Die Datenschutzgrundverordnung (DSGVO) sorgt für einen strengeren Umgang mit sensiblen Daten. Vor allem Videokonferenzsysteme (VKS), die in der öffentlichen Verwaltung benutzt werden, sind davon betroffen. Je nach datenschutzrechtlicher Einordnung wird auch die Nutzung von proprietärer Software wie MS Teams und Cisco Webex in den Landesverwaltungen genehmigt – die Entscheidungen dafür tragen allerdings die jeweiligen Stellen in eigener Verantwortung, so Dr. Horst Baier, CIO des Landes Niedersachsen.
Die Landesverwaltung nutze vor allem Microsoft Skype for Business. Bei der Arbeit mit Externen, seien Videokonferenzen auch mit Jitsi oder Webex möglich, erklärte Baier. Das Landesministerium würde keine Guidelines zur Nutzung von VKS zur Verfügung stellen, dies unterliege den „jeweiligen Stellen in eigener Verantwortung“, so der Niedersachsen-CIO. Es sei dabei im Einzelfall zu entscheiden, welches VKS für welche Situation verwendet werden sollte.
Die Landesbeauftragter für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, weist daraufhin, dass der Einsatz von VKS nur unter den Anforderungen der DSGVO zulässig sei. Der Behörde sei allerdings nicht bekannt, welche Systeme in Niedersachsen benutzt werden würden. Datenschutzrechtliche Prüfungen von VKS in Land und Kommunen seien bisher nicht durchgeführt worden, konstatierte die Datenschutzbeauftragte.
Allerdings habe die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) bereits 2020 Orientierungshilfen und Checklisten für die Nutzung von VKS verfasst. Den zentralen Positionen der Veröffentlichungen habe sich auch das LfD Niedersachsen angeschlossen, so Thiel.
Hohe DSGVO-Anforderungen
Bei VKS wie MS Teams und Cisco Webex seien grundsätzlich DSGVO-Anforderungen nicht vollends umsetzbar. Dafür verantwortlich seien die Nutzerdatenübertragungen an die Vereinigten Staaten, urteilte 2020 der Europäische Gerichtshof (EuGH). Grundsätzlich sei die Übermittlung von personenbezogenen Daten in Drittstaaten möglich. Dies gelte allerdings nur, wenn dort ein vergleichbares Schutzniveau wie in der EU existiere. Das Privacy-Shield-Abkommen würde allerdings keinen ausreichenden Schutz gegen nachrichtendienstliche Aufforderungen bieten, schlussfolgerte damals das EuGH. Vor allem im Bereich des digitalen Schulunterrichtes wird die Nutzung von VKS kontrovers diskutiert. In Rheinland-Pfalz war von der Landesregierung im Juni die Nutzung von MS-Teams dort untersagt worden.
IT-Sicherheit für Datenschutz essenziell
Für Thiel ist neben des Datenschutzes die IT-Sicherheit bei VKS von immenser Bedeutung: „Ohne IT-Sicherheit können die Ziele des Datenschutzes nicht erreicht werden, da IT-Sicherheit einige wesentliche Schutzziele des Datenschutzes abdeckt.“ Es muss also, neben der DSGVO – auch die technische Struktur der VKS in den Fokus genommen werden.
