Der Hessische Beauftragte für Datenschutz und Informationsfreiheit fordert die hessischen Hochschulen auf, in diesen für rechtsgemäße Verhältnisse bei der Nutzung von Videokonferenzsystemen zu sorgen

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) fordert die hessischen Hochschulen auf, in diesen für rechtsgemäße Verhältnisse bei der Nutzung von Videokonferenzsystemen (VKS) zu sorgen. Die Forderungen des EuGH zum Schutz der Grundrechte bei der Übertragung personenbezogener Daten durch Unternehmen und öffentliche Stellen in Drittstaaten mit unzureichendem Datenschutzniveau seien auch von den hessischen Hochschulen umzusetzen.

Fotolia_180097066_S.jpg

Bild Allgemeine Verwaltung

Die Corona-Pandemie hat die hessischen Hochschulen vor nicht vorhersehbare Herausforderung für das Sommersemester 2020 gestellt. Sie mussten in kürzester Frist taugliche Lösungen für alle Formen der Online-Lehre finden. Bei der Suche nach geeigneten VKS hat die Datenschutzkonformität dieser Systeme meist nur eine untergeordnete Rolle gespielt.

Der HBDI hatte aufgrund der gesellschaftlichen Notlage im Jahr 2020 eine Duldung für den Einsatz von fast allen gängigen VKS in Schulen bis zum 31. Juli 2021 ausgesprochen. Diese Duldung gilt nach dem Gleichbehandlungsprinzip auch für die Hessischen Hochschulen. Nach dem Erfolg der Impfkampagne, dem Rückgang der Inzidenzzahlen und nach dem Auslaufen der Duldung im Bereich der Schulen, wird es nun Zeit, auch in hessischen Hochschulen für rechtsgemäße Verhältnisse bei der Nutzung von VKS zu sorgen.

Dafür sind vor allem zwei Aspekte zu berücksichtigen:

Erstens müssen die Vorgaben der Artikel 44 ff. Datenschutz-Grundverordnung (DS-GVO) beachtet werden. Diese Vorschriften verbieten grundsätzlich die Übertragung personenbezogener Daten in Drittstaaten, deren Rechtsordnung und Rechtspraxis kein Datenschutzniveau bieten, das mit dem in der EU vergleichbar ist. Das Ziel dieser Regelungen besteht darin, dass europäische Bürgerinnen und Bürger durch die Übertragung personenbezogener Daten in andere Staaten nicht ihren Grundrechtsschutz verlieren sollen.

Diese Anforderungen hat der Europäische Gerichtshof (EuGH) in seinem Urteil vom 16. Juli 2020 (C-311/18 – Schrems II – ECLI:EU:C:2020:559) noch einmal betont und präzisiert. Bezogen auf Datenübertragungen in die USA hat der EuGH festgestellt, dass die Vereinbarung der EU mit den USA („Privacy Shield“), die bisher die Datenübertragung rechtfertigen konnte, unionsrechtswidrig und nichtig ist. Die beiden zentralen Kritikpunkte des EuGH an der Rechtslage in den USA sind zum einen die unbestimmten und unverhältnismäßigen Zugriffsbefugnisse staatlicher Stellen. Zum anderen hat er kritisiert, dass für US-Ausländer ein adäquater Rechtsweg zur Abwehr solcher Zugriffe ausgeschlossen ist. Daher muss jede Stelle, die personenbezogene Daten in die USA überträgt, durch zusätzliche Maßnahmen dafür sorgen, dass ein unverhältnismäßiger Zugriff der dortigen staatlichen Stellen ausgeschlossen ist, oder die Datenübertragung unterlassen. Hierzu hat der Europäische Datenschutzausschusses die Empfehlungen 1/2020 und 2/2020 herausgegeben.

VKS sind nach diesen Vorgaben entweder so zu betreiben, dass sichergestellt ist, dass keine personenbezogenen Daten in die USA übertragen werden oder sie sind durch andere datenschutzkonforme VKS zu ersetzen. Die Berliner Datenschutzbehörde hat 23 VKS rechtlich und technisch untersucht und für 10 VKS festgestellt, dass ein datenschutzkonformer Betrieb möglich ist. Diese Alternativen werden auch schon in vielen Hochschulen genutzt.

Zweitens müssen die eingesetzten VKS von der Hochschule datenschutzgerecht gestaltet werden. Sie müssen vor allem so konfiguriert sein, dass sie den Anforderungen nach datenschutzfreundlichen Voreinstellungen gemäß Artikel 25 Absatz 2 DS-GVO entsprechen. Außerdem müssen sie die Sicherheit der Datenverarbeitung gemäß Artikel 32 DS-GVO dauerhaft gewährleisten. Hierzu finden Sie Erläuterungen und Hilfestellungen in der „Orientierungshilfe Videokonferenzsysteme“ der Konferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder (DSK).

Zwar läuft die ausgesprochene Duldung zum 31. Juli 2021 aus. Um den hessischen Hochschulen genügend Zeit für die notwendigen Umstellungen und Anpassungen zu geben und um die Planungen und Vorbereitungen für das Wintersemester 2021/2022 nicht zu behindern, wird der HBDI vor dem Ende des Wintersemesters von sich aus keine Aufsichtsmaßnahmen ergreifen.

Weitere Erläuterungen, Hinweise und Hilfestellungen zum rechtsgemäßen Betrieb von VKS finden Sie auf unserer Webseite.

Weiterführende Hinweise, die sich an Personen auf Entscheidungs- und Nutzerebene beim Einsatz von VKS richten, sind zu finden unter:

https://datenschutz.hessen.de/datenschutz/it-und-datenschutz/allgemein

Stand: 15. Juli 2021

SERVICE