Berliner Datenschutzbeauftragte veröffentlicht Hinweise zu Mängeln der standardisierten Auftragsverarbeitungsverträge führender Anbieter wie Microsoft, Google, Cisco und Zoom.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 03.07.2020 die Ergebnisse einer Kurzprüfung zum datenschutzkonformen Einsatz von Videokonferenzdiensten verschiedener Anbieter veröffentlicht, die Videokonferenzen als Software-as-a-Service (SaaS) anbieten. Prüfungsgegenstand waren in erster Linie die standardmäßig verwendeten Auftragsverarbeitungsverträge (Art. 28 DS-GVO) der betreffenden Anbieter. Soweit die Rechtskonformität der Auftragsverarbeitungsverträge festgestellt wurde, erfolgte zudem eine kursorische Untersuchung einiger technischer Aspekte der Dienste.
Um die Ergebnisse der Prüfung besser zu veranschaulichen, bedient sich die Aufsichtsbehörde eines Ampelsystems. Eine Rotmarkierung bedeutet, dass der betreffende Dienst auf Grundlage der Standardauftragsverarbeitungsvereinbarung derzeit nicht rechtskonform genutzt werden kann. Dies trifft nach Einschätzung der Berliner Datenschutzbeauftragten u. a. auf die bekannten Dienste Microsoft Teams, Skype, Skype for Business, Google Meet, Cisco WebEx, GoToMeeting und Zoom zu.
An den Standardvereinbarungen von Microsoft Teams wird neben zahlreichen Unklarheiten und Widersprüchen u. a. beanstandet, dass sich der Anbieter die Verarbeitung von Auftragsdaten zu eigenen Zwecken vorbehält. Beim Anbieter Zoom werden neben Mängeln des Auftragsverarbeitungsvertrages unzulässige Einschränkungen der Löschpflicht sowie unzulässige Datenexporte beanstandet. Zudem bestehen aus Sicht der Aufsichtsbehörde Zweifel an der Zuverlässigkeit des Anbieters. In Bezug auf Zoom kündigt die Berliner Datenschutzbeauftragte Folgendes an: „Wir weisen darauf hin, dass Art. 28 Abs. 1 DS-GVO vorschreibt, dass nur Auftragsverarbeiter eingeschaltet werden dürfen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Bei der Prüfung von Verantwortlichen, die Zoom einsetzen, beabsichtigen wir, auf diesen Aspekt besonderes Augenmerk zu legen. Verantwortliche müssen vor einem Einsatz nachweisen können (Art. 5 Abs. 2 DS-GVO), dass Zoom diese Anforderungen mittlerweile erfüllt.“
Mit einer „grünen Ampel“ wurden einige Anbieter bewertet, die Videokonferenzdienste auf Grundlage der Open-Source-Software Jitsi Meet kommerziell bereitstellen. Hierzu zählen Netways und sichere-videokonferenz.de. Positiv bewertet wurden daneben TixeoCloud, BigBlueButton von Werk21 und Wire.
Die Berliner Aufsichtsbehörde hat angekündigt, die von ihr veröffentlichte Liste fortlaufend zu ergänzen.
Praxishinweis
Sollten sich andere Aufsichtsbehörden der Auffassung der Berliner Datenschutzbeauftragten anschließen, bestehen erhöhte Risiken für eine datenschutzrechtliche Inanspruchnahme. Hierbei gilt es zu beachten, dass Unternehmen, die Videokonferenzdienste der betroffenen Anbieter in ihrem Geschäftsbetrieb nutzen, als Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO anzusehen sind und nach Art. 5 Abs. 2 DS-GVO der Rechenschaftspflicht unterliegen. Das heißt, dass das Unternehmen für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich ist und diese nachweisen können muss. Unternehmen, die bislang eines der beanstandeten Produkte einsetzen, sollten daher die mit dem Anbieter abgeschlossenen Auftragsverarbeitungsverträge überprüfen und ggf. anpassen. Verweigert der Anbieter seine Zustimmung hierzu, ist eine datenschutzkonforme Weiternutzung der Dienste aus Sicht der Berliner Aufsichtsbehörde nicht zulässig.
Quelle: https://www.datenschutz-berlin.de/infothek-und-service/pressemitteilungen/#c98
