Ri 02/2020: Gewaagt digital.

Ri 02/2020: Navigation

Ri 02/2020: Beitrag

Build your own desaster

Datenschutz und BYOD bei Videokonferenzen im Zivilprozess

Katrin Kirchert, LLM.*

Es ist in der Jurisprudenz wie so oft im Leben: Viele Dinge sind möglich, aber nicht alle werden ohne Druck von außen tatsächlich umgesetzt. Dann aber kam COVID-19 und alles war anders…

I. Einführung

Im Gegensatz zu vielen Bereichen des öffentlichen Lebens, in denen erst spezielle rechtliche Regelungen für technikgestützte und ortsungebundene Lösungen verabschiedet werden mussten, erlaubt es § 128a ZPO seit fast zwanzig Jahren, dass Richterinnen** die mündliche Verhandlung beim Zivilprozess als Videokonferenz stattfinden lassen können. Bis zum Frühling diesen Jahres wurde diese Möglichkeit nur sehr selten genutzt, es mangelte an der passenden Technik, an den notwendigen Kenntnissen und allzu oft auch am Willen der Prozessbeteiligten. Das ändert sich nun stetig, immer mehr Richterinnen an Zivilgerichten nutzen die Möglichkeit der Videokonferenz statt eines reinen Präsenztermins.[1]

Dieses Vorgehen wirft natürlich zahlreiche Fragen auf und immer wieder geht es dabei um Fragen des Datenschutzes, sowohl aus rechtlicher als auch aus technischer Sicht.

___STEADY_PAYWALL___

II. Die Frage nach der Anwendbarkeit der DSGVO

Die Datenschutzgrundverordnung (DSGVO) mit all ihren Rechten und Pflichten findet auf die Tätigkeit der Zivilgerichte grundsätzlich Anwendung. Das ergibt sich zum einen aus Erwägungsgrund 20 der Verordnung, zum anderen aus der ausdrücklichen Nennung der Verarbeitungsbefugnis von Gerichten im Rahmen ihrer sogenannten „justiziellen Tätigkeit“.

Laut Erwägungsgrund 20 sind die Kontrollrechte der Datenschutzaufsichtsbehörden auf den Teil begrenzt, der nicht dieser „justiziellen Tätigkeit“ unterfällt, um die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben zu gewährleisten. Damit soll die Möglichkeit einer Einflussnahme der Exekutive auf die Beschlussfassung des Gerichts verhindert werden. Reine Verwaltungstätigkeiten der Gerichte sind demnach durch die zuständige Datenschutzaufsichtsbehörde kontrollierbar, nicht aber Tätigkeiten, die in engem Zusammenhang mit der unabhängigen gerichtlichen Entscheidungsfindung stehen, wie zum Beispiel die Durchführung einer mündlichen Verhandlung.[2] Im Ergebnis fällt daher die mündliche Verhandlung in Form einer Videokonferenz in den Anwendungsbereich der DSGVO, die staatlichen Aufsichtsbehörden haben hier jedoch keine Kontrollbefugnisse.

III.  Die Frage nach der Verantwortlichkeit

Die DSGVO legt der Verantwortlichen verschiedene Pflichten auf, die diese zu erfüllen hat, wenn sie sich nicht rechtswidrig verhalten will. Die entscheidende Frage im Bereich der

(Zivil-)Gerichtsbarkeit ist also, wer verantwortlich im Sinne der DSGVO ist: Ist es die einzelne Richterin bzw. der aus mehreren Richterinnen bestehende Spruchkörper oder ist es das Gericht in seiner Gesamtheit? Hier kommt es unter anderem darauf an, wer die Entscheidung über das „Ob“ und das „Wie“ der konkreten Datenverarbeitung trifft, denn nach dem Wortlaut der Verordnung handelt es sich bei der Verantwortlichen um „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Ein naheliegender Gedanke ist, dass die einzelne Richterin bzw. der Spruchkörper aufgrund der gesetzlich festgelegten richterlichen Unabhängigkeit die alleinige Entscheidungshoheit über die Datenverarbeitung hat und somit allein verantwortlich im Sinne der DSGVO ist.[3] Diese Auffassung verkennt jedoch den Umstand, dass die Richterin sich nicht selbst für eine Datenverarbeitung entscheidet, sondern ihr diese durch gesetzliche Zuständigkeitsregelungen und gerichtliche Geschäftsverteilungspläne zugewiesen wird, so dass die Frage des „Ob“ zu keinem Zeitpunkt in ihren Händen liegt. Im Bereich des „Wie“ hat die einzelne Richterin zwar einen gewissen Entscheidungsspielraum, zum Beispiel, ob eine mündliche Verhandlung als Präsenztermin bei Gericht oder eben als Videokonferenz durchgeführt wird. Letztlich wird aber auch eine solche Entscheidung von ganz einfachen Tatsachen geprägt, denn wenn die für eine Videokonferenz notwendige Technik beim betreffenden Gericht nicht verfügbar ist, kann die mündliche Verhandlung auch nicht auf diesem Wege durchgeführt werden. Oftmals ist auch durch interne Vorgaben die Nutzung einer ganz bestimmten Software oder Hardware vorgeschrieben, über die sich die Richterin nicht ohne Konsequenzen hinwegsetzen darf. Dieser (vergleichsweise geringe) Anteil an der Entscheidung über die Datenverarbeitung führt aber nicht dazu, dass hier eine eigene Verantwortung auf Seiten der Richterin entsteht. Vielmehr ist Verantwortlicher im Sinne der DSGVO nur das jeweilige Gericht, so dass die Datenverarbeitungen der einzelnen Richterinnen bzw. Spruchkörper als Handeln des Gerichts gelten und diesem zugerechnet werden müssen.[4]

IV. Die Frage nach der Technik

Das jeweilige Gericht als Verantwortlicher ist bei der Durchführung von Videokonferenzen auch für die eingesetzte Technik und die Implementierung von geeigneten technischen und organisatorischen Maßnahmen zur Gewährleistung des Schutzes personenbezogener Daten zuständig. Bereits bei der Verwendung von hauseigenen Videokonferenzanlagen und der Nutzung von Dienstcomputern durch die Richterinnen ist das eine große Herausforderung; besonders aktuell ist hier die Frage, ob gängige Anbieter wie Cisco WebEX oder Skype for Business weiterhin von den Gerichten genutzt werden dürfen, nachdem der Europäische Gerichtshof (EuGH) den Privacy Shield im Juli diesen Jahres für ungültig erklärt hat. Wenn dann noch private Endgeräte ins Spiel kommen, wird die Lage aus datenschutzrechtlicher Sicht sehr brenzlig, da sich das Konzept des „Bring your own device (BYOD)“ zwar gut in die (orts-)unabhängige Arbeitsweise der Richterinnen einfügt, das Gericht als Verantwortlichen aber vor nahezu unlösbare Probleme stellt.

1. Goodbye USA – Hallo Europa

Das Urteil des EuGH vom 16. Juli 2020 hat auf einen Schlag fast alle Unternehmen vor die Wahl gestellt, bei ihren US-amerikanischen Dienstleistern zu bleiben und damit offen gegen die DSGVO zu verstoßen oder aber sich neue europäische Dienstleister zu suchen. Wer hier auf die Standardvertragsklauseln als Sicherheitsnetz vertraut, ist schlecht beraten, da der EuGH auch diese nur dann als ausreichende Garantie für die Einhaltung des Datenschutzes genügen lässt, wenn die Umstände des Einzelfalls genau geprüft wurden und keine gegenteiligen Anhaltspunkte vorhanden sind. Wie aber kann ein Anbieter aus den USA seinen Auftraggebern in Europa derzeit die Einhaltung eines angemessenen Datenschutzniveaus zusichern? Das ist schlichtweg nicht möglich, solange die US-amerikanische Gesetzgebung nicht geändert wird und die dortigen Behörden fast jeden Datensatz bei fast jedem Unternehmen ohne nähere Begründung anfordern können.

Selbstverständlich besteht dieses Problem auch bei Behörden und Gerichten, die mit US-amerikanischen Anbietern zusammenarbeiten: Gerade hier ist das Problem besonders gravierend, da es sich bei den verarbeiteten Daten oft um sensible Informationen handelt, die etwa dem Sozialgeheimnis oder dem Steuergeheimnis unterliegen. Es gibt jedoch im Moment keine rechtssichere Möglichkeit, den Transfer solcher Daten in die USA, zum Beispiel im Rahmen einer als Videokonferenz gestalteten mündlichen Verhandlung, zu legitimieren. Die von vielen Gerichten genutzten Anbieter wie die schon genannten Cisco WebEX und Skype for Business sollten daher unverzüglich durch rein europäische Anbieter oder On-Premise-Lösungen ersetzt werden. Möglicherweise bietet auch eine Ende-zu-Ende-Verschlüsselung einen ausreichenden Schutz, jedoch muss hier sichergestellt werden, dass tatsächlich keine Zugriffsmöglichkeit des Anbieters und damit der US-Behörden auf die Kommunikations- und Metadaten besteht.

2. BYOD – Eigene Endgeräte bei Gericht

Es gibt gute Gründe, weshalb das Akronym BYOD in Fachkreisen nicht für die Worte „Bring your own device“, sondern für „Build your own desaster“ steht, denn eigentlich kann die dienstliche Nutzung von privaten Endgeräten nur im Chaos enden. Das gilt sowohl aus dem Blickwinkel des Datenschutzes als auch aus Gründen der Informationssicherheit.

Umso mehr erstaunt der kurze und lapidare Satz aus der Anmerkung zu einem Urteil des Kammergerichts Berlin vom 12. Mai 2020: „Auch der Datenschutz kann privaten Rechnern und Anwendungen nicht entgegenstehen.“[5] In dem Urteil ging es um die Durchführung einer mündlichen Verhandlung als Videokonferenz nach § 128a ZPO, wobei die verwendete Web-Anwendung auf den privaten Endgeräten der drei Mitglieder des Spruchkörpers installiert war. Das Kammergericht befand, dass diese Vorgehensweise von der Norm gedeckt sei. In der Urteilsanmerkung heißt es weiter, dass § 128a ZPO den Einsatz von privaten Geräten nicht verbietet. Jedoch ist etwas, nur weil es in einer konkreten prozessualen Norm selbst nicht verboten ist, noch lange nicht erlaubt.

Das Konzept des BYOD unterliegt auch beim Einsatz an Gerichten zahlreichen datenschutz- und sicherheitsrechtlichen Risiken.[6] Ist zum Beispiel der private Rechner einer Richterin unentdeckt mit Malware infiziert, kann dies leicht zu einer Infizierung des gesamten Gerichtsnetzwerkes führen. Gerade das Berliner Kammergericht weiß, wie schnell und schwerwiegend sich ein solcher Vorfall auf die Arbeitsfähigkeit des gesamten Gerichts auswirkt. Es existiert in Berlin zwar eine gesetzliche Regelung, nach der private Geräte von Richterinnen und Staatsanwältinnen auch für den Dienstgebrauch zugelassen sind und es war wohl auch kein privates Endgerät, dass zur Verbreitung von Emotet geführt hat. Jedoch wurde die Situation durch den unkontrollierten Gebrauch von privaten Rechnern und Speichermedien mit Sicherheit nicht verbessert. Und selbst, wenn durch Kapselung der Verfahren eine Infizierung über private Geräte nahezu ausgeschlossen werden kann, wäre eine Infektion privater Rechner ein hohes Risiko für den Datenschutz. Keylogger und Screengrabber könnten alle Ein- und Ausgaben mitlesen, also auch Passwörter und vertrauliche Inhalte.

Was aber sollen Richterinnen in Zeiten von COVID-19 tun, wenn ihnen vom Gericht die für eine Videokonferenz notwendige Technik nicht in ausreichendem Maß zur Verfügung gestellt wird und sie auf ihre privaten Geräte zurückgreifen müssen, um das Ansteckungsrisiko zu senken? Sie befinden sich damit in einem Konflikt zwischen ihrem gesetzlichen Auftrag auf der einen Seite und Sicherheits- und Gesundheitsbedenken auf der anderen Seite. Das aber kann das jeweilige Gericht als Dienstherr kaum wollen. Die Ausstattung der Richterinnen mit Dienstrechnern und datenschutzkonformen Webkonferenz-Anwendungen ist daher alternativlos.[7]

V. Weitere Fragen

Natürlich gibt es viele weitere praxisrelevante Fragestellungen an der Schnittstelle (Zivil-)Verfahrensrecht und Datenschutz. Unbedingt zu erörtern sind zum Beispiel noch die Fragen, inwieweit das Prozessrecht spezielles Datenschutzrecht darstellt und ob ein Verfahrensrechtsverstoß aus Datenschutzgründen denkbar ist. Diese Fragen sind auf jeden Fall eines eigenen Artikels würdig.

V

V


* Katrin Kirchert, LL.M. ist Rechtsanwältin und TÜV-zertifizierte Datenschutzbeauftragte. Sie ist Sprecherin des Arbeitskreises für IT-Recht des Berliner Anwaltsvereins und Lehrbeauftragte an der Hochschule für Wirtschaft und Recht Berlin.

** In diesem Beitrag wird aus Gründen der besseren Lesbarkeit für natürliche Personen das generische Femininum verwendet. Männliche und anderweitige Geschlechteridentitäten sind dabei ausdrücklich mitgemeint, soweit es für die Aussage erforderlich ist.

[1]  Für einen guten Einblick in die praktischen Vorteile und Hürden dieses Vorgehens empfehle ich Folge 80 des Rechtsbelehrungs-Podcasts von Marcus Richter und Thomas Schwenke mit ihrem Gast Jan Spoenle, Richter am Landgericht Heilbronn: https://rechtsbelehrung.com/videokonferenz-gericht-rechtsbelehrung-80/ (abgerufen am 12. August 2020).

[2]  Vgl. dazu im Überblick Schmitt/Resch, jM 2020, 134, 137 und ausführlich Wiebe/Eichfeld, NJW 2019, 2737.

[3]  So z. B. Schmitt/Resch, jM 2020, 134, 140.

[4]  So auch Wiebe/Eichfeld, NJW 2019, 2734, 2736.

[5]  Elzer, Rahmenbedingungen einer gerichtlichen Webkonferenz, 12. Juni 2020, https://rsw.beck.de/aktuell/daily/magazin/detail/rahmenbedingungen-einer-gerichtlichen-webkonferenz (abgerufen am 12. August 2020).

[6] Vertiefend dazu Krüger/Möllers/Vogelsang, Richterliche Unabhängigkeit und Bring your own device (BYOD), 2017, https://hyperion.cispa.saarland/papers/iris2017byod.pdf (abgerufen am 12. August 2020).

[7]  So im Ergebnis auch Berlit, Kollegialberatung und richterliche Entscheidungsfindung per Video?, 9. Juni 2020, https://www.edvgt.de/wp-content/uploads/2020/06/Programm-Workshop-Virtuelle-Verhandlungen-vor-Gericht.pdf (abgerufen am 12. August 2020).

 

Titelbild: © Claudia Otto