verarbeitet werden (z.B. über Cookies, Ortsangabe, Suchmaschine, Geräte-IP).
Wann gilt das Schrems II-Urteil des EuGHs für Videokonferenzen?
Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) im Urteil C-311/18 in der Rechtssache Schrems II die Frage der Übermittlung personenbezogener Daten an sog. Drittländer, d.h. außerhalb des Europäischen Wirtschaftsraumes analysiert. Der EuGH hat in seinem Urteil klargestellt, dass personenbezogene Daten aus der EU nur an Drittländer übermittelt werden dürfen, wenn das jeweilige Drittland einen gleichwertigen Schutz bietet.
Bei Videokonferenzen kann eine Übermittlung personenbezogener Daten schon deswegen stattfinden, weil der Anbieter der Videokonferenz-Software seinen Sitz und seine Server in den USA hat. Der EuGH hat mit dem Schrems II-Urteil den sog. EU-US-Privacy-Shield-Beschluss der Europäischen Kommission für ungültig erklärt, der zwischen 2016 und 2020 die Übermittlung personenbezogener Daten von der EU in die USA regelte. In den USA, so der EuGH, gibt es keinen gleichwertigen Schutzmechanismen wie im Europäischen Witrschaftsraum und die jeweilige Datenübertragung ist daher nun anhand Kapitel V der DSGVO zu beurteilen und eventuelle andere Schutzmaßnahmen sind zu ergreifen.
Dies bedeutet, dass die Übermittlung personenbezogener Daten in die USA, einschließlich der Nutzung von Videokonferenz-Software, die durch Firmen mit Servern in den USA geliefert wird, von einer relativ einfachen Aufgabe zu einer großen Herausforderung geworden ist.
Was tun, wenn unser Anbieter Daten in die USA übermittelt?
Im Zusammenhang mit diesem Urteil können die gängigen „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer“ (SCCs) weiterhin Grundlage für die Datenübertragung in Drittländer sein. Es handelt sich dabei um durch die Europäische Kommission vorgefertigte Vertragsbedingungen, die je nach Art der Datenverarbeitung fallabhängig zu ergänzen sind. Bei einer Datenübertragung in die USA sind die SCCs jedoch nicht mehr ausreichend, da die USA betroffenen Personen weder durchsetzbare Rechte noch wirksame Rechtschutzmaßnahmen bietet.
Um einen rechtmäßigen Datentransfer in die USA (oder in ein anderes Land, welches kein ordnungsgemäßes Schutzniveau sichert) sicherzustellen, sollten Unternehmen gemäß den Empfehlungen des Europäischen Datenschutzausschusses (EDSA) vom 10. November 2020 die Rechtsvorschriften und die Praxis desjenigen Staates, in den die personenbezogenen Daten gelangen, auf rechtliche Datenschutzgarantien prüfen und dort, wo diese Garantien nicht ausreichen, geeignete Abhilfemaßnahmen ergreifen. Der EDSA empfiehlt beispielsweise die Ende-zu-Ende-Verschlüsselung (E2EE – d.h. eine Verschlüsselung, bei der der Empfänger die Daten nicht entschlüsseln kann, da der Schlüssel ausschließlich dem Sender bekannt ist).
Um alle Risiken angemessen beurteilen zu können, sollten Dienstleistungsanbieter eine detaillierte Beschreibung der Datentransfers bereitstellen (auch an ihre Unterauftragnehmer). Wenn für die Sicherstellung des europäischen Schutzniveaus technische Änderungen in der Funktionsweise der Software erforderlich sind, kann dies bedeuten, dass auf die jeweilige Lösung aufgrund der Unvereinbarkeit mit der DSGVO zu verzichten ist.
Zusammenfassung
Die Tatsache, dass zahlreiche Anbieter von Telekonferenz-Software Server in den USA nutzen, bedeutet nicht nur, dass mit den Anbietern dieser Software ein Vertrag gemäß den SCCs zu schließen ist. Darüber hinaus ist auch eine entsprechende Dokumentation vorzubereiten, gemäß deren das Unternehmen die Rechtslage in den USA (und/oder in anderen Ländern) beurteilt und festgestellt hat, dass konkret benannte Zusatzmaßnahmen ausreichend sind, um die während der Telekonferenzen genutzten personenbezogenen Daten zu sichern.
Durch Auswahl eines geeigneten Anbieters von Videokonferenz-Software kann der Aufwand bei der Vorbereitung von DSGVO-Unterlagen sowie das Compliance-Risiko in Bezug auf personenbezogene Daten für Unternehmen spürbar reduziert werden.