DSGVO bei Videokonferenzen in der EU

Durch Corona wurden Videokonferenzen bei der Arbeit oder in der Ausbildung schlagartig zu einem unverzichtbaren Alltagswerkzeug, das auch nach der Pandemie noch sehr wichtig sein wird. Während es für Telefonate schon seit einem Jahrhundert einen strengen rechtlichen Schutz gibt, sind Videotelefonate – auch die über US-Unternehmen – rechtlich insbesondere über die Datenschutzgrundverordnung (DSGVO oder englisch GDPR) geschützt. Hierzu gab es in den letzten Jahren wichtige Entwicklungen:

2015

US Freedom Act

Als Nachfolger des Patriot Act von 2001 regelt das Gesetz die Maßnahmen zur Terrorabwehr der USA. Dazu gehört auch die Ermächtigung der Nachrichtendienste zur Überwachung der digitalen Welt.

2015

2016

EU-US-Privacy Shield

In einer Vereinbarung mit den USA will die EU die Durchsetzung der Datenschutzrechte von EU-Bürgern in den USA festschreiben. Damit soll es auch möglich bleiben, daß EU-Unternehmen Daten in den USA bzw. durch US-Unternehmen in EU verarbeiten lassen dürfen. Der Überwachung auf Grundlage des Freedom Act werden damit Grenzen gesetzt.

2016

16. Juli 2020

Aufhebung EU-US-Privacy Shield durch EuGH

Das oberste EU-Gericht, der Europäische Gerichtshof, kommt zu dem Urteil, dass die USA den Freedom Act höher priorisieren und der EU-US-Privacy Act gegenstandslos wird. Das Gericht erklärt die Vereinbarung für ungültig.

16. Juli 2020

2. Halbjahr 2020

Datenschützer erarbeiten Konsequenzen, sind sich aber nicht einig

Die Datenschützer kommen bei der Bewertung des Wegfalls des Datenschutzabkommen mit den USA nicht zu einheitlichen Konsequenzen. Einige der Datenschützer untersagen aber Behörden und Schulen die Nutzung von US Videokonferenzlösungen, sobald es Alternativen nach EU-Recht gibt. Bei Unternehmen weisen sie darauf hin, daß die DSGVO durch US-Auftragnehmer meist nicht zu erfüllen ist und Konsequenzen für die Unternehmen drohen. Die Strafen bei Verstößen können 4% des Gruppenumsatzes erreichen.

2. Halbjahr 2020

2021

Erste Reaktionen im Markt

Die ersten Behörden und Schulen stellen auf rechtskonforme Lösungen, meist Open Source (mit Problemen), um. Microsoft bietet ausgewählten Kunden die Verarbeitung der Kundendaten in der EU.

2021

In dieser Situation könnte die Politik klarstellen, ob sie den Rechtsrahmen anpaßt oder für den Wechsel auf EU-rechtskonforme Lösungen bevorzugt. Bis dahin ist es eine Risikoabwägung.

Die Dienste von US-Cloudanbietern wie AWS, Google Cloud oder Microsoft Azure unterliegen ebenfalls des Vorgaben des US Freedom Act, unabhängig vom Standort (siehe dazu Wiss. Dienst des Deutschen Bundestags). Für die EU-Standorte bleibt es deshalb fraglich, ob die Daten nicht dem vollen Zugriff durch US-Dienste unterliegen.

Bei 'Bring-Your-Own-Key' (BYOK) oder 'Bring-Your-Own-Encryption' (BYOE) verwendet ein Cloudservice den SSL-Schlüssel des Kunden. Die Daten sind dann verschlüsselt gespeichert vor und werden nur im Augenblick der Verarbeitung in der CPU entschlüsselt.

In einem Szenario, in dem US-Behörden nur auf Verlangen Zugriff auf die Inhalte eines Servers erhalten, wären die Daten solange geschützt, bis sie für die Verarbeitung in der CPU entschlüsselt werden, sofern alle sonstigen Sicherheitsmaßnahmen eingehalten werden. Bei einem fortlaufenden Mitschnitt, wie ihn die Snowden-Enthüllungen nahelegen, wäre die Schutzwirkung begrenzt.

Open Source wie Jitsi oder BigBlueButton verlangen erhebliche Kenntnisse im Hosting und Betrieb, denn sonst skalieren Sie ggf. nicht oder hinterlassen unerwünschte Datenspuren auf US-Servern, die ja eigentlich zu vermeiden sind. Professionelles managed Hosting ist nicht häufig zu finden und dann können die nativen Apps für die Windows & Co nicht verwendet werden, weil sie wahrscheinlich gegen die DSGVO verstoßen.

Dies ist keine Rechtsberatung. Sollte etwas nicht richtig dargestellt sein, sind wir für eine Nachricht dankbar – gerne per Mail an cmseditor{at}liman.com.