Am 29.06.2022 veröffentlichte die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) ihren 27. Tätigkeitsbericht für den Zeitraum vom 01.01. bis zum 31.12.2021.
In diesem hob die LDI NRW auf Seite 30 etwas hervor, was durch Inkrafttreten des TTDSG Ende letzten Jahres längst Einzug in unsere Gesetze gefunden hat, aber an vielen vorbei gegangen ist:
„Videokonferenzdienste, die bis zum 1. Dezember 2021 als Telemediendienste eingeordnet wurden, sind nunmehr als Telekommunikationsdienste zu bewerten. Das führt unter anderem dazu, dass Stellen, die Videokonferenzdienste einsetzen, keinen Auftragsverarbeitungsvertrag mehr mit den Videokonferenzanbieter*innen abschließen müssen und für die aufgrund der Übertragung des Videochats verarbeiteten personenbezogenen Daten nicht mehr verantwortlich sind.“
Über einige Neuerungen, die das TTDSG mit sich brachte, haben wir bereits an anderen Stellen berichtet:
TTDSG – Gesetz mit Auswirkungen auf den Datenschutz? Ein erster Überblick
Das TTDSG tritt in Kraft: Neue Regeln beim Betreiben der Website?
Nach Einordnung der LDI NRW wären öffentliche Stellen und Unternehmen somit zum einen nicht mehr Verantwortliche i. S. d. Art. 4 Nr. 7 DSGVO, was wiederum eine Auftragsverarbeitung ausscheiden ließe und den Abschluss eines Auftragsverarbeitungsvertrages entbehrlich machte. Zum anderen wäre der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) nunmehr in Bezug auf den Einsatz von z. B. Google Meet, Microsoft Teams oder Zoom (sog. OTT-Dienste/interpersonelle Kommunikation) zuständig, anstatt die Aufsichtsbehörden der Bundesländer.
Die LDI NRW schließt sich damit zwar der Ansicht des EDPB an, welcher in seinen Guidelines (07/2020 on the concepts of controller and processor in the GDPR, Seite 12 ff.) ebenfalls TK-Diensteanbieter bei der Erbringung ihrer Dienste als Verantwortliche im Sinne der DSGVO einstufte.
Diese Einordnung von Videokonferenz-Tools eröffnet jedoch mehr Fragen, als sie beantwortet. Was genau ist mit Daten „aufgrund der Übertragung des Videochats“ gemeint? Und was ist ein „Videochat“ überhaupt? Wie ist in Bezug auf die weiteren Funktionen, wie der Speicherung der Aufnahmen oder sogar etwaigen Auswertungen, vorzugehen? Sind diese Teil des TK-Dienstes oder unterliegen sie doch wiederum der DSGVO?
Zudem fühlen sich andere LfDIs sehr wohl weiterhin zuständig, wie z. B. an der Aussage des Hessischen Landesdatenschutzbeauftragten Prof. Dr. Alexander Roßnagel in Bezug auf die Zulässigkeit Zooms an hessischen Hochschulen zu erkennen ist (wir berichteten).
Sofern die Videokonferenzanbieter*innen neben der schlichten interpersonellen Kommunikation weitere Dienste anbieten bzw. implementieren, sollten daher weiterhin Auftragsverarbeitungsverträge geschlossen werden, bis diese Fragen abschließend geklärt sind.
Theo
25. August 2022 @ 15:53
Mit dieser – durchaus kaum zu kritisierenden – Rechtsauffassung ist jedoch zudem zu überdenken, auf welche Rechtsgrundlage Verantwortliche die Übermittlung der bei und von ihnen gespeicherten personenbezogenen Daten an die Videokonferenzbetreiber*innen als eigenständige Verantwortliche stützen können. Unstreitig dürfte sein, dass derartige Offenlegungen gegenüber Dritten (Art. 4 Ziff. 10 DSGVO), worunter die Betreiber*innen nun zu zählen sind, einer Rechtsgrundlage bedürften (Art. 5 Abs. 1 lit. a DSGVO). Während der Vertrag zur Auftragsverarbeitung mit dessen Privilegierungswirkung kein derartiges Problem schaffte, müssten sich Verantwortliche, die sich solchen Systemen bedienen, nunmehr damit auseinandersetzen. Zwar können sich – für nicht öffentliche Stellen – derartige Grundlagen uU. aus Art. 6 Abs. 1 lit. f DSGVO ergeben oder aber bei recht weiter Auslegung könnte ggf. Art. 6 Abs. 4 DSGVO als Grundlage tauglich sein. In allen anderen Fällen wäre die nachweisliche Einwilligung zur Rechtfertigung heranzuziehen. Dies ist folglich für jeden Verarbeitungsvorgang im Zshg. mit der Nutzung solcher Plattformen zu beurteilen.
Anonymous
11. August 2022 @ 9:53
Warum gendern Sie juristische Personen („Videokonferenzanbieter*innen“)?
(der) Martin
11. August 2022 @ 14:39
Genderextrem? Eine berechtigte Frage. Zur weiteren Eskalation bekommen demnächst auch noch der Auftragsbearbeitungsvertrag und der Dienst und die Frage und die Kommunikation ein Sternchen verpasst. Und dass es „der“ Datenschutz heißt ist eigentlich auch skandalös. Immerhin sind laut Fußnote „erforderliche Felder mit einem * markiert“. Scherz beiseite, der Tätigkeitsbericht aus NRW selber verwendet diese sperrige Form für Anbieter, Hersteller oder Dienstleister.
Schon gewöhnlich wirkt da die Bezeichnung „Hacker*innengruppe Hafnium“. Damit wurden jetzt hoffentlich die möglichen sexuellen Identitäten aller Mitglieder der (der chinesischen Diktatur nahestehenden) Cyberspionagegruppe ausreichend berücksichtigt. Ich finde es viel schlimmer, dass hiermit alle „Motivarten“ von Hackern verbal in einen Topf geworfen wurden.
In Chinas Werbesprache hat man auch eine Lösung gefunden, um das Problem unterschiedlicher Schriftbilder ansonsten gleich ausgesprochener unterschiedlicher Personalpronomen kreativ zu umschiffen. So findet man dort auf Werbeplakaten oder in Onlinetexten oft die lateinischen Großbuchstaben TA oder TAMEN – damit kann sich dann jeder angesprochen fühlen.
Ob es gegen die zweifellos auch bei uns noch existierenden Ungerechtigkeiten hilft, wenn versucht wird, durch eine kleine Gruppe etwas gewaltsam in eine Sprache zu zwingen, wage ich zu bezweifeln. Sowas erzeugt vielmals Unmut und Gegenreaktionen, etwas was das Thema Datenschutz und juristische Texte generell glaube ich momentan gar nicht brauchen.
Inhaltlich war der Betrag aber wieder sehr interessant.