Hamburger Aufsichtsbehörde warnt Senatskanzlei vor dem Einsatz von Zoom

Aufsichtsbehörden

Die Hamburger Aufsichtsbehörde für den Datenschutz hat heute in einer Pressemitteilung kundgetan, dass sie die Hamburger Senatskanzlei vor dem offenbar geplanten weiteren Einsatz von Zoom formal gewarnt habe.

Die Nutzung von Zoom in der sog. „on-demand-Variante“ sei rechtswidrig und mit den Vorgaben des EuGH im Hinblick auf die Verarbeitung von personenbezogenen Daten („Schrems II“) nicht in Einklang zu bringen.

Ein Datentransfer ist daher nur unter sehr engen Voraussetzungen möglich, die bei dem geplanten Einsatz von Zoom durch die Senatskanzlei nicht vorliegen. Die Daten von Behördenbeschäftigten und externen Gesprächsbeteiligten werden auf diese Weise der Gefahr einer anlasslosen staatlichen Massenüberwachung in den USA ausgesetzt, gegen die keine ausreichenden Rechtsschutzmöglichkeiten bestehen.
Quelle: HmbBfDI

Nähere Details zur eingesetzten Zoom-Konfiguration (EU-Cloud oder nicht etc.) fehlen dann. Es wird nur Bezug genommen auf die „on-demand-Variante“, wobei hier wohl nur die Abgrenzung zur sog. „on premises“-Variante von Zoom gemeint sein dürfte. Auch bei letzterer werden aber sog. „Betriebsdaten“ auch in den USA verarbeitet.

Update, 17.08.2021: Bei Twitter wird aktuell diskutiert, dass ggf. wirklich nur die „on demand“-Dienste von Zoom gemeint sein könnten. Das wären Dienste, bei denen z.B. ein Webinar oder Meeting aufgezeichnet wurde und im Nachgang angesehen werden kann.

Rechtsproblem: Für Videokonferenzanbieter kann das TK-Recht (nicht die DSGVO) gelten

Was man dem Vorfall ebenfalls nicht entnehmen kann, ist, ob die Hamburger Aufsichtsbehörde sich mit der sich zwingend aufdrängenden Frage beschäftigt hat, ob und inwieweit hier nicht ggf. der Anbieter von Zoom ein TK-Anbieter ist. Dann müsste nämlich ggf. ein anderes Regelungsregime insoweit anzuwenden sein. Und dass Videokonferenzanbieter grds. TK-Diensteanbieter sind, entspringt dem Europäischen Kodex für die elektronische Kommunikation, der von den Mitgliedsstaaten entsprechend umzusetzen war. In Deutschland tritt die Umsetzung dieser Regelungen am 01.12.2021 in Kraft.

Update, 17.08.2021: Wenn wie im Update-Hinweis im vorherigen Abschnitt wirklich nur „on demand“-Dienste von Zoom Gegenstand der Warnung der Aufsichtsbehörde sein sollten, dann würde viel dafür sprechen, dass hier tatsächlich nur die DSGVO Anwendung finden würde. Das bedeutet allerdings nicht per se, dass die Verarbeitung auch rechtswidrig wäre.

„Warnung“ nur die erste Stufe

Diese „Warnung“ der Hamburger Aufsichtsbehörde nach Art. 58 Abs. 2 lit. a) DSGVO dürfte die Senatskanzlei meiner Einschätzung nach zunächst einmal recht „kalt“ lassen. Die „Warnung“ dient dazu, der Senatskanzlei hier mitzuteilen, dass die beabsichtigte Datenverarbeitung nach Auffassung der Aufsichtsbehörde rechtswidrig wäre. Eine Bindungswirkung wie eine Anordnung der „Untersagung“ der Verarbeitung ergibt sich daraus nicht.

Wenn die Senatskanzlei ihre Zoom-Pläne jedoch weiterverfolgen sollte, könnte die Hamburger Aufsichtsbehörde das weitere Instrumentarium von Art. 58 Abs. 2 DSGVO nützen, wobei die Senatskanzlei dann auch gerichtlichen Rechtsschutz in Anspruch nehmen könnte.

Ich persönlich würde ein Gerichtsverfahren hier ja begrüßen. Gerichtsentscheidungen im Bereich der Videokonferenzanbieter werden gerade mit Blick auf die schwierige Abgrenzung zwischen Datenschutzrecht und TK-Recht dringen benötigt, um hier für eine verlässliche Planung in Organisationen zu sorgen.

Wer jetzt nicht verstehen mag, warum die Senatskanzlei ggf. überhaupt trotz vermeintlicher Alternativen nicht auf Alternativen wie Jitsi oder BBB setzt, dem würde ich empfehlen, sich einmal mit Kommunen auseinanderzusetzen, die z.B. digitale Rat- und Ausschussversammlungen in Pandemiezeiten durchzuführen hatte oder haben und sich insoweit einmal die praktischen Erfahrungen der unterschiedlichen Dienste anzuhören. Ich höre da so einiges. Positiv und negativ.

Senatskanzlei prüft Klage beim Verwaltungsgericht

Wie man der Presse entnehmen konnte, prüft die Senatskanzlei nun aber auch rechtliche Schritte gegen die „Warnung“ der Aufsichtsbehörde:

Die Senatskanzlei teilt die Rechtsauffassung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit nicht und prüft daher, ob sie Klage gegen die formale Warnung beim Verwaltungsgericht Hamburg erheben wird.
Quelle: Flensburger Tageblatt vom 17.08.2021, S. 6

Mal sehen, was dann daraus wird…

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.