logo_klein
Einsatz von Videokonferenzsoftware durch den EuGH ist datenschutzkonform
Einsatz von Videokonferenzsoftware durch den EuGH ist datenschutzkonform

Der Europäische Datenschutzbeauftragte hat sich mit cloudbasierten Videokonferenzdiensten auseinandergesetzt, welche der EuGH einsetzt. Der Einsatz von Cisco Webex wurde hierbei als datenschutzkonform eingestuft. Die Entscheidung ist insofern auch für Unternehmer interessant, als dass man genau sehen kann, wie der Europäische Datenschutzbeauftragte bestimmte Maßnahmen bewertet und wann eine Videokonferenz datenschutzkonform ist.

Hintergrund der Entscheidung

Bei Verhandlungen des EuGH wird Cisco Webex eingesetzt. Es wird die sogenannte "data residency" von Cisco verwendet, das heißt es wird vertraglich garantiert, dass die Daten nur im EWR verarbeitet werden. Das allein reicht aber noch nicht aus, denn es sind weitere Maßnahmen ergriffen worden:

  • Die User des Gerichts und auch externe User müssen sich nicht bei Cisco registrieren.
  • Es wird auch bei externen Usern außerhalb des EWR sichergestellt, dass diese über einen EWR-Node mit dem Netzwerk verbunden werden.
  • Bestimmte Funktionalitäten werden standardmäßig geblockt und stehen bei Videokonferenzen mit dem EuGH nicht zur Verfügung.
  • Als technisches Maßnahme kommt eine Ende-zu-Ende-Verschlüsselung zum Einsatz.

Außerdem gibt es noch organisatorische Maßnahmen seitens des Gerichts:

  • Die Identifizierung der Teilnehmer an der Videokonferenz wurde einem externen Provider übertragen. Cisco selbst erhält nur sehr eingeschränkte personenbezogene Daten.
  • Beim Meeting selbst müssen keine Usernamen oder Telefonnummern angegeben werden.

Eine Vorabgenehmigung durch den Europäischen Datenschutzbeauftragten nach Art 48 Abs 3 lit a der Verordnung (EU) 2018/1725 (ähnlich zur DSGVO, für EU-Organe gültige VO) war also nicht erforderlich.

EDSB-Prüfung: EuGH-Videokonferenz datenschutzkonform?

Der Europäische Datenschutzbeauftragte prüft jedoch auch die allgemeine Datenschutz-Compliance, abseits von einer Vorabgenehmigungspflicht. Der Europäische Datenschutzbeauftragte weist hierbei darauf hin, dass die Risiken von potenziellen Übermittlungen in Drittstaaten, die sich aus der Anwendung von Gesetzen dieser Staaten auf im EWR ansässige Auftragsverarbeiter ergeben, Teil der Analyse und Bewertung des für die Verarbeitung Verantwortlichen im Einklang mit dem Grundsatz der Rechenschaftspflicht sein müssen.

Im vorliegenden Fall bestehe diese Gefahr laut Europäischen Datenschutzbeauftragen aber nicht. Hatte man bei der ersten Analyse im Dezember 2022 noch Zweifel (vgl dort Punkt 3.11). Nach der Analyse des Europäischen Datenschutzbeauftragten sind die potenziellen Übermittlungen von Daten in den EWR-Datenzentren, die sich aus der Anwendung der Rechtsvorschriften von Drittländern ergeben, nicht von Kapitel V der Verordnung erfasst, und der Gerichtshof muss für sie keine Vertragsklauseln angemessene Garantien vorzusehen. Sollte Cisco jedoch solche Auskunftsbegehren aus Drittstaaten erhalten, wäre die Compliance nach Kapitel V der VO sicherzustellen.

Außerdem beschäftigt sich der Europäische Datenschutzbeauftragte noch mit Datenschutzfragen rund um den Support, welcher eingeschränkt wurde (zum Beispiel kein "follow the sun"-Support).

Praxisfrage: Wann ist meine Videokonferenz datenschutzkonform?

Die Analyse gibt auch für Unternehmen Hinweise, wie Risiken mithilfe von technische und organisatorische Maßnahmen (TOMs) mitigiert werden können. Hierbei müssen uU auch Einschränkungen der Funktionalitäten in Kauf genommen werden. Die Entscheidungen können von Datenschutzbeauftragten durchaus als Manual herangezogen werden, wenn es darum geht TOMs zu entwerfen.

Sie haben weitere Fragen zum Thema Datenschutz?

Sie haben weitere Fragen im Datenschutzrecht? Melden Sie sich gerne bei uns unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.

Quellen

Temporäre Freigabe von Videokonferenzsoftware durch den Europäischen Datenschutzbeauftragten am 28. Oktober 2022

Entscheidung des Europäischen Datenschutzbeauftragten vom 13. Juli 2023

Scroll to Top