Der Hessische Landesdatenschutzbeauftragte Prof. Dr. Alexander Roßnagel erklärt den Einsatz der Videokonferenzsoftware „Zoom“ an Hochschulen für zulässig – unter bestimmten Bedingungen. In einer Pressemitteilung vom vergangenen Freitag bezeichnete er die gemeinsam mit der Universität Kassel erarbeitete Lösung als „Hessisches Modell“. Dieses könne eine Vorbildfunktion auch für „viele andere Probleme des Datenschutzes“ haben.
Zoom an deutschen Hochschulen
Der Einsatz von Zoom an deutschen Hochschulen ist vieldiskutiert. Das Grundproblem besteht aus datenschutzrechtlicher Sicht darin, dass personenbezogene Daten der Videokonferenznutzer zu den Servern von Zoom in die USA übermittelt werden. Der EuGH hatte den USA in seinem wegweisenden „Schrems II“-Urteil vom 16. Juli 2020 ein mangelndes Datenschutzniveau bescheinigt und das bis dahin geltende EU-US-Datentransferabkommen „privacy shield“ für unwirksam erklärt. Seitdem wird von Datenexporteuren gefordert, dass sie einem potentiellen Datenzugriff seitens der US-Sicherheitsbehörden mit technischen Mitteln entgegenwirken. Dies kann am ehesten durch Verschlüsselung erreicht werden.
Zoom war im Jahre 2020 in die Kritik geraten, da die von ihnen implementierte Ende-zu-Ende-Verschlüsselung zunächst nicht den Anforderungen einer solchen entsprach. Mittlerweile hat Zoom jedoch nachgebessert, sodass die Inhaltsdaten – Bild und Ton – wirksam Ende-zu-Ende verschlüsselt werden.
Außer den Videodaten fallen bei der Teilnahme an Zoom-Meetings, wie bei jedem anderen Plattformdienst auch, noch Metadaten über das Nutzungsverhalten der Teilnehmer an. Auch wenn sich Zoom als Dienstleister und sog. Auftragsverarbeiter dazu verpflichtet, die anfallenden Daten nicht anderweitig zu verwenden, kann ein Zugriff durch US-Sicherheitsbehörden nicht ausgeschlossen werden.
Nachdem der Hessische Landesdatenschutzbeauftragte im April 2020 die Nutzung von Zoom pandemiebedingt zunächst vorübergehend duldete, widerrief er vor diesem Hintergrund die Duldung zum 31. Juli 2021. Jetzt die Kehrtwende. Wodurch lässt sich die Meinungsänderung rechtfertigen?
IT-Dienstleister als Lösung
Kernstück der Lösung ist die Einschaltung eines zusätzlichen IT-Dienstleisters (Auftragsverarbeiter gemäß Art. 28 DSGVO). Dieser muss unabhängig von Zoom sein und sowohl seinen Sitz als auch seine Server in der EU bzw. innerhalb des EWR haben – also innerhalb des Anwendungsbereichs der DSGVO. Seine wesentliche Aufgabe besteht darin, die Zoom-Audio-Video-Konnektoren auf eigenen Servern („on-premise“) zu hosten. Was hat es mit diesen Konnektoren auf sich?
Laut Website bietet Zoom „einen öffentlichen oder hybriden Cloud-Service an. Beim Hybrid-Cloud-Service können Sie Meeting-Kommunikationsserver, die als Zoom Meeting Connector bekannt sind, im internen Netzwerk Ihres Unternehmens bereitstellen. Benutzer- und Meeting-Metadaten werden in der öffentlichen Cloud verwaltet, während die Meetings in Ihrer privaten Cloud gehostet werden. Der gesamte Meeting-Verkehr, einschließlich Video-, Sprach- und Datenaustausch, läuft über den Zoom Meeting Connector vor Ort.“
Für diese Inhaltsdaten ist laut dem „Hessischen Modell“ innerhalb der Zoom-Applikation die Ende-zu-Ende-Verschlüsselung auszuwählen. Dieser Schlüssel wird laut Zoom im Client des Gastgebers (Dozenten) erzeugt und von diesem an die weiteren Meeting-Teilnehmer verteilt. Demnach sind diese Daten dem Zugriff von Zoom und somit auch dem von US-Sicherheitsbehörden entzogen.
Um die weiterhin in die USA fließenden Benutzerdaten zu schützen, soll die Hochschule laut „Hessischem Modell“ außerdem ein lokales Identitätsmanagement (IDM) der Nutzer betreiben. Dadurch und in Verbindung mit einem ebenfalls vorgeschriebenen Virtual Private Network (VPN) für die Meeting-Teilnehmer soll nicht nur die Übermittlung von Klarnamen an Zoom-Server verhindert werden, sondern der Umfang der Übermittlung soll soweit eingeschränkt werden, dass ein „Personenbezug nicht mehr möglich ist“.
Demnach lägen noch nicht einmal personenbezogene Anmeldedaten beim zwischengeschalteten Dienstleister in der EU. Bis zu den Zoom-Servern in den USA gelangen selbst diese Daten nicht mehr. Auch hier hätten US-Sicherheitsbehörden das Nachsehen. Der kritische Transfer von personenbezogenen Daten in die USA entfiele – fast. Das Veranstaltungsmanagement und damit die Meeting-Metadaten verbleiben auch bei dieser Lösung auf den Zoom-Servern in den USA. Hier können jedoch auch personenbezogene Daten anfallen: Neben der Vorlesungsbezeichnung und Startzeit wird auch der Dozentenname als Host verarbeitet. Hierbei handelt es sich jedoch um öffentliche Daten, die z. B. auch aus dem öffentlichen Vorlesungsverzeichnis einer Universität generiert werden könnten.
Ohne Standardvertragsklauseln geht es nicht
Konsequenterweise ist laut „Hessischem Modell“ daher auch weiterhin der Abschluss von Standardvertragsklauseln (die Grundvoraussetzung für Datentransfers in die USA) erforderlich. Eine weitere wichtige Einschränkung besteht darin, dass sich die Nutzung von Zoom auf Lehrveranstaltungen beschränkt und ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke angeboten werden muss. Offenbar traut man der gefundenen Lösung dann doch nicht so weit, dass man sie auch für Prüfungen freigeben möchte. Ebenso sind AStA- und Personalvertretungssitzungen sowie Bewerbungsgespräche von Zoom ausgenommen. Hier muss auf die Alternativlösung ausgewichen werden.
Möglicherweise will man dadurch einer Nutzerprofilbildung trotz pseudonymisierter Nutzerkennungen vorbeugen. Gerade bei den internen Gremiensitzungen könnte dies ansonsten unter Umständen problematisch werden. Aufgrund der geringen Anzahl von Teilnehmern, die auch noch in wiederkehrender Konstellation zusammentreffen, und aufgrund eventuell weiterer bei Zoom vorhandener Identifikatoren, könnte eine Re-Identifikation der Nutzer stattfinden.
Bei den Hochschulen in Hessen wird dieser Lösungsweg wahrscheinlich mit Erleichterung aufgenommen werden, verschafft er doch Planungssicherheit. Andererseits bleiben die Hochschulen technisch herausgefordert: Sie müssen zusätzliche Sicherungsmaßnahmen für den Betrieb von Zoom implementieren und trotzdem gleichzeitig ein alternatives Videokonferenzsystem für die kritischen Bereiche wie Prüfungen bereitstellen. Rein technisch ließe sich die Lösung auch ohne externe Dienstleister umsetzen. Andererseits eröffnet dies die Möglichkeit, Skaleneffekte zu nutzen, wenn sich alle Hochschulen eines Landes der Infrastruktur eines einzelnen Dienstleisters bedienen sollten. Für je 200 Teilnehmer muss immerhin jeweils ein Meeting-Konnektor-Server betrieben werden.
Die Lösung besteht im Kern in einer Unterbindung des (meisten) Datentransfers in das außereuropäische Ausland. Es bleibt abzuwarten, ob das „Hessische Modell“ in den anderen Bundesländern Nachahmer findet und somit die gewünschte Vorbildfunktion entfaltet. Die Alternative besteht in dem Aufbau einer eigenen, performanten Videokonferenzlösung. Diese stünde dann für alle Einsatzzwecke zur Verfügung.
Niklas
28. November 2022 @ 12:45
„Auch wenn sich Zoom als Dienstleister und sog. Auftragsverarbeiter dazu verpflichtet, die anfallenden Daten nicht anderweitig zu verwenden, kann ein Zugriff durch US-Sicherheitsbehörden nicht ausgeschlossen werden.“
Es ist unzutreffend, dass Zoom sich dazu verpflichtet die Daten ausschließlich als Auftragsverarbeiter zu verarbeiten. Im Gegenteil sieht Zoom ausdrücklich vor, einen Teil der Daten auch selbst als Verantwortlicher zu verarbeiten.
Siehe https://blog.zoom.us/wp-content/uploads/2022/03/privacy-data-sheet-feb.pdf Ziffer II „Zoom processes Personal Data obtained through the delivery of the Services as controller (as defined in the GDPR) only for the following exhaustive list of purposes …“