Ohne Videokonferenzen können Hochschulen ihren Bildungsauftrag in der Pandemie nicht erfüllen. Software aus den USA funktioniert, hat aber Probleme mit dem Datenschutz. Die Hessische Datenschutzbehörde schlägt eine Lösung für deren Einsatz vor.

Rolf Schwartmann
Eine Kolumne
Diese Kolumne stellt die Sicht des Autors dar. Hier finden Sie Informationen dazu, wie wir mit Meinungen in Texten umgehen.

Mehr zum Thema Digitales

Die Semesterferien dienen der Erholung und dazu, sich auf das Semester vorzubereiten. Wenn es um Datenschutz geht, gibt es immer etwas zu tun. Vor allem gibt es Dauerthemen, wie die Auswahl einer datenschutzkonformen Software für Unterricht und Prüfungen.

Videokonferenzsoftware aus USA ist üblich

In der Praxis greifen viele Bildungseinrichtungen auf Angebote aus den USA zurück. Sie funktionieren gut, ihr Einsatz kollidiert aber mit EU-Recht. Es werden nämlich bei deren Einsatz personenbezogene Daten an Server in die USA übermittelt. Dort herrscht für den EuGH kein angemessener Datenschutz. Man muss den potenziellen Datenzugriff von dortigen Sicherheitsbehörden mit technischen Mitteln, wie etwa der Verschlüsselung von Daten, möglichst unterbinden.

"Hessisches Modell" gestattet Zoom

Der Hessische Landesdatenschutzbeauftragte schlägt nun einen Weg vor, wie Zoom rechtskonform genutzt werden kann. Grundsätzlich ist das möglich, weil die Daten, über die Bild und Ton übertragen werden, dort Ende-zu-Ende verschlüsselt sind. Sie können also ohne Entschlüsselung nicht eingesehen werden. Die Datenschutzbehörde aus Hessen erachtet den Einsatz von Zoom als zulässig, wenn mehrere Voraussetzungen erfüllt sind.

Einsatz eines europäischen Mittlers

Wer die Software einsetzen will, muss einen zusätzlichen IT-Dienstleister einschalten. Wichtig: Er muss unabhängig von Zoom sein und seinen Firmensitz und seine Server in EU/EWR haben. Zudem muss er sicherstellen, dass die Meeting-Daten mit Video-, Sprach- und sonstigem Datenaustausch über diesen Mittler im Modus der Ende-zu-Ende-Verschlüsselung ausgetauscht werden. Läuft das technisch richtig ab, kann sichergestellt werden, dass weder Zoom noch unautorisierte Dritte auf die Daten zugreifen können.

Zusätzliche Anforderungen

Es muss zudem auch ein sogenanntes lokales Identitätsmanagement (IDM), gegebenenfalls in Verbindung mit einem Virtual Private Network (VPN), für die Teilnahme am Meeting eingesetzt werden. So verhindert man die Übermittlung von Klarnamen an Zoom-Server und kann die Übermittlung auf ein datenschutzkonformes Maß reduzieren.

Prüfungen nicht zulässig

Allerdings gilt die Möglichkeit nur für Lehrveranstaltungen. Einrichtungen müssen auch zusätzlich ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke, wie etwa Prüfungen, zur Verfügung stellen. Das ist auch erforderlich, um Personen, die Zoom generell ablehnen, eine Alternative zu bieten. Zudem schreibt die Behörde in Hessen vor, alle Beteiligten über den Datenschutz zu informieren.

Nutzungsdaten bleiben ein Problem

Datenschutzrechtlich ungelöst bleibt aber das Problem der sogenannten Metadaten. Sie entstehen bei der Organisation des Meetings. Diese Daten sagen etwa aus, wer einen Dienst wie lange und mit wem zu welcher Zeit genutzt hat und wohl auch, wer eine Veranstaltung angelegt hat. Diese Daten landen nach wie vor in den USA.

Vereinbarung über Datentransfer

Weil man aus dem Nutzungsverhalten personenbezogene Profile erstellen kann, greift auch hier der Datenschutz. Um diese Datenübertragung zu legitimieren, ist es nach dem "Hessischem Modell" erforderlich, sogenannte Standardvertragsklauseln zu vereinbaren. Dazu ist datenschutzrechtliches Spezialwissen erforderlich.

Fazit: Aufwendige Teillösung

Gut ist, dass die hessische Datenschutzbehörde jedenfalls für Vorlesungen einen Weg aufzeigt, wie man das Recht unter Einsatz einer gängigen und funktionstüchtigen Software einhalten kann. Wenig hilfreich ist das insofern, als die Einhaltung der Anforderungen durchaus kompliziert ist und nur auf die Lehre beschränkt. Wesentliche Bestandteile der Hochschultätigkeit wie Prüfungen oder Personalgespräche sind nicht erfasst.

Lesen Sie auch: Wann Sie im Beruf oder Studium die Kamera besser einschalten sollten

Übertragbarkeit auf Schulen

In Hessen wird "Digitale Welt" als Schulfach getestet. Ob das Konzept auf den Schulunterricht übertragbar ist, sagt die Datenschutzbehörde nicht. Einerseits sind Kinderdaten zwar besonders geschützt. Auf der anderen Seite ist aber nicht ersichtlich, welche besonderen datenschutzrechtlichen Risiken der Schulunterricht bergen sollte, wenn die Voraussetzungen des Modells erfüllt sind.

Dass aber jede (Grund-)Schule ausreichend Personal, Know-how und Mittel besitzt, um in der gelebten und von vielen faktisch akzeptierten Wirklichkeit von WhatsApp & Co. auch noch das ambitionierte Datenschutzmodell über die Sommerferien zu verankern, muss man bezweifeln.

Mehr Digitalthemen finden Sie hier

Verwendete Quellen:

  • Datenschutz Hessen: Anforderungen an den datenschutzgerechten Einsatz von Zoom für Lehrveranstaltungen an Hessischen Hochschulen
  • Gesellschaft für Datenschutz und Datensicherheit e.V.: GDD-Praxishilfe DS-GVO
  • Hessenschau: Zwölf Schulen in Hessen testen das neue Fach "Digitale Welt"
Interessiert Sie, wie unsere Redaktion arbeitet? In unserer Rubrik "So arbeitet die Redaktion" finden Sie unter anderem Informationen dazu, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte kommen. Unsere Berichterstattung findet in Übereinstimmung mit der Journalism Trust Initiative statt.

Neue Funktion: WhatsApp-Chatverlauf von Android-Handys auf iPhone übertragen

Seit Herbst 2021 ist es möglich, den Whatsapp-Chatverlauf von iPhones auf Android Geräte zu übertragen. Andersherum war das nicht möglich - bis jetzt. (Teaserbild: picture alliance/dpa/Fabian Sommer)
JTI zertifiziert JTI zertifiziert

"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.