Hamburgischer Datenschutzbeauftragter verwarnt Senat wegen Zoom
Die Senatskanzlei setze Behördenbeschäftigten und Partner mit dem Einsatz von Zoom für Video-Calls einer anlasslosen Massenüberwachung aus, lautet die Kritik.
(Bild: Brian A Jackson/Shutterstock.com)
Der amtierende Hamburgische Datenschutzbeauftragte Ulrich Kühn warnt die Senatskanzlei der Hansestadt offiziell vor dem Einsatz der Videokonferenzlösung von Zoom in der sogenannten On-demand-Variante, bei der beispielsweise Webinar für den späteren Abruf in der Cloud aufgezeichnet werden können. Dies verstoße gegen die Datenschutz-Grundverordnung (DSGVO), weil damit personenbezogene Informationen in die USA übermittelt würden.
Gefahr "staatlicher Massenüberwachung"
In diesem Drittland bestehe kein ausreichender Schutz für solche Daten, mahnt der Datenschutzbeauftragte. Dies sei vor allem im Lichte des "Schrems-II-Urteils" des Europäischen Gerichtshofs und dem damit verknüpften Aus für den transatlantischen Privacy Shield nicht tragbar. Ein Datentransfer sei daher nur noch "unter sehr engen Voraussetzungen möglich". Diese lägen bei der geplanten Anwendung von Zoom durch die Senatskanzlei nicht vor. Die Daten der Teilnehmerinnen und Teilnehmer würden so "der Gefahr einer anlasslosen staatlichen Massenüberwachung in den USA ausgesetzt, gegen die keine ausreichenden Rechtsschutzmöglichkeiten bestehen".
Die Datenschutzbeauftragten von Bund und Ländern empfahlen bereits im Oktober in einer Orientierungshilfe, Videokonferenzsysteme von US-Anbietern vor einem Einsatz "sorgfältig zu prüfen". Unternehmen, Behörden und andere Organisationen könnten Anwendungen wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting und Cisco WebEx nicht ohne Weiteres verwenden. Wer nach dem Wegbrechen des Privacy Shield beim Datenexport auf die alternativen Standardvertragsklauseln setze, muss laut der Datenschutzkonferenz (DSK) "vor Beginn der Übermittlung die Rechtslage im Drittland im Hinblick auf behördliche Zugriffe und Rechtsschutzmöglichkeiten für betroffene Personen analysieren".
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Kühn verweist zudem auf weitere Vorgaben des Europäischen Datenschutzausschusses (EDSA), um personenbezogene Daten im Einklang mit der DSGVO in ein Drittland wie die USA übermitteln zu können. Diesen Maßstab lege die Aufsichtsbehörde in der Wirtschaft wie auch der öffentlichen Verwaltung zugrunde. Die von der Senatskanzlei vorgelegten Unterlagen für das Projekt mit Zoom ließen aber erkennen, dass diese Anforderungen nicht erfüllt würden. Andere Rechtsgrundlagen wie die Einwilligung aller Betroffenen seien hier ebenfalls nicht nutzbar.
"Hoch problematisch"
Die Senatskanzlei ist in Hamburg federführend für Digitalisierungsfragen. Sie habe zwar frühzeitig über entsprechende Pläne informiert, erklärt Kühn. Die Behörde sei im Anschluss aber nicht bereit gewesen, auf "wiederholt vorgetragene Bedenken einzugehen". Auch die Einleitung eines formalen Verfahrens durch eine Anhörung Mitte Juni habe nicht zu einem Umdenken geführt. Die Senatskanzlei habe der Aufsichtsinstanz "weder innerhalb der gesetzten Frist noch danach Unterlagen vorgelegt oder Argumente mitgeteilt, die eine andere rechtliche Bewertung zuließen".
Die formale Warnung sei daher "ein folgerichtiger Schritt", wenn auch ein bedauerlicher, führt Kühn aus. In der Hansestadt stehe allen Mitarbeitern "flächendeckend ein bewährtes und in Hinblick auf die Drittlandübermittlung unproblematisches Videokonferenztool zur Verfügung". Der zentrale IT-Dienstleister für die Küstenländer, Dataport, stelle zudem "in den eigenen Rechenzentren weitere Videokonferenzsysteme bereit". Diese würden etwa in Schleswig-Holstein erfolgreich genutzt. Es sei daher unverständlich, "warum die Senatskanzlei auf einem zusätzlichen und rechtlich hoch problematischen System besteht".
Update 18.08.2021:
Eine Zoom-Sprecherin erklärte am Mittwoch, das Unternehmen habe sich verpflichtet, "alle geltenden Datenschutzgesetze, Regeln und Vorschriften in den Nutzungsländern einzuhalten, einschließlich der DSGVO". Man stütze sich auf die Standardvertragsklauseln für den Datentransfer und stelle Kunden auch ein Muster zur Verfügung, um sie bei ihrer eigenen Datenschutz-Folgenabschätzung gemäß der Schrems II-Entscheidung zu unterstützen.
Bei der Hamburger Senatskanzlei hieß es, man bereite "den Einsatz einer weiteren zeitgemäßen Videokonferenz-Lösung vor, um dem stark gestiegenen Bedarf innerhalb der Verwaltung und im Kontakt mit externen Gesprächspartnern gerecht zu werden". Zoom stelle eine Ende-zu-Ende-Verschlüsselung bereit und garantiere vertraglich, "dass keine Inhalte einer Videokonferenz – also weder das gesprochene Wort noch Videoaufzeichnungen – durch das Unternehmen abgerufen werden oder in die Hände Dritter gelangen können". Der Datenschutzbehörde habe man im April und Juli umfangreiche Unterlagen übermittelt und viele Fragen beantwortet.
(tiw)
