Viele Anbieter von Videokonferenzen verstoßen gegen die DSGVO
Vor dem Hintergrund der Corona-Pandemie wenden sich Unternehmen, Behörden, Vereine und freiberuflich tätige Personen mit Sitz in Berlin verstärkt mit Fragen zum datenschutzkonformen Einsatz von Videokonferenzlösungen an die Aufsichtsbehörde. Daher hat die Berliner Datenschutzbeauftragte in den vergangenen Wochen eine Kurzprüfung verschiedener Dienste vorgenommen.
Geprüft wurden die Auftragsverarbeitungsverträge, die die Verantwortlichen mit den Videokonferenz-Dienstanbietern standardmäßig schließen. Soweit die Auftragsverarbeitungsverträge rechtskonform sind, erfolgte zudem eine kursorische Untersuchung einiger technischer Aspekte der Dienste. Die Aufsichtsbehörde weist darauf hin, dass sie keine umfassende Prüfung der Dienste durchgeführt hat. Insbesondere ist keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärung erfolgt. Letztere betreffen lediglich die eigenverantwortlichen Datenverarbeitungen der Videokonferenzsystem-Anbieter. Nicht von den Datenschutzerklärungen umfasst sind diejenigen Datenverarbeitungen, die verantwortliche Stellen mit Sitz in Berlin durchführen, wenn sie die Dienste in Anspruch nehmen. Soweit rechtliche Mängel in den geprüften Dokumenten vorhanden sind, dürfen die Dienste nur genutzt werden, wenn abweichende Vereinbarungen mit dem Anbieter getroffen wurden.
Zur besseren Veranschaulichung der Bewertung bedient sich die Aufsichtsbehörde eines Ampelsystems. Bei grün markierten Anbietern hat die Kurzprüfung keine Mängel ergeben. Die gelbe Markierung bedeutet bei der rechtlichen Bewertung, dass Mängel gefunden wurden, die eine rechtskonforme Nutzung des Dienstes zwar ausschließen, deren Beseitigung allerdings vermutlich ohne wesentliche Anpassungen der Geschäftsabläufe und der Technik möglich ist. In der technischen Prüfung bedeutet eine gelbe Markierung, dass die Anbieter unter Beachtung bestimmter Rahmenbedingungen nutzbar sind. Bei rot markierten Anbietern liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern.
Die Liste wird von der Berliner Beauftragten für Datenschutz und Informationsfreiheit laufend ergänzt, wenn im Rahmen ihrer Aufsichts- und Beratungstätigkeit weitere Angebote geprüft wurden. Anbieter von Videokonferenzlösungen, die ihren Dienst Berliner Verantwortlichen zur Verfügung stellen und bisher nicht geprüft wurden, sind eingeladen, Vertragsdokumente und technische Informationen für eine Kurzprüfung bei der Berliner Datenschutzbeauftragen einzureichen.
Maja Smoltczyk: „Die Prüfung, ob ein Dienst datenschutzkonform nutzbar ist, ist aufwendig und bringt viele Verantwortliche an ihre Grenzen. Mit unserer Kurzprüfung wollen wir eine Hilfestellung bieten. Ich begrüße es, dass erste Anbieter bereits von sich aus auf uns zugekommen sind, damit wir ihren Dienst in unsere Prüfungen einbeziehen. Wenn unsere Prüfergebnisse dazu führen, dass bisher mangelhafte Dienste ihr Angebot nachbessern, wäre das natürlich besonders erfreulich. Die ersten Erfolge in dieser Hinsicht konnten wir bereits verzeichnen.“
Weitere Informationen unter https://www.datenschutz-berlin.de/infothek-und-service/themen-a-bis-z/corona-Pandemie.html
Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit