Spätestens seit dem “Schrems II – Urteil” des Europäischen Gerichtshofs (EuGH) steht der Transfer personenbezogener Daten in die USA im Fokus der Behörden und zivilgesellschaftlicher Datenschutzorganisationen. Nur wenige Unternehmen können sich den Luxus leisten, gänzlich auf jeglichen Transfer personenbezogener Daten in die USA zu verzichten. Eine mögliche Lösung bietet nun der hessische Landesbeauftragte für Datenschutz und Informationsfreiheit.
Das hessische Modell – Zoom Konferenzen für Hochschulen unter Bedingungen erlaubt.
Der hessische Landesdatenschutzbeauftragte hat den Landes-Hochschulen erlaubt, unter bestimmten Bedingungen die Videokonferenzsoftware Zoom einzusetzen. Die Voraussetzungen für den Einsatz in Kurzform:
- Es muss zwingend ein in der EU ansässiger Auftragsverarbeiter, der die Zoom Software auf Servern in Europa betreibt und mit Zoom abrechnet, zwischengeschaltet werden.
- Personenbezogene Daten dürfen nicht in die USA übermittelt werden.
- Der Auftragsverarbeiter muss zwingend mit Zoom die aktuellen Standardvertragsklauseln angepasst auf die Anwendung abgeschlossen haben, mit dem Auftragsverarbeiter ist ein entsprechender Vertrag nach Art. 28 abzuschließen.
- Mit technisch-organisatorischen Maßnahmen, beispielsweise durch Monitoring, stellt der Auftragsverarbeiter sicher, dass kein illegitimer Datenabfluss in die USA stattfindet.
- Verbindungs-, Telemetrie- und Diagnosedatenübermittlungen sind soweit technisch möglich einzuschränken.
- Die Hochschulen betreiben ein Identitätsmanagementsystem, das sicherstellt, dass keine Übermittlung von Klarnamen an Zoom erfolgt.
- Funktionalitäten, die nur durch die Übermittlung personenbezogener Daten möglich sind, müssen abgeschaltet und deaktiviert werden.
- Ende-zu-Ende Verschlüsselung muss aktiviert sein, die Schlüssel verbleiben bei der Hochschule.
- Die Hochschule bietet den Nutzern des Zoom-Dienstes ein VPN an, damit keine IP Adressen direkt an Zoom übermittelt werden.
- Die Hochschule muss zwingend ein alternatives Videokonferenzsystem für alle User anbieten, die Zoom nicht nutzen wollen.
- Die Informationspflichten nach Art. 13 DSGVO sind zu erfüllen.
Das Modell, hier konkret für die Videokonferenzsoftware Zoom, lässt sich durchaus auch auf andere Bereiche übertragen. Im Kontext von Microsoft 365 hatten wir bereits über ähnliche Modelle, die in der Entwicklungsphase sind, berichtet. Die Nutzung von EU Treuhändern, die Garantien für die Einhaltung datenschutzrechtlicher Bestimmungen bieten und nicht der US-amerikanischen Gesetzgebung wie FISA unterliegen, könnte ein Weg werden, das Dilemma des US-Datentransfers aufzulösen.
Saubere Verträge und Audits schützen Verantwortliche vor unangenehmen Überraschungen
Art. 28 DSGVO regelt die Verantwortlichkeiten bei der Auftragsverarbeitung durch Dritte. Unternehmen sind gehalten, über die vertraglichen Grundlagen hinaus, Auftragsverarbeiter auf die Einhaltung der vereinbarten Bedingungen zu kontrollieren. Datenschutz-Audits sind eine Möglichkeit.