Digitalisierung der Justiz - 3. März 2022

War denn da noch was?

Bei aller Euphorie über den Fortschritt und die Zunahme digitaler Gerichtsverhandlungen, die voll im Trend stehen, darf man eines nicht übersehen: Sind die Verfahren aus datenschutzrechtlichen Erwägungen sicher oder drohen nicht vielmehr sogar massive Verstöße gegen den Datenschutz?

Hinsichtlich des Datenschutzes liegen die möglichen Ver­letzungen eigentlich auf der Hand. Alle auf digitalem Weg übertragenen Daten sind personenbezogene Daten, womit der Anwendungsbereich der EU-Datenschutz-Grundverordnung (DS-GVO) in jedem Fall eröffnet ist. Das gilt nicht nur für die in einer Verhandlung genannten konkreten Informationen, son­dern auch für den Klang der Stimme oder das Aussehen der Beteiligten, die über Ton- und Bilddaten übertragen werden.

Grundsätze

Jede Datenverarbeitung muss nach den Regelungen der DS-GVO in rechtmäßiger Art und Weise erfolgen. Es gelten die Grundsätze des Art. 5 DS-GVO, unter anderem Rechtmäßigkeit, Zweckbindung, Datenminimierung und Rechenschaftspflicht. Nach Art. 6 Abs. 1 DS-GVO ist zudem eine Datenverarbeitung nur rechtmäßig, wenn einer oder mehrere der dort bezeichne­ten sechs konkreten Tatbestände vorliegen, kurz: a) Einwilli­gung, b) Vertrag, c) rechtliche Verpflichtung, d) zum Schutz ei­nes lebenswichtigen Interesses, e) in Wahrnehmung einer öf­fentlichen Aufgabe und f) bei Vorliegen eines berechtigten Inte­resses. Die Rechtmäßigkeitstatbestände können grundsätzlich nebeneinander bestehen. Sie können aber auch kollidieren.

Auftragsverarbeiter und Sicherungsmaßnahmen

Bei Verwendung von Software-as-a-Service (SaaS)-Lösungen ist weiter zu berücksichtigen, dass deren Anbieter Auftrags­verarbeiter oder gar selbst Verantwortliche im Sinne von Art. 26 DS-GVO wären. Auch deren Datenverarbeitung muss legitimiert im Sinne der Art. 6 ff. DS-GVO sein. Oder es liegt nach Art. 28 ff. DS-GVO ein Auftragsverarbeitungsvertrag mit entsprechenden Garantien vor. Das Gericht hat als verant­wortliche Stelle demnach eine Reihe von Pflichten zu erfül­len, mit den Anbietern Auftragsverarbeitungsverträge oder einen Joint Controll Contract nach Art. 26 Abs. 1 DS-GVO ab­zuschließen, ein Verarbeitungsverzeichnis zu erstellen und eine Risikoabwägung in Form einer Datenschutzfolgenab­schätzung vorzunehmen. In diesen Fällen wären schließlich noch technische und organisatorische Maßnahmen zur Sicherung des Datenschutzstandards zu ergreifen und zu doku­mentieren.

Verarbeitung sensitiver Daten

Denn aufgrund des Kontexts sowie des Verarbeitungszwecks der Datenverarbeitung im Rahmen einer Gerichtsverhandlung kann mit einer hohen statistischen Wahrscheinlichkeit auf sen­sitive Inhalte im Sinne von Art. 9 DS-GVO geschlossen werden. Das wäre der Fall, wenn der höchstpersönliche Lebensbereich, die sexuelle oder religiöse Orientierung, ethnische Herkunft, biometrische oder Gesundheitsdaten betroffen sind. Eine Er­wähnung solcher Umstände lässt sich der Erfahrung nach in der forensischen Praxis kaum ausschließen. Zudem werden die biometrischen Daten der Beteiligten durch die Bild- und Tonübertragung unweigerlich verarbeitet.

Legitimität der Datenverarbeitung

Welcher Rechtmäßigkeitsgrund nach Art. 6 DS-GVO für eine Da­tenübertragung infrage kommt, ist daher zunächst für das ver­handelnde Gericht und in einem zweiten Schritt für die verwen­dete Technik zu beurteilen. Zunächst fallen die Tatbestände der lebenswichtigen Interessen (Art. 6 Abs. 1 lit. d DS-GVO), des Vertrags (Art. 6 Abs. 1 lit. b DS-GVO) sowie der berechtigten In­teressen (Art. 6 Abs. 1 lit. f DS-GVO) nach meiner Ansicht weg. Die Tatbestände der Wahrnehmung einer öffentlichen Aufgabe oder öffentlichen Gewalt (Art. 6 Abs. 1 lit. e DS-GVO) bedürfen ebenso wie die Datenverarbeitung in Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DS-GVO) einer konkreten ge­setzlichen Grundlage (Art. 6 Abs. 3 DS-GVO). Die diskutierte Va­riante, ob dies über § 3 Bundesdatenschutzgesetz (BDSG) zu lö­sen wäre, käme allenfalls für den Fall infrage, dass keinerlei Da­ten durch Auftragsverarbeiter weiterverarbeitet werden.

Einwilligung in die Datenverarbeitung

Es bliebe daher nur der Tatbestand einer Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO in die Datenverarbeitung übrig. Des­sen Voraussetzungen richten sich nach Art. 4 Nr. 5, 6, 11 Abs. 1 lit. a und 7 DS-GVO und sind keineswegs so trivial wie oft ge­handhabt. Zunächst muss die Einwilligung ausdrücklich, freiwil­lig, in informierter Weise sowie für den bestimmten Fall erfol­gen. Es ist daher erforderlich, dass das Gericht die Einwilligung in die Datenverarbeitung einholt und dabei umfassend über die Art und Weise der Datenverarbeitung sowie die Weitergabe an Dritte informiert. Die Ansicht, dass mit der Klageerhebung eine konkludente Einwilligung in die Datenverarbeitung abgegeben wird, stößt auf große Bedenken. Konkludent ist nicht ausdrück­lich. Ohnehin könnte dies nur für den Kläger gelten und aus­schließlich für den durch die Klage verfolgten Zweck. Auch die Freiwilligkeit der Einwilligung dürfte im Zusammenhang mit ei­nem Gerichtsverfahren zweifelhaft sein. Die Freiwilligkeit hat selbstverständlich ohne Druck zu erfolgen. Die Prüfung, ob eine Freiwilligkeit vorliegt, soll im Fall eines Über- und Unterord­nungsverhältnisses negativ ausfallen. Keinesfalls wäre mit der Einwilligung zudem eine Weitergabe der Daten an Dritte inten­diert, wenn hierüber nicht ausdrücklich und umfassend infor­miert wurde. Schließlich muss bei der Prüfung der Einwilligung berücksichtigt werden, dass einem Gericht aufgrund seiner Au­torität eine rechtskonforme Durchführung der Videokonferenz unterstellt wird. Dies ist im Falle einer Einbeziehung von SaaS-Konferenzen jedoch kaum zu realisieren. Jedenfalls ist kein Fall bekannt, in dem ein Gericht die hier nur angedeuteten Voraus­setzungen für die Zusammenarbeit mit den Anbietern von Cloud-Software geschaffen hätte. Die Berliner Gerichte, so mei­ne eigene Erfahrung, nutzen die Software von Cisco Webex, für die die Berliner Beauftragte für Datenschutz und Informations­freiheit keine Unbedenklichkeit bescheinigen will.

Auftragsverarbeiter in Drittstaaten

Vor dem Hintergrund dieser Problematik ist die Frage nach­rangig, wie eine Weitergabe von Daten durch die Auftragsver­arbeiter in Drittstaaten zu bewerten wäre, die außerhalb des Geltungsbereichs der DS-GVO liegen. Nach den Schrems-Ur­teilen des Europäischen Gerichtshofs (EuGH) ist dies nur unter weiteren komplexen Voraussetzungen überhaupt denkbar.

Fazit

Bei der Zulässigkeit von Gerichtsverhandlungen in Distanz kommt es erheblich auf die Art des verwendeten Konferenz­systems an. Datenverarbeitungen durch die SaaS-Systeme bei den Auftragsverarbeitern selbst erscheinen als höchst proble­matisch. Hauseigene Anlagen dürften mit Blick auf die Daten­sicherheit und den Datenschutz geeignet sein, solange nicht im Hintergrund wieder auf Software zurückgegriffen wird, die Nutzerdaten oder Daten zur Telemetrie außer Haus verarbei­tet. Open-Source-Lösungen kleinerer Anbieter bieten durch Datenminimierung ein hohes Datenschutzniveau, sind flexibel auf dem Laptop zu handhaben und in der Regel vergleichswei­se kostengünstig; leider stehen sie derzeit noch kaum im Fo­kus der Beteiligten.

Zum Autor

OR
Oliver Rosbach

Rechtsanwalt und Fachanwalt für Wohnungseigentums- und Mietrecht in Nürnberg

Weitere Artikel des Autors