Dürfen Datenschutzaufsichtsbehörden vor IT-Produkten warnen?

Ein von der Arbeitsgruppe Grundsatz der Datenschutz­konferenz erstelltes vorläufiges Gutachten kommt zu dem Schluss, dass es unter Einhaltung des Gebots der Sachlichkeit und der Richtigkeit rechtens ist, wenn Datenschutzaufsichtsbehörden vor dem Einsatz bestimmter IT-Produkte warnen. In der Vergangenheit wa­ren die deutschen Datenschutzbehörden mit Aussagen zu Produkten äußerst zurückhaltend. Zuständig für Warnungen vor deren Einsatz waren ihrer Auffassung nach eher Verbraucherschutzverbände oder, wenn es um die IT-Sicherheit ging, das Bundesamt für Sicherheit in der Informationstechnik.

Mit der Pandemie hat sich das geändert. Der plötzliche Bedarf von Unternehmen und Verwaltungen an Videokonferenzdiensten und Collabora­tion-Tools führte zu steigenden Beratungsanfragen. Zunehmend äußerten sich Datenschützer zu solchen Tools und sprachen Empfehlungen oder Warnungen aus, meist nach Kriterien der Datenschutzkonformität wie Verschlüsselung, Verarbeitung und Übertragung personen­bezogener Daten, Privacy-Einstellungen der Tools et cetera. Prominente Beispiele sind die Warnung vor dem Einsatz von Zoom durch den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) Stefan Brink (die er nach Nachbesserungen durch Zoom wieder zurücknahm) oder die ständig aktualisierte Liste der gängigsten Videokonferenztools mit Ampelwertungen der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit (BlnBDI) Maja Smoltczyk.