TTDSG und Videokonferenztools

Hallo zusammen,

mich lässt seit ein paar Tagen die Frage zur Handhabung von Anbietern von Videokonferenzsystemen nach dem neuen TTDSG nicht zur Ruhe kommen.

Meine Auffassung jetzt ist so, dass Zoom & Co. durch das TTDSG als Telekommunikationsanbieter klassifiert sind (sog. OTT-Dienste/interpersonelle Kommunikation) und damit selbst zum Verantwortlichen in der Datenverarbeitung werden. Damit würde sich doch der Einsatz eines AV-Vertrags erübrigen, oder?

Aber bezieht das alle Leistungen ein? Zoom/Meet/Teams sind ja sehr komplex und gehen über reine Grundfunktionen zur Kommunikation hinaus - bedingt das denn keine Notwendigkeit eines AV-Vertrags?
Klar, Fernmeldegeheimnis ist schon ein starkes Mittel zum Schutz der Daten, aber es ist für mich gerade noch schwer vorstellbar, dass ich mir jetzt keine Gedanken mehr darüber machen muss, dass da personenbezogene Daten (insb. Bild und gesprochenes Wort) einfach so in die USA transportiert werden dürfen. Ich reiße mich nicht nach Arbeit, aber als “Organisator” eines Meetings muss ich doch sicherstellen, dass anfallende Daten geschützt verarbeitet werden. Klar, aufgrund meiner Transparenzpflichten, muss ich das natürlich kommunizieren (auch den Transfer), aber soll es das schon gewesen sein?
Macht es hierbei einen Unterschied, ob wir von innerbetrieblicher/fachlicher Meetings im Kollegenkreis sprechen, oder ob es um Videotelefonate mit Endkunden geht?

VG

Ich hätte da noch eine Zusatzfrage zur Datenschutz – Folgenabschätzung für Videokonferenztools bei Ärzten / doclib. Wer muss die durchführen und dokumentieren, der Arzt, doclib?

Laut doclib fällt die Videosprechstunde unter eigene Verantwortlichkeiten (und sind es dann „gemeinsam Verantwortliche?)

Weil nach Erw. (91) „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Und in §38 BDSG „Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 679/2016 unterliegen, oder … haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“

Und in der DSK Liste der Verarbeitungstätigkeiten, für die eine DS-FA durchzuführen ist unter 16: „Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten “

Zur Nebenfrage “Und wie schaut’s mit Ärzten aus?”:

Die DSK-Liste Version 1.1. vom 17.10.2018 https://www.datenschutzzentrum.de/dsgvo/#dsfa erläutert nur sehr knapp durch “typische Einsatzfelder” und ein Beispiel. Das ist nicht stets sonderlich klar. Aber immerhin kurz.

In meinem Verständnis fällt dort bloßes Conferencing mit Besprechung von Patientendaten nicht darunter (auch wenn ich doclib nicht kenne), es werden dabei keine weiteren Daten (per Sensor etc) erhoben.

@haderner - Danke für den Hinweis :slight_smile:

Dann bleiben wir mal gespannt auf Hinweis zu Deiner “Hauptfrage” Verantwortliche oder Auftragsverarbeiter der Konferenztoolanbieter?

Die Videokonferenz- oder Videotelefoniedienste wurden nicht durch das TTDSG klassifiziert. Am 01.12.2021 trat das novellierte TKG in Kraft, das die Richtlinie (EU) 2018/1972 umsetzt (Telekommunikationsmodernisierungsgesetz). Darin wurden die Telekommunikationsdienste neu definiert, worunter nun auch interpersonelle Telekommunikationsdienste fallen (direkter interpersoneller und interaktiver Informationsaustausch über Telekommunikationsnetze zwischen einer endlichen Zahl von Personen). Wobei als Entgelt eine Bezahlung im herkömmlichen Sinn, in Form von personenbezogenen oder sonstigen Daten, Werbung oder Monetarisierung verstanden wird (Erwägungsgrund 16 Richtlinie (EU) 2018/1972, BT-Drs. 19/26108).

Warum erübrigt sich ein AV-Vertrag, wenn die Verarbeitung personenbezogener Daten durch elektronische Kommunikationsdienste unter Einhaltung der DSGVO erfolgen soll (Erwägungsgrund 15 Richtlinie (EU) 2018/1972) und die DSGVO für Pflichten des Verantwortlichen und Rechte von Betroffenen gilt (Erwägungsgrund 10 Richtlinie 2002/58/EG, BT-Drs. 19/27441)?

Telekommunikationsmodernisierungsgesetz:
https://dip.bundestag.de/vorgang/gesetz-zur-umsetzung-der-richtlinie-eu-2018-1972-des-europäischen-parlaments/272039

Weil nach der Legaldefinition ja auch Zoom & Co. grds. als Telekommunikationsdienst gesehen werden müssten. Werden sie damit nicht auch zum Verantwortlichen der Verarbeitung? Und wieso müsste ich dann einen AV-Vertrag abschließen, wenn der Verantwortliche nicht ich bin? Schließlich wirst du auch keinen AV-Vertrag mit Deinem Mobilfunkprovider abgeschlossen haben.
Bzw. genau da stellt sich ja die Frage: Wonach könnte sich begründen, dass ich dann noch Verantwortlicher bin? Und machte es eben da einen Unterschied, ob diese Tools für die betriebliche oder Kundenkommunikation verwendet werden?

Das Thema wurde eben in einem Meeting auch addressiert.

Zwar unterliegt die interpersonelle Kommunikation dem Fernemeldegehemnis und damit auch die reine Videotelefonie dem Telekommunikationsrecht und damit ist keine ADV notwendig (Berufsgehemnisträger).

ABER: Soclhe Dienste bieten noch zahlreiche weitere Funktionen an z.B. Auswertungen etc, diese sind nicht von dem Telekommunikationsrecht erfasst und somit ist hier weiter eine ADV notwendig.

@joeDS Das hatte ich schon mal irgendwo so gehört. Vermutlich müsste man hier aber auch abgrenzen, was genau das Tool kann. Ich sage mal, Chatten und Datenaustausch über die Tools könnte man als interpersonelle Kommunikation werten, selbst ein Whiteboard.

Vermutlich - wie bei der ehemals GEZ - müsste ich dann tatsächlich einen AVV schließen, weil theoretisch eine Videoaufzeichnung, Auswertung, oder was auch immer da aus der Rolle fällt, nutzbar wäre, selbst ich es gar nicht in Anspruch nehme, oder?

“Ich” ist der falsche Ansatz. Jedenfalls hier.

1 „Gefällt mir“

“Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände” inkl. der Beteiligung am Telekommunikationsvorgang. Telekommunikation ist hierbei der “technische Vorgang des Aussendens, Übermittelns und Empfangens”.

Das würde bedeuten, die auf den Servern des Anbieters gespeicherten Daten fallen in den Anwendungsbereich der DSGVO, sobald die Videokonferenz beendet ist.

Aber: Das BVerfG sah den Schutz des Fernmeldegeheimnisses bei E-Mails als beendet an, sobald die E-Mail beim Empfänger angekommen und der Übertragungsvorgang - technischer Vorgang des Aussendens, Übermittelns und Empfangens - beendet ist. Verbleibt der Kommunikationsinhalt jedoch auf dem Mailserver und ist ein Zugriff darauf nur über das Internet möglich, besteht das Fernmeldegeheimnis fort, denn der Mailserver fällt nicht in den Herrschaftsbereich des Empfängers und deswegen wird die besondere Schutzbedürftigkeit durch das Fernmeldegeheimnis als begründet angesehen (BVerfG, 2 BvR 902/06; LAG Hessen, 10 Sa 601/18).

Überträgt man diese Rechtsprechung auf Videokonferenzen, wären sämtliche Inhalte, die nicht beim Teilnehmer lokal gespeichert werden (wie zB die lokale Aufnahme der Konferenz), vom Fernmeldegeheimnis erfasst. Eine Auswertung, Analyse oder ähnliches dürfte gar nicht stattfinden, da diese Zwecke gar nicht erlaubt sind. Und welchen Zugriff hat ein Teilnehmer auf die Daten bei Zoom oder anderen? Hätte er keinen, kann die bisherige Rechtsprechung dann überhaupt angewandt werden? Oder ist der Übertragungsvorgang mit der Beendigung der Konferenz tatsächlich abgeschlossen und die Daten fallen aufgrund des fehlenden Zugriffs in den Anwendungsbereich der DSGVO?

2 „Gefällt mir“