Videokonferenzsysteme und Datenschutz

Fast 3 Jahre lang wurde in Deutschland der Alltag von der Covid19-Pandemie bestimmt. Zur Vermeidung physischer Kontakte wurde der Berufs- und Schulalltag sowie die universitäre Lehre von Grund auf verändert. So gab es zeitweise eine gesetzliche Home-Office-Pflicht und an Präsenzunterricht an Schulen und Universitäten war nicht zu denken. Es zeigte sich, dass diese veränderten Bedingungen nicht nur zu Schwierigkeiten bei den gewohnten Arbeitsabläufen führten, sondern die Menschen insbesondere auch unter den fehlenden sozialen Kontakten litten.
Nicht nur aus diesem Grund verzeichneten Videokonferenzanbieter wie Zoom, Microsoft Teams oder WebEx einen beeindruckenden Nutzungszuwachs. Aufgrund von weitgehenden Kontaktbeschränkungen stieg auch die Nutzung von Videokonferenzen im Privaten stark an. So gaben bei einer Umfrage im Januar 2021 19 Prozent der Befragten an, während der Corona Krise fünf bis neun Stunden pro Woche Videogespräche geführt zu haben. Vor der Pandemie waren es im Vergleich dazu nur drei Prozent^[1].
Obwohl Videokonferenzen inzwischen zumindest aus dem Berufsalltag kaum mehr wegzudenken sind, herrscht noch immer große Unsicherheit hinsichtlich der technischen und rechtlichen Anforderungen an Videokonferenzsysteme und welcher Anbieter diese erfüllt. Zwar gibt es durchaus Empfehlungen verschiedener Datenschutzbehörden; einheitlich sind diese jedoch nicht.
Im Projekt „Videokonferenzsysteme und Datenschutz“ haben es sich die Mitarbeiter des Zentrums für Recht und Digitalisierung zur Aufgabe gemacht, Antworten auf die soeben aufgeworfenen Fragen zu geben. Hierfür betrachtet ein Team aus Mitarbeitern verschiedener Fachrichtungen gängige Videokonferenzsysteme und nimmt eine Bewertung aus technischer sowie aus rechtlicher Perspektive vor.
Die rechtlichen Probleme sind, wie schon die Projektbezeichnung zeigt, hauptsächlich im Datenschutzrecht angesiedelt. Dies resultiert insbesondere aus der umfassenden Reform des deutschen Telekommunikationsrechts. Betrachtet werden müssen das im Dezember 2021 in Kraft getretene Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) und das seit diesem Zeitpunkt deutlich überarbeitete Telekommunikationsgesetz (TKG) sowie daneben die Datenschutzgrundverordnung (DSGVO) und das Bundes-(BDSG) sowie Landesdatenschutzgesetz (LDSG). Da Videokonferenzsysteme von nun an als interpersonelle Telekommunikationsdienste im Sinne des § 3 Nr. 24 TKG gesehen werden können, sind die Vorschriften des TTDSG und des TKG vorliegend relevant.
Schwierigkeiten bereitet in diesem Zusammenhang insbesondere das Verhältnis von TTDSG und TKG zur DSGVO. Welches dieser Gesetze wann zur Anwendung kommt und welches im Falle der Anwendung nebeneinander als vorrangig anzusehen ist, ist momentan noch ungeklärt und stellt einen der rechtlichen Schwerpunkte des Projekts dar.
Als weiterer Forschungsschwerpunkt werden die praktischen Konsequenzen der Anwendbarkeit des TTDSG und des TKG auf Videokonferenzsysteme betrachtet. Insbesondere aus dem nun zu beachtenden Fernmeldegeheimnis im Sinne des § 3 TTDSG können neue Verhaltenspflichten für Anbieter von Videokonferenzsystemen resultieren.
Ferner stellt die Dominanz der Videokonferenzsysteme, die Daten in die USA transferieren, ein Problem dar. Der sogenannte „Drittlandtransfer“, also die Übermittlung von Daten in ein Land, in dem die DSGVO keine Anwendung findet, steht unter dem Vorbehalt einer wirksamen Rechtsgrundlage. Spätestens seit dem „Schrems II“-Urteil des Europäischen Gerichtshofs ^[2] ist die Übermittlung von Daten in die USA mangels einer entsprechenden Rechtsgrundlage nicht mehr ohne weiteres als zulässig anzusehen. Diese Entscheidung führt zu Unsicherheiten und unterschiedlichen rechtlichen Bewertungen.
Aus technischer Sicht werden insbesondere die von den Anbietern gewählten Sicherheitsmaßnahmen, beispielsweise die Qualität der Verschlüsselung der Daten, evaluiert. An dieser Stelle ist die Zusammenarbeit der beteiligten Juristen und Informatikern unerlässlich: In den betrachteten Gesetzen werden Verpflichtungen zur Einhaltung bestimmter technischer und organisatorischer Maßnahmen (TOMS) normiert. So ist der Anbieter von Videokonferenzsystemen beispielsweise nach Art. 32 DSGVO verpflichtet geeignete technische und organisatorische Maßnahmen zu implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten während seit der Neufassung des Telekommunikationsrecht den Videokonferenzanbieter zusätzlich die Verpflichtung zum Ergreifen von technischen und organisatorischen Maßnahmen zum Schutz des Fernmeldegeheimnisses und der verarbeiteten personenbezogenen Daten trifft. Ob diese empfohlenen Maßnahmen fachgerecht und dem Stand der Technik entsprechend umgesetzt wurden, wird von den Personen beurteilt, die über eine technische Expertise verfügen.
Ferner werden weitere technische Aspekte, wie optional einstellbare Maßnahmen, betrachtet.
Das Ergebnis des Projektes soll eine Gegenüberstellung und Bewertung der gängigsten Videokonferenzsysteme sein und anhand rechtlicher und technischer Anforderungen eine Nutzungsempfehlung je nach Anwendungsfall ermöglichen.

1. [1] Ein Jahr Corona: Wie hat die Pandemie unseren Alltag digitalisiert? Achim Berg, Bitkom Präsident, 10. März 2021, Link zuletzt abgerufen am 09.06.2022: https://www.bitkom.org/sites/default/files/2021-03/bitkom-charts-ein-jahr-corona-10-03-2021_final.pdf.
2. [2] Juli 2020, Facebook Ireland and Schrems, C-311/18..