Die Corona-Krise bedeutet in vielen Unternehmen eine große Herausforderung für die internen Abläufe. Viele Menschen arbeiten im Heimbüro. Online-Meetings und Videokonferenzen treten an die Stelle der Besprechungen vor Ort. Auch.
Populäre App versus Datenschutz und Datensicherheit
Aufgrund der Dringlichkeit der Situation ist insbesondere Schulen und Hochschulen daran gelegen, auf die bekanntesten und verbreitetsten Programme zurückzugreifen, um klassische Unterrichtssituationen in Schulen und Hochschulen abzubilden.
Diese werden oft von US-amerikanischen Anbietern bereitgestellt. Viele Anbieter bieten als Reaktion auf die Coronakrise ihre Lösungen für einen begrenzten Zeitraum kostenlos an. Ob in Unkenntnis von Alternativen oder cleveres Marketing und breite mediale Berichterstattung – viele Bildungsträger bedienen sich zwischenzeitlich der Zoom-App.
Inzwischen ist deutlich, dass es Zoom mit dem Datenschutz und der Datensicherheit nicht sonderlich genau nimmt. Die verschiedenen Vorfälle und Pannen lassen Zoom nicht als vertrauenserweckend erscheinen. Doch was ist grundsätzlich zu beachten?
Die Datenschutzbehörden in Deutschland halten Informationen bereit, die bei der Auswahl einer datenschutzkonformen Lösung unterstützen, z.B. unter diesem Link.
Anbieter aus dem EU-Raum vorzugswürdig
Die Datenschutzaufsichtsbehörden sehen die Nutzung US-amerikanischer Kommunikationsdienste oder Social-Media-Plattformen aufgrund des geringeren Datenschutzniveaus, welches seit Inkrafttreten des sog. CLOUD-Acts weiter abgesenkt wurde, zwar grundsätzlich kritisch und stehen ihr im Bildungsumfeld kritisch bis ablehnend gegenüber. Produkte von Anbietern, die ihren Sitz innerhalb der EU haben und deren Server auch dort betrieben werden, sind grundsätzlich vorzugswürdig. Denn für sie ist der Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) unmittelbar gegeben.
Dennoch können auch hier nur solche Produkte in Betracht kommen, die mindestens eine Ende-zu-Ende-Verschlüsselung aufweisen, der Anbieter also keine Kenntnis von den Inhalten der Kommunikation nehmen kann, sondern lediglich von Metadaten (z. B. Dauer der Kommunikation, Teilnehmer der Kommunikation).
Weiterhin scheiden auch solche Anbieter aus, deren Geschäftsmodell darin besteht, die von den Nutzern erhobenen personenbezogenen Daten zu anderen Zwecken, als zur Ermöglichung der Kommunikation zu nutzen. Ob letzteres der Fall ist, kann den Allgemeinen Geschäftsbedingungen und Datenschutzhinweisen des jeweiligen Anbieters entnommen werden.
Und in der Krise?
Die jüngsten Stellungnahmen und Verlautbarungen der Datenschutzaufsichtsbehörden lassen erkennen, dass in Ausnahmesituationen wie der derzeitigen auch der Einsatz außereuropäischer Softwareprodukte unter Zurückstellung von Bedenken ausnahmsweise akzeptiert werden kann. Voraussetzung ist jedoch, dass die genannten Kriterien erfüllt sind und sich aus den möglicherweise generierten Metadaten kein Rückschluss auf solche Umstände ziehen lässt, die einem Amtsgeheimnis unterliegen oder besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO betreffen. Beides sei bei der Durchführung von regulärem Unterricht per Videokonferenz allerdings unwahrscheinlich.
Einwilligung und Transparenz
In jedem Fall ist es jedoch erforderlich, eine informierte Einwilligung der Erziehungsberechtigten der Schülerinnen und Schüler bzw. ab der Vollendung des 16. Lebensjahres von diesen selbst einzuholen. Einige Datenschutzaufsichtsbehörden bieten hierzu Muster an, welche auf ihre jeweiligen Gegebenheiten angepasst werden können.
Zu einer informierten Einwilligung gehört auch, dass die Verantwortlichen ihrer Informationspflicht gemäß Art. 13 DSGVO im Zusammenhang mit der Nutzung des Videokonferenz-Tools nachkommen. Darin muss die grundlegende Funktionsweise des eingesetzten Produkts dargelegt und angegeben werden, welche personenbezogenen Daten bei der Anmeldung zu welchen Zwecken erhoben und bei der Nutzung an den Anbieter übermittelt werden und ob dieser seinen Sitz in einem Land außerhalb des Anwendungsbereichs der DSGVO hat.
Da bei dem Einsatz des jeweiligen Videokonferenz-Tools auch personenbezogene Daten von Lehrkräften verarbeitet werden, gelten obige Ausführungen entsprechend. In diesem Zusammenhang ist die Einbeziehung des Personalrates erforderlich, welcher dem Einsatz der Kommunikationstechnik zustimmen muss.
Tipps vom BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Kompendium Videokonferenzsysteme abrufbar als PDF vorgestellt. Es hilft Planern, Beschaffern, Betreibern, Administratoren, Revisoren und Nutzern, den gesamten Lebenszyklus organisationsinterner Videokonferenzsysteme sicher zu gestalten.