Videokonferenzen und Datenschutz: Cisco Webex am EuGH ist rechtskonform
Der EU-Datenschutzbeauftragte erklärt die Nutzung von Cloud-Videokonferenzdiensten am EuGH für vereinbar mit dem Datenschutzrecht. Dies gelte nicht generell.
(Bild: peterschreiber.media/Shutterstock.com)
Der Europäische Gerichtshof (EuGH) setzt nicht zuletzt seit der Corona-Pandemie verstärkt auf Online-Übertragungen. Nun darf er eine speziell angepasste Form von Cisco Webex zunächst weiter einsetzen: Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hat die Installation des Cloud-gestützten Videokonferenzdienstes sowie zugehöriger Online-Services begutachtet und ist zu dem Schluss gekommen, dass diese die Standards gemäß der speziellen Datenschutzverordnung von 2018 erfüllt, die für Organe, Einrichtungen, Ämter und Agenturen der EU gilt. Der Kontrolleur hat diese Entscheidung nach eigenen Angaben auf Basis einer überarbeiteten Vereinbarung zwischen dem EuGH und Cisco erlassen. Diese stelle sicher, dass die Verarbeitung personenbezogener Daten prinzipiell nur in der EU beziehungsweise im Europäische Wirtschaftsraum (EWR) erfolgt.
Auflagen gerecht werden
Wiewiórowski begrüßt in seinem Beschluss vor allem, dass der Gerichtshof "technische und organisatorische Maßnahmen" getroffen habe, um die mit einem potenziell doch noch möglichen Transfer personenbezogener Daten in Drittstaaten verbundenen Risiken abzumildern. EU-Institutionen müssten "bei ihrer täglichen Arbeit die Grundrechte des Einzelnen und insbesondere die Datenschutzbestimmungen wahren, wenn sie Videokonferenztools nutzen", betonte der Chef der Aufsichtsbehörde am Freitag. Dies gelte umso mehr, wenn es bei der Nutzung dieser Programme zu einer Übermittlung personenbezogener Daten in Länder außerhalb der EU und des EWR kommen könne. Dies führe "zu erhöhten Risiken für die Rechte und Freiheiten" der Betroffenen. Der EuGH sei hier mit gutem Beispiel vorangegangen, "um wesentliche Änderungen von Cisco zu erreichen".
Zugleich gab Wiewiórowski der Hoffnung Ausdruck, dass dieser Erfolg als Beispiel für andere EU-Einrichtungen dienen werde. Er erinnerte diese an ihre Pflicht, bei der Nutzung cloudbasierter Dienste das Datenschutzrecht einzuhalten. Datenschutz-Folgeschätzungen seien ein Mittel, um dieser Auflage gerecht zu werden. In den kommenden Monaten werde seine Behörde in dieser Angelegenheit weiter mit den internen Datenschutzbeauftragten der EU-Institutionen zusammenarbeiten und "einschlägige Ratschläge und Anleitungen" bereitstellen. Der Europäische Gerichtshof (EuGH) befand 2020 im "Schrems-II"-Urteil, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act weiterhin eine Massenüberwachung ermöglichen und der Datenschutzstandard in den USA so nicht dem in der EU entspricht. Ein neues Abkommen soll Abhilfe schaffen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Keine "allgemeine Befürwortung oder Zertifizierung"
Der Entscheidung Wiewiórowskis ist auch zu entnehmen, dass die Aufseher bislang keine eingehenderen Untersuchungen oder Vor-Ort-Kontrollen rund um den Fluss personenbezogener Daten bei der Nutzung von Webex durch das Gericht durchgeführt haben. Es handele sich zudem "weder um eine allgemeine Befürwortung noch um eine Zertifizierung der Datenschutzkonformität" der Cisco-Videokonferenzdienste. In einem Kurztest der Berliner Datenschutzbehörde 2020 waren verbreite Systeme wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting und Webex noch durchgefallen.
Anfang Juli gab Cisco bekannt, Webex habe als erste Videokonferenzlösung die höchste Stufe des europäischen "Scope-Verhaltenskodex" erlangt. Dies belegt erneut Ciscos Engagement für Datenschutz und sicheres Hybrid Work. Dabei geht es um die einheitliche Durchsetzung der europäischen Datenschutzstandards für Cloud-Anwendungen sicherstellen soll. Zur Überprüfung müssen Diensteanbieter nachweisen, dass die Verarbeitung personenbezogener Daten in ihren Angeboten mit der Datenschutz-Grundverordnung (DSGVO) konform ist. Webex habe dafür eine unabhängige Bewertung und Prüfung durch Dritte durchlaufen müssen. Cisco bietet Webex-Kunden seit 2021 die Option, ihre Daten in Rechenzentren in Frankfurt und Amsterdam zu speichern.
(tiw)
