Im Rahmen des "Hessischen Modells" können Hochschulen das Videokonferenzsystem Zoom nutzen, wenn bestimmte Bedingungen erfüllt werden. Die Hochschulen arbeiten dabei mit einem Diensteanbieter aus Europa zusammen um sicherzustellen, dass möglichst wenige personenbezogene Daten in die USA übermittelt werden.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat Wissenschaftsministerin Angela Dorn bestätigt, dass an Hessischen Hochschulen das Videokonferenzsystem (VKS) Zoom für Lehrveranstaltungen genutzt werden kann, wenn die Hochschulen geeignete Maßnahmen ergreifen, um den Abfluss personenbezogener Daten an Stellen in den USA zu begrenzen und einen Zugriff auf Inhalts- und Metadaten durch US-Behörden zu vermeiden.
Setzen die Hessischen Hochschulen dieses hier beschriebene „Hessische Modell“ in der praktischen Nutzung von Zoom um, bewertet der HBDI das verbleibende Risiko für die Teilnehmenden an Zoom-Videokonferenzen bei den bestehenden Wahlmöglichkeiten mit den datenschutzrechtlichen Vorgaben als vereinbar. Die dem „Hessischen Modell“ zugrundeliegenden Anforderungen sind im Folgenden beschrieben.
- Installation, Konfiguration und Betrieb durch geeigneten Auftragsverarbeiter
Die Hochschule nutzt einen zwischengeschalteten Auftragsverarbeiter mit Sitz und Standort der Datenverarbeitung in der Europäischen Union oder dem Europäischen Wirtschaftsraum, der hier den On-Premise-Betrieb der Zoom-Audio-Video-Konnektoren anbietet. Die verantwortliche Hochschule schließt mit einem solchen Betreiber einen Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 S. 1 DS-GVO ab und kommt ihren dahingehenden Sorgfaltspflichten als Verantwortliche nach. Der Auftragsverarbeiter schließt mit dem Anbieter Zoom die Standardvertragsklauseln der EU-Kommission in der jeweils gültigen Fassung ab.
Der Auftragnehmer stellt der verantwortlichen Hochschule das VKS Zoom zur Verfügung und ist deren unmittelbarer Abrechnungspartner. Hierdurch kann die Übermittlung von Abrechnungsdaten an den Anbieter Zoom minimiert bzw. anonymisiert erfolgen.
Der Auftragsverarbeiter setzt insbesondere solche technischen Maßnahmen um, die geeignet sein können, ein Risiko aus dem Zugriff auf Inhaltsdaten durch den Anbieter Zoom selbst weniger wahrscheinlich werden zu lassen (zum Beispiel durch ein regelmäßiges, prozessgesteuertes Monitoring zum Erkennen und Unterbinden unerwünschten Verbindungsaufbaus).
- Pseudonymisierung, technische und organisatorische Maßnahmen
Art und Umfang der personenbezogenen Daten, die trotz des Betriebs der Konnektoren durch den Auftragsverarbeiter weiterhin an Zoom übermittelt werden (Verbindungs-, Telemetrie- und Diagnosedaten), werden in dem Umfang, wie es durch technische und organisatorische Maßnahmen möglich ist, eingeschränkt.
Die verantwortliche Hochschule verwaltet die Benutzeridentitäten für die Teilnahme an Videokonferenzen in einem von ihr lokal betriebenen Identitätsmanagement (IDM). Sie schränket die Übermittlung personenbezogener Daten durch das IDM an den Anbieter Zoom in einem Umfang ein, der einen Personenbezug nicht möglich macht. Dazu gehört u.a., dass das IDM eine Übermittlung von Klarnamen an Zoom ausschließt. Durch organisatorische Maßnahmen muss sichergestellt sein, dass nicht etwa Veranstaltungsleiter die Angabe von Klarnamen erzwingen, wenn diese z.B. eine Anwesenheitskontrolle im Rahmen von Seminarformaten durchführen.
Maßgeblich gehört hierzu auch die Deaktivierung von Funktionalitäten, die nur durch die Übermittlung personenbezogener Daten an den Anbieter Zoom nutzbar sind. Dazu gehören z.B. die Aufzeichnung und Speicherung der Konferenz in der Cloud, die Nutzung der Chat-Funktion, oder die Teilnahme mittels Browser.
- Ende-zu-Ende-Verschlüsselung
Die Ende-zu-Ende-Verschlüsselung des Zoom-Clients muss vom Verantwortlichen zwingend aktiviert werden. Dabei werden die Schlüssel im Zoom-Client der Hochschulen und nicht zentral von Zoom erstellt und verteilt. Die Sicherheit der zugrundeliegenden kryptografischen Verfahren ist durch eine externe Zertifizierung nachgewiesen.
- Virtual Private Network (VPN)
Die verantwortliche Hochschule bietet den Hochschulangehörigen einen VPN-Zugang an, der geeignet ist, die Übermittlung personenbeziehbarer IP-Adressen an Zoom zu unterbinden. Sie stellt sicher, dass ein solcher VPN-Zugang durch alle interessierten Teilnehmenden für den betrachteten Anwendungsfall genutzt werden kann. Dies schließt insbesondere die Bereitstellung ausreichender technischer Kapazitäten ein.
Dass ein personenbezogenes Datum des Hosts einer Veranstaltung (Name des Veranstaltungsleiters) übermittelt wird, kann dagegen nicht unterbunden werden. Sofern eine Übermittlung dieses Datums vom Host nicht gewünscht wird, kann er auf ein alternatives datenschutzkonformes VKS ausweichen.
- Beschränkung hinsichtlich der Nutzung
Die verantwortliche Hochschule setzt das VKS Zoom im Rahmen der Durchführung von Lehrveranstaltungen ein. Sie schließt grundsätzlich Anwendungsfälle aus, bei denen eine Verarbeitung sensiblerer, personenbezogener Daten erfolgt, z. B. für Zwecke der hochschulinternen Selbstverwaltung, von studentischen Interessenvertretungen, Personalvertretungen oder auch für die Durchführung von Bewerbungsverfahren. Hierfür hält die verantwortliche Hochschule ein alternatives datenschutzkonformes VKS bereit.
- Ausreichende Information der Teilnehmenden
Soweit die genannten Sicherheitsmaßnahmen ein Mitwirken der an dem VKS Teilnehmenden erfordern oder ihnen eine Wahlmöglichkeit eröffnen, muss die Hochschule die Teilnehmenden ausreichend darüber informieren, durch welche Maßnahmen sie ihre informationelle Selbstbestimmung schützen können. Diese Information muss sowohl zusammenhängend leicht auffindbar als auch bei den einzelnen Nutzungsschritten in der Anwendung des VKS in dem jeweils erforderlichen Umfang angeboten werden.
Stand: 24.10.2022