Mehr Infos

 

 

 
 
 

 

 

 

Aufgrund der Einführung des Home-Office während der Corona-Pandemie sah sich auch die öffentliche Verwaltung gezwungen kurzer Hand Videokonferenzsysteme einzuführen. Dies wurde von vielen Datenschützern, wie etwa dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) kritisiert. Diese Kritik endete schließlich in einem Rechtsstreit mit der Hansestadt Hamburg über den Einsatz von Zoom in der hamburgischen Verwaltung.

Nun gab die Hamburger Datenschutzbehörde mit Pressemitteilung vom 19.09.2023 bekannt, dass das Gerichtsverfahren mit der Senatskanzlei der Freien und Hansestadt Hamburg (FHH) mit einem Vergleich beendet wurde.

 

Das Wichtigste in Kürze

  • Aufgrund von Bedenken in Bezug auf die Datenübermittlung von Zoom in die USA, hatte der HmbBfDI 2021 eine Warnung gegenüber der Staatskanzlei ausgesprochen.
  • Die Hamburger Staatskanzlei reichte gegen die behördliche Maßnahme Klage ein.
  • Aufgrund des Inkrafttretens des EU-US-Privacy Framework im Juli 2023 beendeten die Parteien das Verfahren durch einen Vergleich.
  • Zoom hat bisher nicht erklärt, die Zertifizierungskriterien zur Erfüllung des neuen Angemessenheitsbeschlusses zu erfüllen.

 

Hintergrund

Im August 2021 hat der HmbBfDI eine offizielle Warnung an die Senatskanzlei gerichtet, da diese beabsichtigte die Nutzung von Zoom Inc. in der Hamburger Verwaltung einzusetzen.

Der Ansicht des Hamburgischen Datenschutzbeauftragten nach sei die Nutzung von Zoom als US-amerikanisches Softwareunternehmen für Videokonferenzen mit der Übermittlung personenbezogener Daten in die USA verbunden, wodurch kein ausreichender Schutz für diese Daten bestehe.

Gegen die Warnung erhob die Senatskanzlei im September 2021 Klage vor dem Verwaltungsgericht Hamburg.

 

Änderung der Rechtslage durch den Angemessenheitsbeschluss

Nach dem Schrems II-Urteil des EuGH im Jahr 2020 und dem damit verbundenen Wegfall des Privacy Shields wurde die Rechtsgrundlage für den Datentransfer in die USA aufgrund der Tatsache gekippt, dass US-Geheimdienste umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben und demnach eine Massenüberwachung grundsätzlich ermöglicht wird.

In der Zwischenzeit – am 10.07.2023 – hat die Europäische Kommission einen neuen Angemessenheitsbeschluss („EU-US Data Privacy Framework“) gem. Art. 45 Abs. 1 DSGVO erlassen, der am selben Tag in Kraft getreten ist. Nach diesen aktuellen Entwicklungen ist die Übermittlung personenbezogener Daten in die USA rechtssicher möglich, wenn das verantwortliche Unternehmen eine vom Angemessenheitsbeschluss vorgesehenen Zertifizierung hat.

Angesichts dieser erheblichen Änderung der Rechtslage einigten sich die Aufsichtsbehörde und die Senatskanzlei darauf, den Rechtsstreit gütlich zu beenden. Insbesondere besteht zwischen den Parteien kein Interesse gerichtlich klären zu lassen, ob die ausgesprochene Warnung unter den damaligen rechtlichen Umständen zutreffend war oder nicht.

 

Der EU-US-Privacy Framework ermöglicht Datentransfers an zertifizierte Unternehmen

Der im Juli 2023 veröffentlichte Angemessenheitsbeschluss der Europäischen Kommission gilt derzeit als die Grundlage für die Datenübermittlungen in die USA.

Als Nachfolger des „Privacy-Shields“ attestiert der Angemessenheitsbeschluss ein angemessenes Schutzniveau für Übermittlungen personenbezogener Daten in die USA. Damit wird festgestellt, dass personenbezogene Daten in den USA einen mit dem europäischen Datenschutzrecht vergleichbaren adäquaten Schutz genießen.

Die zentrale Voraussetzung ist eine Zertifizierung des datenempfangenden Unternehmens, wobei es sich um eine Selbstverpflichtung zur Einhaltung verschiedener datenschutzrechtlicher Verpflichtungen handelt. Die Zertifizierung des Empfängerunternehmens in den USA müssen die Exporteure von personenbezogenen Daten zuvor überprüfen (Wir berichteten hier).

 

Ist der Einsatz von Zoom jetzt datenschutzkonform?

Infolgedessen stellt sich nun die Frage, ob der Einsatz von Zoom und ähnlichen Diensten und die damit verbundene Übermittlung von personenbezogenen Daten in die USA aufgrund der neuen Regelungen datenschutzkonform ist.

Formal gesehen, größtenteils ja, denn der EU-US-Privacy Framework bietet eine Grundlage für die Datenübermittlung und aus diesem Grund ist derzeit ein Datentransfer an zertifizierte Unternehmen in den USA problemlos möglich.

Soweit keine Zertifizierung des Unternehmens vorliegt, muss die Datenübermittlung von weiteren Schutzmaßnahmen (sogenannten geeignete Garantien) begleitet werden.

Zwar hat Zoom keine Zertifizierung, jedoch beruft sich das Unternehmen in seinen Geschäftsbedingungen auf die weiterhin bestehenden Standardvertragsklauseln der Europäischen Kommission, welche grundsätzlich auch eine Grundlage für internationale Datentransfers aus dem Europäischen Wirtschaftsraum in Nicht-EWR-Länder bilden. Im Übrigen hat der Hessische Datenschutzbeauftragte bereits im letzten Jahr ein Modell für den Einsatz von Zoom in Hochschulen freigegeben.

 

 

Aussicht

Nur zwei Monate nachdem die EU-Kommission den Angemessenheitsbeschluss erlassen hat, reichte im September der französische Parlamentarier Philippe Latombe, Mitglied der zentristisch-liberalen Partei Mouvment Démocrate, vor dem Europäischen Gerichtshof Klage dagegen ein.

Das EU-US Data Privacy Framework wurde entwickelt, um ein Datenschutzniveau zu etablieren, das „im Wesentlichen gleichartig“ mit der DSGVO ist und somit eine neue Grundlage für den Datentransfer in die USA schafft. Latombe hingegen sieht seine Rechte verletzt, da seiner Ansicht nach das Framework weder mit der DSGVO noch mit der EU-Grundrechtecharta im Einklang steht. Er reicht die Klage als Privatperson ein und strebt eine vorübergehende Aussetzung des Frameworks sowie eine gründliche Überprüfung des Abkommens an.

Auch der Datenschutzverein NOYB, mitbegründet von Datenschutzaktivist Max Schrems, hatte bereits am Tag der Veröffentlichung des Angemessenheitsbeschlusses angekündigt, auch gegen den neuerlichen Beschlussrechtliche Schritte einzuleiten. Schrems hatte bereits erfolgreich gegen die Vorgängerabkommen, Safe Harbour und Privacy Shield, geklagt.

Es ist also davon auszugehen, dass auch der dritte Versuch der EU-Kommission erneut einer Überprüfung durch den EuGH unterzogen wird. Das Ergebnis kann freilich nicht vorweggenommen werden, jedoch sollte bei Datenverarbeitungen, die eine Übermittlung in die USA vorsehen im besten Fall weiterhin auch auf ergänzende Schutzmaßnahmen geachtet werden. Dies gilt insbesondere für Zoom, das sich bislang noch nicht für die Anwendung des Angemessenheitsbeschlusses zertifiziert hat.

 

„>

Call Now ButtonKontakt aufnehmen