News

ZOOM nicht DSGVO-konform?

ZOOM nicht DSGVO-konform? ZOOM nicht DSGVO-konform?

Zoom ist nicht DSGVO-konform – Hamburger Senatskanzlei vor dem Einsatz von „Zoom“ formal gewarnt

Seit der Corona-Pandemie ist Zoom die wohl bekannteste Meeting-Plattform, auf der sich täglich weltweit tausende Nutzer versammeln. Doch ist Zoom auch DSGVO-konform?

Vermehrt wird seit der Pandemie auf Online-Plattformen zurückgegriffen, die digitale Videokonferenzen ermöglichen. So verwenden nicht nur Unternehmen und Universitäten den kalifornischen Anbieter “Zoom”, sondern auch Politiker halten ihre Konferenzen weitgehend digital ab. So wird Zoom auch von der Senatskanzlei in Hamburg verwendet. Der Hamburger Datenschutzbeauftragte Ulrich Kühn äußerte jedoch erhebliche Bedenken gegenüber der Hamburger Landesregierung: Kühn zufolge entspricht Zoom nicht den Anforderungen der DSGVO. Er warnt die Landesregierung vor der Verwendung der Meeting-Plattform, denn die sensiblen Regierungsdaten seien der „Gefahr einer anlasslosen staatlichen Massenüberwachung in den USA ausgesetzt“. Kühn kritisiert dabei vor allem die sog. On-demand-Variante, die Videokonferenzen aufzeichnet und die Aufzeichnungen dabei in der Cloud speichert. Diese personenbezogene Daten werden dann in die USA übermittelt, wo sie nicht demselben Schutzniveau wie auf europäischer Ebene unterliegen. Dies wurde durch den Europäischen Gerichtshof in der Entscheidung Schrems II bereits vor über einem Jahr (C-311/18) festgestellt und das bis dahin geltende  Privacy-Shield Abkommen gekippt. In den USA sind diese personenbezogenen Daten auch ohne Anlass der staatlichen Überwachung ausgesetzt und Behörden haben nach dem amerikanischen Gesetz das Recht, diese uneingeschränkt zu überwachen. 

Zudem hat der europäische Datenschutzausschuss Vorgaben formuliert, um personenbezogene Daten DSGVO-konform in ein Drittland (wie die USA) übermitteln zu können. Die Unterlagen, die die Hamburger Senatskanzlei hinsichtlich der Verwendung von Zoom vorlegte, belegen, dass die Vorgaben des europäischen Datenschutzausschusses nicht befolgt werden.

Trotz der ausdrücklichen Warnungen des Datenschutzbeauftragten, die Daten von Behördenbeschäftigten und externen Gesprächsbeteiligten seien extremst gefährdet, setzte die Hamburger Landesregierung die Warnung jedoch nicht um und verwendet Zoom trotz dessen weiterhin. Es musste daher zu einer formalen Warnung kommen, die nach Art. 58 Abs. 2 lit. a DSGVO den nächst richtigen Schritt darstellt. Offenbar hat der Datenschutzbeauftragte Kühn die Behörde schon mehrmals vor den Gefahren Zooms gewarnt und sie darüber aufgeklärt. Über die Untätigkeit der Hamburger Senatskanzlei ist Kühn sehr verärgert: „Öffentliche Stellen sind an die Einhaltung des Rechts in besonderem Maße gebunden. Daher ist es mehr als bedauerlich, dass es zu einem solchen formalen Schritt kommen musste. In der FHH steht allen Mitarbeiter:innen flächendeckend ein bewährtes und in Hinblick auf die Drittlandübermittlung unproblematisches Videokonferenztool zur Verfügung. Dataport als zentraler Dienstleister stellt zudem in den eigenen Rechenzentren weitere Videokonferenzsysteme bereit. Diese werden in anderen Ländern wie z.B. Schleswig-Holstein erfolgreich genutzt. Es ist daher unverständlich, warum die Senatskanzlei auf einem zusätzlichen und rechtlich hoch problematischen System besteht”, so Kühn (Senatskanzlei vor dem Einsatz von „Zoom“ formal gewarnt (datenschutz-hamburg.de)). 

 

DSGVO-Verstoß umstritten 

Warum setzt die Landesregierung Hamburgs die Bedenken und Forderungen ihres Datenschutzbeauftragten nicht um? 

Die Hamburger Behörden sehen in Zoom keine Verstöße der DSGVO – ganz im Gegenteil sogar: Sie sind überzeugt davon, dass Zoom die Datenschutzanforderungen erfüllt. Die Senatskanzlei äußerte sich diesbezüglich wie folgt: “Zoom stellt durch eine lückenlose Ende-zu-Ende-Verschlüsselung technisch sicher und garantiert vertraglich, dass keine Inhalte einer Videokonferenz – also weder das gesprochene Wort noch Videoaufzeichnungen – durch das Unternehmen abgerufen werden oder in die Hände Dritter gelangen können. Durch technische Voreinstellungen wird jederzeit sichergestellt, dass Datenschutzinteressen der Teilnehmerinnen und Teilnehmer von Videokonferenzen gewahrt werden.” 

Auch Zoom weist jegliche Vorwürfe eines DSGVO-Verstoßes von sich: “Der Datenschutz und die Sicherheit unserer Nutzerinnen und Nutzer haben für Zoom höchste Priorität und wir nehmen das Vertrauen, das unsere Nutzer in uns setzen, sehr ernst. Zoom verpflichtet sich, alle geltenden Datenschutzgesetze, Regeln und Vorschriften in den Nutzungsländern einzuhalten, einschließlich der DSGVO. Zoom stützt sich auf die EU-Standardvertragsklauseln (SCCs), um die rechtmäßige Übertragung personenbezogener Daten von Nutzern im Europäischen Wirtschaftsraum (EWR) zu gewährleisten. Darüber hinaus stellt Zoom ein Muster zur Verfügung, um Kunden bei der Durchführung ihrer eigenen Datenschutz-Folgenabschätzung gemäß der Schrems II-Entscheidung zu unterstützen”, so das Statement von Zoom.

Es herrscht offenbar ein großer Dissens zwischen der Auffassung über  DSGVO-Verstöße des Hamburger Datenschutzbeauftragten und der Senatskanzlei. Kühn stellte den Behörden auch Möglichkeiten zur Verfügung, Zoom zu umgehen. “Dataport” wäre nach Kühn eine sichere Variante, um Videokonferenzen in Zukunft DSGVO-konform nutzen zu können. 

Die offizielle Mitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit finden Sie hier:  Senatskanzlei vor dem Einsatz von „Zoom“ formal gewarnt (datenschutz-hamburg.de)