Katholische Datenschutzaufsicht Ost hält "Zoom" für zulässig
Die Katholische Datenschutzaufsicht (KDSA) Ost hält ein generelles Verbot der Verwendung von Videokonferenzsystemen wie Zoom für "nicht zwingend veranlasst". In seinem am Dienstag veröffentlichten Tätigkeitsbericht für das Jahr 2020 betont der Diözesandatenschutzbeauftragte Matthias Ullrich, dass der Dienst "Zoom" im vergangenen Jahr nach diversen Sicherheitsbedenken zwischenzeitlich nachgebessert habe und datenschutzfreundlichere Einstellungsmöglichkeiten biete, darunter eine Festlegung, in welchen Rechenzentren die Daten verarbeitet werden.
Zwar sprechen die Datenschutzaufsichtsbehörden grundsätzlich keine konkreten Produktempfehlungen aus. Im Tätigkeitsbericht werden jedoch die Anforderungen an ein datenschutzkonformes Videokonferenzsystemen gemäß kirchlichem Datenschutzrecht am Beispiel von "Zoom" dargestellt. Zu prüfen sei dabei insbesondere, wie und wo die Daten, die über die IP-Adresse und die "zum Betrieb der Videoübertragung naturgemäß erforderlichen personenbezogenen Daten wie Sprache und Bild" verarbeitet werden. Dabei sei auch der Einsatzzweck bei einer Beurteilung zu berücksichtigen: Während eine Verwendung für Ehe-, Lebens- und Schuldnerberatungen nicht in Frage käme, ist eine Nutzung für Webinare, Vorträge oder Besprechungen laut dem Tätigkeitsbericht möglich. Dabei dürfe es aber nicht um personenbezogene oder sicherheitsrelevante Daten gehen. Vor der Videokonferenz ist die Einwilligung der Beteiligten einzuholen, außerdem müssen Informationen zum Datenschutz zur Verfügung gestellt werden. Zudem müssen Verantwortliche regelmäßig überprüfen, ob die gewählte Lösung in ihrer aktuellen Version noch datenschutzrechtlich zulässig ist.
Die KDSA Ost nutzt auch selbst seit Anfang des Jahres "Zoom" für ihr Angebot einer öffentlichen Video-Sprechstunde. Sie ist die erste der kirchlichen Aufsichtsbehörden, die sich so deutlich zur Verwendung von Videokonferenzsystemen äußert und dabei auch die Nutzung US-amerikanischer Lösungen nach aktueller Rechtslage nicht generell ausschließt. Bereits im April 2020 hatte die Datenschutzaufsicht für die Südwest-Bistümer einen Leitfaden für Online-Meeting-Tools veröffentlicht, allerdings vor dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs im Sommer, das die Datenübertragung in die USA vor fast unüberwindbare Probleme gestellt hatte. (fxn)