Bei aller Euphorie über den Fortschritt und die Zunahme digitaler Gerichtsverhandlungen, die voll im Trend stehen, darf man eines nicht übersehen: Sind die Verfahren aus datenschutzrechtlichen Erwägungen sicher oder drohen nicht vielmehr sogar massive Verstöße gegen den Datenschutz?
Hinsichtlich des Datenschutzes liegen die möglichen Verletzungen eigentlich auf der Hand. Alle auf digitalem Weg übertragenen Daten sind personenbezogene Daten, womit der Anwendungsbereich der EU-Datenschutz-Grundverordnung (DS-GVO) in jedem Fall eröffnet ist. Das gilt nicht nur für die in einer Verhandlung genannten konkreten Informationen, sondern auch für den Klang der Stimme oder das Aussehen der Beteiligten, die über Ton- und Bilddaten übertragen werden.
Grundsätze
Jede Datenverarbeitung muss nach den Regelungen der DS-GVO in rechtmäßiger Art und Weise erfolgen. Es gelten die Grundsätze des Art. 5 DS-GVO, unter anderem Rechtmäßigkeit, Zweckbindung, Datenminimierung und Rechenschaftspflicht. Nach Art. 6 Abs. 1 DS-GVO ist zudem eine Datenverarbeitung nur rechtmäßig, wenn einer oder mehrere der dort bezeichneten sechs konkreten Tatbestände vorliegen, kurz: a) Einwilligung, b) Vertrag, c) rechtliche Verpflichtung, d) zum Schutz eines lebenswichtigen Interesses, e) in Wahrnehmung einer öffentlichen Aufgabe und f) bei Vorliegen eines berechtigten Interesses. Die Rechtmäßigkeitstatbestände können grundsätzlich nebeneinander bestehen. Sie können aber auch kollidieren.
Auftragsverarbeiter und Sicherungsmaßnahmen
Bei Verwendung von Software-as-a-Service (SaaS)-Lösungen ist weiter zu berücksichtigen, dass deren Anbieter Auftragsverarbeiter oder gar selbst Verantwortliche im Sinne von Art. 26 DS-GVO wären. Auch deren Datenverarbeitung muss legitimiert im Sinne der Art. 6 ff. DS-GVO sein. Oder es liegt nach Art. 28 ff. DS-GVO ein Auftragsverarbeitungsvertrag mit entsprechenden Garantien vor. Das Gericht hat als verantwortliche Stelle demnach eine Reihe von Pflichten zu erfüllen, mit den Anbietern Auftragsverarbeitungsverträge oder einen Joint Controll Contract nach Art. 26 Abs. 1 DS-GVO abzuschließen, ein Verarbeitungsverzeichnis zu erstellen und eine Risikoabwägung in Form einer Datenschutzfolgenabschätzung vorzunehmen. In diesen Fällen wären schließlich noch technische und organisatorische Maßnahmen zur Sicherung des Datenschutzstandards zu ergreifen und zu dokumentieren.
Verarbeitung sensitiver Daten
Denn aufgrund des Kontexts sowie des Verarbeitungszwecks der Datenverarbeitung im Rahmen einer Gerichtsverhandlung kann mit einer hohen statistischen Wahrscheinlichkeit auf sensitive Inhalte im Sinne von Art. 9 DS-GVO geschlossen werden. Das wäre der Fall, wenn der höchstpersönliche Lebensbereich, die sexuelle oder religiöse Orientierung, ethnische Herkunft, biometrische oder Gesundheitsdaten betroffen sind. Eine Erwähnung solcher Umstände lässt sich der Erfahrung nach in der forensischen Praxis kaum ausschließen. Zudem werden die biometrischen Daten der Beteiligten durch die Bild- und Tonübertragung unweigerlich verarbeitet.
Legitimität der Datenverarbeitung
Welcher Rechtmäßigkeitsgrund nach Art. 6 DS-GVO für eine Datenübertragung infrage kommt, ist daher zunächst für das verhandelnde Gericht und in einem zweiten Schritt für die verwendete Technik zu beurteilen. Zunächst fallen die Tatbestände der lebenswichtigen Interessen (Art. 6 Abs. 1 lit. d DS-GVO), des Vertrags (Art. 6 Abs. 1 lit. b DS-GVO) sowie der berechtigten Interessen (Art. 6 Abs. 1 lit. f DS-GVO) nach meiner Ansicht weg. Die Tatbestände der Wahrnehmung einer öffentlichen Aufgabe oder öffentlichen Gewalt (Art. 6 Abs. 1 lit. e DS-GVO) bedürfen ebenso wie die Datenverarbeitung in Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DS-GVO) einer konkreten gesetzlichen Grundlage (Art. 6 Abs. 3 DS-GVO). Die diskutierte Variante, ob dies über § 3 Bundesdatenschutzgesetz (BDSG) zu lösen wäre, käme allenfalls für den Fall infrage, dass keinerlei Daten durch Auftragsverarbeiter weiterverarbeitet werden.
Einwilligung in die Datenverarbeitung
Es bliebe daher nur der Tatbestand einer Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO in die Datenverarbeitung übrig. Dessen Voraussetzungen richten sich nach Art. 4 Nr. 5, 6, 11 Abs. 1 lit. a und 7 DS-GVO und sind keineswegs so trivial wie oft gehandhabt. Zunächst muss die Einwilligung ausdrücklich, freiwillig, in informierter Weise sowie für den bestimmten Fall erfolgen. Es ist daher erforderlich, dass das Gericht die Einwilligung in die Datenverarbeitung einholt und dabei umfassend über die Art und Weise der Datenverarbeitung sowie die Weitergabe an Dritte informiert. Die Ansicht, dass mit der Klageerhebung eine konkludente Einwilligung in die Datenverarbeitung abgegeben wird, stößt auf große Bedenken. Konkludent ist nicht ausdrücklich. Ohnehin könnte dies nur für den Kläger gelten und ausschließlich für den durch die Klage verfolgten Zweck. Auch die Freiwilligkeit der Einwilligung dürfte im Zusammenhang mit einem Gerichtsverfahren zweifelhaft sein. Die Freiwilligkeit hat selbstverständlich ohne Druck zu erfolgen. Die Prüfung, ob eine Freiwilligkeit vorliegt, soll im Fall eines Über- und Unterordnungsverhältnisses negativ ausfallen. Keinesfalls wäre mit der Einwilligung zudem eine Weitergabe der Daten an Dritte intendiert, wenn hierüber nicht ausdrücklich und umfassend informiert wurde. Schließlich muss bei der Prüfung der Einwilligung berücksichtigt werden, dass einem Gericht aufgrund seiner Autorität eine rechtskonforme Durchführung der Videokonferenz unterstellt wird. Dies ist im Falle einer Einbeziehung von SaaS-Konferenzen jedoch kaum zu realisieren. Jedenfalls ist kein Fall bekannt, in dem ein Gericht die hier nur angedeuteten Voraussetzungen für die Zusammenarbeit mit den Anbietern von Cloud-Software geschaffen hätte. Die Berliner Gerichte, so meine eigene Erfahrung, nutzen die Software von Cisco Webex, für die die Berliner Beauftragte für Datenschutz und Informationsfreiheit keine Unbedenklichkeit bescheinigen will.
Auftragsverarbeiter in Drittstaaten
Vor dem Hintergrund dieser Problematik ist die Frage nachrangig, wie eine Weitergabe von Daten durch die Auftragsverarbeiter in Drittstaaten zu bewerten wäre, die außerhalb des Geltungsbereichs der DS-GVO liegen. Nach den Schrems-Urteilen des Europäischen Gerichtshofs (EuGH) ist dies nur unter weiteren komplexen Voraussetzungen überhaupt denkbar.
Fazit
Bei der Zulässigkeit von Gerichtsverhandlungen in Distanz kommt es erheblich auf die Art des verwendeten Konferenzsystems an. Datenverarbeitungen durch die SaaS-Systeme bei den Auftragsverarbeitern selbst erscheinen als höchst problematisch. Hauseigene Anlagen dürften mit Blick auf die Datensicherheit und den Datenschutz geeignet sein, solange nicht im Hintergrund wieder auf Software zurückgegriffen wird, die Nutzerdaten oder Daten zur Telemetrie außer Haus verarbeitet. Open-Source-Lösungen kleinerer Anbieter bieten durch Datenminimierung ein hohes Datenschutzniveau, sind flexibel auf dem Laptop zu handhaben und in der Regel vergleichsweise kostengünstig; leider stehen sie derzeit noch kaum im Fokus der Beteiligten.
MEHR DAZU
Präsenzseminar „Der zertifizierte Datenschutzbeauftragte in der Kanzlei (TÜV)“,
DATEV-Consulting „Datenschutz-Beratungen“