Aufsichtsbehörde „warnt“ Senatskanzlei wegen Nutzung von Zoom

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat die Senatskanzlei der Freien und Hansestadt Hamburg (FHH) offiziell gewarnt, die Videokonferenzlösung von Zoom Inc. in der sog. on-demand-Variante zu verwenden. Dies verstoße gegen die DS-GVO, da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden sei. In diesem Drittland bestehe kein ausreichender Schutz für solche Daten. Dies sei durch den Europäischen Gerichtshof in der Entscheidung Schrems II bereits vor über einem Jahr (C-311/18) festgestellt worden und das bis dahin geltende Privacy-Shield als Übermittlungsgrundlage außer Kraft gesetzt. Ein Datentransfer sei daher nur unter sehr engen Voraussetzungen möglich, die bei dem geplanten Einsatz von Zoom durch die Senatskanzlei nicht vorliegen. Die Daten von Behördenbeschäftigten und externen Gesprächsbeteiligten ürden auf diese Weise der Gefahr einer anlasslosen staatlichen Massenüberwachung in den USA ausgesetzt, gegen die keine ausreichenden Rechtsschutzmöglichkeiten bestehen.

Da die Senatskanzlei auf die vom HmbBfDI wiederholt vorgetragenen Bedenken nicht entsprechend reagiert habe und auch die Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei am 17.6.2021 nicht zu einem Umdenken geführt habe, sei die formale Warnung nach Art. 58 Abs. 2 lit. a) DS-GVO der folgerichtige Schritt gegen die Senatskanzlei.

Schon begrifflich hat die Warnung des Art. 58 Abs. 2 lit. a) DS-GVO viel mit der Verwarnung nach Art. 58 Abs. 2 lit. b) DS-GVO gemeinsam. Beide unterscheiden sich aber im Sanktionscharakter: Eine Warnung kann die Aufsichtsbehörde aussprechen, wenn es an einem Datenschutzverstoß zwar derzeit fehlt, ein solcher aber zu befürchten ist („voraussichtlich“). Sie zielt also allein auf noch bevorstehende Rechtsverletzungen. Damit ist sie von dem verwaltungsökonomischen Ansatz der Prävention geprägt: Ein rechtzeitiger Hinweis auf bevorstehende Rechtsverstöße soll im Idealfall gewährleisten, dass es anschließend keiner zusätzlichen aufsichtsrechtlichen Maßnahmen mit sanktionierendem Charakter mehr bedarf; der Warnung selbst fehlt aber der Sanktionsgehalt.

Es stellt sich die Frage, welchen Erfolg eine Klage der Senatskanzlei gegen die formale Warnung der Aufsichtsbehörde beim Verwaltungsgericht Hamburg haben könnte. Fest steht, dass eine gerichtliche Bewertung die Problematik etwas differenzierter betrachten könnte, als es der HmbBfDI macht. So stellt das Landesarbeitsgericht Köln, 9 TaBV 7/21 in einem aktuellen Beschluss (Einigungsstellenverfahren) wie folgt fest:

„[..] Die heutigen marktgängigen Konferenzsysteme bieten durchweg die Möglichkeit einer hinreichend sicheren und verschlüsselten Kommunikation (Althoff/Sommer, ArbRAktuell 2020, 250, 252). Auch Cisco Webex (CW) gehört zu den hinreichend sicheren Konferenzsystemen, wie sie der Gesetzgeber bei der Einführung des § 129 BetrVG vor Augen hatte. So heißt es in den Gesetzesmaterialien ausdrücklich, dass die Regelung „für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie Webex Meetings oder Skype“ ermöglichen soll (BT-Drs. 19/18753, S. 28).
[…] Dass das Videokonferenzsystem C W nach Darlegung der Arbeitgeberin personenbezogene (Daten) ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums wie die U übermittelt, schloss seine Nutzung für die Einigungsstelle nicht aus.

Eine Übermittlung personenbezogener Daten in Drittländer ist gemäß Art. 44 Satz 1 DSGVO nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die Bestimmungen der DSGVO einhalten. Gemäß Art. 45 Abs. 1 Satz 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Mit Durchführungsbeschluss (EU) 2016/1250 (ABl. L 207 vom 01.08.2016, S. 1-112) hatte die Kommission festgestellt, dass die USA mit der EU-US-Datenschutzvereinbarung (Privacy Shield) ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Der Europäische Gerichtshof hat diesen Durchführungsbeschluss zwar für unwirksam erklärt (EuGH, Urteil vom 16. Juli 2020 – C-311/18 –, NJW 2020, 2613 – Schrems II). Jedoch darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland gemäß Art. 46 DSGVO auch dann übermitteln, wenn er geeignete Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. So können die von der Kommission gemäß Art. 46 Abs. 2 Buchst. c DSGVO erlassenen Standarddatenschutzklauseln grundsätzlich weiterhin genutzt werden. C beruft sich insoweit auch darauf, dass die C Datenschutz-Rahmenvereinbarung („Master Data Protection Agreement – MDPA“) schon vor der Schrems-II-Entscheidung die EU-Standarddatenschutzklauseln enthalten habe [..].“

(Foto: yalcinsonat – stock.adobe.com)



Letztes Update:29.08.21

  • Sichere & datenschutzkonforme Videokonferenzen!

    Sichere & datenschutzkonforme Videokonferenzen!

    Online-Kompaktkurs

    141.61 € Mehr erfahren
  • Online-Kompaktkurs: Ende des EU-US Privacy Shield - was nun?

    Online-Kompaktkurs: Ende des EU-US Privacy Shield - was nun?

    Online-Kompaktkurs

    138.04 € Mehr erfahren
  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    2022-05-12, 08:00 | Frankfurt/M.

    696.15 € Mehr erfahren
  • Telekommunikations-Telemediendatenschutz-Gesetz (TTDSG) in Kraft getreten

    Zum 01.12.2021 ist das neue TTDSG in Kraft getreten. Ziel der Neuregelung ist die erforderliche Anpassung der Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) an die Datenschutz-Grundverordnung (DS-GVO) sowie die – bereits lange ausstehende – Umsetzung der e-Privacy-Richtlinie (RiLi 2002/58/EG in der durch die RiLi 2009/136/EG geänderten Fassung). Das hat zur Folge, dass es

    Mehr erfahren
  • 3G-Regel

    Umsetzung der 3G-Regelung – Hinweise und Orientierung

    Seit Mittwoch, den 24.11.2021 sollen am Arbeitsplatz die sog. 3G-Regelungen gelten. Der Deutsche Bundestag und der Bundesrat haben die Änderung des Infektionsschutzgesetzes und weiterer Gesetze beschlossen. Die neuen Regelungen beinhalten arbeitsrechtliche und arbeitsschutzrechtliche Maßnahmen sowie Unterstützungsleistungen.Die Regelungen sollen dazu beitragen, die akute vierte Infektionswelle möglichst schnell zu brechen und das allgemeine Infektionsgeschehen in Deutschland effizient

    Mehr erfahren
  • Koalitionsvertrag

    GDD äußert sich zu Datenschutz im Koalitionsvertrag

    Die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. nimmt die am 24.11.2021 erfolgte Veröffentlichung des Koalitionsvertrags 2021 – 2025 zwischen der Sozialdemokratischen Partei Deutschlands (SPD),. BÜNDNIS 90 / DIE GRÜNEN und den Freien Demokraten (FDP) zum Anlass, um die wesentlichen Aussagen zum Thema Datenschutz herauszuarbeiten: Im Koalitionsvertrag setzen sich SPD, Bündnis 90/Die Grünen und FDP für

    Mehr erfahren