Berliner Datenschutzbeauftragte: Zoom und Microsoft Dienste als Videokonferenzsysteme unzulässig?
Dr. Thomas Schwenke
LL.M. commercial (Auckland), Rechtsanwalt, Inh. Datenschutz-Generator.de, Datenschutzauditor, DSB (Attorney at law, Data Protection Auditor)
⛔ 📺 Die Berliner Datenschutzbeauftragte hält Zoom und wohl auch Microsoft Teams sowie Skype for Business als Videokonferenzsysteme für unzulässig (Orientierungshilfe).
Leider werden keine handfesten und überzeugenden Gründe für die Unzulässigkeit genannt.
An den USA soll es liegen
🇺🇲 Man könnte böse sagen, dass es das übliche USA-Bashing ist, nach dem Prinzip: "Wir haben zwar ein Privacy Shield für US-Unternehmen oder Standardschutzklauseln, wie die DSGVO es fordert, aber wir trauen den US-Diensten trotzdem nicht".
Natürlich, diese Ansicht ist berechtigt und der Europäische Gerichtshof (EuGH) kann das Privacy Shield in der Zukunft für unwirksam erklären (das ist ein Verfahren, bei denen teilnehmende US-Unternehmen zumindest formell als dem EU-Datenschutzniveau entsprechend gelten).
Aber dem EuGH vorgreifend US-Dienste per se abzulehnen, halte ich eher für Datenpolitik, denn für praxisgerechtes Datenschutzrecht.
Hilfreiche Ratschläge
Darüber hinaus sind die Informationen jedoch sehr hilfreich, z. B. dass immer die datenschutzsichersten Tools gewählt werden sollten und es unterschiedliche Grade der Datensicherheit gibt (z. B. für Beschäftigte oder Patienten). Eine Checkliste wird ebenfalls angeboten.
Vorverurteilungen
Dass Microsoft Teams und Skype for Business (wo eine Datenspeicherung in der EU möglich ist) und Zoom (Speicherung in der EU soll ab 18. April möglich werden) dadurch automatisch ausscheiden sollen, zeugt dagegen von einem fehlenden Blick für die Praxis. Usability wird als Kriterium nicht mit einbezogen und auch weitere Details, wie die Frage der generellen Notwendigkeit von Auftragsverarbeitungsverträgen, bleiben außer Betracht.
Auch ich denke zwar, dass man Zoom datenschutzrechtlich berechtigterweise für unausgereift halten kann und würde das Tool Mandanten derzeit nicht von mir aus empfehlen (schon weil die Enwickungen und Änderungen in diesem Bereich gerade sehr dynamisch und schwer vorherzusehen sind).
Vertrauen als Datenschutzkriterium
Allerdings darf man auch ein Vertrauen haben, dass Anbieter wie Zoom die Probleme zeitnah lösen (auch die Berliner Datenschutzbeauftragte hält das Vertrauen für ein Datenschutzkriterium). Und da zeigt Zoom zumindest redliches Bemühen immer datenschutzsicherer zu werden. D. h., Man muss nicht sofort das Kind mit dem Bad ausschütten.
Praxistipp
Unabhängig davon, ob Sie sich pro oder contra Zoom entscheiden: Wichtig ist stets, dass Sie diese Abwägung dokumentieren und Zoom, Microsoft Teams, etc. in Ihre Datenschutzhinweise aufnehmen (Dazu können Sie gerne meine Anleitung und Checkliste nutzen: DSGVO-sicher? Videokonferenzen, Onlinemeetings und Webinare (mit Anbieterübersicht und Checkliste).