Bisher war der Einsatz von Videokonferenztools wie z.B. ZOOM, Microsoft Teams (MS Teams) oder auch Google Meet, die durch Unternehmen betrieben werden, die ihren Sitz in den USA haben, problematisch, da die Datenübermittlung an die entsprechenden Dienstanbieter nicht ohne weiteres möglich war. Drittlandübermittlung in ein unsichers Drittland fand regelmäßig in einem (dunklen) Graubereich und mit Risiko für die verantwortlichten Unternehmen statt.
Warnung und Entwarnung zu ZOOM durch den HmbBfDI
Insbesondere hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) die Verwendung von ZOOM kritisch gesehen und in diesem Zusammenhang die Senatskanzlei der Freien und Hansestadt Hamburg im Jahr 2021 offiziell gewarnt, die Videokonferenzlösung der Zoom Inc. in der sogenannten On-Demand-Variante zu verwenden.
In seiner Pressemitteilung vom 16.08.2021 teilte der HmbBfDI mit, dass der Einsatz des Videokonferenztools gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen würde. Begründet wurde diese Auffassung damit, dass personenbezogene Daten in die USA übermittelt würden, ohne dass in diesem Drittland – einem Land außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) also – ein ausreichender Schutz für solche Daten bestünde. Ein Datentransfer in die USA sei daher (damals) nur unter sehr engen Voraussetzungen möglich gewesen, die bei dem geplanten Einsatz von Zoom durch die Hamburger Senatskanzlei nach Auffassung des HmbBfDI nicht vorgelegen hätten. Dabei verwies der HmbBfDI auf die Vorgaben des EDSA (Europäischer Datenschutzausschuss) zu Datentransfers in Drittländer, die durchaus sehr streng sind.
Die Hamburger Staatskanzlei vertrat hingegen die Auffassung, dass der Einsatz von ZOOM durch sie in rechtlicher Hinsicht nicht zu beanstanden sei und erhob gegen die Warnung des HmbBfDI Klage vor dem Verwaltungsgericht Hamburg.
Nun gab der HmbBfDI in seiner Pressemitteilung vom 19.09.2023 bekannt, dass das Verfahren vor dem VG Hamburg über den Einsatz des Videokonferenzsystems ZOOM durch einen Vergleich beendet wurde. Zur Begründung teilte der HmbBfDI mit, dass sich durch den Angemessenheitsbeschluss der Europäischen Kommission, den diese am 10.07.2023 bekannt gegeben hatte, die Rechtslage grundlegend geändert hätte. Nach Auffassung des HmbBfDI sind „die tragenden Gründe der „Warnung“ aus August 2021 […] jedenfalls gegenwärtig entfallen.“
Vor diesem Hintergrund bestand insbesondere auch seitens des HmbBfDI kein Interesse mehr daran, gerichtlich klären zu lassen, ob die ausgesprochene Warnung unter der alten Rechtslage, die vor dem Angemessenheitsbeschluss herrschte, zutreffend war oder nicht. Wir erinnern uns: Behörden genießen das Privileg, dass gegen sie kein Bußgeld gemäß Art. 83 DSGVO verhängt werden kann. Dies hat der deutsche Gesetzgeber in § 43 Abs. 3 BDSG unter Nutzung der Öffnungsklausel des Art. 83 Abs. 7 DSGVO geregelt. Das Gerichtsverfahren hätte also lediglich geklärt, ob die damalige Verwendung von Zoom zulässig gewesen war, ohne jegliche Bedeutung für die Gegenwart.
Über den aktuellen Angemessenheitsbeschluss gemäß Art. 45 DSGVO der EU-Kommission für die USA, der unter dem Namen EU-U.S. Data Privacy Framework (EU-U.S. DPF oder auch einfach nur DPF) bekannt ist, haben wir in unserem Beitrag vom 11.07.2023 berichtet. Dabei sind wir insbesondere auf die Kritik, die es in diesem Zusammenhang gab, eingegangen.
Ähnliche Problematik beim Betrieb der Facebook-Fanpages
Eine ähnliche Problematik bestand nach der alten Rechtslage auch in Bezug auf die Nutzung einer Facebook-Fanpage, die durch das Bundespresseamt betrieben wurde. Hier hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) die Nutzung der Fanpage durch das Bundespresseamt mit seinem Bescheid vom 17.02.2023 untersagt und auch Verwarnungen ausgesprochen. Nach Verstreichen der Widerspruchsfrist von vier Wochen erhob das Bundespresseamt Klage vor dem Verwaltungsgericht Köln und wehrte sich nach Informationen von deutschlandfunk.de gegen die Untersagungsanordnung und die Verwarnungen des BfDI.
In seiner Pressemitteilung 6/2023 zu dem o.g. Thema verweist der BfDI auf einen Beschluss der Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, DSK), in dem u.a. auch die Drittlandübermittlung im Rahmen der Nutzung von Facebook thematisiert und gesagt wird, dass die DSK im Rahmen ihrer Zuständigkeit darauf hinwirken wird, dass von Landes- bzw. Bundesbehörden betriebene Facebook-Fanpages deaktiviert werden, sofern die Verantwortlichen die datenschutzrechtliche Konformität nicht nachweisen können.
Dieser Nachweis sollte vor allem folgende Punkte betreffen:
- „Den Abschluss einer Vereinbarung nach Art. 26 DSGVO über die gemeinsame Verantwortlichkeit mit Facebook,
- ausreichende Informationen über die gemeinsamen Datenverarbeitungen gegenüber den die Fanpages Nutzenden gemäß Art. 13 DSGVO,
- die Zulässigkeit zur Speicherung von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf diese Informationen gemäß § 25 TTDSG sowie
- die Zulässigkeit der Übertragung personenbezogener Daten in den Zugriffsbereich von Behörden in Drittstaaten.“
Auch der BfDI selbst spricht in seinem Rundschreiben vom 16.06.2021 explizit von der durchaus problematischen Übertragung personenbezogener Daten in die USA als einen Drittstaat beim Betrieb einer Facebook-Fanpage.
Erstaunlicherweise findet sich jedoch in seinem oben angesprochenen Bescheid vom 17.02.2023 kein expliziter Verweis mehr auf die Drittlandproblematik. War für den BfDI damals schon absehbar, dass sich das Drittlandproblem am 10.07.2023 mit dem Angemessenheitsbeschluss der EU weitgehend in Luft auflösen wird? Wir wissen es nicht, finden es aber spannend, dass der BfDI hier offensichtlich über seherische Qualitäten verfügt hat.
Wir dürfen gespannt sein, ob das Verfahren vor dem VG Köln in Sachen Facebook nun weiterbetrieben wird, um die noch relevanten Punkte zu klären, auf die es ankommt, oder aber ebenfalls – wie im Fall von ZOOM in Hamburg – mit einem Vergleich endet.
Ist die Drittlandproblematik jetzt endgültig vom Tisch?
Jetzt mögen Sie sich die Frage stellen, ob für all diejenigen, die ZOOM und ähnliche Dienste einsetzen und dabei Daten in die USA übermitteln, die Welt unter der neuen Rechtslage wieder in Ordnung ist? Dürfen Sie Dienste, die von US-amerikanischen Dienstleistern angeboten werden, die nach dem EU-U.S. DPF zertifiziert sind, zulässigerweise einsetzen?
Formal gesehen weitgehend ja, denn eine Grundlage für die Datenübermittlung ist mit dem EU-U.S. DPF gegeben und zum jetzigen Zeitpunkt ist ein Datentransfer an zertifizierte Unternehmen in den USA ohne weiteres möglich. Aber… die Aufsichtsbehörden sehen durchaus weiterhin Risiken, denen mit entsprechenden Maßnahmen zu begegnen ist. Darauf gehen wir im Folgenden ein.
Anwendungshinweise der DSK zum EU-U.S. DPF
Die DSK hat im Zusammenhang mit der Annahme des Angemessenheitsbeschlusses durch die EU-Kommission Anwendungshinweise veröffentlicht. Diese sollen die Hintergründe und Inhalte des EU-U.S. DPF erläutern und die noch bestehenden Fragen beantworten.
Insbesondere weist die DSK darauf hin, dass Verantwortliche, die Daten an Unternehmen in den USA übermitteln, prüfen müssten, ob die Stelle, die die Daten jeweils empfängt (importiert), auf der EU‐U.S.‐DPF‐Liste aktuell als ein nach dem EU-U.S. DPF zertifiziertes Unternehmen bzw. zertifizierte Organisation aufgeführt ist. Die Liste mit den aktuell zertifizierten Unternehmen und Organisationen ist abrufbar unter https://www.dataprivacyframework.gov/s/.
Wichtig ist dabei – und darauf weist auch die DSK in den Anwendungshinweisen hin – im Rahmen der Prüfung darauf zu achten, ob insbesondere Beschäftigtendaten von der Zertifizierung jeweils umfasst sind und sich die Zertifizierung explizit auf diese Daten bezieht. Beschäftigtendaten sind nur erfasst, wenn in der o.g. Liste beim jeweiligen Datenimporteur in der Rubrik „Covered Data“ (frei übersetzt: „Betroffene Daten“) der Eintrag „HR Data“ enthalten ist.
Die DSK weist in ihren Anwendungshinweisen darauf hin, dass diese gegen die Stimme des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) verabschiedet wurden. Verantwortliche mit Sitz in Thüringen sollten daher den nachfolgenden Abschnitt besonders beachten.
Abweichende Auffassung des TLfDI
Die Anwendungshinweise, die durch die DSK verabschiedet wurden, wollte der TLfDI nicht ohne Weiteres mittragen und vertritt die Auffassung, dass eine zulässige Datenübermittlung in die USA auf der Grundlage des neuen Angemessenheitsbeschlusses nicht nur eine Prüfung voraussetzt, ob der Datenimporteuer in der Liste der zertifizierten Unternehmen aufgeführt wird, sondern dass auch weitere Punkte im Rahmen der Beurteilung der Zulässigkeit der Datenübermittlung zu beachten wären (siehe Pressemitteilung). Die Punkte, die der TLfDI daraufhin nennt, entsprechen nach unserer Auffassung aber eher allgemeinen Sorgfaltspflichten, die immer bestehen, wenn personenbezogene Daten an einen Dritten übermittelt werden sollen. Wir wären beispielsweise auch ohne die Hinweise des TLfDI auf die Idee gekommen, dass mit einem Auftragsverarbeiter ein Vertrag gemäß Art. 28 DSGVO zu vereinbaren ist.
Der TLfDI kommt in seiner o.g. Pressemitteilung insgesamt zum folgenden Schluss:
„Unternehmen etwa sollten vor diesem Hintergrund abwägen, ob sie sensible Daten – auch Kundendaten – in die USA transferieren oder bis zur Entscheidung des EuGH vorsorglich nicht. Denn die Wahrscheinlichkeit, dass der Europäische Gerichtshof den Adäquanzbeschluss aufheben wird, ist danach recht hoch.“
Unsere Meinung dazu: Ja, das EU-U.S. Data Privacy Framework wird irgendwann vom EuGH geprüft werden und der Ausgang des Verfahrens ist ungewiss. Max Schrems Schrems (das ist der Herr, dem wir die EuGH-Urteile „Schrems“ und „Schrems-2“ zu verdanken haben) hat bereits angekündigt, gegen den aktuellen Angemessenheitsbeschluss gerichtlich vorzugehen (hierzu vgl. unseren Beitrag vom 11.07.2023). Auch ein französischer Parlamentarier geht nach Angaben des Online-Magazins Politico.eu nun vor dem EuGH gegen das Abkommen vor und will es ebenfalls zum Fall bringen. Und noch mal ja: Es ist durchaus möglich, dass das EU-U.S. DPF ebenfalls für ungültig erklärt wird und die Unternehmen danach wieder vor eine Rechtsunsicherheit gestellt werden, die sie aus der Vergangenheit bereits kennen. Dass der TLfDI hier schon einen möglichen Ausgang eines zukünftigen Verfahrens vorwegnimmt, halten wir allerdings für übertrieben.
Fazit
Wie auch der HmbBfDI in seiner oben zitierten Pressemitteilung zu ZOOM betont, sind die tragenden Gründe für seine Warnung gegenwärtig entfallen. . Wichtig ist hierbei das kleine Wörtchen „gegenwärtig“. Wie lange dieser Zustand der zulässigen Datenübermittlung in die USA andauert, kann aktuell niemand mit Sicherheit sagen. Man muss aber auch feststellen, dass mit dem EU-U.S. Data Privacy Framework tatsächlich mehr Zugeständnisse seitens der USA gemacht wurden, als dies bei den Vorgängerabkommen der Fall war. Insofern bleibt es auf jeden Fall spannend; die negative Erwartungshaltung des TLfDI teilen wir zumindest in dieser extremen Form jedoch nicht.
______________________________________
Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.
Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.