Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) gegenüber Hamburgs Senatskanzlei eine offizielle Warnung vor dem Einsatz der Videokonferenzlösung Zoom ausgesprochen. (blöde Wortwahl, aber der Verwaltungsakt heißt wohl so). Der Grund: Zoom verstößt gegen die Datenschutz-Grundverordnung (DSGVO), da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden ist, so der Datenschutzbeauftragte.
Anzeige
Senatskanzlei wollte nicht hören
In seiner Mitteilung schreibt der Datenschutzbeauftragte Hamburgs, Ulrich Kühn, dass die Senatskanzlei – als die für Digitalisierungsfragen in der FHH federführend zuständige Behörde – zwar den Hamburger Datenschutzbeauftragten frühzeitig über entsprechende Pläne zum Einsatz von Zoom informiert. Laut Ulrich war die Senatskanzlei in der Folge aber nicht bereit, auf wiederholt vorgetragene Bedenken des Datenschutzbeauftragten einzugehen.
Zoom nicht DSGVO-konform
Ulrich Kühn schreibt in einer Mitteilung dazu: Die Verwendung von Zoom verstößt gegen die Datenschutz-Grundverordnung (DSGVO), da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden ist. In diesem Drittland besteht kein ausreichender Schutz für solche Daten.
Dies sei durch den Europäischen Gerichtshof in der Entscheidung Schrems II bereits vor über einem Jahr (C-311/18) festgestellt und das bis dahin geltende Privacy-Shield als Übermittlungsgrundlage außer Kraft gesetzt worden. Ein Datentransfer ist daher nur unter sehr engen Voraussetzungen möglich, die bei dem geplanten Einsatz von Zoom durch die Senatskanzlei nicht vorliegen. Die Daten von Behördenbeschäftigten und externen Gesprächsbeteiligten werden auf diese Weise der Gefahr einer anlasslosen staatlichen Massenüberwachung in den USA ausgesetzt, gegen die keine ausreichenden Rechtsschutzmöglichkeiten bestehen.
DSGVO formuliert Vorgaben für Datentransfer
Der europäische Datenschutzausschuss formuliert Vorgaben, um personenbezogene Daten im Einklang mit der DSGVO in ein Drittland wie die USA übermitteln zu können. Diesen Maßstab legt Hamburgs Datenschutzbeauftragter in der Wirtschaft wie auch der öffentlichen Verwaltung zu Grunde. Die von der Senatskanzlei vorgelegten Unterlagen zum Einsatz von Zoom lassen erkennen, dass diese Maßstäbe nicht eingehalten werden, So Ulrich Kühn. Auch andere Rechtsgrundlagen wie die Einwilligung aller Betroffenen seien hier nicht einschlägig, heißt es.
Anzeige
Anhörung der Senatskanzlei ergebnislos
Es sieht so aus, als ob die Senatskanzlei ziemlich stur an ihrem Zoom-Einsatz festhalten wollte. Kühn schreibt, dass auch die Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei am 17.6.2021 nicht zu einem Umdenken führte. Es wurden Kühn als Datenschutzbeauftragten weder innerhalb der gesetzten Frist noch danach Unterlagen vorgelegt oder Argumente mitgeteilt, die eine andere rechtliche Bewertung zuließen.
Formale Warnung ausgesprochen
Daher hat der Datenschutzbeauftragte nun eine "Formale Warnung" (der schwächste Rüffel) gegenüber der Senatskanzlei ausgesprochen. Die formale Warnung nach Art. 58 Abs. 2 lit. a DSGVO sei daher ein folgerichtiger Schritt, so der Datenschutzbeauftragte und ergänzt:
Öffentliche Stellen sind an die Einhaltung des Rechts in besonderem Maße gebunden. Daher ist es mehr als bedauerlich, dass es zu einem solchen formalen Schritt kommen musste. In der FHH steht allen Mitarbeiter:innen flächendeckend ein bewährtes und in Hinblick auf die Drittlandübermittlung unproblematisches Videokonferenztool zur Verfügung. Dataport als zentraler Dienstleister stellt zudem in den eigenen Rechenzentren weitere Videokonferenzsysteme bereit. Diese werden in anderen Ländern wie z.B. Schleswig-Holstein erfolgreich genutzt. Es ist daher unverständlich, warum die Senatskanzlei auf einem zusätzlichen und rechtlich hoch problematischen System besteht.
Es scheint, als ob es auf ein Kräftemessen der Senatskanzlei hinausläuft. Denn die Dienstzeit des früheren Datenschutzbeauftragten Johannes Caspar endete nach 12 Jahren – und die Bürgerschaft Hamburgs will nach eigener Ankündigung im August 2021 über die Nachfolge entscheiden (siehe auch Datenschutzsplitter: Johannes Caspar hört auf; CDU will beim Datenschutz aufräumen). In der Zeit bis zur Berufung des Nachfolgers übernimmt Caspars-Stellvertreter, Ulrich Kühn, diese Aufgaben. (via)
Anzeige
Die DSGVO verkommt zu einem Bürokratiemonster, welches dem eigentlichen Auftrag kaum noch nachkommt, sondern sich selbst verwaltet sehen möchte.
Ich bin ein echter Fan der DSGVO, aber wenn wir nicht aufhören uns so einen Müll einfallen zu lassen und die EU nicht endlich mal den rechtssicheren Rahmen zieht, dann fliegt uns das ganze mit Karacho um die Ohren.
Und als Resultat daraus werden wir in Zukunft Datenschutz ala Amerika haben.
Nö, les nochmal:
"Die Verwendung von Zoom verstößt gegen die Datenschutz-Grundverordnung (DSGVO), da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden ist. In diesem Drittland besteht kein ausreichender Schutz für solche Daten. "
Alles richtig gemacht – bis auf diejenigen, denen ihre Daten egal sind.
Im Rahmen eines Zoom-Meetings werden welche konkreten "personenbezogenen Daten" übermittelt? Die Gesichter der Teilnehmer? Das ist selbstversändlich ein gravierender Gefährdungsaspekt für die informationelle Selbstbestimmtung der deutschen Gabi Mustermann und rechtertigt Bußgeldverfahren in Milliardenhöhe gegen die Ausrichter des Meetings.
Wir hatten schon vorher was ganz Dolles: Nannte sich BDSG. Da haben Unternehmer drauf gepfiffen. Sie wußten, daß sie fortwährend(!) gegen dieses Gesetz verstoßen haben… sie kannten die Rahmenbedingungen (die sich mit der DSGVO nicht wirklich verändert haben); es war ihnen aber schnurzpiepegal, weil die auferlegten Strafen (wenn überhaupt) den Wert eines Kaugummis hatten.
Da haben Unternehmen fleißig Adreßhandel betrieben, Bonitäten ausgetauscht, sogar Bankdaten für kleines Geld übermittelt (50 Cent für eine aktive Bankverbindung eines Versandhauskunden).
Darf zwar keine Namen nennen, aber da ich das damals™ live miterlebte: Es ist ein (noch heute) existierendes Versandhausunternehmen (bzw. eine ganze Kette) und ein großer Anbieter von Weinen (ebenfalls Versand, auch Niederlassungen unter anderen Namen… firmiert generell unter einigen Namen). Alles Deutschland.
Wer die DSGVO als Bürokratiemonster bezeichnet, hat sich niemals ernsthaft mit dem BDSG befaßt. Es wurde niemand überrascht, es wurden keine nennenswerten neue Hürden auferlegt, die nicht auch schon vorher verbindlich waren. Es war den Leuten nur… scheixxegal!
aber auch das nur, weil es KEINE KONSEQUENZEN gab!
wohl nicht bemerkt?! Denn das ist jetzt (endlich) grundlegend anders…
Und wann warnt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit vor Windows 10, Office 365 usw.?
Musst Du den Datenschutzbeauftragten schon selbst fragen. Der Blog ist da die falsche Adresse.
Das wird er sich nicht trauen. Da würde er zu viel Gegenwind kassieren.
Bullshit Bingo – sorry :)
Wenn es nach DSVGO gehen würde müsste jedes Unternehmen umgehen und vorsorglich eine Kompromittierung melden, um die Frist von 72 Stunden einzuhalten. 90% aller Unternehmen würden einen pro Hack nicht erkennen da die Software/Analyse hierzu fehlt.
Das Thema ist für mich schwierig. Auch weil ich sachlich bleiben möchte.
Denn es fällt mir schwer, den großen Vorteil der DSGVO gegen das BDSG zu erkennen. Ok, vielleicht die martialischen Strafen.
Und was hat sich geändert? So sammelt z.B. Whatsapp Milliarden von Telefonbüchern weltweit und kann Graphen erstellen, dass es einem schlecht werden kann. Oder hier in Deutschland haut einem jede Webseite hunderte von abwählbaren Haken von irgendwelchen Anbietern um die Ohren. Dazu kommt, dass nahezu jeder mit Software großer US-Anbieter arbeitet / arbeiten muss. Da ändert sich rein garnichts.
Und jedesmal landet der Hr. Schrems einen weiteren "Paukenschlag". Gut, dass es solche Leute gibt. Auch gut, dass es Datenschutzbeauftragte gibt, welche versuchen den Sack Flöhe zu hüten. Aber ist das nicht nur so eine Art Störfeuer?
Was ändert es, wenn irgend eine Senatskanzlei eine Strafe zahlt?
Die DSGVO ist EU-Recht. Das BDSG ist nationales Recht. Die DSGVO muss (sollte) in nationales Recht umgesetzt werden.
Hinweis:
Im DTV/Beck-Verlag erscheinen regelmäßg die sogenannten "Beck-Texte im DTV". Ich habe bei mir das Buch "Datenschutzrecht", die 11. Aufl 2019. Es kostete 21,50 EUR. Jetzt ist aktuell die 13. Auflage 2021. Hier der Link:
https://www.beck-shop.de/datenschutzrecht-datschr/product/32146557
(jetzt 21,90).
Der Vorteil – Es ist preiswert und (!) erhält eine gute Einleitung mit synoptischer Gegenüberstellung DSGVO und BDSG. Es enthält auch diverse andere Gesetze die damit im Zusammenhang stehen. Für die praktische Arbeit zu empfehlen.
Ich bin mir nicht mal sicher, dass eine Senatskanzlei eine Strafe zahlt. Die 4% vom Jahresumsatz als Maximalstrafe gelten für Unternehmen (nach Datenschutzvorfällen). Behörden und Verwaltung sind m.W. in Deutschland da außen vor.
Korrekt – staatliche Stellen etc. fallen nicht unter die DSVGO. Die privat Wirtschaft wird geknechtet aber der staatliche Schweizer-Käse kann kompromittiert sein wie er will – toll.