Aufsichtsbehörde „warnt“ Senatskanzlei wegen Nutzung von Zoom

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat die Senatskanzlei der Freien und Hansestadt Hamburg (FHH) offiziell gewarnt, die Videokonferenzlösung von Zoom Inc. in der sog. on-demand-Variante zu verwenden. Dies verstoße gegen die DS-GVO, da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden sei. In diesem Drittland bestehe kein ausreichender Schutz für solche Daten. Dies sei durch den Europäischen Gerichtshof in der Entscheidung Schrems II bereits vor über einem Jahr (C-311/18) festgestellt worden und das bis dahin geltende Privacy-Shield als Übermittlungsgrundlage außer Kraft gesetzt. Ein Datentransfer sei daher nur unter sehr engen Voraussetzungen möglich, die bei dem geplanten Einsatz von Zoom durch die Senatskanzlei nicht vorliegen. Die Daten von Behördenbeschäftigten und externen Gesprächsbeteiligten ürden auf diese Weise der Gefahr einer anlasslosen staatlichen Massenüberwachung in den USA ausgesetzt, gegen die keine ausreichenden Rechtsschutzmöglichkeiten bestehen.

Da die Senatskanzlei auf die vom HmbBfDI wiederholt vorgetragenen Bedenken nicht entsprechend reagiert habe und auch die Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei am 17.6.2021 nicht zu einem Umdenken geführt habe, sei die formale Warnung nach Art. 58 Abs. 2 lit. a) DS-GVO der folgerichtige Schritt gegen die Senatskanzlei.

Schon begrifflich hat die Warnung des Art. 58 Abs. 2 lit. a) DS-GVO viel mit der Verwarnung nach Art. 58 Abs. 2 lit. b) DS-GVO gemeinsam. Beide unterscheiden sich aber im Sanktionscharakter: Eine Warnung kann die Aufsichtsbehörde aussprechen, wenn es an einem Datenschutzverstoß zwar derzeit fehlt, ein solcher aber zu befürchten ist („voraussichtlich“). Sie zielt also allein auf noch bevorstehende Rechtsverletzungen. Damit ist sie von dem verwaltungsökonomischen Ansatz der Prävention geprägt: Ein rechtzeitiger Hinweis auf bevorstehende Rechtsverstöße soll im Idealfall gewährleisten, dass es anschließend keiner zusätzlichen aufsichtsrechtlichen Maßnahmen mit sanktionierendem Charakter mehr bedarf; der Warnung selbst fehlt aber der Sanktionsgehalt.

Es stellt sich die Frage, welchen Erfolg eine Klage der Senatskanzlei gegen die formale Warnung der Aufsichtsbehörde beim Verwaltungsgericht Hamburg haben könnte. Fest steht, dass eine gerichtliche Bewertung die Problematik etwas differenzierter betrachten könnte, als es der HmbBfDI macht. So stellt das Landesarbeitsgericht Köln, 9 TaBV 7/21 in einem aktuellen Beschluss (Einigungsstellenverfahren) wie folgt fest:

„[..] Die heutigen marktgängigen Konferenzsysteme bieten durchweg die Möglichkeit einer hinreichend sicheren und verschlüsselten Kommunikation (Althoff/Sommer, ArbRAktuell 2020, 250, 252). Auch Cisco Webex (CW) gehört zu den hinreichend sicheren Konferenzsystemen, wie sie der Gesetzgeber bei der Einführung des § 129 BetrVG vor Augen hatte. So heißt es in den Gesetzesmaterialien ausdrücklich, dass die Regelung „für einen begrenzten Zeitraum, Sitzungen und Beschlussfassungen mittels Video- und Telefonkonferenz einschließlich online gestützter Anwendungen wie Webex Meetings oder Skype“ ermöglichen soll (BT-Drs. 19/18753, S. 28).
[…] Dass das Videokonferenzsystem C W nach Darlegung der Arbeitgeberin personenbezogene (Daten) ein Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums wie die U übermittelt, schloss seine Nutzung für die Einigungsstelle nicht aus.

Eine Übermittlung personenbezogener Daten in Drittländer ist gemäß Art. 44 Satz 1 DSGVO nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die Bestimmungen der DSGVO einhalten. Gemäß Art. 45 Abs. 1 Satz 1 DSGVO darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet. Mit Durchführungsbeschluss (EU) 2016/1250 (ABl. L 207 vom 01.08.2016, S. 1-112) hatte die Kommission festgestellt, dass die USA mit der EU-US-Datenschutzvereinbarung (Privacy Shield) ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Der Europäische Gerichtshof hat diesen Durchführungsbeschluss zwar für unwirksam erklärt (EuGH, Urteil vom 16. Juli 2020 – C-311/18 –, NJW 2020, 2613 – Schrems II). Jedoch darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland gemäß Art. 46 DSGVO auch dann übermitteln, wenn er geeignete Garantien vorgesehen hat und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. So können die von der Kommission gemäß Art. 46 Abs. 2 Buchst. c DSGVO erlassenen Standarddatenschutzklauseln grundsätzlich weiterhin genutzt werden. C beruft sich insoweit auch darauf, dass die C Datenschutz-Rahmenvereinbarung („Master Data Protection Agreement – MDPA“) schon vor der Schrems-II-Entscheidung die EU-Standarddatenschutzklauseln enthalten habe [..].“

(Foto: yalcinsonat – stock.adobe.com)



Letztes Update:29.08.21

  • Sichere & datenschutzkonforme Videokonferenzen!

    Sichere & datenschutzkonforme Videokonferenzen!

    Online-Kompaktkurs

    141.61 € Mehr erfahren
  • Online-Kompaktkurs: Ende des EU-US Privacy Shield - was nun?

    Online-Kompaktkurs: Ende des EU-US Privacy Shield - was nun?

    Online-Kompaktkurs

    138.04 € Mehr erfahren
  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    2021-10-06, 08:00 | Stuttgart

    2022-05-12, 08:00 | Frankfurt/M.

    696.15 € Mehr erfahren
  • Fax

    Nutzung von Fax-Diensten bei sensiblen Daten unzulässig

    Seit der offiziellen Einführung des Faxdienstes in Deutschland durch die damalige Deutsche Bundespost sind mehr als 40 Jahre vergangen. Der Faxdienst wird in Deutschland damit fast genauso lange genutzt, wie es Videotext (Teletext) gibt. Beide Dienste erfreuen sich in Deutschland eines Nutzerkreises in Millionenhöhe. Geht es nach dem Willen der deutschen Datenschutz-Aufsichtsbehörden geht es einem

    Mehr erfahren
  • Verwarnung wegen Mitarbeiterexzess

    Regel: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine

    Mehr erfahren
  • Impfstatus

    Impfstatus: Abfrage durch Arbeitgeber

    Der Bundestag hat am Dienstag, 7. September 2021 einstimmig dem von den Koalitionsfraktionen initiierten 30-Milliarden-Euro-Aufbaufonds für die vom Juli-Hochwasser betroffenen Gebiete zugestimmt. Der angenommene Gesetzentwurf, mit dem auch das Infektionsschutzgesetz mit Blick auf die Corona-Pandemie geändert wurde, beinhaltet eine Verpflichtung, bei der Einreise über einen Test-, Impf- oder Genesungsnachweis zu verfügen. Ferner ist in bestimmten Einrichtungen eine Auskunftspflicht der Mitarbeiter

    Mehr erfahren