Microsoft 365 (der neue Name von Office 365) wird bereits von vielen Unternehmen eingesetzt oder der Einsatz befindet sich in Planung. Dies ist allerdings nur eins der bekanntesten Beispiele, bei denen es aus Datenschutzsicht um eine Übermittlung und Verarbeitung personenbezogener Daten außerhalb der EU geht. Bei der Anforderung an eine dezentrale Struktur mit hohem Homeoffice-Anteil liegt der Fokus ebenso auch auf Videokonferenzsystemen, wie z.B. Zoom oder dem zu Microsoft 365 gehörenden Teams. Wie kann die Datenübermittlung rechtssicher gestaltet werden?
Rechtsgrundlage gemäß Datenschutzgrundverordnung (DSGVO)
Auch wenn das Privacy Shield (USA) und die EU-Standardvertragsklauseln viel diskutiert werden, können sie - bis zu einer anderslautenden Rechtsprechung oder Gesetzesänderung - als erforderliche Rechtsgrundlage für die Übermittlung (Art. 45 DSGVO) und Auftragsverarbeitung außerhalb der EU (Art. 28 Abs. 6 DSGVO) herangezogen werden.
UPDATE zum EU-US Privacy Shield vom 16.07.2020
Umsetzung in der evangelischen Kirche (EKD)
Gemäß § 10 Abs. 1 Ziff. 2 im Datenschutzgesetz der Evangelischen Kirche in Deutschland (DSG-EKD) können die EU-Standardvertragsklauseln auch hier als geeignete Garantien bei der Umsetzung der Anforderungen an eine Auftragsverarbeitung verwendet werden.
Die EKD hat in einer „Entschließung zur Nutzung von Microsoft Cloud-Diensten“ Anforderungen für die Umsetzung aufgeführt: https://datenschutz.ekd.de/wp-content/uploads/2019/04/Entschlie%C3%9Fung_Microsoft.pdf
Diskussion in Bezug zur Umsetzung in der katholischen Kirche
Der Einsatz von EU-Standardvertragsklauseln im Rahmen von Auftragsverarbeitungen für katholische Einrichtungen ist bei strenger Auslegung von § 29 Abs. 11 im katholischen Datenschutzgesetz (KDG) nicht zulässig, da sich der Absatz im Wortlaut ausschließlich auf § 40 Abs. 1 KDG bezieht und die EU-Standardvertragsklauseln in § 40 Abs. 2 KDG genannt werden.
Auf eine Anfrage beim katholischen Datenschutzzentrum in Dortmund haben wir jedoch folgende Antwort erhalten, wonach EU-Standardvertragsklauseln de facto als geeignete Garantien herangezogen werden können.
Die Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche vertritt folgende Auffassung:
„In § 29 Abs. 11 KDG wird zwar explizit nur auf § 40 Abs. 1 KDG verwiesen, doch schließt der Wortlaut der gesamten Vorschrift einen Verweis auf § 40 Abs. 2 ebenso mit ein. § 29 Abs. 11 erlaubt nämlich die Feststellung durch die zuständige oder eine andere Datenschutzaufsicht, dass im Drittstaat ein angemessenes Datenschutzniveau besteht. Nichts anderes bedeutet der Inhalt des § 40 Abs. 2 KDG wenn auch mit der Maßgabe, dass die Feststellung durch eine Datenschutzaufsicht getroffen werden muss und nicht durch den Verantwortlichen selbst.“
Fazit
Neben den eigenen Unternehmensanforderungen an Funktionen und Preise von Software- und Cloudlösungen ist es genauso wichtig, die Anforderungen aus Datenschutzsicht vorab zu prüfen.
Nähere Infos zu Datenschutz bei Videokonferenzsystem finden Sie hier: https://niedersachsen.digital/videokonferenzsysteme-werkzeuge-fuer-die-digitale-zusammenarbeit-videobeitrag/