Hamburgischer Datenschutzbeauftragter verwarnt die Senatskanzlei wegen Nutzung von Zoom

 Wie der Hamburgische Datenschutzbeauftragte in einer Pressemitteilung bekannt gab, hat er die Senatskanzlei der Freien und Hansestadt Hamburg wegen der Nutzung der On-Demand-Variante des Softwareprogramms „Zoom“ verwarnt. Die Nutzung des Programms ist mit einer Übermittlung personenbezogener Daten in die USA verbunden. Dies ist gemäß der aktuellen Rechtslage in vielen Fällen unzulässig (vgl. EuGH-Urteil vom 16.07.2020 – C 311/18), da die USA kein vergleichbares Datenschutzniveau wie das der Europäische Union gewährleistet. Ein Datenexport in die USA ist nur noch unter strengen datenschutzrechtlichen Voraussetzungen möglich. Zoom erfüllt diese aber nach Auffassung des Hamburgischen Datenschutzbeauftragten nicht. Durch die Benutzung des Programms seien die Behördenmitarbeiter der Senatskanzlei und auch die Gesprächsbeteiligten einer anlasslosen staatlichen Massenüberwachung in den USA ausgesetzt. Dies ist nach dem Hamburgischen Datenschutzbeauftragten nicht hinnehmbar.

Datenschutzbeauftragter bedauert die Verwarnung 

Bereits im Vorfeld der Verwarnung hatte die Senatskanzlei den Hamburgischen Datenschutzbeauftragten über Pläne, die Voraussetzungen eines zulässigen Datenexports einhalten zu wollen, informiert. Die Senatskanzlei war aber laut dem Hamburgischen Datenschutzbeauftragten wiederum nicht bereit, auf dessen wiederholt vorgetragene Bedenken einzugehen. Hieran habe auch eine am 17.06.2021 durchgeführte formale Anhörung nichts geändert. Die Senatskanzlei habe dem Datenschutzbeauftragten nachträglich und innerhalb einer gesetzten Frist keine Unterlagen oder Argumente mitgeteilt, die einen Datentransfer in die USA zuließen. Demzufolge blieb dem Hamburgischen Datenschutzbeauftragten Ulrich Kühn nur noch die Wahl einer formalen Warnung gemäß Art. 58 Abs. 2 lit. a DSGVO. Doch dieser bedauert die ausgesprochene Verwarnung.

„Öffentliche Stellen sind an die Einhaltung des Rechts in besonderem Maße gebunden. Daher ist es mehr als bedauerlich, dass es zu einem solchen formalen Schritt kommen musste. In der FHH steht allen Mitarbeiter:innenflächendeckend ein bewährtes und in Hinblick auf die Drittlandübermittlung unproblematisches Videokonferenztool zur Verfügung. Dataport als zentraler Dienstleister stellt zudem in den eigenen Rechenzentren weitere Videokonferenzsysteme bereit. Diese werden in anderen Ländern wie z.B. Schleswig-Holstein erfolgreich genutzt. Es ist daher unverständlich, warum die Senatskanzlei auf einem zusätzlichen und rechtlich hoch problematischen System besteht“, so der Datenschutzbeauftragte.

Zoom-Sprecherin äußerte sich zum Datenschutz des Programms

Kurz darauf erklärte eine Zoom-Sprecherin im Hinblick auf die Geschehnisse, das Unternehmen habe sich verpflichtet alle geltenden Datenschutzgesetze in den Nutzungsländern einzuhalten, einschließlich der DSGVO. Hierzu wolle man Standardvertragsklauseln für den Datenexport benutzen und den Kunden ein Muster zur Datenschutz-Folgenabschätzung zur Verfügung stellen. Genau das reicht allerdings nach Auffassung des EuGH dennoch nicht aus, wenn davon auszugehen ist, dass die abgeschlossenen Standardvertragsklauseln bzw. Standarddatenschutzklauseln im Zielland nicht eingehalten werden können, weil beispielsweise Geheimdienste unkontrolliert Zugriff auf die Daten nehmen können. In dieser Hinsicht sind daher auch viele Zusicherungen von US-Diensten, sich an alle Vorgaben der DSGVO zu halten, häufig mit Vorsicht zu genießen.

Co-Autor: Wissenschaftlicher Mitarbeiter -  Ref. jur. Philipp Schmelz

Bildquelle: Bild von Marc Winter auf Pixabay