Wissenschaftsministerin Angela Dorn: „Seit Beginn der Pandemie nutzen Hessens Hochschulen das Videokonferenzsystem Zoom intensiv und möchten das fortführen – datenschutzkonform und sicher. Ich freue mich sehr, dass sie gemeinsam mit dem Hessischen Datenschutzbeauftragten einen Weg gefunden haben, Zoom für Vorlesungen zu nutzen. Das gibt den Hochschulen die notwendige Flexibilität für ihr Angebot virtueller oder hybrider Lehre und zugleich Rechtssicherheit. Ich danke allen Beteiligten herzlich für ihr Engagement.“
Hintergrund ist die Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 (Schrems II). In dieser hat das Gericht festgestellt, dass die USA ihren Behörden ermöglichen, in unverhältnismäßiger Weise auf personenbezogene Daten aus der EU zuzugreifen, den betroffenen Personen aber dagegen keinen Rechtsschutz bieten. Daher dürfen personenbezogene Daten in die USA nur übertragen werden, wenn ausgeschlossen ist, dass US-Behörden auf sie zugreifen können. Das jedoch kann ein US-amerikanischer Diensteanbieter nicht garantieren, insbesondere nicht, wenn er – wie der Videokonferenzsystem-Dienstleister Zoom – die Übertragung von Daten in die USA vorsieht. Daher hat der HBDI die im April 2020 pandemiebedingte Duldung solcher Systeme zum 31. Juli 2021 beendet. Der HBDI hat in der Folge die Hessischen Hochschulen dazu aufgefordert, die Nutzung von US-Videokonferenzsystemen datenschutz-gerecht zu gestalten oder zu datenschutzkonformen Systemen zu wechseln.
Seitdem haben die Hochschulen und der HBDI unter Moderation des Hessischen Ministeriums für Wissenschaft und Kunst (HMWK) nach geeigneten Lösungen gesucht. Hierbei hat die Universität Kassel mit Unterstützung des HBDI ein „Hessisches Modell“ entwickelt, mit dem das Videokonferenzsystem Zoom von den Hochschulen konfiguriert und betrieben werden kann, ohne gegen die Datenschutzvorgaben des Europäischen Gerichtshofs zu verstoßen.
Beim „Hessischen Modell“ stellen die Hochschulen sicher, dass sie
- einen von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU beauftragen, das Videokonferenzsystem auf Servern in der EU zu betreiben und mit ihnen abzurechnen,
- eine Ende-zu-Ende-Verschlüsselung aller Inhaltsdaten zur Verfügung zu stellen,
- den Abfluss personenbezogener Daten von Studierenden in die USA und den Zugriff auf solche Daten aus den USA heraus verhindern,
- die Nutzung von Zoom auf Lehrveranstaltungen beschränken,
- ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen, anbieten,
- die Lehrenden und Studierenden über weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung ausführlich informieren.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, ist mit dieser Lösung sehr zufrieden: „Das Hessische Modell zeigt, dass es sich lohnt, konstruktiv nach Wegen zu suchen, wie durch Technikgestaltung die Vorteile bestimmter IT-Systeme genutzt werden können, ohne dass der Datenschutz auf der Strecke bleibt. Insofern ist dieses Modell auch für andere Videokonferenzsysteme ein Vorbild und kann methodisch auf viele Probleme des Datenschutzes übertragen werden. Solche Lösungen könnten natürlich auch die Anbieter von IT-Systemen und -Diensten von Anfang an vorsehen“.
Weiterführende Informationen finden Sie auf der
Website des HBDIÖffnet sich in einem neuen Fenster