SoSe21 AK Datenschutz Videokonferenzsysteme

Aus ZaPFWiki

Vorstellung des AKs

Verantwortliche/r: Tobi(D)

Einleitung und Ziel des AK
Zoom, Webex und Co sind außerhalb der EU, betreiben da Server und sind unter umständen durch den FISA (Foreign Intelligence Surveillance Act) dazu angehalten den US-Amerikanischen Behörden Zugriff auf Nutzerdaten zu geben. Studierende können es sich leider nicht aussuchen, ob man die Software Nutzten oder nicht.


Handelt es sich um einen Folge-AK?
Von der ZaPF? Nein. Von der KaWuM? Ja

Wer ist die Zielgruppe?
Datenschutzsensible Menschen

Wie läuft der AK ab?

  • Wir schauen uns die Resolution der KaWuM an (siehe unten)
  • Wir entscheiden ob wir die Resolution selbst ebenfalls verschicken wollen oder eine andere Erarbeiten wollen oder halt nix machen möchten
  • dann tun wir das

Voraussetzungen (materielle und immaterielle)
Materialien und weitere Informationen

Im Forum findet ihr den AK hier: https://talk.zapf.in/t/ak-datenschutz-videokonferenzsysteme/421

Resolution - Datenschutzrechtliche Bewertung der Zulässigkeit von nichteuropäischen Videokonferenzdienste und cloudbasierte Dienste im Universitären Lehrbetrieb

Resolutionsempfänger: Datenschutzbeauftragte des Bundes und der Bundesländer

Resolutionstext

Nichteuropäische Videokonferenz- und cloudbasierte Dienste wurden in der Pandemiesituation an fast allen deutschen Hochschulen eingeführt, um digitale Lehre zu ermöglichen. Bereits seit Beginn der aktuellen Pandemie sind Probleme mit nichteuropäischen/amerikanischen Systemen bekannt; diese wurden, insbesondere in Hinblick auf den zeitkritischen Handlungsdruck, von diversen Stellen geduldet.

In einer Kurzanalyse hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Berlin bereits gravierende Mängel in den Auftragsdatenverarbeitungsverträgen (ADV) unter anderem von Zoom, Webex und Microsoft Teams aufgezeigt und Zweifel an der Vertrauenswürdigkeit geäußert¹. Diese gelten größtenteils genauso für andere Systeme. Der EuGH hat das „EU-US Privacy Shield“ abkommen gekippt², dementsprechend sollten die Datenschutzbeauftragten sämtliche eingesetzte Software mit Hinblick auf Datenschutz (vorallem DSGVO) erneut prüfen und unter dem Vorbehalt, dass in Amerika der FISA (Foreign Intelligence Surveillance Act) meist für diese Angebote gilt. Diese Prüfung hat bisher nicht stattgefunden. Besonders sollte das Augenmerk darauf liegen, dass bei den Studierenden nicht von einer „informierten Zustimmung“ ausgegangen werden kann. Schließlich haben Studierende meist nur die Wahl, nicht an Veranstaltungen teilzunehmen und somit nicht weiter zu studieren oder aber der Datenschutzklausel zuzustimmen. Aus diesen Gründen gehen wir davon aus, dass die Nutzung entsprechender Dienste in der Hochschullehre rechtswidrig ist und fordern eine Prüfung und Stellungnahme durch die Datenschutzbeauftragten von Bund und Ländern.

Die anhaltende Situation hat den Hochschulen hier ausreichend Zeit geboten, datenschutzfreundliche Alternativen zu erproben und für den Produktivbetrieb vorzubereiten. Bisher sind an den meisten Universitäten aber keine Bemühungen erkennbar, sich an geltendes Recht zu halten.

¹ 2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf ² Urteil