Ohne Videokonferenzen können Hochschulen ihren Bildungsauftrag in der Pandemie nicht erfüllen. Software aus den USA funktioniert, hat aber Probleme mit dem Datenschutz. Die Hessische Datenschutzbehörde schlägt eine Lösung für deren Einsatz vor.
Die Semesterferien dienen der Erholung und dazu, sich auf das Semester vorzubereiten. Wenn es um Datenschutz geht, gibt es immer etwas zu tun. Vor allem gibt es Dauerthemen, wie die Auswahl einer datenschutzkonformen Software für Unterricht und Prüfungen.
Videokonferenzsoftware aus USA ist üblich
In der Praxis greifen viele Bildungseinrichtungen auf Angebote aus den USA zurück. Sie funktionieren gut, ihr Einsatz kollidiert aber mit EU-Recht. Es werden nämlich bei deren Einsatz personenbezogene Daten an Server in die USA übermittelt. Dort herrscht für den EuGH kein angemessener Datenschutz. Man muss den potenziellen Datenzugriff von dortigen Sicherheitsbehörden mit technischen Mitteln, wie etwa der Verschlüsselung von Daten, möglichst unterbinden.
"Hessisches Modell" gestattet Zoom
Der Hessische Landesdatenschutzbeauftragte schlägt nun einen Weg vor, wie Zoom rechtskonform genutzt werden kann. Grundsätzlich ist das möglich, weil die Daten, über die Bild und Ton übertragen werden, dort Ende-zu-Ende verschlüsselt sind. Sie können also ohne Entschlüsselung nicht eingesehen werden. Die Datenschutzbehörde aus Hessen erachtet den Einsatz von Zoom als zulässig, wenn mehrere Voraussetzungen erfüllt sind.
Einsatz eines europäischen Mittlers
Wer die Software einsetzen will, muss einen zusätzlichen IT-Dienstleister einschalten. Wichtig: Er muss unabhängig von Zoom sein und seinen Firmensitz und seine Server in EU/EWR haben. Zudem muss er sicherstellen, dass die Meeting-Daten mit Video-, Sprach- und sonstigem Datenaustausch über diesen Mittler im Modus der Ende-zu-Ende-Verschlüsselung ausgetauscht werden. Läuft das technisch richtig ab, kann sichergestellt werden, dass weder Zoom noch unautorisierte Dritte auf die Daten zugreifen können.
Zusätzliche Anforderungen
Es muss zudem auch ein sogenanntes lokales Identitätsmanagement (IDM), gegebenenfalls in Verbindung mit einem Virtual Private Network (VPN), für die Teilnahme am Meeting eingesetzt werden. So verhindert man die Übermittlung von Klarnamen an Zoom-Server und kann die Übermittlung auf ein datenschutzkonformes Maß reduzieren.
Prüfungen nicht zulässig
Allerdings gilt die Möglichkeit nur für Lehrveranstaltungen. Einrichtungen müssen auch zusätzlich ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke, wie etwa Prüfungen, zur Verfügung stellen. Das ist auch erforderlich, um Personen, die Zoom generell ablehnen, eine Alternative zu bieten. Zudem schreibt die Behörde in Hessen vor, alle Beteiligten über den Datenschutz zu informieren.
Nutzungsdaten bleiben ein Problem
Datenschutzrechtlich ungelöst bleibt aber das Problem der sogenannten Metadaten. Sie entstehen bei der Organisation des Meetings. Diese Daten sagen etwa aus, wer einen Dienst wie lange und mit wem zu welcher Zeit genutzt hat und wohl auch, wer eine Veranstaltung angelegt hat. Diese Daten landen nach wie vor in den USA.
Vereinbarung über Datentransfer
Weil man aus dem Nutzungsverhalten personenbezogene Profile erstellen kann, greift auch hier der Datenschutz. Um diese Datenübertragung zu legitimieren, ist es nach dem "Hessischem Modell" erforderlich, sogenannte Standardvertragsklauseln zu vereinbaren. Dazu ist datenschutzrechtliches Spezialwissen erforderlich.
Fazit: Aufwendige Teillösung
Gut ist, dass die hessische Datenschutzbehörde jedenfalls für Vorlesungen einen Weg aufzeigt, wie man das Recht unter Einsatz einer gängigen und funktionstüchtigen Software einhalten kann. Wenig hilfreich ist das insofern, als die Einhaltung der Anforderungen durchaus kompliziert ist und nur auf die Lehre beschränkt. Wesentliche Bestandteile der Hochschultätigkeit wie Prüfungen oder Personalgespräche sind nicht erfasst.
Lesen Sie auch: Wann Sie im Beruf oder Studium die Kamera besser einschalten sollten
Übertragbarkeit auf Schulen
In Hessen wird "Digitale Welt" als Schulfach getestet. Ob das Konzept auf den Schulunterricht übertragbar ist, sagt die Datenschutzbehörde nicht. Einerseits sind Kinderdaten zwar besonders geschützt. Auf der anderen Seite ist aber nicht ersichtlich, welche besonderen datenschutzrechtlichen Risiken der Schulunterricht bergen sollte, wenn die Voraussetzungen des Modells erfüllt sind.
Dass aber jede (Grund-)Schule ausreichend Personal, Know-how und Mittel besitzt, um in der gelebten und von vielen faktisch akzeptierten Wirklichkeit von WhatsApp & Co. auch noch das ambitionierte Datenschutzmodell über die Sommerferien zu verankern, muss man bezweifeln.
Verwendete Quellen:
- Datenschutz Hessen: Anforderungen an den datenschutzgerechten Einsatz von Zoom für Lehrveranstaltungen an Hessischen Hochschulen
- Gesellschaft für Datenschutz und Datensicherheit e.V.: GDD-Praxishilfe DS-GVO
- Hessenschau: Zwölf Schulen in Hessen testen das neue Fach "Digitale Welt"
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.