SoSe21 AK Datenschutz Videokonferenzsysteme

Aus ZaPFWiki

Vorstellung des AKs

Verantwortliche/r: Tobi(D)

Einleitung und Ziel des AK
Zoom, Webex und Co sind außerhalb der EU, betreiben da Server und sind unter umständen durch den FISA (Foreign Intelligence Surveillance Act) dazu angehalten den US-Amerikanischen Behörden Zugriff auf Nutzerdaten zu geben. Studierende können es sich leider nicht aussuchen, ob man die Software Nutzten oder nicht.


Handelt es sich um einen Folge-AK?
Von der ZaPF? Nein. Von der KaWuM? Ja

Wer ist die Zielgruppe?
Datenschutzsensible Menschen

Wie läuft der AK ab?

  • Wir schauen uns die Resolution der KaWuM an (siehe unten)
  • Wir entscheiden ob wir die Resolution selbst ebenfalls verschicken wollen oder eine andere Erarbeiten wollen oder halt nix machen möchten
  • dann tun wir das

Voraussetzungen (materielle und immaterielle)
Materialien und weitere Informationen

Im Forum findet ihr den AK hier: https://talk.zapf.in/t/ak-datenschutz-videokonferenzsysteme/421

Resolution - Datenschutzrechtliche Bewertung der Zulässigkeit von nichteuropäischen Videokonferenzdienste und cloudbasierte Dienste im Universitären Lehrbetrieb

Resolutionsempfänger: Datenschutzbeauftragte des Bundes und der Bundesländer

Resolutionstext

Nichteuropäische Videokonferenz- und cloudbasierte Dienste wurden in der Pandemiesituation an fast allen deutschen Hochschulen eingeführt, um digitale Lehre zu ermöglichen. Bereits seit Beginn der aktuellen Pandemie sind Probleme mit nichteuropäischen/amerikanischen Systemen bekannt; diese wurden, insbesondere in Hinblick auf den zeitkritischen Handlungsdruck, von diversen Stellen geduldet.

In einer Kurzanalyse hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Berlin bereits gravierende Mängel in den Auftragsdatenverarbeitungsverträgen (ADV) unter anderem von Zoom, Webex und Microsoft Teams aufgezeigt und Zweifel an der Vertrauenswürdigkeit geäußert¹. Diese gelten größtenteils genauso für andere Systeme. Der EuGH hat das „EU-US Privacy Shield“ abkommen gekippt², dementsprechend sollten die Datenschutzbeauftragten sämtliche eingesetzte Software mit Hinblick auf Datenschutz (vorallem DSGVO) erneut prüfen und unter dem Vorbehalt, dass in Amerika der FISA (Foreign Intelligence Surveillance Act) meist für diese Angebote gilt. Diese Prüfung hat bisher nicht stattgefunden. Besonders sollte das Augenmerk darauf liegen, dass bei den Studierenden nicht von einer „informierten Zustimmung“ ausgegangen werden kann. Schließlich haben Studierende meist nur die Wahl, nicht an Veranstaltungen teilzunehmen und somit nicht weiter zu studieren oder aber der Datenschutzklausel zuzustimmen. Aus diesen Gründen gehen wir davon aus, dass die Nutzung entsprechender Dienste in der Hochschullehre rechtswidrig ist und fordern eine Prüfung und Stellungnahme durch die Datenschutzbeauftragten von Bund und Ländern.

Die anhaltende Situation hat den Hochschulen hier ausreichend Zeit geboten, datenschutzfreundliche Alternativen zu erproben und für den Produktivbetrieb vorzubereiten. Bisher sind an den meisten Universitäten aber keine Bemühungen erkennbar, sich an geltendes Recht zu halten.

¹ 2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf ² Urteil

Protokoll

‘’‘Protokoll’’’ vom 15.05.2021

Beginn
(13:45) Uhr
Ende
(15:50) Uhr
Redeleitung
Tobi (Düsseldorf)
Protokollantum
    1.  ; Anwesende Fachschaften
Freie Universität Berlin,
Ruhr-Universität Bochum,
Rheinische Friedrich-Wilhelms-Universität Bonn,
Heinrich Heine Universität Düsseldorf,
Universität Hamburg,
Universität Heidelberg,
Friedrich-Schiller-Universität Jena,
Technische Universität Kaiserslautern,
Universität Konstanz,
Philipps-Universität Marburg,
Carl von Ossietzky Universität Oldenburg,
Universität Rostock,
Universität Siegen,
Alte Säcke,
KaWum


Einführung

Tobi macht eine Einführung ins Thema.

Klärung, dass es hier um Datenschutzbeauftragte geht der Länder geht.

Erstmal die Resos der Kif und KaWuM lesen bzw. vorlesen lassen.

Tobi Verfahrenvorschlägt: Erstmal über die Reso der KaWuM reden und anschließen oder nicht. Dann über die der Kif reden und dann anschließen, nachdem die Kif sie heute Abend verabschiedet hat. Und dann, nach einer Idee des Authors von der Kif, ein Schreiben an die Fachschaften schreiben mit einem Musterbreif an den jeweiligen Datenschutzbeauftragten "Hey, ich bin hiuer betroffen. Tue was!".

Jona(Rostock): gab es bisher schon mal Fälle, wo Leute sich beschwert haben? Und wissen wir, wie das ausgegangen ist?

Nils(KaWuM): ZapfKifKaWuM könnten ein Portal aufmachen: Hier deine Daten, wir schicken in deinem Namen eine Mail an deinen Unipräsidenten. Wäre natürlich aufwändig.

Hendrik: Habt ihr euch an euren Unis mal mit Fakultät, Rektorat oder so auseinander gesetzt?

Nils: Bei uns hat das der Asta gemacht und es ist nicht passiert.

Sean: Bei uns hat das StuPa nachgefragt. Unsere Uni hat ein eigenes BBB extra für Gremien gemacht. Trotzdem wird Zoom von allen bis auf einzelne Ausnahmen für jegliche Art von Sitzungen genutzt. StuPa tagt über BBB.

Jona: Bei uns wird BBB und Zoom benutzt. Es wird gesagt, die Studis können auf BBB bestehen, wenn sie e ansprechen. Hat noch niemand gemacht.

Hendrik: Uni behauptet, Zoom sei ausreichend für Vorlesungen. BBB und jitsi "haben insb. Schwierigkeiten mit größeren Teilnehmerzahlen." Wir benutzen das aber auch für VV.

Kommentar aus der Gruppe: Ah, sie haben das Zeug schlecht aufgesetzt.

Hendrik: in BaWü hat das ZSL ein BBB für alle Schulen hochgezogen.

Tobi: Zurück zum Thema.

Reso der KaWuM

Tobi ist dafür, die Reso der KaWuM so anzunehmen, d.h. wir schicken die Reso der KaWuM als unsere Reso weiter.

Jörg(siegen): mich stört, dass die explizite Aufzählung implizieren könnte, dass der Rest unproblematisch sei.

Sean: Die Adressaten sollten die sonstige verstehen und für die Studis oder so ist eine beispielhafte Aufzählung gut.

Geändert wurde:

auf bitten Jörgs(Siegen) die Aufzählung spezifischer Systeme durch "diverse Videokonferenzsystemanbieter" in Abs. 3, Satz 1.
Der erste Absatz wird zugefügt.

Reso der KiF

Jona Wichtig "das ist seit einem Jahr schon so"


Resolution an Datenschutzbeauftragte

Resolution von: Jörg (Siegen), Tobi (Düsseldorf), Sean(Bonn), Jörg (Alumni)

Resolution: "Datenschutzrechtliche Bewertung der Zulässigkeit von //nichteuropäischen// Videokonferenzdiensten und cloudbasierten Diensten im universitären Lehrbetrieb an Datenschutzbeauftragte"

Empfänger sind: Datenschutzbeauftragte von Bund und Ländern


Die ZaPF schließt sich dem Inhalt der Resolution der KaWuM "Datenschutzrechtliche Bewertung der Zulässigkeit von //nichteuropäischen// Videokonferenzdiensten und cloudbasierten Diensten im universitären Lehrbetrieb" vollumfänglich an. Dies heißt im Einzelnen:

Nichteuropäische Videokonferenz- und cloudbasierte Dienste wurden in der Pandemiesituation an fast allen deutschen Hochschulen eingeführt, um digitale Lehre zu ermöglichen. Bereits seit Beginn der aktuellen Pandemie sind Probleme mit nichteuropäischen/amerikanischen Systemen bekannt; diese wurden, insbesondere in Hinblick auf den zeitkritischen Handlungsdruck, von diversen Stellen geduldet.

In einer Kurzanalyse hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Berlin bereits gravierende Mängel in den Auftragsdatenverarbeitungsverträgen (ADV) diverser Videokonferenzsystemanbieter aufgezeigt und Zweifel an der Vertrauenswürdigkeit geäußert[1]. Diese gelten größtenteils genauso für andere Systeme. Der EuGH hat das „EU-US Privacy Shield“-Abkommen gekippt[2], dementsprechend sollten die Datenschutzbeauftragten sämtliche eingesetzte Software mit Hinblick auf Datenschutz (vor allem DSGVO) erneut prüfen und unter dem Vorbehalt, dass in Amerika der FISA (Foreign Intelligence Surveillance Act) meist für diese Angebote gilt. Diese Prüfung hat bisher nicht stattgefunden. Besonders sollte das Augenmerk darauf liegen, dass bei den Studierenden nicht von einer „informierten Zustimmung“ ausgegangen werden kann. Schließlich haben Studierende meist nur die Wahl, nicht an Veranstaltungen teilzunehmen und somit nicht weiter zu studieren oder aber der Datenschutzklausel zuzustimmen. Aus diesen Gründen gehen wir davon aus, dass die Nutzung entsprechender Dienste in der Hochschullehre rechtswidrig ist und fordern eine Prüfung und Stellungnahme durch die Datenschutzbeauftragten von Bund und Ländern.

Die anhaltende Situation hat den Hochschulen hier ausreichend Zeit geboten, datenschutzfreundliche Alternativen zu erproben und für den Produktivbetrieb vorzubereiten. Bisher sind an den meisten Universitäten aber keine Bemühungen erkennbar, sich an geltendes Recht zu halten.

[1] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf [2] https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1594929248980&uri=CELEX:62018CJ0311


Resolution an Universitäten

Resolution: "Datenschutzrechtliche Bewertung der Zulässigkeit von //nichteuropäischen// Videokonferenzdiensten und cloudbasierten Diensten im universitären Lehrbetrieb an Hochschulen"

Resolution von: Jörg (Siegen), Tobi (Düsseldorf), Sean(Bonn), Jörg (Alumni)

Empfänger: Rektorate von Universitäten mit Physikstudiengängen (wegen Relevanz und es gibt SEHR viele Universitäten)

Oberresolution mit folgendem Text nach "Bund und Länder." anstatt dem Abschnitt der in der oberen Reso Steht.

"Ebenso fordern wir die Hochschulen auf, den Betrieb von nicht mit der DSGVO zu vereinbarenden Videokonferenzsystemen unverzüglich einzustellen und durch datenschutzkonforme Systeme zu ersetzen. Die Hochschulleitungen haben, in Zusammenarbeit mit den Datenschutzbeauftragten, jedes aktuell eingesetzte oder zukünftig einzusetzende Videokonferenzsystem kritisch auf Einhaltung der DS-GVO zu prüfen. Insbesondere dürfen sich Hochschulen und Datenschutzbehörden nicht auf die zwingende Notwendigkeit der Nutzung datenschutzrechtlich zweifelhafter oder unzulässiger Systeme berufen. Es existieren datenschutzkonforme und -freundliche Alternativen. Diese werden an vielen Hochschulen bereits erfolgreich eingesetzt."



Aufruf an Betroffene

Resolution von: Jörg (Siegen), Tobi (Düsseldorf), Sean(Bonn), Jörg (Alumni) Titel "Aufruf an den StaPF den Aufruf an Studierende, lokale Datenschutzbeauftragte zur Prüfung der Datenschutzkonformität von //nichteuropäischen// Videokonferenzdiensten und cloudbasierten Diensten im universitären Lehrbetrieb an Fachschaften im deutschsprachigen Raum weiter zu leiten." Beschluss: "Die ZaPF beauftragt den StAPF damit die Folgende Mail sinngemäß an die Fachschaften schicken."

Begründung: Datenschutzbeauftragte müssen Aktiv werden, wenn sie von Betroffenen über Misstände informiert werden. Hierfür braucht man betroffene Studierende an allen Universitäten.

Empfänger: Physik-Fachschaften " Liebe Fachschaften,

die Nutzung von Videokonferenzsystemen von Firmen mit Sitz außerhalb der EU ist durch Wegfall des Privacy Shield Abkommens höchstwahrscheinlich nicht mehr DSGVO-konform.

Dieses hat die ZaPF auch in ihrer Resolution "Langer Resolutionsname" angemerkt und an Universitäten und Datenschutzbeauftragten von Bund und Ländern geschickt.

Datenschutzbeauftragte sind jedoch nicht daran gebunden, sich auf Resolutionen von Fachschaftentagungen hin in Bewegung zu setzen. Jedoch sind sie rechtlich verpflichtet, auf Anfragen von Betroffenen hin aktiv zu werden.

Hier kommt Ihr ins Spiel. Wenn bei euch ein Videokonferenzsystem einer Firma mit Sitz außerhalb der EU eingesetzt wird, so habt ihr die Möglichkeit, euch an die mit dem Datenschutz beauftragte Stelle eurer Universität mit Bitte um (erneute) Überprüfung zu wenden.

Sollte von dieser Stelle keine Antwort kommen, bleibt euch natürlich die Eskalation in Richtung der Landes- und Bundesdatenschutzverantwortlichen frei.

Tschüss ihr Trottx

Der StaPF

Hier findet Ihr noch einen Text den ihr als Vorlage für so eine Anfrage an eure mit dem Datenschutz beauftragte Stelle nutzen könnt.


Sehr geehrte Damen und Herren,

als Studierender der [Universität] bin ich im Zuge meines Studiums gezwungen den Videodienst/cloudbasierten Dienst des Anbieters [] zu Nutzen. Das EuGH hat das „EU-US Privacy Shield“-Abkommen 16. Juli 2020 für ungültig erklärt [1] und damit sind auch viele Grundlagen für die DSGvO konformität nicht mehr gegeben.

Ich bitte Sie, als für den Datenschutz zuständige Stelle darum, die DSGVO-Konformität zu Prüfen. Bitte legen sie besonderen Augenmerk daruf, dass ich als studierende Person, nicht „informiert Zustimmen“ kann, da ich für mein Studium auf die Nutzung des von der Universität vorgegebenen Videodienstes angewiesen bin.

Mit freundlichen Grüßen, [Name]


[1]https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1594929248980&uri=CELEX:62018CJ0311 "