Hamburger Aufsichtsbehörde warnt formal vor dem Einsatz von Zoom
Der Hamburgische Beauftagte für Datenschutz und Informationsfreiheit (HmbBfDI) hat heute in einer Pressemitteilung bekannt gegeben, dass er die Hamburger Senatskanzlei vor dem Einsatz der Videokonferenzlösung von Zoom Inc. in der sog. “on-demand-Variante” offiziell gewarnt habe.
Hintergrund
Zoom ist ein US-amerikanisches Softwareunternehmen für Videokonferenzen. Dessen Einsatz seit dem sog. “Schrems-II-Urteil” des EuGH und dem damit verbundenen Wegfall des Privacy Shields nur unter Einhaltung sehr strenger Voraussetzungen möglich ist. Problematisch an einem Einsatz von Zoom ist insbesondere der Datentransfer in die USA, dessen Rechtsgrundlage durch das Schrems-II-Urteil gekippt wurde, da US-Geheimdienste umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben und damit eine Massenüberwachung befürchtet wird. Daher ist der Einsatz von US-Konferenzdiensten wie Zoom nur in Ausnahmefällen möglich und bedarf einer genauen Prüfung, deren Vorgaben der europäische Datenschutzausschuss in seinen Empfehlungen formuliert hat.
Sachverhalt
Diese strengen Voraussetzungen liegen bei der Senatskanzlei und dem geplanten Einsatz von Zoom nicht vor.
Nachdem die Senatskanzlei die Hamburger Aufsichtsbehörde zwar frühzeitig über entsprechende Pläne zum Einsatz von Zoom informiert habe, sei die Senatskanzlei in der Folge den Aufforderungen der Aufischtsbehörde entsprechende Unterlagen oder Argumente vorzulegen, die eine andere rechtliche Bewertung zuließen, nicht nachgekommen. Deshalb sei nach Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei Mitte Juni 2021 nun die formale Warnung nach Art. 58 Abs. 2 lit. a DSGVO der erforderliche nächste Schritt gewesen.
Befugnisse der Aufsichtsbehörden
Nach Art. 58 DSGVO verfügt jede Aufsichtsbehörde über vielfältige Untersuchungs-, Abhilfe- oder Genehmigungsbefugnisse. Dazu gehört gem. Art 58 Abs. 2 lit. a DSGVO u.a. auch die Befugnis, einen Verantwortlichen oder Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DSGVO verstoßen. Dies ist hier geschehen. Der HmbBfDI begründet dies damit, dass neben der Wirtschaft auch die öffentliche Verwaltung die strengen Anforderungen erfüllen müssen, die an einen Drittstaatentransfer gestellt werden. Zudem gebe es auch europäische Dienstleister, die Videokonferenzsysteme in den eigenen Rechenzentren anbieten und die erfolgreich genutzt werden könnten. Daher sei für den HmbBfDI unverständlich, weshalb auf einen US-Anbieter zurückgegriffen werden müsse, dessen Einsatz rechtlich hoch problematisch sei.
Ausblick
Die von dem HmbBfDI ergriffenen Maßnahmen zeigen einmal mehr, dass der Einsatz von US-amerikanischen Tools rechtlich sehr schwierig ist und eine Nutzung von den Aufsichtsbehörden genau geprüft wird.
Folgt die Senatskanzlei der offiziellen Warnung nicht und führt Zoom dennoch ein, so kann der Hamburger Datenschutzbeauftragte nach Art. 58 Abs. 5 DSGVO diesen Verstoß den Justizbehörden zur Kenntnis bringen und ggf. die Einleitung eines gerichtlichen Verfahrens betreiben oder sonstige Maßnahmen ergeifen.
