Datenschutz bei Zoom & Co. – die Datenschutzbehörden schweigen


Zoom Datenschutz

© gpointstudio

Der Hamburgische Datenschutzbeauftragte warnt vor der Videokonferenzsoftware “Zoom”. Können diese und andere nach geltendem Datenschutzrecht genutzt werden?

Viele Unternehmen, Hochschulen und andere Bildungseinrichtungen sind gerade fieberhaft auf der Suche nach digitalen Alternativen zu ihren Angeboten und für die Bewältigung der internen Prozesse. Besonders Teambesprechungen in Form von Videokonferenzsystemen sind dabei gefragt. Optionen für Softwarelösungen gibt es dabei grundsätzlich viele, aber aus verschiedensten Gründen rückte in der letzten Zeit insbesondere eine Software für Videokonferenzen in den öffentlichen Fokus: Zoom. In diesem Scheinwerferlicht kamen sogleich aber auch eine Vielzahl von Problemen zum Vorschein, z.B. diversen Sicherheitslücken in der Software oder Werbung mit einer Ende-zu-Ende-Verschlüsselung, die gar nicht existierte.

Mangelnder Datenschutz bei Zoom? Hamburger Datenschutzbeauftragter warnt

Auch beim Thema Datenschutz scheint bei Zoom und Co. noch erheblichen Verbesserungs- und Klärungsbedarf zu geben. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, hat beispielsweise in einem Interivew mit dem Handelsblatt vor der Zoom-Software gewarnt. Die Warnung bleibt dabei aber leider oberflächlich. So ist lediglich die Rede von einem “nicht unerheblichen Datenabfluss”, der nicht näher konkretisiert wird. Gerade für Unternehmen, die in Videokonferenzen auch über Geschäftsinterna und -geheimnisse sprechen, wären Datenabflüsse aber ein möglicher Super-GAU.

Zum Thema des Datenschutzes bei Videokonferenzsystemen haben sich inzwischen auch viele weitere Datenschutzbeauftragte verschiedener Bundesländer geäußert. Dies erfolgte jedoch meist nur am Rande in allgemeineren FAQ zum Thema Corona oder bestand in eher generellen Ratschlägen zu den datenschutzrechtlichen Standards, die bei der Auswahl solcher Videokonfrenzsysteme beachtet werden müssen. Wirklich hilfreich, gerade für Unternehmen, die schnellstmöglich eine Lösung brauchen, ist dies nicht.

Oft wird Zoom einfach genutzt – der Datenschutz soll später folgen

Weil z.B. an Hochschulen der Semesterstart unmittelbar bevorsteht und weitere Suche zeitlich nicht möglich ist, haben viele mit der Nutzung schlicht begonnen. Der Datenschutz wird dabei scheinbar teils zunächst nur in einer Art “Mindestmaß” beachtet. So heißt es z.B. bei der Technischen Hochschule Köln:

Einfacher Datenschutz ist abgeklärt über eine Rahmenvereinbarung zwischen Zoom und der TH Köln. Verschiedene Funktionen wurden auf Grund des Datenschutzes deaktiviert. Ein umfassender Datenschutz für den dauerhaften Einsatz nach Covid-19 ist noch in Prüfung.

https://www.th-koeln.de/hochschule/zoom_73756.php

Was ein “einfacher Datenschutz” im Vergleich zu einem “umfassenden Datenschutz” sein soll, ist dabei unklar.

Auch an der Universität Bonn setzt man für das nun startende Sommersemester auf Zoom: Sowohl für interne Meetings als auch Lehrveranstaltungen. Die Empfehlungen des Datenschutzbeauftragten der Universität umfassen dabei z.B. folgende Punkte:

3. Vertrauliche Informationen über nicht an der Konferenz beteiligte Dritte, insbesondere personenbezogene Daten, dürfen nicht in der Videokonferenz genannt werden. Dies gilt auch bei der Nutzung der integrierten Chat-Funktion. Beim Einsatz von Zoom sollten Sie daher allen Teilnehmern solche Informationen vorab z.B. per dienstlicher Mail oder über SCIEBO zur Verfügung stellen. Die Teilnehmer können dann in der Konferenz auf diese Informationen nur als „Fall A“ oder „Person B“ referenzieren. 

https://www.ecampus-services.uni-bonn.de/de/nachrichten/zoom

Solche Hinweise sind offensichtlich ein Notanker: Denn an einer praktischen Umsetzungsmöglichkeit in der Breite ist oftmals nicht ernsthaft zu denken.

Die beiden rheinischen Bildungseinrichtungen sind aber bei weitem nicht allein mit der Entscheidung, Zoom bereits aktiv zu nutzen. Eine mögliche Verletzung von Datenschutzrecht wird dabei bei vielen Unternehmen und Bildungseinrichtungen scheinbar (bewusst oder unbewusst) in Kauf genommen, da die Zeit immer mehr drängt.

Die Nutzung von Software wie Zoom muss dem Datenschutz entsprechen – sonst drohen Bußgelder

Diese Nutzung ohne abschließende Rechtssicherheit birgt aber zugleich erhebliche Risiken. Denn seit Einführung der DSGVO haben die Datenschutzbehörden ein sehr scharfes Schwert gegen Datenschutzverstößen in der Hand: Bußgelder gegen diejenigen, die das Datenschutzrecht verletzt haben. Denn auch wenn die Nutzung von Zoom und anderen Softwarelösungen unverzichtbar erscheinen mag, entbindet dies jedenfalls nicht von einer umfassenden datenschutzrechtlichen Prüfung und der Einhaltung eben dieses Datenschutzrechts.

Zugleich ist auch den Behörden bewusst, dass viele Unternehmer in Zeiten der Corona-Krise “mit dem Rücken zur Wand” stehen und schnelle Lösungen für akute Probleme her müssen. So hat beispielsweise auch der Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, zur Rücksichtnahme der Behörden aufgerufen:

Ist das vorhandene Datenschutzmanagement defizitär, bedarf es der Nachsteuerung. Beim Einfordern dieser Nachsteuerung ist eine gewisse Nachsicht angezeigt. Die Ansetzung und Einhaltung von Fristen kann großzügig gehandhabt werden. Die Verhängung von Geldbußen nach Art. 83 DSGVO ist vor dem Hintergrund der wirtschaftlichen Situation vieler Verantwortlicher zurückhaltend auszuüben. […] Datenschutzrecht gilt, aber seine Anwendung in Zeiten der Pandemie ist mit Augenmaß und Fingerspitzengefühl zu gewährleisten.

https://verfassungsblog.de/gesundheitsnot-kennt-datenschutzgebot/

Auch wenn dies für Unternehmer zunächst gut klingen mag: Insbesondere, wenn die Corona-Krise abflacht und ein normaleres Arbeiten wieder möglich wird, müssen adhoc eingeführte Systeme kritisch überprüft und nötigenfalls schnellstmöglich wieder abgeschafft werden. Wo dies schon jetzt möglich ist, gibt es für einen Aufschub dieser Prüfung aber auch derzeit keinen Grund.

Datenschutzbehörden gefragt: Konkrete Stellungnahmen zum Datenschutz bei Zoom und Co. notwendig

Für die dringend notwendige Rechtssicherheit bei betroffenen Unternehmen sind nun mehr denn je die europäischen Datenschutzbehörden gefragt. Diese sollten schnellstmöglich konkrete Aussagen zur Nutzbarkeit von Zoom weiteren Videokonfrenzsystemen aus Sicht des Datenschutzes machen. Nur so können noch während der Corona-Krise Lösungen entwickelt werden, die möglicherweise auch eine dauerhafte Nutzung einmal etablierter Systeme über die Zeit der Corona-Pandemie hinaus ermöglichen. Damit die Arbeit, z.B. für Implementation und Schulungen, langfristig nutzbar bleibt.

Dies gilt selbstverständlich nicht nur für Videokonferenzsysteme wie Zoom und andere, sondern für alle Anpassungen von Prozessen während der Krise, die mit dem Datenschutzrecht in Konflikt stehen könnten. Bis dahin liegt das Risiko einer datenschutzrechtlichen Risikoabschätzung bei jedem Einzelnen. Desto gründlicher und zeitnäher diese erfolgt, desto eher kann man im worst case auch auf eine nachsichtigere Behandlung durch die Datenschutzbehörden hoffen. Damit aus notwendig schnellen unternehmerischen Entscheidungen nicht direkt die nächste Krise folgt.

Unsere Schwerpunktreihe: Die Wirtschaft in der Coronakrise

Unsere Blogbeiträge zum Themenbereich “Coronavirus – die wichtigsten rechtlichen Auswirkungen” informieren Sie über die fortlaufenden Entwicklungen, was Sie nun besonders beachten müssen und welche Maßnahmen Ihnen helfen könnten.

Bisher haben wir die Themen der Kurzarbeit aus Sicht von Arbeitgebern, der Fürsorge- und Schutzpflichten von Arbeitgebern, den Auswirkungen von Corona für arbeitende Eltern sowie zur Arbeit im Home-Office durch jeweils eigene Beiträg vertieft. Darüber hinaus finden Sie bei uns bereits Beiträge zum Datenschutz für Arbeitgeber in der Coronakrise, zum Datenschutz bei Zoom und Co., Informationen zur Aussetzung der Insolvenzantragspflicht, zur Möglichkeit von Fristverlängerungen, einen Überblick über mögliche Entschädigungszahlungen, was bei Veranstaltungsabsagen zu beachten ist und wie die neue Gutscheinlösung bei Veranstaltungsabsagen aussehen soll. Weitere Beiträge widmen sich den steuerlichen Hilfsmaßnahmen, dem Kündigungsschutz für Mieter sowie den besonderen Hilfsangeboten für Künstler und andere Kreative. Auch über die (geplante) Anti-Corona-App informieren wir in einem eigenen Beitrag.

Abgerundet werden unsere Beiträge durch eine Übersicht auch bezüglich der wichtigsten Anlaufstellen und Informationen zu finanziellen Hilfsangeboten und Maßnahmen, Hinweise zur Antragstellung auf die Corona-Soforthilfen sowie dazu, dass man sich bei allzu leichtfertiger Antragstellung wegen Betrugs strafbar machen könnte.


Bewertung: 1 Stern2 Sterne3 Sterne4 Sterne5 Sterne 5,00 von 5 Sterne, basierend auf 3 abgegebenen Stimmen.
Loading...

Hinterlasse einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Absendung eines Kommentars erfolgt auf Grundlage von Art. 6 I a) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Newsletter abonnieren
Die Datenverarbeitung im Zusammenhang mit der Eintragung in den Newsletter erfolgt primär auf Grundlage von Art. 6 I a) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.
Weitere Blogbeiträge zum Thema Corona Datenschutzrecht
Newsletter abonnieren
Die Datenverarbeitung im Zusammenhang mit der Eintragung in den Newsletter erfolgt primär auf Grundlage von Art. 6 I a) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.
Weitere Blogbeiträge zum Thema Corona Datenschutzrecht
Newsletter der Kanzlei: Gerne senden wir Ihnen regelmäßig kostenlose Informationen aus unseren Rechtsgebieten.
Holler Box