mich lässt seit ein paar Tagen die Frage zur Handhabung von Anbietern von Videokonferenzsystemen nach dem neuen TTDSG nicht zur Ruhe kommen.
Meine Auffassung jetzt ist so, dass Zoom & Co. durch das TTDSG als Telekommunikationsanbieter klassifiert sind (sog. OTT-Dienste/interpersonelle Kommunikation) und damit selbst zum Verantwortlichen in der Datenverarbeitung werden. Damit würde sich doch der Einsatz eines AV-Vertrags erübrigen, oder?
Aber bezieht das alle Leistungen ein? Zoom/Meet/Teams sind ja sehr komplex und gehen über reine Grundfunktionen zur Kommunikation hinaus - bedingt das denn keine Notwendigkeit eines AV-Vertrags?
Klar, Fernmeldegeheimnis ist schon ein starkes Mittel zum Schutz der Daten, aber es ist für mich gerade noch schwer vorstellbar, dass ich mir jetzt keine Gedanken mehr darüber machen muss, dass da personenbezogene Daten (insb. Bild und gesprochenes Wort) einfach so in die USA transportiert werden dürfen. Ich reiße mich nicht nach Arbeit, aber als “Organisator” eines Meetings muss ich doch sicherstellen, dass anfallende Daten geschützt verarbeitet werden. Klar, aufgrund meiner Transparenzpflichten, muss ich das natürlich kommunizieren (auch den Transfer), aber soll es das schon gewesen sein?
Macht es hierbei einen Unterschied, ob wir von innerbetrieblicher/fachlicher Meetings im Kollegenkreis sprechen, oder ob es um Videotelefonate mit Endkunden geht?
Ich hätte da noch eine Zusatzfrage zur Datenschutz – Folgenabschätzung für Videokonferenztools bei Ärzten / doclib. Wer muss die durchführen und dokumentieren, der Arzt, doclib?
Laut doclib fällt die Videosprechstunde unter eigene Verantwortlichkeiten (und sind es dann „gemeinsam Verantwortliche?)
Weil nach Erw. (91)„Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“
Und in §38 BDSG„Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 679/2016 unterliegen, oder … haben sieunabhängig von der Anzahlder mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“
Und in der DSK Listeder Verarbeitungstätigkeiten, für die eine DS-FA durchzuführen ist unter 16: „Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten “
Zur Nebenfrage “Und wie schaut’s mit Ärzten aus?”:
Die DSK-Liste Version 1.1. vom 17.10.2018 https://www.datenschutzzentrum.de/dsgvo/#dsfa erläutert nur sehr knapp durch “typische Einsatzfelder” und ein Beispiel. Das ist nicht stets sonderlich klar. Aber immerhin kurz.
In meinem Verständnis fällt dort bloßes Conferencing mit Besprechung von Patientendaten nicht darunter (auch wenn ich doclib nicht kenne), es werden dabei keine weiteren Daten (per Sensor etc) erhoben.
Die Videokonferenz- oder Videotelefoniedienste wurden nicht durch das TTDSG klassifiziert. Am 01.12.2021 trat das novellierte TKG in Kraft, das die Richtlinie (EU) 2018/1972 umsetzt (Telekommunikationsmodernisierungsgesetz). Darin wurden die Telekommunikationsdienste neu definiert, worunter nun auch interpersonelle Telekommunikationsdienste fallen (direkter interpersoneller und interaktiver Informationsaustausch über Telekommunikationsnetze zwischen einer endlichen Zahl von Personen). Wobei als Entgelt eine Bezahlung im herkömmlichen Sinn, in Form von personenbezogenen oder sonstigen Daten, Werbung oder Monetarisierung verstanden wird (Erwägungsgrund 16 Richtlinie (EU) 2018/1972, BT-Drs. 19/26108).
Warum erübrigt sich ein AV-Vertrag, wenn die Verarbeitung personenbezogener Daten durch elektronische Kommunikationsdienste unter Einhaltung der DSGVO erfolgen soll (Erwägungsgrund 15 Richtlinie (EU) 2018/1972) und die DSGVO für Pflichten des Verantwortlichen und Rechte von Betroffenen gilt (Erwägungsgrund 10 Richtlinie 2002/58/EG, BT-Drs. 19/27441)?
Weil nach der Legaldefinition ja auch Zoom & Co. grds. als Telekommunikationsdienst gesehen werden müssten. Werden sie damit nicht auch zum Verantwortlichen der Verarbeitung? Und wieso müsste ich dann einen AV-Vertrag abschließen, wenn der Verantwortliche nicht ich bin? Schließlich wirst du auch keinen AV-Vertrag mit Deinem Mobilfunkprovider abgeschlossen haben.
Bzw. genau da stellt sich ja die Frage: Wonach könnte sich begründen, dass ich dann noch Verantwortlicher bin? Und machte es eben da einen Unterschied, ob diese Tools für die betriebliche oder Kundenkommunikation verwendet werden?
Das Thema wurde eben in einem Meeting auch addressiert.
Zwar unterliegt die interpersonelle Kommunikation dem Fernemeldegehemnis und damit auch die reine Videotelefonie dem Telekommunikationsrecht und damit ist keine ADV notwendig (Berufsgehemnisträger).
ABER: Soclhe Dienste bieten noch zahlreiche weitere Funktionen an z.B. Auswertungen etc, diese sind nicht von dem Telekommunikationsrecht erfasst und somit ist hier weiter eine ADV notwendig.
@joeDS Das hatte ich schon mal irgendwo so gehört. Vermutlich müsste man hier aber auch abgrenzen, was genau das Tool kann. Ich sage mal, Chatten und Datenaustausch über die Tools könnte man als interpersonelle Kommunikation werten, selbst ein Whiteboard.
Vermutlich - wie bei der ehemals GEZ - müsste ich dann tatsächlich einen AVV schließen, weil theoretisch eine Videoaufzeichnung, Auswertung, oder was auch immer da aus der Rolle fällt, nutzbar wäre, selbst ich es gar nicht in Anspruch nehme, oder?
“Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände” inkl. der Beteiligung am Telekommunikationsvorgang. Telekommunikation ist hierbei der “technische Vorgang des Aussendens, Übermittelns und Empfangens”.
Das würde bedeuten, die auf den Servern des Anbieters gespeicherten Daten fallen in den Anwendungsbereich der DSGVO, sobald die Videokonferenz beendet ist.
Aber: Das BVerfG sah den Schutz des Fernmeldegeheimnisses bei E-Mails als beendet an, sobald die E-Mail beim Empfänger angekommen und der Übertragungsvorgang - technischer Vorgang des Aussendens, Übermittelns und Empfangens - beendet ist. Verbleibt der Kommunikationsinhalt jedoch auf dem Mailserver und ist ein Zugriff darauf nur über das Internet möglich, besteht das Fernmeldegeheimnis fort, denn der Mailserver fällt nicht in den Herrschaftsbereich des Empfängers und deswegen wird die besondere Schutzbedürftigkeit durch das Fernmeldegeheimnis als begründet angesehen (BVerfG, 2 BvR 902/06; LAG Hessen, 10 Sa 601/18).
Überträgt man diese Rechtsprechung auf Videokonferenzen, wären sämtliche Inhalte, die nicht beim Teilnehmer lokal gespeichert werden (wie zB die lokale Aufnahme der Konferenz), vom Fernmeldegeheimnis erfasst. Eine Auswertung, Analyse oder ähnliches dürfte gar nicht stattfinden, da diese Zwecke gar nicht erlaubt sind. Und welchen Zugriff hat ein Teilnehmer auf die Daten bei Zoom oder anderen? Hätte er keinen, kann die bisherige Rechtsprechung dann überhaupt angewandt werden? Oder ist der Übertragungsvorgang mit der Beendigung der Konferenz tatsächlich abgeschlossen und die Daten fallen aufgrund des fehlenden Zugriffs in den Anwendungsbereich der DSGVO?
Kleiner Nachtrag zur Videosprechstunde bei Ärzten:
Die Kassenärztliche Bundesvereinigung KBV spricht auf ihrer Website „Videosprechstunde“ Empfehlung für Anbieter mit Zertifizierung durch die datenschutz cert GmbH aus und gibt Handlungsempfehlungen bei Nutzung (z. B. Einwilligungs- und Informationspflichten u.ä.)
Am 2.2.22 – erreichte die datenschutz cert GmbH (Datenschutz Nord Gruppe) der positive Abschlussbericht der Fachprüfung der Datenschutz-Aufsichtsbehörde zum eingereichten Art. 42 DSGVO - Zertifizierungsprogramm. Zusammen mit der bereits vorliegenden positiven Fachprüfung der Deutschen Akkreditierungsstelle (DAkkS) liegen damit alle vorläufigen Genehmigungen zum DSGVO - Zertifizierungsstandard „information privacy standard“ vor. Vorläufige, da noch die Genehmigung durch den europäischen Datenschutzausschuss (EDSA) erfolgen muss. - So die Information.
Im 27. Bericht 2022 der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW heißt es:
"Auch Videokonferenzdienste, die bis zum 1. Dezember 2021 als Telemediendienste eingeordnet wurden, sind nunmehr als Telekommunikationsdienste zu bewerten. Das führt unter anderem dazu, dass Stellen, die Videokonferenzdienste einsetzen, keinen Auftragsverarbeitungsvertrag mehr mit den Videokonferenzanbieter/innen abschließen müssen und für die aufgrund der Übertragung des Videochats verarbeiteten personenbezogenen Daten nicht mehr verantwortlich sind."
Das bedeutet auch, dass die Aufsichtsbehörden der Bundesländer in Hinblick auf Videokonferenzdienste nicht mehr zuständig sind, sondern die sachliche Zuständigkeit beim BfDI liegt.
Trotzdem bleibt für mich noch eine Frage: sollte ich als Einladender zu einer Videokonferenz nicht auf die Datenschutzbestimmungen von Teams, Zoom und Co. hinweisen, also z.B. in Form eines Links zu deren Terms?
Sieht jetzt einfach aus, ist aber damit noch komplizierter als vorher…
Dass die Dienste jetzt TK -Dienst sind heißt eigentlich, dass sie die Daten nur zum Erbringen der Kommunikation, zur Abrechnung o. ä. verarbeiten dürfen. (Was wegen des staatlichen Zugriffspotpourris ab 170 TKG die Datenschutz-Alarmglocken schrillen lassen sollte, doch dafür kann der Dienst ja nichts.) Der Verantwortliche kann sich also zurücklehnen.
Kann er nicht, weil die Dienste evtl. andere Dinge mit den Daten anstellen möchten. Einerseits weil sie das bisher bekanntermaßen getan haben, teilweise in Verträgen oder Datenschutzerklärungen angekündigt; andererseits indem sie in genau dieser Rolle weiteren Herausgabepflichten ihres Herkunfts-, Sitz- oder Verarbeitungslandes unterliegen (z. B. USA), die vom TKG nicht gedeckt sind. Das kann ihnen die neu zuständige Aufsicht (BfDI) bestiiiiimmt ausreden. Kann sie nicht, weil es sich eben nicht mehr ganz einfach um die Deutsche Bundespost, Telekom Deutschland GmbH /AG oder Mannesmann D-2 handelt.
Und die Dienste bringen weitere Verarbeitungen mit sich, die über die Kommunikationsleistung hinausgehen. Die sind dann immer noch ganz normal (wenn es normal wäre…) zu betrachten.
D., dem es nicht reichen würde, nur auf Datenschutzinformationen eines Dritten zu verlinken. Der Verantwortliche soll erst mal Beauftragungen bzw. Übermittlungen in seiner Verantwortung beschreiben. Dazu gehört indirekt natürlich auch, was sonst noch mit den Daten beim Empfänger passiert, weil man das durch die Inanspruchnahme angezettelt hat. Also ist das auch mit dem Rechtfertigen der Übermittlung zu behandeln. Nicht aus Sicht des Dienstes (dessen Datenschutzerklärung, in der… irgendwas steht), sondern aus der konkreten SIcht des Verantwortlichen.
Baue ich eine Teams-Team-Gruppe mit dahinter laufender Dateiablage via Sharepoint oder starte die Aufzeichnungsfunktion - DSGVO + X.*
*Dass die Ansicht aber nicht unumstritten ist zeigt ein guter Aufsatz von: Schellhas-Mende et al. in DuD 5/22, 291 ff. (kollaborative, überschießende Funktionen als ‘Beiwerk’)
