Zoom unter Auflagen für Lehrveranstaltungen in Hessen durch den Landesdatenschutz freigegeben

Seid dem Beginn der Pandemie ist der Fernunterricht über Videokonferenzsysteme äußert wichtig geworden. Im gleichen Zuge wurde und wird die Diskussion um diese Werkzeuge geführt, die gerade 

Pressemitteilung: https://datenschutz.hessen.de/pressemitteilungen/mit-schutzma%C3%9Fnahmen-ist-zoom-f%C3%BCr-lehrveranstaltungen-an-hessischen-hochschulen 

Das hessische Modell für Zoom

“Beim „Hessischen Modell“ stellen die Hochschulen sicher, dass sie

  • einen von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU beauftragen, das Videokonferenzsystem auf Servern in der EU zu betreiben und mit ihnen abzurechnen,
  • eine Ende-zu-Ende-Verschlüsselung aller Inhaltsdaten zur Verfügung zu stellen,
  • den Abfluss personenbezogener Daten von Studierenden in die USA und den Zugriff auf solche Daten aus den USA heraus verhindern,
  • die Nutzung von Zoom auf Lehrveranstaltungen beschränken,
  • ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen, anbieten,
  • die Lehrenden und Studierenden über weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung ausführlich informieren.”

Das “Hessische Modell” zeigt laut dem LDSB, dass in Kooperation mit dem LDSB zu einer Lösung kommen kann. 

Vertreter von Zoom haben sich auf Twitter geäußert, dass in den nächsten Tagen eine konkrete Umsetzung bekannt wird. Es sieht danach aus, dass es eine Zoom OnPremise Installation wird. Genaueres wird in den nächsten Tagen veröffentlicht.

AV soll wohl connect 4 Video sein mit Servern in Hessen. Informationen kommen in den nächsten Tagen, so ein Vertreter von Zoom bei Twitter: https://twitter.com/ansgar_baums/status/1537789221230059520?s=20&t=3KnbU6OoBfcyayuopipMgA  Alle Inhaltsdaten laufen auf diesen Servern in Hessen, ob dies auch für die Metadaten gilt, ist nicht beantwortet bisher.

Kritik / Feedback 

Im Rahmen des Hessischen Modells drängen sich noch folgende Themen auf:

  • Das “Hessische Modell” ist nicht mit der DSK oder dem EDPB abgestimmt worden. 
  • Was heißt unabhängiger Auftragsverarbeiter?
    • Telekom ist raus, da nicht unabhängig durch das US Geschäft
    • außerhalb der Telekom gibt es keinen Anbieter, der die Skalierung hinbekommen kann, außer es wird nun aufgebaut
  • Metadaten: Was heißt es hier genau? Hier werden Metadaten oder auch Telemetrie und Diagnosedaten in die USA übertragen?  Wie wird es verhindert? 
  • NUR Lehrveranstaltungen. Damit ist die Freigabe für Gespräche untereinander der Lehrenden und innerhalb der Verwaltung nicht freigegeben. Diese Begrenzung ist nicht realitätsnah. 
  • Wie sieht das konkrete Modell aus? OnPremises? SaaS?  Dataflow mit Entitäten?
  • Wie wird konkret informiert? 
  • Bleibt eine Auswahl der Lehrenden? Es gibt bereits ein System in Hessen für Videokonferenzen und Zoom ist eine Alternative oder ist dies eine Auswahl? (Kultusministerium Hessen hat sich bisher nicht geäußert)

Niederlande DSFA zu Zoom

In den Niederlanden wurden über 100 Seiten DSFA mit positiven Ergebnis zu Zoom geschrieben.Zoom adapts approach to privacy after intensive, collaborative consultation with SURF | SURF.nl

Was heißt dies für andere Videokonferenzsystem wie Microsoft Teams? 

Im Grunde könnte man die Anforderungen auf Microsoft Teams übertragen: 

Anforderung Microsoft Teams
Betrieb durch einen unabhängigen Auftragsverarbeiter mit Sitz in der EU nicht möglich, da Microsoft Teams nur innerhalb der globalen Cloud von Microsoft gibt. Es gibt keine OnPrem Möglichkeit
Ende-zu-Ende Verschlüsselung aller Inhaltsdaten Chat 1 zu 1 = Ja
Besprechungen = Ende 2022
DKE = Ja
Abfluss von personenbezogenen Daten in die USA verhindern Ja, innerhalb einer VDI Umgebung möglich
Nutzung auf Lehrveranstaltungen begrenzen Ja, z.B. Information Barriers und organisatorische Regelung
Art. 13 Informationen Ja inkl. Datenflüsse etc.