In den letzten Jahren traten Videokonferenzdienste immer mehr in den Fokus der Datenschutzbehörden. In Zeiten der Digitalisierung sind diese Tools nicht mehr aus dem beruflichen Alltag wegzudenken. Dabei war insbesondere auch die Corona-Pandemie in den letzten Jahren treibender Faktor für die Nachfrage nach Videokonferenzdiensten. Im Hinblick auf die Verarbeitung personenbezogener Daten warfen diese Dienste jedoch immer wieder datenschutzrechtliche Fragen und Unsicherheiten auf. In ihrem 27. Tätigkeitsbericht vom 29.06.2022 für das Jahr 2021 hat die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), Bettina Gayk, hervorgehoben, dass Videokonferenzsysteme durch das Inkrafttreten der Änderungen des Telekommunikationsgesetztes (TKG) nun nicht mehr als Telemediendienste, sondern als Telekommunikationsdienste einzuordnen sind. Dieser Umstand führt unter anderem dazu, dass ein Abschluss von Auftragsverarbeitungsverträgen zwischen den Verwendern und Anbietern solcher Dienste nicht mehr erforderlich ist. Das hat nicht nur Auswirkungen auf die Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO, sondern vielmehr auch auf die aufsichtsbehördliche Zuständigkeit.
Das Wichtigste in Kürze
- Der Begriff des Telekommunikationsdienstes wird im TKG nun deutlich weiter gefasst, sodass Videokonferenzsysteme nicht mehr als Telemediendienst, sondern als Telekommunikationsdienst gelten.
- Nach Einordnung der LDI sind die öffentliche Stellen und Unternehmen, die Videokonferenzsysteme von Drittanbietern nutzen, nicht mehr „Verantwortliche“ im Sinne von Art. 4 Nr. 7 DSGVO.
- Zwischen dem Videokonferenzdienstanbieter und dem Anwender bestehet daher kein Auftragsverarbeitungsverhältnis mehr.
- Das Erfordernis eines Auftragsverarbeitungsvertrag im Sinne von Art. 28 Abs. 3 DSGVO zwischen den Parteien entfällt insoweit.
- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ist dann anstatt der jeweiligen Landesdatenschutzbehörde zuständige Stelle.
Inkrafttreten des TTDSG und Änderungen des TKG
Das TTDSG ist zur Umsetzung der E-Privacy-Richtlinie erlassen worden und am 01.12.2021 in Kraft getreten. In diesem Gesetz wurden die datenschutzrechtlichen Vorschriften des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) zusammengeführt. Ziel des Gesetzes ist es, die im TKG und TMG enthaltenen spezialgesetzlichen Regelungen zum Datenschutz in ein für sich eigenständiges Gesetz, welches mit den europäischen Vorgaben in Einklang steht, zu überführen.
Gleichzeitig wurden aber auch, wenig beachtet, Änderungen im TKG vorgenommen und der Anwendungsbereich des Telekommunikationsrechts deutlich ausgeweitet. In den Anwendungsbereich fallen nun nicht mehr nur Telekommunikationsdienste, die nummerngebunden sind (klassische Telelefonie), sondern auch nummernunabhängige Dienste (sog. OTT-Dienste/interpersonelle Kommunikation). Telekommunikationsdienste sind demnach Dienste, wie sie etwa die Betreiber von Messengern, Videokonferenzen und webbasierte E-Mail-Diensten anbieten. Im Gegensatz dazu sind Anbieter von Telemedien solche, die Inhalte im Internet bereitstellen..
Bisherige datenschutzrechtliche Lage
Datenschützer beschäftigten sich bereits in den letzten Jahren sehr intensiv mit den datenschutzrechtlichen Fragestellungen hinsichtlich der Verwendung von Videokonferenzdiensten. Insbesondere in Zeiten von Corona haben Videokonferenzdienste eine zentrale Bedeutung für die Kommunikation untereinander erlangt. Unternehmen oder andere Stellen mussten schnell auf diese Situation reagieren und hatten oft keine eigenen Konferenzplattformen zur Verfügung. Daher wurde häufig auf Dienste Dritter zurückgegriffen, wie beispielsweise Zoom oder Microsoft Teams. In einem solchen Fall lag nach Auffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) dann zwischen dem Unternehmen/ einer öffentlichen Stelle (Nutzer) und dem Videokonferenzdienst als Anbieter (z.B. Zoom) ein Auftragsverarbeitungsverhältnis im Sinne von Art. 28 DSGVO vor. Dabei trat das Unternehmen oder die öffentliche Stelle als „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO auf und der Videokonferenzdienst als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO.
Grundlage des Auftragsverarbeitungsverhältnisses ist ein Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Sinne von Art. 28 Abs. 3 DSGVO, der den Auftragsverarbeiter in Bezug auf die Weisungen des Verantwortlichen bindet. Inhaltlich soll dieser den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen beinhalten. Die DSK wies auch darauf hin, dass bei der Auswahl des Auftragsverarbeiters durch den Verantwortlichen darauf zu achten sei, dass dieser hinreichende Garantien zu den erforderlichen technischen und organisatorischen Maßnahmen bietet.
Auch im Hinblick auf die Haftung bei Datenschutzverstößen gibt es in einem Auftragsverarbeitungsverhältnis einige Besonderheiten. Denn Art. 82 DSGVO normiert eine gemeinsame Haftung des Auftragsverarbeiters und des Verantwortlichen gegenüber dem Betroffenen für materielle und auch immaterielle Schäden.
Datenschutzrechtliche Auswirkungen der Änderungen
Der Einschätzung der Landesbeauftragten für Datenschutz und Informationsfreiheit und der Definition „interpersoneller Telekommunikationsdienste“ in § 3 Nr. 24 TKG zufolge, stellen Videokonferenzdienste nun keine Telemediendienste mehr dar, sondern werden als Telekommunikationsdienste eingeordnet. Denn der Begriff der Telekommunikationsdienste ist im TKG nun weiter gefasst. Dies zieht auch datenschutzrechtliche Konsequenzen nach sich.
Zum einen seien die Nutzer von Videokonferenzsystemen, die diese in ihren Unternehmen oder öffentlichen Stellen einsetzen, regelmäßig nicht mehr als datenschutzrechtlich Verantwortliche anzusehen. Dieser Umstand bedeutet wiederum, dass keine Auftragsverarbeitung gegeben ist und der Diensteanbieter in eigener Verantwortung handelt. Dementsprechend ist insoweit auch der Abschluss eines Auftragsverarbeitungsvertrages nicht mehr erforderlich. Ein solcher sei nach Ansicht der LDI nur noch dann erforderlich, wenn weitere Dienste angeboten oder verwendet werden, die über die bloße Kommunikation hinausgehen. Jedoch wird im Bericht auch betont, dass Unternehmen und öffentliche Stellen trotzdem nach wie vor dazu verpflichtet seien, technische und organisatorische Maßnahmen zu treffen. Insbesondere wird dabei auf die Pflicht der Nutzer zur Vornahme datenschutzrechtlicher Grundeinstellungen hingewiesen.
Außerdem kommt es zu einer Verlagerung der aufsichtsbehördlichen Zuständigkeiten. Nunmehr ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hinsichtlich der als Telekommunikationsdienst zu verstehenden Videokonferenzsysteme wie beispielsweise Google Meet, Microsoft Teams oder Zoom zuständig und nicht mehr die zuständigen Landesdatenschutzbehörden.
European Data Protection Board (EDPB): Telekommunikationsdienstleister sind Verantwortliche nach Art. 4 Nr. 7 DSGVO
Die Verantwortlichkeit von Telekommunikationsdienstanbietern hat auch bereits der Europäische Datenschutzausschuss bestätigt. Dieser stuft in seinen Guidelines (07/2020 on the concepts of controller and processor in the GDPR) Telekommunikationsdienstanbieter bei der Erbringung ihrer elektronischen Kommunikationsdienste als Verantwortliche im Sinne der DSGVO ein. Nach Ansicht des EDPB gelte der Anbieter solcher Dienste in der Regel als Verantwortlicher für die Verarbeitung personenbezogener Daten, die für den Betrieb des Dienstes als solchen erforderlich seien. Die von diesen zu beachtenden datenschutzrechtlichen Bestimmungen werden sich dann nun maßgeblich nach dem neuen TTDSG richten.
Weiterhin besteht Unsicherheit
Der Bericht der Landesbeauftragen bestätigt nochmals die Bedeutung der TKG-Änderungen für den Umgang mit Videokonferenzsystemen, lässt aber dennoch einige Fragen unbeantwortet und konkretisiert einige wichtige Begrifflichkeiten nicht weiter. Unklar bleibt insbesondere, welche konkreten Daten „aufgrund der Übertragung des Videochats“ nach Auffassung der LDI verarbeitet werden, für die der Nutzer dann nicht mehr verantwortlich ist. Auch bleibt weiterhin offen, was eigentlich genau unter einem „Videochat“ zu verstehen ist. Für die Praxis am relevantesten dürfte jedoch die offene Frage nach dem Umgang mit Funktionen der Videokonferenzsysteme, die über die reine Kommunikationsübertragung an sich hinaus gehen, werden. Fraglich bleibt, ob diese als Teil des Telekommunikationsdienstes angesehen werden oder doch der DSGVO unterliegen. Solange diese Fragen nicht geklärt sind, kann es im Einzelfall sinnvoll sein weiterhin Auftragsverarbeitungsverträge zu schließen, um sich nicht am Ende dem Vorwurf einer DSGVO-widrigen Verarbeitung ausgesetzt sehen zu müssen. Für einen rechtssicheren Umgang bedarf es daher auf jeden Fall einer intensiven Prüfung und Bewertung im Einzelfall.
Fazit
Im Rahmen der TKG-Novelle, die am 01.12.2021 in Kraft getreten ist, fallen nunmehr auch sogenannte OTT-Dienste oder interpersonelle Kommunikation wie Videokonferenzdienste unter den Begriff des Telekommunikationsdienstes und stellen keine Telemedien mehr dar. Dies bringt auch datenschutzrechtliche Konsequenzen mit sich. Es ist jedoch zweifelhaft, ob so pauschal empfohlen werden kann, dass im Hinblick auf Videokonferenzdienste keine Auftragsverarbeitungsverträge mehr erforderlich sind. Denn es ist umstritten, inwieweit auch weiterhin Auftragsverarbeitungsverträge geschlossen werden müssen, wenn die Dienste über die bloße Kommunikation hinausgehen. Insoweit zeigt der Bericht der LDI NRW eine Richtung auf, bei der viele Fragen unbeantwortet bleiben. Wo werden die Grenzen gezogen? Welche konkreten Daten werden „aufgrund der Übertragung des Videochats“ verarbeitet und was genau sind „Videochats“ überhaupt? Sind die über den Kommunikationsvorgang hinausgehenden Funktionen eines solchen Dienstes Teil des Telekommunikationsdienstes oder unterliegen sie den Vorgaben der DSGVO? Aus rechtlicher Sicht ist diese Zuordnung von großer Bedeutung. Aus diesem Grund sollten Verwender mit besonderen Tools oder Funktionen der Videokonferenzanbieter vorsichtig sein und sofern sie diese verwenden den datenschutzrechtlichen Umgang besser zweimal überprüfen. Unternehmen und öffentlichen Stellen, die solche Videokonferenzdienste nutzen, ist vor diesem Hintergrund zu raten, individuell zu prüfen, ob nicht doch ggf. weiterhin Auftragsverarbeitungsverträge abgeschlossen werden sollten, bis alle offenen Fragen geklärt sind. Es bleibt abzuwarten, wie diese Fragestellungen in Zukunft beantwortet werden. Dies wäre vor allem im Hinblick auf die große Unsicherheit, die insgesamt um die Verwendung von Videokonferenzdiensten besteht, von besonderer Dringlichkeit.
