Bereits seit einigen Jahren, spätestens aber seit Beginn der Pandemie 2020, nutzen die meisten Unternehmen irgendeine Art von Videokonferenzsystemen wie z. B. Zoom, Microsoft Teams, Cisco Webex oder Google Meet. Und so komfortabel die Nutzung dieser Dienste für die meisten ist, so kritisch wurden und werden sie durch die Aufsichtsbehörden für den Datenschutz beäugt, handelt es sich doch in den allermeisten Fällen um Anbieter aus datenschutzrechtlich unsicheren Drittländern wie den USA. Problematisch war das bisher für die nutzenden Unternehmen, weil es sich bei der Nutzung solcher Systeme um eine sog. Auftragsverarbeitung durch den Anbieter handelt, was zur Folge hat, dass bei Datenschutzverstößen durch den Anbieter zunächst einmal das nutzende Unternehmen nach außen hin haftet.
Gängige Videokonferenzsysteme? Problematisch.
Besondere Brisanz erfährt diese Problematik aufgrund der Tatsache, dass Aufsichtsbehörden, insbesondere die Berliner, sich dieses Themas angenommen, verschiedene Videokonferenzsysteme (mehr oder weniger kompetent) im Rahmen einer veröffentlichten Stellungnahme bewertet und ebenfalls bereits Unternehmen zu deren Nutzung befragt haben.
Das Problem: Nahezu jede etablierte Software fiel bei der Aufsichtsbehörde durch. Lediglich selbst gehosteten Systemen wurde, bei entsprechender Konfiguration, die datenschutzrechtliche Absolution erteilt und von einer unproblematischen Nutzung ausgegangen. Leider geht das an der Realität jedoch vorbei, da in vielen Unternehmen schlicht die Ressourcen fehlen um ein solches Videokonferenzsystem zu installieren, konfigurieren und vor allem zu pflegen. Denn selbst wenn vereinzelte Unternehmen tatsächlich eigene Systeme zur Nutzung bereithalten müssen diese auf dem aktuellen Stand der Technik gehalten werden, da sich anderenfalls erhebliche Sicherheitslücken ergeben könnten. Ob diese Lösungen dann auch noch tatsächlich alle notwendigen Funktionen aufweisen oder mit ihnen gar die notwendige Teilnehmerzahl in einer Konferenz erreicht werden kann, soll an dieser Stelle außen vor bleiben.
Lange Rede kurzer Sinn: In der Realität der meisten Unternehmen in Deutschland ist eine selbst betriebene Lösung schlicht nicht praktikabel, stattdessen setzt die überwiegende Mehrheit Tools wie Microsoft Teams, Zoom oder andere bekannte Vertreter ein, um in Zeiten der Pandemie (und wohl auch danach) den Geschäftsbetrieb aufrecht zu erhalten, obwohl vielen das rechtliche Risiko bekannt ist. Schlicht aus Mangel an guten Alternativen.
Neues Telekommunikationsgesetz mindert Haftungsrisiken
Mit Inkrafttreten des neuen Telekommunikationsgesetzes (TKG) am 01.12.2021 hat sich an dieser Problematik einiges geändert. Das Gesetz setzt zum einen die Richtlinie 2002/21/EG (Richtlinie über einen gemeinsamen Rechtsrahmen für elektronische Kommunikationsnetze und -dienste) um, zum anderen aber auch die Richtlinie (EU) 2018/1972 durch welche neu definiert wird, was sog. “Telekommunikationsdienste” nun eigentlich sind. Hierdurch wurde zum ersten Mal der Begriff der “interpersonellen Telekommunikationsdienste” (§3 Nr. 61 TKG) gesetzlich verankert.
Sieht man sich die zur Richtlinie gehörenden Erwägungsgründe einmal an, so werden interpersonelle Telekommunikationsdienste in Erwägungsgrund 17 folgendermaßen definiert:
“Interpersonelle Kommunikationsdienste sind Dienste, die einen direkten interpersonellen und interaktiven Informationsaustausch ermöglichen; dazu zählen Dienste wie herkömmliche Sprachanrufe zwischen zwei Personen, aber auch alle Arten von E-Mails, Mitteilungsdiensten oder Gruppenchats. Interpersonelle Kommunikationsdienste decken ausschließlich die Kommunikation zwischen einer endlichen — also nicht potenziell unbegrenzten — Zahl von natürlichen Personen ab, die vom Sender der Kommunikation bestimmt werden.”
Demnach dürften Videokonferenzsysteme wohl unter diese Definition fallen, sofern, gemäß TKG diese gegen Entgelt erbracht werden. Nun ist es in der heutigen Zeit jedoch so, dass Menschen viele Dienste nicht mehr mit Geld, sondern ihren (personenbezogenen) Daten bezahlen. Dies hat auch die EU gesehen und in Erwgägungsgrund 16 festgestellt, dass in einem “Entgelt” auch die Zurverfügungstellung von Daten durch den Nutzer gesehen werden kann:
“Um unter den Begriff elektronischer Kommunikationsdienst zu fallen, muss ein Dienst in der Regel gegen Entgelt erbracht werden. In der digitalen Wirtschaft stellen Nutzerdaten für die Marktbeteiligten zunehmend einen Geldwert dar. Elektronische Kommunikationsdienste werden den Endnutzern oftmals nicht nur gegen Geldzahlung, sondern zunehmend insbesondere gegen Offenlegung personenbezogener oder sonstiger Daten zur Verfügung gestellt. Das Konzept eines Entgelts sollte daher Fälle umfassen, in denen der Anbieter eines Dienstes personenbezogene Daten im Sinne der Verordnung (EU) 2016/679 oder sonstige Daten anfordert und der Endnutzer diese Daten dem Anbieter wissentlich auf direkte oder indirekte Weise zur Verfügung stellt.”
Unter diesen Voraussetzungen dürften also die Anbieter von Videokonferenzsystemen, auch wenn sie diese, zumindest monetär, “umsonst” anbieten, als Telekommunikationsanbieter i.S.d. TKGs zu sehen sein.
Und auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit führt in seiner Stellungnahme aus:
“Durch die neue Definition des „Telekommunikationsdienstes“ im TKG entsteht weiterer Erfüllungsaufwand. Zukünftig unterfallen u. a. auch E-Mail-Dienste, Messenger und Videokonferenzsysteme der Zuständigkeit des BfDI. Dieser Aufwand entsteht allerdings aufgrund der durch das TK-Modernisierungsgesetz (TKMoG) neu gefassten Definition in § 3 Nr. 61 TKG-E.”
Somit sind Anbieter von Videokonferenzsystemen nunmehr eindeutig als Anbieter von Telekommunikationsdiensten anzusehen.
Anbieter von Videokonferenzsystemen als TK-Anbieter. Und jetzt?
Bis eben habe ich lang und breit ausgebreitet, dass Anbieter von Videkonferenzsystemen wie Microsoft Teams, Google Meet, Zoom oder Cisco Webex mit Inkrafttreten des neuen TKG wohl als Telekommunikationsanbieter einzustufen sein werden. Doch was hat das mit der oben genannten Haftungsproblematik zu tun?
Nun, da muss wiederum ein Umweg über die Datenschutz-Grundverordnung der EU (DSGVO) gemacht werden. Diese enthält in Art. 95 DSGVO eine sog. Öffnungsklausel für elektronische Kommunikationsdienste, wonach auf diese grundsätzlich keine Regelungen der DSGVO zur Anwendung kommen, mithin das Telekommunikationsrecht einschlägig ist. Ist aber das TK-Recht anzuwenden scheidet nach ganz herrschender Meinung bereits die Möglichkeit aus, dass Betreiber elektronischer Kommunikationsdienste als Auftragsverarbeiter tätig werden. Dies wiederum bedeutet, dass Anbieter von Videokonferenzsystemen datenschutzrechtlich als selbst Verantwortlicher tätig werden mit der Folge, dass bei einem Verstoß gegen datenschutzrechtliche Regelungen diese unter Umständen in die Haftung gehen. Wir erinnern uns, würde eine Auftragsverarbeitung vorliegen, würde zunächst das die Software nutzende Unternehmen von Bußgeldern bedroht sein.
Fazit
Die oben geschilderte, seit 01. Dezember 2021 geltende Rechtslage ist für die allermeisten Unternehmen begrüßenswert, da die Anbieter von Videokonferenzsystemen, an denen in der heutigen Zeit kein Weg mehr dran vorbeiführt, bei Missständen selbst Sanktionen befürchten müssen und können dieses Risiko nicht mehr zu einem Großteil auf die nutzenden Unternehmen abwälzen, was die gesamte Problematik für Unternehmen zum einen zu einem Großteil entschärft und zum anderen für Anbieter von Videokonferenzsystemen ein Ansporn sein dürfte noch mehr Wert auf die Einhaltung datenschutzrechtlicher Vorgaben zu legen.
Nichtsdestotrotz sollten Unternehmen weiterhin ein genaues Augenmerk darauf legen, welchen Anbieter sie auswählen. Und es dürfte auch noch einige Zeit ins Land gehen bis dann tatsächlich alle, vielleicht auch der ein oder Anbieter selbst, sich dieser veränderten Rechtslage bewusst wird.