Videokonferenz mit Zoom und Co.: Denn sie wollen wissen, was sie tun (dürfen)

Die Covid-19-Pandemie zwingt Unternehmen, Behörden und Bildungseinrichtungen, ihren Betrieb kurzfristig ins Digitale zu verlagern. Dabei sind regelmäßige Treffen vor dem Bildschirm nicht nur für viele Unternehmen ein unverzichtbarer Ersatz für persönliche Besprechungen, Vorstellungsgespräche und Schulungen, sondern ersetzen teilweise sogar das Afterwork in der Kneipe. Spätestens nach der Ankündigung, das Sommersemester bundesweit digital starten zu lassen, stellt sich auch für Hochschulen die Frage, wie sie ihre Lehrveranstaltungen in Echtzeit ins Digitale verlagern können.

Die Betroffenen stehen dabei vor einem Problem: Zwar gibt es eine Vielzahl von Diensten, um Videokonferenzen abzuhalten. Allerdings ist hiervon nur ein kleiner Teil niedrigschwellig nutzbar, auch mit größeren Gruppen zuverlässig einsetzbar und bietet gleichzeitig den erforderlichen Nutzungsumfang.

Zu der Begeisterung über deren technischen Möglichkeiten gesellt sich jedoch oft Verunsicherung, ob eine Nutzung nicht möglicherweise datenschutzrechtlich problematisch ist. Paradigmatisch hierfür ist der Dienst des US-amerikanischen Anbieters "Zoom", welcher sich in den letzten Wochen verstärkter Aufmerksamkeit erfreut, aber auch im Zentrum der datenschutzrechtlichen Kritik steht. In der jetzigen Situation zeigt sich erneut, dass in der Praxis noch große Unsicherheit im Umgang mit der Datenschutzgrundverordnung (DSGVO) herrscht. Dabei gibt der Umgang der Datenschutzbehörden mit den – offenbar auch für sie nicht einfach zu beantwortenden – Fragen Anlass für Kritik.

Konfrontation oder Kooperation

Den Aufsichtsbehörden steht ein breites Spektrum an Instrumenten zur Verfügung. Sie können die Verwendung von Videokonferenzsoftware beschränken oder verbieten, wenn sie zu der Auffassung gelangen, dass diese nicht datenschutzkonform verwendet werden kann (Art. 58 Abs. 2 lit. d), f) DSGVO). Zudem kommen den Aufsichtsbehörden nach der DSGVO aber auch umfangreiche Kompetenzen und Befugnisse im Hinblick auf die Teilnahme an einer öffentlichen Debatte über datenschutzkonforme Softwarelösungen zu. So kann die Aufsichtsbehörde sich auch zu Einzelfällen an die Öffentlichkeit wenden und sogar vor einzelnen Anbietern warnen (Art. 58 Abs. 3 lit. b) DSGVO).

In einer sich schnell entwickelnden Situation – die möglicherweise auch eine Abstimmung auf europäischer Ebene erfordert – bieten sich solche "weichen" und auf Kommunikation setzenden Handlungsformen aufgrund ihrer hohen Flexibilität durchaus an. Gelungene Beispiele hierfür gibt es zur Genüge. Zwar erzeugen Leitfäden, Flyer und ähnliches Informationsmaterial selbst keine unmittelbare Rechtswirkung; über das Ausmaß mittelbarer Rechtswirkungen lässt sich trefflich streiten. Im besten Fall aber nehmen Leitfäden und ähnliche Äußerungen den Adressaten des Datenschutzrechts die Sorge vor repressiven Aufsichtsmaßnahmen und den als besonders einschneidend empfundenen hohen Bußgeldandrohungen. Pointiert ließe sich zusammenfassen: Detaillierte und gut verständliche Leitfäden nehmen den Adressaten die Angst vor dem Datenschutzrecht.

Stattdessen: Konfusion

Tatsächlich haben viele Datenschutzbehörden derzeit "FAQs", , "eine "FAQ-Sammlung", "Sonderinformationen" und ähnliche Hinweise zur Verwendung von Videosoftware veröffentlicht. Diese Hinweise sind jedoch häufig eine bloße Umformulierung datenschutzrechtlicher Anforderungen, ohne dass dies die Handhabung für die Nutzer entscheidend vereinfachen würde. Der Hamburgische Datenschutzbeauftragte etwa konzediert einerseits, dass die vorgestellten "(teilweise abstrakten) Kriterien" keine Entscheidung ermöglichen und verspricht, "spezifische Kommunikationssoftware" zu bewerten.

Eindeutige Hinweise zu verbreitet genutzten Diensten fehlen jedoch derzeit. Die öffentliche Debatte in Bezug auf den wichtigsten Videokonferenzdienst dieser Krise basiert zudem auf Äußerungen prominenter Datenschutzbeauftragter in der Presse, wie etwa die ausdrückliche Warnung des Hamburgischen Datenschutzbeauftragten vor dem Dienst "Zoom" in einem Interview mit dem Handelsblatt. Dort monierte er etwa einen "nicht unerheblichen Datenabfluss", ohne jedoch genauer darauf einzugehen, inwiefern dies problematisch sei. Mehr noch als die oben genannten Veröffentlichungen, prägen solche Äußerungen die öffentliche Debatte.

Aus Regulierungsperspektive ist ein solches Vorgehen der erst schrittweisen Konkretisierung von Rechtspflichten von Aufsichtsbehörden in vielen Rechtsgebieten durchaus bekannt und bewährt und wird seit langem – etwa in der Finanzmarktaufsicht unter dem Stichwort "principles-based regulation" – diskutiert. Auf der Grundlage konkretisierungsbedürftiger Normierungen soll durch "Ratschläge", "Empfehlungen" und "Denkanstöße" das Verhalten der Aufsichtsadressaten feingesteuert werden.

Dieser Ansatz stößt zwar auf Bedenken, denn er verwässert den Grundsatz "Erlaubt ist, was nicht verboten ist." Im Bereich der Finanzmarktaufsicht stehen den Behörden aber immerhin professionelle Akteure gegenüber, mit denen die komplexe Materie im Zuge eines andauernden (Aufsichts-)Dialogs konkretisiert und so Unsicherheit abgebaut werden kann.

Im Fall von Zoom und Co. indes verfügen die Aufsichtsadressaten häufig über nur geringe datenschutzrechtliche Expertise. Zudem stehen sie faktisch vor einer binären Verhaltensoption: Mangels eines eingespielten Dialogs, im Rahmen dessen die (voraussichtliche) Reaktion der Behörde eingeschätzt werden kann, ist eine graduelle Anpassung an aufsichtsbehördliche "Vorgaben" nicht möglich. Zudem fehlen oftmals die Ressourcen, um mit einer IT- und Rechtsabteilung eine eigene datenschutzrechtliche Bewertung oder die notwendige technische Feinabstimmung vornehmen zu können. Vielen Adressaten bleibt daher nur die Entscheidung, das digitale Team-Meeting entweder abzuhalten oder abzusagen.

Die Kommunikationsstrategie der Datenschutzbehörden bewirkt zweierlei. Einerseits gehen viele – auch professionelle – Akteure das Risiko eines Verstoßes zurzeit bewusst (oder unbewusst) ein, wenn sie die Verwendung gängiger Software für unersetzlich halten. Neben zahlreichen Unternehmen betrifft dies auch den Bildungssektor. Viele Hochschulen nutzen Zoom bereits oder haben dies angekündigt oder erwogen und auch im Schulbetrieb wird Zoom eingesetzt.

Zugleich bewirkt sie aber auch einen chilling effect, da sie die nunmehr aufgekommene Rechtsunsicherheit noch verstärkt. Zurzeit scheinen deutliche Stellungnahmen ausschließlich von Datenschutzpraktikern zu kommen. Solche Erklärungen und Prüfungen schaffen aber natürlich keine verbindliche Rechtssicherheit. Viele IT- und Rechtsabteilungen raten daher weiterhin deutlich von einer Verwendung ab.

Handlungsalternativen erwägen

Beide Folgen sind höchst unbefriedigend, schwächen das Datenschutzrecht und bestärken im schlimmsten Fall das Narrativ des Datenschutzrechts als ein "Innovationsverhinderungsrecht". Dabei bestünden für die Datenschutzbehörden durchaus Möglichkeiten, in Anbetracht der tatsächlichen und rechtlichen Unsicherheiten über die Datenschutzkonformität gängiger Videokonferenzsoftware aktiv zu werden. Deren Nutzung müsste dabei keinesfalls gänzlich untersagt werden. Neben der Ausgabe konkreter(er) Handlungsanweisungen, wie sie von anderen Stellen durchaus erarbeitet wurden, wäre jedoch eine Einschränkung der Aufsichtstätigkeit gefordert. So schlug bereits der rheinland-pfälzische Datenschutzbeauftragte "eine gewisse Nachsicht" seitens der Datenschutzbehörden vor, um Unternehmen in der derzeitigen Krise nicht zu überfordern. Seine Vorschläge gehen in die richtige Richtung, jedoch nicht weit genug.

Zu erwägen ist insbesondere die zeitweise Einschränkung repressiver Maßnahmen. Die Behörden könnten zur Ahndung von Verstößen vorrangig auf Verwarnungen anstelle von Bußgeldern setzen. Zudem bietet sich eine großzügige Handhabung bei der Einleitung oder Einstellung von Verfahren an. Dabei ließen sich die im Datenschutzrecht angelegten Abstufungen berücksichtigen, indem etwa bestimmte Nutzungsweisen oder die Übermittlung besonders geschützter (Gesundheits-)Daten von einer solchen "Corona-Regelung" ausgenommen werden. Ihrer Legalitätspflicht würden die Datenschutzbehörden damit weiterhin entsprechen. Denn selbst im Fall einer Individualbeschwerde (Art. 77 DSGVO) sind sie zwar zur sorgfältigen Prüfung, nicht aber zu bestimmten Aufsichtsmaßnahmen verpflichtet. Zugleich würde ein solches Vorgehen jedoch Planungssicherheit schaffen.

Die Datenschutzbehörden befinden sich in der Coronakrise in einer Zwickmühle. Statt möglicherweise unzulässige Dienste zu verbieten oder aber den bestehenden Unsicherheiten abzuhelfen, beschränken sie sich auf allgemeine Ratschläge. Indem sie etwa von der Verwendung bestimmter Dienste "abraten", erzeugen sie jedoch zusätzliche Unsicherheit und nicht zuletzt auch wirtschaftliche und ideelle Schäden, wenn Unternehmen, Bildungseinrichtungen und sonstige Institutionen ihre Kommunikation und damit auch ihre Tätigkeit über Gebühr einschränken. Es bleibt daher zu hoffen, dass die Datenschutzbehörden in ihren Überlegungen – auch auf Ebene des European Data Protection Boards – bereits fortgeschritten sind und bald eindeutige Hinweise kommunizieren können.

Nico Schröter, LL.M. (LSE) ist wissenschaftlicher Mitarbeiter an der Bucerius Law School in Hamburg. Ass. jur. Lukas Zöllner ist wissenschaftlicher Mitarbeiter an der Johannes Gutenberg-Universität Mainz.