30. April 2020
Datenschutz Videokonferenz
Datenschutzrecht

Skype, Zoom & Co. – Datenschutz bei Videokonferenzdiensten (Teil I)

Spätestens seit den Corona-Beschränkungen sind Videokonferenzen nicht mehr wegzudenken. Dabei darf aber der Datenschutz nicht auf der Strecke bleiben…

Die zur Bekämpfung des Coronavirus beschlossenen Maßnahmen haben das soziale Leben in seiner gewohnten Form stark eingeschränkt und dadurch (noch weiter) in die digitale Welt überführt. Das Geburtstagsständchen für Freunde, das Gespräch mit Oma und Opa oder eben das Meeting mit den Kollegen und Kunden: Was vor Kurzem noch vornehmlich face-to-face geschah, erfolgt angesichts des Social Distancings nun hauptsächlich virtuell über einen der zahlreichen Videokonferenzdienste.

Viele Dienstleister ermöglichen auch in Krisenzeiten einen mehr oder weniger persönlichen Kontakt und die Fortführung des Geschäftsalltags. Doch wie aktuelle Diskussionen zu Sicherheitslücken einzelner Anbieter und zum Einsatz dieser Dienste in Schul- und Unialltag zeigen, birgt die Nutzung dieser Dienste auch nicht zu unterschätzende Gefahren, insbesondere hinsichtlich des Datenschutzes. Die zuständigen Datenschutzaufsichtsbehörden halten sich derweil allerdings noch mit konkreten und begründeten Handlungsempfehlungen zurück.

„Gesundheitsnot kennt Datenschutzgebot“

Im persönlichen und familiären Umfeld beschränken sich die mit der Nutzung von Videokonferenzdiensten verbundenen Gefahren weitestgehend darauf, dass der Dienstanbieter oder sogar unberechtigte Dritte mehr Informationen über die teilnehmenden Personen und deren Kommunikation erhalten, als diesen lieb oder gar bewusst ist. Schlimm genug, aber immerhin drohen den Freunden und der Familie in diesem Umfeld mangels Anwendbarkeit der Datenschutzgesetze im Privaten keine Bußgelder von Aufsichtsbehörden oder Klagen der betroffenen Personen (vgl. zur sog. „Haushaltsausnahme“ Art. 2 Abs. 2 lit. b) DSGVO).

Anderes gilt natürlich für Unternehmen, die Videokonferenzdienste zur Kommunikation mit Mitarbeitern oder Kunden einsetzen. Denn die datenschutzrechtlichen Bestimmungen gelten auch in Zeiten des Coronavirus – und zwar uneingeschränkt. Der rheinland-pfälzische Landesdatenschutzbeauftragte hat dies in einem Blogbeitrag pointiert zusammengefasst: „Gesundheitsnot kennt Datenschutzgebot“.

Behördliche Maßnahmen nur aufgeschoben, nicht aufgehoben

Sofern von Behördenseite mit Blick auf die akute Krise eine „gewisse Nachsicht“ in Aussicht gestellt wird, stellt das keinen Freibrief für Unternehmen zur (vollständigen) Außerachtlassung der datenschutzrechtlichen Vorgaben dar. Denn eine etwaige behördliche Nachsicht betrifft zum einen nur überschaubare Datenschutzverstöße und gilt zum anderen auch nur für eine gewisse Übergangszeit, deren Ende mit dem sich abzeichnenden Übergang vom ‚absoluten Ausnahmezustand‘ hin zu einem ‚neuen Normalzustand mit dem Coronavirus‘ bevorsteht.

Außerdem bedeutet Nachsicht allenfalls, dass statt etwaiger sofortiger Sanktionen Unternehmen die Gelegenheit erhalten, datenschutzrechtliche Mankos nachbessern zu können. Das Problem und die Arbeit sind also allenfalls aufgeschoben, nicht aufgehoben. Das wiegt insbesondere vor dem Hintergrund schwer, dass viele Unternehmen die Videokonferenzdienste angesichts anhaltender, pandemiebedingter Beschränkungen sowie dem Trend zum Homeoffice dauerhaft einführen wollen. Schließlich betrifft eine gewisse Nachsicht eben nur den Handlungsspielraum der Aufsichtsbehörden und insbesondere nicht datenschutzrechtliche Ansprüche betroffener Personen, die diese gerichtlich durchsetzen können.

Vor diesem Hintergrund ist es sowohl für die Arbeit im Homeoffice insgesamt als auch für die richtige Auswahl und Einbindung des Videokonferenzdiensts unerlässlich, die datenschutzrechtlichen Voraussetzungen insbesondere der DSGVO genau zu beachten.

Die Qual der Wahl: Zahlreiche verschiedene Videokonferenzdienste

Mit der Ausweitung der Corona-Pandemie ist auch die Nutzung und die Vielfalt der zur Verfügung stehenden Dienste massiv angestiegen. Altbekannte Platzhirsche wie „Skype for Business“ versuchen ihre Marktstellung zu behaupten, während neuere Dienste wie „Zoom“ seit Beginn der Pandemie einen rapiden Anstieg der Nutzerzahlen verzeichnen (von 10 Millionen im Dezember 2019 auf über 200 Millionen im März 2020). Auch Facebook hat bereits mit den jüngst angekündigten „Messenger Rooms“ gezeigt, dass es ein Stück des wachsenden Kuchens begehrt, ebenso wie die anderen verfügbaren Dienste, wie z.B. „Cisco Webex Meetings“, „Discord“, „Google Hangouts Meet“, „GoToMeeting“, „Jitsi“, „meetyoo“, „Slack“ und „Team Viewer“, um nur wenige zu nennen.

Dabei unterscheiden sich die Dienste teilweise deutlich voneinander, insbesondere hinsichtlich der Kosten (sofern solche überhaupt entstehen), der maximalen Teilnehmeranzahl pro Meeting, der Stabilität/ Qualität der Video- und Audioverbindung, der weiteren Funktionen (Hintergrundgestaltung, Redekarte, Aufnahmefunktion etc.), der Anwendungsmodalitäten (browserbasiert oder Herunterladen eines Programms erforderlich; verfügbar auf Mobile Devices etc.), des technischen Setups (Betrieb auf eigenen Instanzen oder auf Servern der Diensteanbieter oder Dritten) und hinsichtlich vieler weiterer Aspekte. Die Auswahl fällt also allein schon deshalb schwer (eine Übersicht der verschiedenen Dienste und deren Eigenschaften und Funktionen ist in einem Wikipedia-Eintrag zu finden).

Aber damit nicht genug, die Dienste unterscheiden sich auch wesentlich hinsichtlich der Frage, ob sie datenschutzkonform sind bzw. ob und wie sie datenschutzkonform eingesetzt werden können und worauf hierbei zu achten ist. Hier ist ein klarer Überblick bislang äußerst schwer.

(Bisher wenig) Hilfestellung von den Datenschutzaufsichtsbehörden

Die zuständigen Datenschutzaufsichtsbehörden bieten hier bislang wenig konkrete Hilfestellungen. Zwar haben viele der Aufsichtsbehörden der Länder (wenn auch noch lange nicht alle) sowie der Bundesdatenschutzbeauftragte bereits Leitfäden und Hilfestellungen veröffentlicht. Allerdings sind diese noch recht abstrakt und allgemein formuliert.

Soweit einzelne Behörden sich schon in Bezug auf konkrete Dienste geäußert haben, fehlt es an tiefergehenden Begründungen. So hatte beispielsweise die Berliner Beauftragte für Datenschutz und Informationsfreiheit (LfDI Berlin) in einem Vermerk den Videokonferenzdienst Zoom als nicht datenschutzkonform kritisiert. Allerdings wurde nicht dargelegt, worin genau die datenschutzrechtlichen Bedenken bestehen.

Natürlich ist aufgrund der aktuellen Meldungen nicht zu bestreiten, dass bei Zoom datenschutzrechtliche Defizite vorhanden sind. Allerdings wäre es im Sinne aller Beteiligten – sowohl für Anbieter als auch für Unternehmen, die vor der Wahl stehen – zu verstehen, wo genau die datenschutzrechtlichen Schwachstellen liegen. Auf diese Weise könnten die Anbieter ihre Produkte effizienter den datenschutzrechtlichen Voraussetzungen anpassen (was im Beispiel von Zoom derzeit offenbar mit Hochdruck geschieht), und die Unternehmen hätten mehr Sicherheit und Orientierung bei der Auswahl und der Anwendung.

Dasselbe gilt für die apodiktisch in den Raum gestellte Wertung der LfDI Berlin aus der ebenfalls veröffentlichten „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“. Danach erfüllten Microsoft Teams, Skype und Zoom zur Zeit nicht die in der Checkliste aufgeführten datenschutzrechtlichen Bedingungen. Auch hierzu erfolgt keine Begründung, so dass sich Unternehmen (und Anbieter) beispielsweise fragen müssen, ob die datenschutzrechtlichen Bedingungen deshalb nicht erfüllt sein sollen, weil diese Dienste als Cloud-Lösungen mit Servern in den USA angeboten werden und – wenn ja – ob diese Wertung auch für den Fall gilt, dass diese Dienste in eigenen IT-Infrastrukturen genutzt werden (was bei vielen Konzernen der Fall ist).

Die generelle Empfehlung der LfDI Berlin, die auch andere Datenschutzaufsichtsbehörden geben, ist, zunächst zu prüfen,

ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Abstimmung untereinander herbeizuführen,

hilft Unternehmen wenig und ist praxisfern, wenn nicht sogar ‚technologiefeindlich‘. Das scheinen auch der Europäische Datenschutzbeauftragte und der Bundesdatenschutzbeauftragte so zu sehen, die sich durchaus des Dienstes Zooms bedienen und dies auch in Beiträgen in sozialen Netzwerken dokumentieren.

So twitterte der Europäische Datenschutzbeauftragte Wiewiorowski kürzlich einen Screenshot, der ihn, den Bundesdatenschutzbeauftragten Kelber sowie Vertreter des ITI und des ITIF’S Center for Data Innovation in einer Videokonferenz zum Thema „How will COVID-19 shape the future European privacy policy“ zeigen. Der verwendete Dienst: Zoom. Dieser Tweet wurde sowohl von dem aktuellen, als auch von dem ehemaligen Bundesdatenschutzbeauftragten Schaar, retweetet – Kritik sieht jedenfalls anders aus.

Auch diverse deutsche Gerichte setzen für die „Verhandlung im Wege der Bild- und Tonübertragung“ (vgl. § 128a ZPO) Skype for Business ein, wie beispielsweise das Landgericht Hannover, das entsprechende Hinweise zur Verwendung von Skype for Business veröffentlicht. Damit setzen die Gerichte um, was viele Anwaltsvereine wie der Berliner Anwaltsverein schon länger fordern.

Andere öffentliche Stellen zeigen derweil, dass auch konkretere Empfehlungen möglich sind. So hat Klicksave, eine Initiative der Europäischen Union für mehr Sicherheit im Internet, die in Deutschland durch die Landeszentrale für Medien und Kommunikation Rheinland-Pfalz und der Landesanstalt für Medien NRW umgesetzt wird, anhand dargelegter datenschutzrechtlicher Kriterien verschiedene ausgewählte Dienste getestet und bewertet. Ob dies auch den maßgeblichen Einschätzungen der zuständigen Aufsichtsbehörden entspricht, bleibt natürlich abzuwarten.

Die datenschutzrechtlichen Auswahlkriterien und die Umsetzung

Solange also die zuständigen Datenschutzaufsichtsbehörden keine konkreten und begründeten Handlungsempfehlungen veröffentlichen (diese sind teilweise angekündigt, wie bspw. vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, siehe Corona-FAQ Ziff. 2.1.9.), bleibt den Unternehmen nichts anderes übrig, als sich hinsichtlich der Auswahl und der richtigen Implementierung der Videokonferenzdienste an den Vorschriften der nach wie vor uneingeschränkt geltenden DSGVO und den vergleichsweise allgemeinen Hinweisen der Aufsichtsbehörden zu orientieren.

Eine Hilfestellung hierzu folgt in Kürze in Teil II zu diesem Blogbeitrag.


Aktuelle Informationen zu COVID-19 finden Sie in unserem Corona Center auf unserer Website. Wenn Sie Fragen zum Umgang mit der aktuellen Lage und zu den Auswirkungen für Ihr Unternehmen haben, sprechen Sie unser CMS Response Team jederzeit gerne an.

Tags: Coronavirus Datenschutzrecht & Recht der IT-Sicherheit Videokonferenz