Das Ausgangsproblem: das angemessene Datenschutzniveau
In der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist festgelegt, dass personenbezogene Daten grundsätzlich nur dann in ein Drittland übermittelt werden dürfen, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Dies kann entweder durch Angemessenheitsbeschlüsse oder durch die Verwendung von Standardklauseln und zusätzlichen Garantien der Verarbeiter erreicht werden.
Bei der Nutzung bekannter Videokonferenzlösungen wie Zoom, GoToMeeting, Microsoft Teams oder Skype werden personenbezogene Daten der Nutzerinnen und Nutzer in die USA übermittelt und dort verarbeitet. Dies können beispielsweise Daten wie Namen, E-Mail-Adressen oder Standort sein, aber auch die Inhalte der Videokonferenz – also das, was die Teilnehmenden via Audio, Video oder Text kommunizieren. Bisher konnten solche Daten auf der Grundlage eines Angemessenheitsbeschluss, des EU-US-Privacy-Shield, in die USA übertragen werden.
Das Urteil Schrems II und seine Folgen
Mit dem Beschluss 2016/1250, dem Urteil Schrems II, erklärt der Europäische Gerichtshof (EuGH) die Angemessenheit des vom EU-US-Privacy-Shield gebotenen Schutzes für unzureichend, da durch die geltenden US-Gesetze das ausreichende Datenschutzniveau nicht sichergestellt werden kann. So dürfen beispielsweise Geheimdienste auf die Daten von Nicht-US-Bürgern zugreifen, ohne dass die Betroffenen wirksame Rechtsmittel dagegen einlegen können. Aufgrund des EuGH-Urteils steht seit Juli 2020 fest, dass ein Transfer personenbezogener Daten in die USA auf Grundlage des Privacy-Shield nicht mehr zulässig ist.
Dieser Beschluss betrifft alle öffentlichen Stellen und Unternehmen, die Daten in die Vereinigten Staaten weitergeben, insbesondere, wenn dies bisher im Rahmen der Privacy-Shield-Absprache erfolgte. Daneben sind auch jene öffentlichen Stellen und Unternehmen betroffen, die an ein anderes Drittland Daten übermitteln, es sei denn, für das Drittland liegt gemäß der DSGVO ein Angemessenheitsbeschluss vor. Aktuell bestehen solche Beschlüsse für Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, Israel, die Isle of Man, Japan, Jersey, Neuseeland, die Schweiz und Uruguay, jedoch nicht mehr für die Vereinigten Staaten.
Im Ergebnis bedeutet das, dass eine Übermittlung personenbezogener Daten von der EU in die USA grundsätzlich nicht mehr möglich ist, bis auf wenige Ausnahmesituationen. Diese Ansicht vertreten alle europäischen Datenschutzaufsichtsbehörden, darunter auch der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg. In seiner Orientierungshilfe weist der LfDI drauf hin, dass nur noch solche Lösungen genutzt werden dürfen, bei denen keine Transferproblematik besteht. Andernfalls wird der Datentransfer vom LfDI untersagt und es drohen Bußgelder und Schadenersatzforderungen.
Ein Mangel an Alternativen?
Bedeutet ein Verbot von Zoom, Teams und GoToMeeting auch den Verzicht auf Videokonferenzlösungen? Nein, denn es gibt durchaus DSGVO-konforme Anbieter von Videokonferenzlösungen in der EU. So steht beispielsweise der Karlsruher Anbieter alfaview in der Funktionalität und Stabilität Zoom um nichts nach ‑ ganz im Gegenteil ‑ und legt dazu noch besonderes Augenmerk auf den Schutz von personenbezogenen Daten. Für die Bereitstellung der Dienste werden ausschließlich ISO 27001-zertifizierte Rechenzentren von Unternehmen mit Sitz in Deutschland und der EU und damit innerhalb des DSGVO-Raums genutzt. Durch die ISO-Zertifizierung der Rechenzentren weist der Anbieter den hohen DSGVO-Sicherheitsstandard nach. Die Video- und Audioströme sind nach aktuellen Standards (TLS/AES 256) verschlüsselt und werden nicht gespeichert. Außerdem werden der Auftragsverarbeitungsvertrag (ADV) und die technisch-organisatorischen Maßnahmen (TOM) öffentlich auf der Unternehmenswebseite zur Verfügung gestellt. alfaview läuft unabhängig von der Teilnehmerzahl stabil und ohne Latenzen auf allen gängigen Plattformen. Auf eine browserbasierte Lösung wird verzichtet, denn sobald Videokonferenzen über einen Web-Browser, z.B. Google Chrome, Firefox, Safari oder Edge, abgehalten werden, können über den Browser nutzerbezogene Daten abgegriffen werden.
Auch wenn in der aktuellen Situation wieder verstärkt räumlich getrennt gearbeitet und über Videokonferenztools kommuniziert wird, darf dies nicht mit Datenschutzbedenken geschehen. Es gibt durchaus Alternativen „Made in Germany“, die es wert sind, genauer betrachtet zu werden.