Die Covid-19-Pandemie hat zum vielfachen Einsatz von etablierten Videodienstanbietern geführt. Vor diesem Hintergrund überprüfte die Berliner Datenschutzbehörde insgesamt 17 Videokonferenzanbieter auf die Einhaltung datenschutzrechtlicher Anforderungen. In einem Kurztest wurde das Augenmerk auf das Vorhandensein eines rechtskonformen Auftragsverarbeitungsvertrags gelegt. Nach DSGVO wird ein Auftragsverarbeitungsvertrag benötigt, im Falle, dass personenbezogene Daten von einem externen Unternehmen verarbeitet werden.
Laut der Berliner Datenschutzbeauftragen Marja Smoltczyk fielen bei dem genannten Kurztest u. a. führende Videokonferenzsysteme wie Zoom, Microsoft Teams und Skype durch. In den Auftragsverarbeitungsverträgen gibt es Widersprüche und Unklarheiten zur Regelung von Datenexporten. Zudem befindet sich der Ort der Datenverarbeitung nicht im Europäischen Wirtschaftsraum.
Eine rechtskonforme Nutzung ist somit ausgeschlossen und der Austausch hochsensibler Daten damit nicht empfehlenswert. Die genannten Anbieter werden, in der öffentlich zur Verfügung gestellten tabellarischen Übersicht, mit einer roten Ampel gekennzeichnet. Hier wird davon ausgegangen, dass eine Mängelbeseitigung nicht „[ohne] wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik [möglich ist]" (Berliner Beauftragte für Datenschutz und Informationsfreiheit, Version 1.0 vom 3. Juli).
„Zweifel in Bezug auf die Zuverlässigkeit" sowie „unzulässige Datenexporte und Einschränkungen der Löschpflicht" sind aufgeführte Mängel im Auftragsverarbeitungsvertrag des viel genutzten Anbieters Zoom. Ebenso weisen die Softwarelösungen von Microsoft einige schwerwiegende Mängel im Auftragsverarbeitungsvertrag auf. So warnte die Datenschutzbehörde auch vor „Skype" und „Teams", die aus dem Hause Microsoft stammen. Alle drei etablierten und vielverwendeten Videokonferenzanbieter (Skype, Teams, Zoom) wurden mit einer roten Ampel bewertet.
In dem Kurztest gab es auch Anbieter, die eine positive Bewertung erhalten haben. Dazu zählen Wire, Big Blue Button und Tixeo. Die rechtliche Prüfung des Auftragsverarbeitungsvertrags ergab in der Prüfung eine grüne Ampel, wie in der tabellarischen Übersicht ersichtlich wird. Der Ort der Datenverarbeitung dieser Anbieter befindet sich zudem im Europäischen Wirtschaftsraum. Die rechtskonforme Nutzung seitens des Auftragsverarbeitungsvertrages ist somit sichergestellt.Neben der rechtlichen Prüfung erfolgte auch eine oberflächliche technische Prüfung der Videodienstanbieter. Die Berliner Datenschutzbehörde empfiehlt die Nutzung dieser Anbieter nur unter Beachtung bestimmter Rahmenbedingungen, die ebenfalls in der Übersicht beschrieben werden.
Eine Gesamtübersicht der Prüfungsergebnisse können unter diesem Link eingesehen werden.
Hier können Sie einen Bericht zum Thema nachlesen.