Aufsichtsbehörde „warnt“ Senatskanzlei wegen Nutzung von Zoom

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat die Senatskanzlei der Freien und Hansestadt Hamburg (FHH) offiziell gewarnt, die Videokonferenzlösung von Zoom Inc. in der sog. on-demand-Variante zu verwenden. Dies verstoße gegen die DS-GVO, da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden sei. In diesem Drittland bestehe kein ausreichender Schutz für solche Daten. Dies sei durch den Europäischen Gerichtshof in der Entscheidung Schrems II bereits vor über einem Jahr (C-311/18) festgestellt worden und das bis dahin geltende Privacy-Shield als Übermittlungsgrundlage außer Kraft gesetzt. Ein Datentransfer sei daher nur unter sehr engen Voraussetzungen möglich, die bei dem geplanten Einsatz von Zoom durch die Senatskanzlei nicht vorliegen. Die Daten von Behördenbeschäftigten und externen Gesprächsbeteiligten ürden auf diese Weise der Gefahr einer anlasslosen staatlichen Massenüberwachung in den USA ausgesetzt, gegen die keine ausreichenden Rechtsschutzmöglichkeiten bestehen.

Da die Senatskanzlei auf die vom HmbBfDI wiederholt vorgetragenen Bedenken nicht entsprechend reagiert habe und auch die Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei am 17.6.2021 nicht zu einem Umdenken geführt habe, sei die formale Warnung nach Art. 58 Abs. 2 lit. a) DS-GVO der folgerichtige Schritt gegen die Senatskanzlei.

Schon begrifflich hat die Warnung des Art. 58 Abs. 2 lit. a) DS-GVO viel mit der Verwarnung nach Art. 58 Abs. 2 lit. b) DS-GVO gemeinsam. Beide unterscheiden sich aber im Sanktionscharakter: Eine Warnung kann die Aufsichtsbehörde aussprechen, wenn es an einem Datenschutzverstoß zwar derzeit fehlt, ein solcher aber zu befürchten ist („voraussichtlich“). Sie zielt also allein auf noch bevorstehende Rechtsverletzungen. Damit ist sie von dem verwaltungsökonomischen Ansatz der Prävention geprägt: Ein rechtzeitiger Hinweis auf bevorstehende Rechtsverstöße soll im Idealfall gewährleisten, dass es anschließend keiner zusätzlichen aufsichtsrechtlichen Maßnahmen mit sanktionierendem Charakter mehr bedarf; der Warnung selbst fehlt aber der Sanktionsgehalt.

Es stellt sich die Frage, welchen Erfolg eine Klage der Senatskanzlei gegen die formale Warnung der Aufsichtsbehörde beim Verwaltungsgericht Hamburg haben könnte. Fest steht, dass eine gerichtliche Bewertung die Problematik etwas differenzierter betrachten könnte, als es der HmbBfDI macht. So stellt das Landesarbeitsgericht Köln, 9 TaBV 7/21 in einem aktuellen Beschluss (Einigungsstellenverfahren) wie folgt fest:

„[..] Die heutigen marktgängigen Konferenzsysteme bieten durchweg die Möglichkeit einer hinreichend sicheren und verschlüsselten Kommunikation (Althoff/Sommer, ArbRAktuell 2020, 250, 252). Auch Cisco Webex (CW) gehört zu den hinreichend sicheren Konferenzsystemen, wie sie der Gesetzgeber bei der Einführung des § 129 BetrVG vor Augen hatte. So heißt es in den Gesetzesmaterialien ausdrücklich, dass die Regelung „für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie Webex Meetings oder Skype“ ermöglichen soll (BT-Drs. 19/18753, S. 28).
[…] Dass das Videokonferenzsystem C W nach Darlegung der Arbeitgeberin personenbezogene (Daten) ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums wie die U übermittelt, schloss seine Nutzung für die Einigungsstelle nicht aus.

Eine Übermittlung personenbezogener Daten in Drittländer ist gemäß Art. 44 Satz 1 DSGVO nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die Bestimmungen der DSGVO einhalten. Gemäß Art. 45 Abs. 1 Satz 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Mit Durchführungsbeschluss (EU) 2016/1250 (ABl. L 207 vom 01.08.2016, S. 1-112) hatte die Kommission festgestellt, dass die USA mit der EU-US-Datenschutzvereinbarung (Privacy Shield) ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Der Europäische Gerichtshof hat diesen Durchführungsbeschluss zwar für unwirksam erklärt (EuGH, Urteil vom 16. Juli 2020 – C-311/18 –, NJW 2020, 2613 – Schrems II). Jedoch darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland gemäß Art. 46 DSGVO auch dann übermitteln, wenn er geeignete Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. So können die von der Kommission gemäß Art. 46 Abs. 2 Buchst. c DSGVO erlassenen Standarddatenschutzklauseln grundsätzlich weiterhin genutzt werden. C beruft sich insoweit auch darauf, dass die C Datenschutz-Rahmenvereinbarung („Master Data Protection Agreement – MDPA“) schon vor der Schrems-II-Entscheidung die EU-Standarddatenschutzklauseln enthalten habe [..].“

(Foto: yalcinsonat – stock.adobe.com)