DSK veröffentlicht eine „Orientierungshilfe für Videokonferenzsysteme“
Die Corona-Pandemie hat viele, wenn nicht fast alle Aspekte des menschlichen Lebens beeinflusst: Arbeit wird – wenn möglich – per Homeoffice erledigt, Geigenunterricht vor dem Laptop genommen und Oma und Opa per Tablet „besucht“. Physische Kontakte sollen und müssen zur Eindämmung der weiteren Ausbreitung des Sars-CoV-2-Virus weitestgehend vermieden und eingeschränkt werden.[1] Daher liegt es nahe, Kontakte und Treffen in den virtuellen Raum zu verlagern und die Dienste, welche die immer weiter fortschreitende Digitalisierung hervorbringt, zur Bewältigung dieser neuen und herausfordernden Situation zu nutzen. Dabei wird auf die bereits schon länger bekannten Dienste wie Skype oder FaceTime zurückgegriffen, aber insbesondere der Videokonferenz-Dienst Zoom ist im Zuge der Corona-Pandemie zu einem „Big Player“ in der Szene geworden. An diesem Dienst scheint man kaum mehr vorbei zu kommen – fast überall und über alles wird mittlerweile „gezoomt“[2]. Fraglich ist, ob dabei auch mal jemand in die Datenschutzbestimmungen und -vorkehrungen all dieser Videokonferenzdienste „zoomt“, sich diese mal genauer ansieht und sich mit diesen (und ggf. alternativen, weniger bekannten Diensten) ernsthaft auseinandersetzt.
Herausfordernde Situationen erfordern (vorläufige) praktikable Lösungen, danach kommt die Zeit der Konsolidierung
Sicherlich ist vielen, wenn nicht gar den meisten Nutzenden zuzugestehen, dass die aktuelle Corona-Situation sie unerwartet und unvorbereitet erwischt hat und kurzfristig praktikable Lösungen für eine Vielzahl an Situationen gefunden werden mussten: Praktisch, intuitiv, einfach und (bestenfalls) kostenlos sollten und mussten sie sein. Aber nach der ersten Zeit der kreativen und praktikablen Herangehensweisen – und bei sicherlich allseitigem Verständnis für die Unvollkommenheit vorübergehender (Not-)Lösungen – sollte nun auch eine Art Konsolidierung der verwendeten Mittel im Hinblick auf ihre rechtliche und insbesondere datenschutzrechtliche Konformität einsetzen.[3] Denn auch wenn wir auf die baldige Entwicklung und Zulassung eines Impfstoffs sowie eine damit einhergehende Normalisierung hoffen, so werden wir dennoch eine gewisse Zeit mit der virtuellen Überwindung physischer Kontaktbeschränkungen leben müssen.[4] Und wer weiß schon, vielleicht werden sich so manche in der Corona-Pandemie erprobten Methoden des Homeoffice, des Homeschoolings oder schlicht der Video-Telefonie dauerhaft etablieren.
Orientierungshilfe der DSK
So kommt es sehr gelegen, dass die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) eine „Orientierungshilfe Videokonferenzsysteme“[5] herausgegeben hat. Wie der Name schon sagt, ermöglicht dieses 25-seitige Dokument eine Orientierung hinsichtlich wesentlicher Aspekte, die bei Bewertung, Auswahl und Einsatz von Videokonferenzlösungen durch Unternehmen, Behörden und andere Organisationen zu beachten sind.[6]
Vor- und Nachteile verschiedener Betriebsmodelle
Zunächst werden die drei Betriebsmodelle „Selbst betriebener Dienst“, „Betrieb durch einen externen IT-Dienstleister“ sowie „Online-Dienst“ unterschieden und jeweils dargestellt.
Vorteilhaft am selbst betrieben Dienst, also am Betrieb eines Videokonferenzsystems auf einer selbst betriebenen Infrastruktur, kann sein, dass man selbst in der Hand hat, welche Software verwendet wird und welche Datenverarbeitungen dadurch veranlasst werden.[7] Außerdem kann auf diese Weise sichergestellt werden, dass Daten lediglich wie gewünscht verarbeitet werden, da man selber die Kontrolle über die entsprechenden Einstellungen der Systeme hat. Ferner erübrigt sich die Notwendigkeit eines Auftragsverarbeitungsvertrages oder eine Vereinbarung zur gemeinsamen Verantwortung. Allerdings bedarf es natürlich für Betrieb und Wartung ausreichender technischer und personeller Ressourcen und es müssen geeignete technische und organisatorische Maßnahmen selber ergriffen werden. Für große Institutionen wird das möglicherweise zu bewerkstelligen sein, für kleinere hingegen kann das ein nicht zu bewältigendes Wagnis sein. [8]
Anstelle selber einen Dienst zu betreiben, gibt es die Möglichkeit – und kann es daher unter Umständen ratsam sein –, einen Dienstleister mit dem Betrieb zu beauftragen.[9] Die DSK empfiehlt insbesondere für die öffentliche Verwaltung, derlei Systeme selber zu betreiben oder zentral bereitzustellen, dadurch könnten die Systeme auf die jeweiligen Bedürfnisse und Einsatzszenarien, beispielsweise für den Einsatz in Schulen, zugeschnitten werden. Zu beachten ist dabei aber, dass die verwendete oder angebotene Software auf Datenübertragungen an die Hersteller oder Dritte geprüft wird. Dies betrifft vor allem auch Diagnose- und Telemetriedaten oder sonstige „Datenabflüsse“, die im Falle einer fehlenden Rechtsgrundlage unterbunden werden müssen. Bei diesem Betriebsmodell bedarf es im Falle der Auftragsverarbeitung eines entsprechenden Vertrages zur Auftragsverarbeitung.
Eine alternative – und gegebenenfalls einfachere – Bereitstellungsmöglichkeit ist die Verwendung eines bereits bestehenden Online-Dienstes.[10] Auch bei dieser Option sind – je nach Online-Dienst – Datenabflüsse und Zugriffsrechte zu untersuchen und gegebenenfalls anzupassen. Mindestens ist auch dabei ein Auftragsverarbeitungsvertrag zu schließen. Die Auswahl eines geeigneten Anbieters muss insbesondere anhand des Kriteriums der Einhaltung der Datenschutzgrundsätze sowie aufgrund des Ergebnisses einer Prüfung von dessen Auftragsverarbeitungsvertrages, dessen Nutzungsbedingungen, Sicherheitsnachweisen und Datenschutzerklärungen erfolgen. Es bedarf mithin eines Anbieters, der geeignete technische und organisatorische Maßnahmen ergreift, dessen Datenverarbeitungen nach den Anforderungen der DSGVO erfolgen und der dafür hinreichende Garantien bietet. Problematisch wird es allerdings dadurch, dass sowohl der Veranstalter für jede Offenlegung von personenbezogenen Daten an den Anbieter, aber auch der Anbieter für jede Verarbeitung personenbezogener Daten in eigener – gegebenenfalls in gemeinsamer Verantwortung – eine Rechtsgrundlage benötigt, wenn dieser personenbezogene Daten der Teilnehmer auch zu eigenen Zwecken oder Zwecken Dritter, also beispielsweise im Falle des Einsatz von entsprechenden Analysetools oder des Trackings für Werbezwecke, verarbeitet.[11] Gerade das ist bei Online-Diensten häufig der Fall. Unter Umständen liegt aufgrund der Verarbeitung personenbezogener Daten durch den Anbieter zu eigenen Zwecken oder Zwecken Dritter eine gemeinsame Verantwortlichkeit mit diesem vor, dann muss eine entsprechende Vereinbarung darüber geschlossen werden. Diese ersetzt nicht die notwendige Rechtsgrundlage, sondern regelt dabei die jeweiligen Zuständigkeiten und Pflichten im Rahmen der gemeinsamen Verantwortung. In jedem Fall müssen die entsprechenden Verantwortlichkeiten den betroffenen Personen gegenüber transparent gemacht werden.
Es ist nicht einfach
Die rechtskonforme Ausgestaltung und transparente Ausweisung der Verarbeitungsvorgänge und mit diesen einhergehenden Verantwortlichkeiten können sich im Falle der Online-Dienste für Veranstalter in Ermangelung notwendiger Angaben und Vereinbarungsmöglichkeiten mit den Dienste-Anbietern als schwierig bis (realiter) unmöglich erweisen. Es will mithin gut überlegt sein, welchen Dienst man auswählt und ob „man mal eben ein Zoom-Meeting“ veranstaltet. Es bedarf den Verarbeitungsvorgängen entsprechender Zuständigkeits- und Verantwortungsverteilungen, klarer Informationen und vor allem tragfähiger Rechtsgrundlagen. Auch diesem Aspekt der Rechtsgrundlagen widmet sich das Dokument.[12]
Auswirkungen durch das „Schrems II-Urteil“
Ein gravierendes Problem – und diesem widmet sich die Orientierungshilfe ebenfalls[13] – ist insbesondere, dass die größten und bekanntesten Videokonferenzdienst-Anbieter ihren Firmensitz in den USA haben und dort auch Daten verarbeiten.[14] Bei Übermittlungen von personenbezogenen Daten in die USA oder andere Drittstaaten müssen die Bestimmungen des Kapitels V der DSGVO eingehalten werden.[15] Durch das „Schrems II-Urteil“ des EuGH vom 16.07.2020 wurde der Angemessenheitsbeschluss zum „Privacy Shield“, der Datenübertragungen zwischen der EU und den USA ermöglichte, für ungültig erklärt.[16] Das „Privacy Shield“ kann daher nicht mehr zur Sicherstellung eines angemessenen Schutzes von in die USA übermittelten Daten herangezogen werden. Bei der Alternative der Verwendung von Standardvertragsklauseln als Rechtfertigungsinstrument zur Übermittlung von Daten in Drittstaaten weist die DSK ausdrücklich darauf hin, dass der Verantwortliche die Rechtslage im Drittland hinsichtlich behördlicher Zugriffsmöglichkeiten und Rechtsschutzmöglichkeiten untersuchen muss, bei „Defiziten sind zusätzliche Maßnahmen erforderlich (…). Bei der Verwendung von Standardvertragsklauseln und anderen vertraglichen Garantien als Grundlage für Übermittlungen personenbezogener Daten in die USA sind nach der Entscheidung des EuGH zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass für diese Daten auch bei und nach ihrer Übermittlung ein im Wesentlichen gleichwertiges Schutzniveau wie das in der EU gewährleistet wird.“[17] Doch wer kann in der Praxis diesem Analyse-Erfordernis schon wirklich entsprechen? Nicht nur, dass es enormer personeller Kapazitäten und eines entsprechenden Know-hows bedarf, sondern auch die dazu nötigen Einblicke in die tatsächlichen Abläufe dürften den meisten Kunden der Videokonferenz-Dienste verborgen bleiben. Und vor allem: Wie genau sehen „zusätzliche Maßnahmen“ aus, was könnten zusätzliche Schutzvorkehrungen sein, die ein Verantwortlicher treffen muss, um ein „im Wesentlichen gleichwertiges Schutzniveau“ sicherzustellen? Darauf gibt die Orientierungshilfe leider noch keine Antworten, sondern behält konkrete Aussagen dazu – ebenfalls wie die vom Europäischen Datenschutzausschuss herausgegebenen FAQs[18] zu den Folgen des „Schrems II-Urteils“, auf die auch verwiesen wird[19] – weiteren Analysen vor, rät jedoch insgesamt eher zur Vorsicht: „Es bedarf noch weiterer Analysen, um im Lichte dieser vom EuGH klargestellten Anforderungen konkretere Aussagen dahingehend treffen zu können, ob und unter welchen zusätzlichen Schutzvorkehrungen personenbezogene Daten in die USA oder an US-Anbieter übermittelt werden können. Aus diesem Grund empfiehlt die DSK derzeit, die Nutzung von Videokonferenzprodukten US-amerikanischer Anbieter sorgfältig zu prüfen. Dies gilt auch, wenn Vertragspartner eine europäische Tochtergesellschaft ist. Das gleiche gilt für europäische Anbieter, sofern sie ihrerseits personenbezogene Daten in die USA übermitteln.“[20] Die DSK gibt jedoch zu: „Wenn das unzureichende Schutzniveau aus behördlichen Zugriffsmöglichkeiten herrührt, sind ausreichende zusätzliche Maßnahmen im Bereich von Videokonferenzdiensten schwer denkbar, denn mindestens bestimmte Rahmendaten der Konferenzen müssen dem Anbieter aus technischen Gründen zugänglich sein. Verantwortliche, die Videokonferenzdienste nutzen, müssen nach Art. 5 Abs. 2 DSGVO nachweisen können, dass sie diese Prüfung vorgenommen haben und die Daten im Drittland nach diesen Maßstäben ausreichend geschützt sind.“[21] Fast beiläufig merkt sie bereits an vorhergehender Stelle an: „Bei Defiziten sind zusätzliche Maßnahmen erforderlich; ggf. muss der Datenexport unterbleiben.“[22] Insgesamt sind die Folgen des „Schrems II-Urteils“ noch nicht abschließend geklärt; die Positionen reichen im Großen und Ganzen von vollständiger Einstellung der Datenübermittlung in die USA, da auch Standardvertragsklauseln kein ausreichendes Schutzniveau bieten könnten,[23] bis zur Nutzung zusätzlicher Maßnahmen, wobei man dabei in der Regel der Erklärung schuldig bleibt, wie genau diese aussehen könnten.[24]
Zwar hat der Europäische Datenschutzausschuss (EDPB) mittlerweile Empfehlungen zu zusätzlichen Maßnahmen, die das Datenschutzniveau der EU im Rahmen von Datentransfers in Drittstaaten sicherstellen sollen, herausgegeben.[25] Diese ermöglichen auch eine gut strukturierte Auseinandersetzung mit dem Problemkreis ergänzender Maßnahmen im Kontext von Drittstaaten-Datentransfers insbesondere im Zusammenhang mit Standardvertragsklauseln und sind in jedem Fall eine Auseinandersetzung wert, führen jedoch im Ergebnis ebenfalls zu keinem anderen Ergebnis als die bereits zuvor dargestellten Ausführungen der DSK im Zusammenhang mit Videokonferenzdiensten, wenn die Anbieter eben auf besagte Rahmendaten zugreifen können.[26]
Welchen Dienst kann ich denn nun (bedenkenlos) nutzen? – Darauf gibt es keine pauschale Antwort
Die Orientierungshilfe der DSK bietet insgesamt einen guten (gegebenenfalls ersten) Überblick über die Betriebsmodelle, rechtlichen Anforderungen, Pflichten des Verantwortlichen sowie die technischen und organisatorischen Anforderungen beim Einsatz von Videokonferenz-Systemen durch Unternehmen, Behörden und andere Organisationen. Schließlich bliebe jedoch der Wunsch nach einer Art „Positivliste“, welche Dienste nun (bedenkenlos) eingesetzt werden können. Konkrete Produktempfehlungen wird man zwar in der DSK-Orientierungshilfe vergeblich suchen, da kann jedoch eine Publikation der Berliner Beauftragen für Datenschutz und Informationsfreiheit weiterhelfen, die im Rahmen einer Untersuchung eine Reihe an verfügbaren Diensten (zumindest kursorisch) analysiert und übersichtlich bewertet hat.[27] Auch das Magazin STIFTUNG WARENTEST hat einen Test der gängigsten Videokonferenz-Dienste vorgenommen.[28] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit kommt zum Ergebnis, dass „einige verbreitet eingesetzte Anbieter zu Redaktionsschluss (3. Juli 2020) nicht alle Rechtmäßigkeitsvoraussetzungen erfüllen, darunter die Dienste Blizz, Cisco WebEx, Cisco WebEx über Telekom, Google Meet, GoToMeeting, Microsoft Teams, Skype, Skype for Business Online und zoom. Mit NETWAYS Web Services Jitsi, sichere-video-konferenz.de, TixeoCloud, Werk21 BigBlueButton und Wire stehen allerdings Alternativen bereit, die die datenschutzrechtlichen Anforderung erfüllen.“[29] Im Zusammenhang mit Informationen mit hohem Schutzbedarf kommt sie zum ernüchternden Ergebnis: „Leider sind nach derzeitigem Entwicklungsstand alle betrachteten Dienste mit Ausnahme von Wire in der Standardkonfiguration für den Austausch von Informationen mit hohem Schutzbedarf nicht geeignet.“[30] Wie man unschwer erkennen kann, gibt es nicht hinsichtlich aller Anforderungen und Konstellationen den perfekten Dienst – den Dienst, der ohne Aufwand, intuitiv, allumfassend datenschutzkonform und zu alledem auch noch kostenlos und für einen großen Teilnehmendenkreis geeignet ist. Somit gibt es (leider) nicht die pauschale Antwort auf die Frage, welcher Dienst nun „der Beste“ ist. Klar erkennbar ist jedoch, dass aus datenschutzrechtlicher Sicht manche Aspekte (derzeit) für bestimmte Dienste sprechen und bei anderen Diensten eher zum vorsichtigen Einsatz mahnen – oder gar von einer Verwendung absehen lassen sollten.[31]
Keine leichte Situation – da sind gute Ideen und Kreativität gefragt
Zweifelsohne hat die Corona-Pandemie viele Menschen, Unternehmen, Behörden und Organisationen eiskalt erwischt, es mussten schnell praktische und unkomplizierte Lösungen her – da waren (und sind weiterhin) gute Ideen und Kreativität gefragt. Ein besonders schönes Beispiel kommt aus der Stadt Bühl, die ihren Bürgerinnen und Bürgern, Musikschulen und Vereinen sowie Unternehmen, aber auch über die Grenzen der Stadt Bühl hinaus eine kostenlose Videotelefonie-Möglichkeit namens „Palim! Palim!“, welche auf der freien Software „Jitsi Meet“ basiert, zur Verfügung stellt.[32] Das Tolle ist, es „benötigt nicht mehr als einen aktuellen Browser, um in Kontakt zu bleiben. Ganz ohne Registrierungszwang oder Erhebung von sensiblen Metadaten.“ Das wäre ein schönes Beispiel,[33] dem viele Städte und Kommunen oder öffentliche Einrichtungen folgen könnten, um insbesondere kleineren Unternehmen und Vereinen, die aufgrund ihrer personellen und finanziellen Kapazitäten oder fachlichen Expertise nicht im Stande sind, eigenständig einen Dienst zu betreiben, betreiben zu lassen oder hinsichtlich des (sicheren) rechtskonformen Einsatzes von Video-Onlinediensten überfordert sind. Denn es klingt wie mit „gespaltener Zunge gesprochen“, wenn einerseits von öffentlicher Seite – und sicherlich auch richtigerweise – Datenschutz angemahnt wird, gleichzeitig aber die eigentlich Datenschutzwilligen mit einer unüberschaubaren Flut an Anforderungen alleine gelassen werden.[34] Das trägt eher nicht zu einer Verbesserung (oder gar Einhaltung) des Datenschutzniveaus bei, sondern verstärkt vielmehr die eigentlich (zumindest in der öffentlichen Wahrnehmung) zu Unrecht bestehende Dichotomie: entweder Praktikabilität und Nutzerfreundlichkeit oder rechtskonformer Datenschutz.
Aber Datenschutz hat (auch in Corona-Zeiten) seinen Sinn
Und ohne zum Schluss wieder mit erhobenem Zeigefinger die Bedeutung des Datenschutzes anmahnen zu wollen – Datenschutz ist kein „Schönwetter-Recht“, das man halt beachten kann, wenn es denn halt keine Umstände macht! Es ist geltendes und anzuwendendes Recht – und keine Empfehlung! „Zoomen“ ist kein Selbstzweck, sondern ein Mittel für eine Vielzahl von Zwecken – auch für die Ausübung von Grundrechten, wie zum Beispiel der Meinungsfreiheit. „Zoomen“ wir in „das Datenschutzrecht“, erkennt man, dass es sich dabei um ein Gesetz gewordenes Bollwerk handelt, um die Ausübungsmöglichkeiten von Grundrechten in einer digitalisierten Gesellschaft zu ermöglichen und zu bewahren. Nutzen wir kreative Ideen in diesen außergewöhnlichen Zeiten; nutzen wir Mittel wie Videokonferenz-Software und -Dienste, die uns die Digitalisierung glücklicherweise in dieser Pandemie „an die Hand“ gibt; aber vergessen wir dabei nicht, dass wir sie im Einklang mit den grundrechtlichen Werten (und dem daraus erwachsenen „einfachen“ Datenschutzrecht) verwenden sollten. Nicht nur, um uns gesetzestreu zu verhalten und Sanktionen zu vermeiden, sondern um zu erhalten, weswegen es sich zu „zoomen“ lohnt: die Ausübung grundrechtlich geschützter Freiheit.
Felix Sobala
Dieser Beitrag erschien erstmals im BayWiDI-Magazin 4/2020. Die vollständige Ausgabe finden Sie hier.
[1] Siehe dazu auch erst kürzlich nochmals den Beschluss der Videoschaltkonferenz der Bundeskanzlerin mit den Regierungschefinnen und Regierungschefs der Länder am 16. November 2020 (zuletzt abgerufen am: 19.11.2020) sowie die Erklärung der Bundeskanzlerin nach neuerlichen Beratungen mit den Ministerpräsidenten, „Der Durchschnitt hilft uns nicht“ – Merkel zu verlängertem Teil-Lockdown, Tagesschau.de (zuletzt abgerufen am: 26.11.2020).
[2] Dieser Beitrag fokussiert nicht den Video-Konferenzdienst Zoom, sondern bezieht sich grundsätzlich auf alle Videokonferenz-Dienste. Lediglich aufgrund des Phänomens, dass das Wort „zoomen“ mittlerweile (fast gänzlich) als Synonym für das Veranstalten eines Videotelefonats oder einer -konferenz verwendet wird, wird dieses Wortspiel im Rahmen dieses Beitrags verwendet.
[3] Vgl. in diesem Sinne auch Berliner Beauftragte für Datenschutz und Informationsfreiheit, Berliner Datenschutzbeauftragte zur Durchführung von Video-Konferenzen während der Kontaktbeschränkungen, Stand 03.07.2020 (zuletzt abgerufen am: 03.12.2020), S. 1, aber dennoch die Dringlichkeit datenschutzrechtlicher Abhilfe nochmals betonend auf S. 5; gleichfalls dieselbe, Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen, Stand 03.07.2020 (zuletzt abgerufen am: 03.12.2020), S. 2. Im Rahmen der datenschutzrechtlichen Bewertung von Videokonferenz-Diensten sind jedoch die jeweiligen Einsatzszenarien, insbesondere auch im Hinblick auf ihre jeweiligen Einsatzkontexte, zu berücksichtigen. So finden die Bestimmungen der DSGVO im Kontext ausschließlich persönlicher oder familiärer Tätigkeiten keine Anwendung, Art. 2 Abs. 2 lit. c) DSGVO. Nach ErwGr. 18 S. 1 DSGVO fallen darunter auch „Online-Tätigkeiten“. Allerdings stellt ErwGr. 18 S. 3 DSGVO ausdrücklich klar, dass diese Einschränkung natürlich nur für das private oder familiäre Innenverhältnis der Nutzenden gilt, die Rechte und Pflichten der Nutzenden im Außenverhältnis zum Diensteanbieter beziehungsweise dessen Verantwortlichkeit davon unberührt bleiben: „Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.“ Dieser Beitrag fokussiert Einsatzszenarien der Durchführung von Videokonferenzen durch Unternehmen, Behörden und andere Organisationen und mit diesen Konstellationen einhergehende Anforderungen (siehe auch bei Fn. 6), für die zuvor genannte Ausnahmen für private oder familiäre Tätigkeiten gerade nicht gelten. Gleichwohl mag er auch bei Privatpersonen zu kritischem Hinterfragen des Einsatzes entsprechender Dienste im privaten oder familiären Kontext anregen.
[4] Vgl. Pharmazeut rechnet mit weiteren Einschränkungen 2021 – Covid-19 und Zahlen, Deutschlandfunk Nova (zuletzt abgerufen am: 26.11.2020).
[5] Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK – Datenschutzkonferenz), Orientierungshilfe Videokonferenzsysteme, Stand 23.10.2020 (zuletzt abgerufen am: 19.11.2020).
[6] Siehe Fn. 5, S. 4.
[7] Siehe Fn. 5, S. 5f., dort auch zum Folgenden.
[8] Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit präferiert das eigene Betreiben einer Videokonferenzlösung, am besten sogar einen eigenen Dienst betrieben mit Software, deren Quelltext öffentlich zugänglich ist (Open Source-Software), sieht gleichzeitig aber auch die Problematik, es sei „insbesondere für kleine Institutionen kaum mit verhältnismäßigem Aufwand leistbar, eine gut funktionierende datenschutzgerechte Lösung zu betreiben oder betreiben zu lassen“ (siehe den ersten Nachweis in Fn. 3, S. 1, 3). Sie kommt gar zum Ergebnis, in „Abhängigkeit von Umständen und Risikolage kann dies ggf. auch die einzig verfügbare rechtskonforme Lösung sein“ (dieselbe, Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten, Stand 03.07.2020 (zuletzt abgerufen am: 03.12.2012), S. 1).
[9] Siehe Fn. 5, S. 6, dort auch zum Folgenden.
[10] Siehe Fn. 5, S. 6f., dort auch zum Folgenden.
[11] Siehe Fn. 5, S. 9, dort auch zum Folgenden.
[12] Siehe dazu Fn. 5, S. 9–13.
[13] Siehe dazu Fn. 5, S. 7f. und S. 17f.
[14] Siehe Fn. 5, S. 7.
[15] Siehe dazu Fn. 5, S. 7f. und S. 16–18.
[16] EuGH, Urt. v. 16.07.2020, C-311/18 – „Schrems II“.
[17] Siehe Fn. 5, S. 7.
[18] EDPB – European Data Protection Board, Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18 – Data Protection Commissioner gegen Facebook Ireland Ltd und Maximillian [sic] Schrems, 23.07.2020 (zuletzt abgerufen am: 26.11.2020), siehe zu den zusätzlichen Maßnahmen dort insbesondere S. 6f.
[19] Siehe Fn. 5, S. 17f.
[20] Siehe Fn. 5, S. 7f.
[21] Siehe Fn. 5, S. 17.
[22] Siehe Fn. 5, S. 7.
[23] Davon sind Konstellationen ausgenommen, in denen andere Rechtsgrundlagen als das für ungültig erklärte „Privacy Shield“ oder Standardvertragsklauseln des Kapitels V die Datenübertragung in die USA rechtfertigen können.
[24] Siehe dazu schon Sobala, Eins, zwei, hoffentlich nicht drei – Schrems ist noch nicht vorbei. Reaktionen und Konsequenzen nach dem „Schrems II-Urteil“ im vorhergehenden BayWiDI-Magazin 3/2020.
[25] EDPB – European Data Protection Board, Recommendations 01/2020 on measures that supplement tranfer tools to ensure compliance with the EU level of protection of personal data, 10.11.2020, Adopted – Version for public consultations (zuletzt abgerufen am: 11.12.2020).
[26] Siehe Fn. zuvor, insbesondere Rn. 76 und die Use Cases 1 und 2 in den Rn. 79–83.
[27] Siehe den letzten Nachweis in Fn. 8. Dabei handelt es sich um eine Kurzprüfung der Videokonferenz-Dienste verschiedener Anbieter in Form von Software-as-a-Service (SaaS), der Schwerpunkt der Prüfung lag jedoch auf der Bewertung der Rechtskonformität der von den Anbietern angebotenen Auftragsverarbeitungsverträgen, teilweise erfolgten dabei auch kursorische Untersuchungen einiger technischer Aspekte. Es wird ausdrücklich darauf hingewiesen, dass keine umfassende Prüfung erfolgte, insbesondere keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärungen; für einen Überblick kann diese Übersicht gleichwohl dienen. Diese Liste soll zwar laufend ergänzt werden, der letzte Stand ist (derzeit) jedoch der 03.07.2020 und damit noch vor dem – bereits zuvor thematisierten – „Schrems II-Urteil“ des EuGH; dadurch resultierende Konsequenzen sind dementsprechend (derzeit) noch nicht berücksichtigt.
[28] Stiftung Warentest – test.de, Die besten Tools für Video-Telefonie – Videochat-Programme im Test, 13.05.2020 (zuletzt abgerufen am: 27.11.2020).
[29] Siehe die ersten beiden Nachweise in Fn. 3, dort bei erstem S. 4 bzw. bei zweitem S. 2, jeweils mit anschließendem Verweis auf letzten Nachweis in Fn. 8.
[30] Siehe den letzten Nachweis in Fn. 8, S. 1.
[31] Aufgrund der Schnelllebigkeit in dieser Branche – sowohl was technische Entwicklungen und Veränderungen wie auch rechtliche Rahmenbedingungen, wie zum Beispiel durch das „Schrems II-Urteil“ des EuGH, anbelangt – wird hier bewusst auf die aktuelle Benennung oder Empfehlung konkreter Dienste verzichtet. Die Aussagen der Berliner Beauftragen für Datenschutz und Informationsfreiheit betrafen jeweils den Stand 03.07.2020, siehe Fn. 27, bei Fn. 29 und 30.
[32] Siehe dazu das Interview mit dem Digitalisierungsbeauftragten der Stadt Bühl, Eduard Itrich, bei Reuter/Mehring, Wie freie Software die Menschen im badischen Bühl begeistert, Netzpolitik.org, 15.07.2020 (zuletzt abgerufen am: 27.11.2020), dort auch zum Folgenden.
[33] Ein anderes Beispiel ist die offene Videokonferenz-Plattform „FFMeet“, die Freifunk München (ebenfalls basierend auf einer Jitsi-Infrastruktur) zur Verfügung stellt, siehe dazu das Interview mit den beiden Betreibenden, die diese Plattform zu zweit eingerichtet haben und in ihrer Freizeit betreiben, Beckedahl, München spricht online – Offene Videokonferenzplattform, Netzpolitik.org, 22.06.2020 (zuletzt abgerufen am: 27.11.2020).
[34] Zur Problematik mangelnder Videokonferenz-Lösungen im Schulkontext sowie erster Versuche, landeseigene Lösungen zur Verfügung zu stellen siehe Barthel, Es fehlt die direkte Kommunikation – Digitaler Unterricht in Zeiten von Corona, Netzpolitik.org, 12.05.2020 (zuletzt abgerufen am: 27.11.2020).