Cloud- und Meeting-Programme

Cloud

Problemstellung:

Die §§ 39ff. KDG limitieren die Übertragung personenbezogener Daten in das EU-Ausland recht streng. Nun sind aber die meisten Cloud-Anbieter in den USA beheimatet und haben dort ihren Speicherplatz. Für die USA gab es einen Rechtfertigungsgrund im Sinne des § 40 KDG, das sogenannte "privacy shield". Dieses stand auf wackeligen Füßen, weil sich im Jahre 2019 die US-Regierung ein Gesetz absegnen ließ, das alle amerikanischen Unternehmen verpflichtet, ihre - auch im Ausland - gesammelten Daten an die US-Regierung zu übertragen. Deswegen war gegen das "privacy shield" eine Klage beim Europäischen Gerichtshof anhängig. Kundige rechneten damit, dass schon die erste Verhandlung mit einer Aufhebung des bezeichneten Rechtfertigungsgrundes endet, wie es zuvor mit dem "Safe-Harbour-Abkommen" geschah. So war es dann auch:

Am 16.7.2020 kippte dann der EuGH das privacy shield.
Auf das hier nachzulesende Urteil haben wir - die deutschen Diözesandatenschutzbeauftragten - reagieren müssen.

In dem am Donnerstag, 16. Juli 2020, verkündeten Urteil des EuGH („Schrems II“) erklärt der Gerichtshof das „Privacy Shield“ für ungültig. Zur Urteilsbegründung führt der Gerichtshof aus, dass das Datenschutzniveau der EU und damit der durch die DS-GVO festgelegte und geforderte Schutz für personenbezogene Daten bei einer Übermittlung in die USA durch das Datenschutzabkommen („Privacy Shield“) nicht gewährt werden kann.

In den Fällen, in denen Verantwortliche die Datenübermittlungen in die USA auf das nun nicht mehr gültige Datenschutzabkommen zwischen der EU und den USA gestützt haben, müssen diese nun handeln, da sie andernfalls personenbezogene Daten ohne Rechtsgrundlage in ein Drittland transferieren.

Nicht für generell ungültig erklärt wurden die Standarddatenschutzklauseln der EU-Kommission nach Art. 46 Abs. 2 lit. c und d DS-GVO. Bei der Verwendung von Standarddatenschutzklauseln müssen die Einrichtungen jedoch künftig bei der Übermittlung personenbezogener Daten in ein Drittland überprüfen, ob dort - evtl. auch durch zusätzliche vertragliche Vereinbarungen - ein angemessenes Datenschutzniveau hergestellt werden kann und diese Vereinbarungen eingehalten werden können. Nur in diesem Fall können die Standarddatenschutzklauseln eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in ein Drittland darstellen. Daher obliegt den Verantwortlichen in den kirchlichen Einrichtungen eine Rechtsprüfung, inwiefern das Datenschutzniveau im jeweiligen Drittland dem der DS-GVO entspricht bzw. dort von den Vertragspartnern eingehalten werden kann.

Das Urteil betrifft für die Anwendung der Standarddatenschutzklauseln alle Datenübertragungen in Drittländer, die keinem Angemessenheitsbeschluss nach Art. 45 DS-GVO unterfallen. Durch den Wegfall des „Privacy Shield“ fehlt ein solcher Beschluss jetzt auch für die USA.  Nach den Ausführungen des EuGH (insbesondere Rn. 197) scheint für die USA auch der Einsatz von Standarddatenschutzklauseln nicht mehr möglich zu sein.

Der EuGH hat zudem die Erwartung geäußert, dass die europäischen Datenschutzaufsichten eine einheitliche Auslegung unter den Aufsichtsbehörden herbeiführen. Hieran arbeiten alle Datenschutzaufsichten derzeit noch intensiv und stimmen sich ab. Sofern bisher vorgenommene Übermittlungen personenbezogener Daten in die USA nun nicht mehr auf eine gültige Rechtsgrundlage gestützt werden können, werden die deutschen Diözesandatenschutzbeauftragten die Vorgaben des Urteils umsetzen. Dies erfordert aber intensive Untersuchungen zu der Frage, wie - ohne Gefährdung des laufenden Betriebs - ein Ausstieg möglich ist. Das mag in einigen Bereichen schneller gehen und in anderen länger dauern.

Hier die offizielle Stellungnahme der Konferenz der Diözesandatenschutzbeauftragten
                                             und
hier die FAQ dazu.


Leider geht die Bedeutung dieser Problematik über die bloße Speicherung von Daten im Web hinaus. Das sehr beliebte Office-Programm von Microsoft, Office 365, installiert nämlich automatisch einen Speicher im Web (MS One) und schafft damit eine Verbindung zur künftigen Illegalität. Die Diözesandatenschutzbeauftragten hatten über ihren Arbeitskreis "Technik" bereits Verbindung zu Microsoft aufgenommen und das Unternehmen gebeten, für kirchliche Zwecke eine Version ohne diese automatische Installation anzubieten; leider wurde dem nicht entsprochen. Die Grundsätze, die in dem obigen Aufsatz für einen Speicher in der Cloud gelten, sind also auch bei diesem Programm zu beachten.   

Hier werden alle zugehörigen Rechtsfragen näher ausgeführt (freundlicherweise vom Datenschutzzentrum Frankfurt überlassen):
Wie die öffentlichen Dienststellen sollten kirchliche keine Cloud-Anwendungen für die Übertragung personenbezogener Daten nutzen, bei denen der physikalische Datenspeicher sich außerhalb des Gebiets der EU befindet. Für diese Zwecke scheiden also Dropbox, OneDrive u.ä. aus. Es gibt aber Alternativen:

Die besten Cloud-Speicher aus Deutschland
Kostenlose Cloud-Speicher
8 Tipps für die sichere Cloud
Die 10 besten Cloud-Speicher

Hat man einen EDV-geneigten Helfer zur Hand, so ist die sicher beste Lösung für kleine bis mittlere Einheiten die eigene Cloud oder owncloud. Das ist eine freie Software für das Speichern von Daten auf einem eigenen Server. Bei Einsatz eines entsprechenden Clients wird dieser automatisch mit einem lokalen Verzeichnis synchronisiert. Dadurch kann von mehreren Rechnern auf einen konsistenten Datenbestand zugegriffen werden (Wikipedia). Das Programm kann man hier herunterladen. ownCloud ist an sich Open-Source-Software und in der Community-Edition kostenlos. Für Firmen, Bildungseinrichtungen und Behörden ist eine kostenpflichtige Enterprise-Edition erhältlich, die für den produktiven Einsatz bestimmt ist.

Messenger
Ein ähnliches Problem wie beim Cloudspeicher stellt sich bei den Messengern. Gerade das besonders beliebte "What's App" hat seinen physikalischen Datenspeicher in den USA, überträgt ungefragt Daten an Facebook und ist dienstlich schon deswegen tabu, weil keine kirchliche Dienststelle für die Schadensersatzforderungen aufkommen kann, denen der Anwender sie aussetzt. Es wird abzuwarten sein, ob sich die in Entwicklung befindliche und recht gute Alternative der Kirchen durchsetzt. Eine Übersicht zu den Messengern ist im Beschluss der Diözesandatenschutzbeauftragten zur elektronischen Kommunikation als Flyer vorhanden. Sicher nicht zu beanstanden ist Threema; Telegram und Signal gaben bis jetzt auch keinen echten Grund zur Ablehnung. Eine Übersicht zu den verfügbaren Messengern aus datenschutzrechtlicher Sicht gibt es hier.

Online-Meeting
Die Corona-Krise hat uns beigebracht, dass keineswegs alle Konferenzen, Seminare, Vortragsveranstaltungen oder Treffen die physische Anwesenheit der Teilnehmer erfordert. "Fernkonferenzen" sparen Reise- und Übernachtungskosten, Arbeitszeit und Nerven. Man macht allerdings auch die Erfahrung, dass bloße Telefonkonferenzen geeignet sein mögen, in 30 Minuten erschlagbare Themen zu behandeln, danach wird es etwas fad. Der Ausweg ist die Videokonferenz oder auf neudeutsch das "online meeting". Dafür gibt es zahllose Programme, aber die haben natürlich auch ihre Tücken, wie Frau Kollegin Becker-Rathmair, Datenschutzzentrum Frankfurt, mit ihren Mitarbeiterinnen dankenswerterweise herausgefunden und mir zur Veröffentlichung überlassen hat:
Wenn Sie nach dem Lesen des Aufsatzes nicht wissen, welches Programm Sie nun wählen sollen, sind Sie damit nicht allein auf der Welt. Wir haben uns abgesprochen, kein bestimmtes Programm zu empfehlen, sondern Ihnen nur die Kriterien für die Auswahl zu nennen.Zunächst ein paar Übersichten:
Seit kurzem gibt es das Programm Zoom für iesen Zweck. Hier eine Einschätzung aus datenschutzrechtlicher Hinsicht,

Aus der Warte des Diözesandatenschutzbeauftragten würde ich deutlich einen Anbieter aus der EU bevorzugen; die Gründe können Sie weiter oben nachlesen.

Jupp Joachimski
Diözesandatenschutzbeauftragter