Aus den Aufsichtsbehörden

Videokonferenzen

Die Berliner Landesbeauftragte für Datenschutz und Informationsfreiheit hat im Sommer Empfehlungen
und eine Checkliste für den datenschutzkonformen Einsatz von Videokonferenzsystem veröffentlicht.

Von der DSK gibt es seit November eine Orientierungshilfe und eine Checkliste zum gleichen Thema.

Stichpunkte (Auswahl)

  • Eine Videokonferenz im Geschäftsumfeld ist eine Verarbeitung personenbezogener Daten und unterliegt der EU-DSGVO. Anzuwenden sind daher die Artt. 5,6, ggf. 9, 24, 25, 28, 29, 32, ggf. 44-49.
    Eine Videokonferenz ist eine Spielart einer Kollaborationslösung. Die Nutzung von Messengerdiensten wie WhatsApp, Telegramm... ist ähnlich zu betrachten.
  • Bei der Nutzung von Kollaborationslösungen im betrieblichen Umfeld ist auch der Beschäftigtendatenschutz zu berücksichtigen.
  • Es muss eine Abgrenzung Verantwortlicher - Auftragsverarbeiter - gemeinsame Verantwortlichkeit erfolgen.
  • Es muss eine Gefährdungsbeurteilung für die Inhaltsdaten (Bild- und Ton) und die Metadaten gemacht werden, danach richten sich die einzuhaltenden TOMs. Hier muss auch berücksichtigt werden, ob Art. 9 zur Anwendung kommt, z.B. wenn Gesundheitsthemen besprochen werden.
  • Es muss ein Eintrag ins Verarbeitungsverzeichnis angelegt werden.
  • Bei Cloudanbietern ist zu beachten, ob ein Drittlandstransfer personenbezogener Daten vorliegt (siehe hierzu auch weiter unten: Ende des Privacy Shield).
  • AV-Verträge sind auf unzulässige Datenweitergaben/Nutzungen zu prüfen.
    Auswirkungen von "Schrems II" (Urteil des EUGh vom 16.07.2020): siehe weiter unten.

Ende des Privacy Shield

Der EU-Gh hat am 16.07.2020 entschieden, dass durch das Privacy Shield Abkommen für personenbezogene Daten in den USA kein gleichwertiges Schutzniveau wie in der EU gewährleistet ist (Stichwort: Cloud Act). Datenübermittlungen auf dieser Grundlagen sind seit dem Zeitpunkt nicht mehr zulässig (keine Schonfrist).
Allerdings gibt es die Möglichkeit, andere Rechtsgrundlagen heranzuziehen, insbesondere Standard Vertragsklauseln oder Binding Corporate Rules (Art. 46). Allerdings gibt es für die Nutzung von Standard Vertragsklauseln Prüfanforderungen durch den Verantwortlichen. Der EDSA hat hierzu FAQs veröffentlicht. Kurz gesagt, die Prüfanforderungen sind so hoch, dass man nur durch technische und organisatorische Maßnahmen (Verschlüsselung, starke Pseudonymisierung...) erreichen kann, dass eine Übermittlung rechtlich zulässig ist.
Eine Heranziehung von Art. 49 ist kaum möglich, da hier in der Anwendung enge Grenzen durch die EDSA gesetzt sind.

Einsatz von Microsoft365 und Windows 10

Text ist in Überarbeitung - In aller Kürze: Pauschalaussagen sind nicht möglich. Statements auf der DAFTA 11-2020:
- Dr. St. Brink LDI BW: Pauschalverbot nicht praktikabel, Lösungen sind möglich
- Th. Zerdick: Negativbeispiel EDSA, bei dem zusätzliche Maßnahmen nicht helfen: Klar-Daten in der Cloud

Standard-Datenschutzmodell (SDM)

Das LDI veröffentlicht einen ergänzenden Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS):



Wolfgang Wenk

Datenschutzbeauftragter, Auditor.
Mitglied in den Berufsverbänden BvD und GDD und zu kontinuierlicher Weiterbildung verpflichtet.

Navigation