Was hat sich durch den Angemessenheitsbeschluss der EU-Kommission geändert?
Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss für das „EU-US Data Privacy Framework“ (DPF) angenommen. Die Kommission kommt darin zu dem Schluss, dass diejenigen Organisationen in den USA, die sich dem DPF unterworfen haben, ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten.
Seit diesem Beschluss können wieder personenbezogene Daten aus der EU in die USA übermittelt werden, ohne dass weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern der jeweilige US-Datenempfänger sich selbst zertifiziert hat und in die ListeÖffnet sich in einem neuen Fenster er nach dem DPF zertifizierten Organisationen des US Department of Commerce aufgenommen worden ist. Dies müssen Datenexporteure in der EU vorab prüfen.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 4. September 2023 Anwendungshinweise zum AngemessenheitsbeschlussÖffnet sich in einem neuen Fenster mit weitergehenden Informationen hierzu veröffentlicht.
Aktuell häufig beobachtete Problemschwerpunkte beim Einsatz von VKS
Der zuvor fehlende Angemessenheitsbeschluss war ein Grund dafür, dass der HBDI den Einsatz von Videokonferenzsystemen (VKS) aus den USA in der Vergangenheit problematisiert hat. Dies war jedoch regelmäßig nicht der einzige aus Sicht des Datenschutzes zu beanstandende Aspekt. Ausgehend von der Bewertung der Auftragsverarbeitung im Rahmen der Microsoft-Onlinedienste durch die DSK und der übrigen aufsichtsbehördlichen Erfahrung lassen sich weitere typische Problemschwerpunkte bei der Verarbeitung personenbezogener Daten durch Auftragsverarbeiter wie VKS-Dienste benennen:
- Unzureichende Festlegung von Arten und Zwecken der Verarbeitung;
- Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters, wenn der Verantwortliche eine Behörde ist;
- Unzureichende Weisungsbindung des Auftragsverarbeiters;
- Unzureichende Abdeckung der Datenkategorien durch TOM;
- Unzureichende Zusagen zu Löschung und Rückgabe von Daten;
- Unzureichende Transparenz bzgl. Unterauftragsverarbeitern
Was ist beim Einsatz von VKS jetzt zu beachten?
Durch den Angemessenheitsbeschluss der Kommission können deutlich einfacher personenbezogene Daten zwischen der EU und den USA ausgetauscht werden. Dennoch sind die Voraussetzungen der Datenübermittlung in die USA zu prüfen, etwa dass die Datenübertragung für die Videokonferenz erforderlich sein muss und dass eine entsprechende Zertifizierung des Anbieters vorliegen muss. Dies ist bislang nicht bei allen großen Anbietern der Fall.
Außerdem lassen sich die von der DSK aufgeworfenen Problemschwerpunkte bei der Nutzung von Onlinediensten von Microsoft auf VKS übertragen. Zusammen mit der „Orientierungshilfe Videokonferenzsysteme“ der DSK bilden sie die Basis für die Einführung eines datenschutzkonformen Videokonferenzsystems.
VKS müssen demnach vor allem so ausgewählt und konfiguriert sein, dass die Datenschutzgrundsätze aus Art. 5 DS-GVO berücksichtigt und durch geeignete technische und organisatorische Maßnahmen gemäß Art. 25 Absatz 1 DS-GVO umgesetzt werden. Daneben sind die Anforderungen an datenschutzfreundliche Voreinstellungen gemäß Artikel 25 Absatz 2 DS-GVO zu beachten. Außerdem müssen die VKS die Sicherheit der Datenverarbeitung gemäß Artikel 32 DS-GVO dauerhaft gewährleisten. Hierzu finden Sie Erläuterungen und Hilfestellungen in der Orientierungshilfe VideokonferenzsystemeÖffnet sich in einem neuen Fenster und der dazugehörigen Checkliste der DSK sowie auf der Webseite des HBDI.
Aus der Erfahrung heraus ist insbesondere ein Augenmerk auf eine mitunter problematische Verarbeitung der personenbezogenen Daten der Nutzenden zu eigenen Zwecken durch die VKS-Anbieter zu legen. Die Auftragsverarbeitungsverträge der VKS-Anbieter geben Aufschluss darüber, ob eine solche stattfindet.
Auch der Aspekt der Sicherheit der Verarbeitung ist genauer zu betrachten. So setzen die verschiedenen VKS-Anbieter auf unterschiedliche Technologien für eine Ende-zu-Ende-Verschlüsselung. Je nach der verwendeten Variante und der Bewertung des Risikos durch den Verantwortlichen kann es so mitunter erforderlich sein, dass dieser Bestandteile der Schlüsselverwaltung (z.B. Schlüssel-Server) selbst betreiben muss, um sicher sein zu können, dass der VKS-Anbieter nicht selbst eine Entschlüsselung der Daten vornehmen kann. Auch muss der Verantwortliche mitunter auf Funktionalitäten verzichten, die das erforderliche Schutzniveau unterlaufen würden. Beispielsweise lässt sich beobachten, dass eine Ende-zu-Ende-Verschlüsselung durch die Einbindung von Zusatzdiensten zur automatischen Erzeugung von Untertiteln zu Audiodaten ausgehebelt wird, wenn in diesem Zusammenhang die Audiodaten zwangsweise unverschlüsselt an diesen Dienst übermittelt werden müssen.
Die vorstehend aufgeworfenen datenschutzrechtlichen Problemschwerpunkte bilden Beispiele dafür, welche datenschutzrechtlichen Fallstricke bei der Einführung und dem Betrieb von VKS an Hochschulen lauern. Wie in der Vergangenheit gilt auch heute für den Einsatz von VKS in Hochschulen, dass datenschutzfreundliche Lösungen, wie beispielsweise Zoom unter den Bedingungen des Hessischen Modells, oder in geeigneter Weise betriebene und konfigurierte Open Source-Lösungen, wie beispielsweise BigBlueButton, eine datenschutzkonforme Alternative zu den sonstigen am Markt befindlichen Lösungen darstellen.
Stand: 23.10.2023