Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Ulrich Kühn hat die Senatskanzlei der Stadt Hamburg offiziell vor dem Einsatz des Videotelefonkonferenz-Softwareprogramms Zoom in der sogenannten on-demand-Variante gewarnt. Kühn hatte nach Abschied von Johannes Caspar das Amt des Datenschutzbeauftragten bis zur gestrigen Wahl von Thomas Fuchs interim geführt. Da die Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden sei, verstoße der Einsatz nach Ansicht des Datenschutzbeauftragten gegen die Datenschutz-Grundverordnung (DSGVO). Die Senatskanzlei erwägt nun die Erhebung einer Klage beim Verwaltungsgericht.
Als es das EU-US-Privacy Shield noch gab…
Noch vor dem Urteil des Europäischen Gerichtshofs (EuGH) zur Unwirksamkeit des EU-US-Privacy Shields verkündete der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) im Juni 2020 in einer Pressemitteilung, dass die ursprüngliche Warnung zur Nutzung des Videokonferenz-Tools nicht mehr aufrechterhalten werden könne. Nach einem intensiven Gespräch mit dem LfDI habe Zoom eine Änderung beim Umgang mit Datensicherheitsfragen glaubhaft machen und die Änderungen durch mehrere zwischenzeitlich durchgeführte Updates belegen können.
Kurzprüfung zeigt datenschutzrechtliche Mängel
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlichte bereits im Juli 2020 die Ergebnisse von durchgeführten Kurzprüfungen der Videokonferenzdienste verschiedener Anbieter. Die Ergebnisse werden regelmäßig, zuletzt im Februar 2021, aktualisiert. Nach den Ausführungen der BlnBDI weist Zoom Mängel auf, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe erfordern. Die rechtliche Bewertung des BlnBDI beruht dabei auf einer Vielzahl von festgestellten Mängeln im Auftragsverarbeitungsvertrag. So wird u.a. eine umfassende Löschung der verarbeiteten personenbezogenen Daten nach Vertragsende ausgeschlossen. Neue Sub-Auftragsverarbeiter werden pauschal genehmigt und der Einspruch gegen Unterauftragsverarbeiter ist für den Verantwortlichen faktisch unmöglich.
Nach Einleitung eines formalen Verfahrens folgt nun die formale Warnung
Nach den Ausführungen des Hamburger Datenschutzbeauftragten besteht in den USA kein ausreichender Schutz für die personenbezogenen Daten der Behördenbeschäftigten und externen Gesprächsbeteiligten. Dies sei im Rahmen des Schrems-II-Urteil des Europäischen Gerichtshofs vom Juli 2020 festgestellt worden. Datentransfers in unsichere Drittländer wie die USA seien nur noch unter sehr engen Voraussetzungen möglich. Diese liegen nach Ansicht von Kühn bei dem geplanten Einsatz von Zoom durch die Senatskanzlei nicht vor. Trotz der Feststellungen des EuGHs habe die Senatskanzlei nicht von ihren Plänen abweichen wollen. Selbst die Einleitung eines formalen Verfahrens Mitte Juni habe zu keinem anderen Ergebnis geführt. Bisher seien dem HmbBfDI keine Unterlagen vorgelegt oder Argumente mitgeteilt worden, die eine andere rechtliche Bewertung zuließen. Folglich wurde nun die formale Warnung gemäß Art. 58 Abs. 2 lit. a) DSGVO ausgesprochen. Hierzu führt Kühn aus:
„Öffentliche Stellen sind an die Einhaltung des Rechts in besonderem Maße gebunden. Daher ist es mehr als bedauerlich, dass es zu einem solchen formalen Schritt kommen musste.“
Klagt die Senatskanzlei nun vor dem Verwaltungsgericht?
Der Senatssprecher widerspricht den Ausführungen des Hamburger Datenschutzbeauftragten. Die Senatskanzlei habe am 14. April sowie am 01. und 15. Juli umfangreiche Unterlagen an die Datenschutzbehörde übermittelt und eine Vielzahl von Fragen beantwortet. Die Belange des Datenschutzes seien demnach besonders beachtet worden.
„Zoom stellt durch eine lückenlose Ende-zu-Ende-Verschlüsselung technisch sicher und garantiert vertraglich, dass keine Inhalte einer Videokonferenz – also weder das gesprochene Wort noch Videoaufzeichnungen – durch das Unternehmen abgerufen werden oder in die Hände Dritter gelangen können.“
Nach Angaben des Senatssprechers wird derzeit noch geprüft, ob Klage gegen die formale Warnung beim Verwaltungsgericht erhoben werden soll.
Dataport als mögliche Alternative?
Grundsätzlich steht allen Mitarbeitern in Hamburg flächendeckend Dataport als Videokonferenztool zu Verfügung. Dieser Dienstleister der öffentlichen Verwaltung für die vier Bundesländer Hamburg, Schleswig-Holstein, Bremen und Sachsen-Anhalt hat sich nach Ansicht des HmbBfDI bewährt und ist im Hinblick auf Drittlandübermittlungen unproblematisch. Für den HmbBfDI sei es aus diesem Grund unverständlich warum die Senatskanzlei auf den Einsatz eines rechtlich problematischen Systems besteht.