So ganz spontan ging mir "das ist ein Oxymoron" durch den Kopf, als ich die Information gelesen habe. Denn der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) bestätigt gegenüber Wissenschaftsministerin Angela Dorn, dass Zoom an Hessischen Hochschulen für Lehrveranstaltungen genutzt werden kann. Gibt leider nur eine kleine Randbedingung: Die Hochschulen schließen aus, dass US-Behörden auf die Inhalts- und Metadaten aus Videokonferenzen zugreifen können. Es scheint aber ein "Hessisches Modell" zu geben, was das berücksichtigt.
Anzeige
US-Videokonferenzsysteme wie Zoom dürfen aus Datenschutzgründen an Schulen und Hochschulen eigentlich nicht eingesetzt werden. Denn es lässt sich nicht sicherstellen, dass die US-Behörden keinen Zugriff auf die Daten der Benutzer erhalten. Um diese Frage ranken sich bereits einige Blog-Beiträge, siehe Linkliste am Artikelende.
Ich bin über obigen Tweet von Mike Kuketz auf diesen Sachverhalt aufmerksam geworden. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit bestätigt in dieser Pressemitteilung gegenüber der Wissenschaftsministerin Angela Dorn, dass Zoom an Hessischen Hochschulen für Lehrveranstaltungen genutzt werden kann. Wissenschaftsministerin Angela Dorn meint dazu:
Seit Beginn der Pandemie nutzen Hessens Hochschulen das Videokonferenzsystem Zoom intensiv und möchten das fortführen – datenschutzkonform und sicher. Ich freue mich sehr, dass sie gemeinsam mit dem Hessischen Datenschutzbeauftragten einen Weg gefunden haben, Zoom für Vorlesungen zu nutzen. Das gibt den Hochschulen die notwendige Flexibilität für ihr Angebot virtueller oder hybrider Lehre und zugleich Rechtssicherheit. Ich danke allen Beteiligten herzlich für ihr Engagement.
Mir scheint aber, dass die Dame die kleine Voraussetzung für den Einsatz von Zoom an hessischen Hochschulen übersehen hat. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit schreibt dazu:
Anzeige
Die Voraussetzung: Die Hochschulen schließen aus, dass US-Behörden auf die Inhalts- und Metadaten aus Videokonferenzen zugreifen können.
Hintergrund ist die Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 (Schrems II). In dieser hat das Gericht festgestellt, dass die USA ihren Behörden ermöglichen, in unverhältnismäßiger Weise auf personenbezogene Daten aus der EU zuzugreifen, den betroffenen Personen aber dagegen keinen Rechtsschutz bieten. Daher dürfen personenbezogene Daten in die USA nur übertragen werden, wenn ausgeschlossen ist, dass US-Behörden auf sie zugreifen können.
Das jedoch kann ein US-amerikanischer Diensteanbieter nicht garantieren, insbesondere nicht, wenn er – wie der Videokonferenzsystem-Dienstleister Zoom – die Übertragung von Daten in die USA vorsieht. Daher hat der HBDI die im April 2020 pandemiebedingte Duldung solcher Systeme zum 31. Juli 2021 beendet. Der HBDI hat in der Folge die Hessischen Hochschulen dazu aufgefordert, die Nutzung von US-Videokonferenzsystemen datenschutzgerecht zu gestalten oder zu datenschutzkonformen Systemen zu wechseln.
Hessisches Modell
Seitdem haben die Hochschulen und der HBDI unter Moderation des Hessischen Ministeriums für Wissenschaft und Kunst (HMWK) nach geeigneten Lösungen gesucht. Hierbei hat die Universität Kassel mit Unterstützung des HBDI ein „Hessisches Modell" entwickelt, mit dem das Videokonferenzsystem Zoom von den Hochschulen konfiguriert und betrieben werden kann, ohne gegen die Datenschutzvorgaben des Europäischen Gerichtshofs zu verstoßen. Beim "Hessischen Modell" stellen die Hochschulen sicher, dass sie:
- einen von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU beauftragen, das Videokonferenzsystem auf Servern in der EU zu betreiben und mit ihnen abzurechnen,
- eine Ende-zu-Ende-Verschlüsselung aller Inhaltsdaten zur Verfügung zu stellen,
- den Abfluss personenbezogener Daten von Studierenden in die USA und den Zugriff auf solche Daten aus den USA heraus verhindern,
- die Nutzung von Zoom auf Lehrveranstaltungen beschränken,
- ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen, anbieten,
- die Lehrenden und Studierenden über weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung ausführlich informieren.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, ist mit dieser Lösung sehr zufrieden: "Das Hessische Modell zeigt, dass es sich lohnt, konstruktiv nach Wegen zu suchen, wie durch Technikgestaltung die Vorteile bestimmter IT-Systeme genutzt werden können, ohne dass der Datenschutz auf der Strecke bleibt. Insofern ist dieses Modell auch für andere Videokonferenzsysteme ein Vorbild und kann methodisch auf viele Probleme des Datenschutzes übertragen werden. Solche Lösungen könnten natürlich auch die Anbieter von IT-Systemen und -Diensten von Anfang an vorsehen".
Ähnliche Artikel:
Zoom & Teams nicht DSGVO-konform einsetzbar
Ärger um Berliner Datenschutzprüfung von Videokonferenzsoftware
Hamburgs Senatskanzlei von Datenschutzbeauftragten wegen Zoom-Einsatz formal "gewarnt"
Zoom kappt Datentransfer zu Facebook in iOS-App
Datenschutzbeauftragter verkündet Aus für Teams an Hessens Schulen
Homeschooling: Teams und Zoom DSGVO-konform einsetzen
Zoom-Meeting: Passwörter binnen kurzer Zeit knackbar
Anzeige
> einen von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU beauftragen..
Warum betreibt die Uni Zoom denn nicht gleich selbst?
…vermutlich ist denen das Thema zu heiss (was ich gut verstehen kann)
Davon abgesehen kann man bei Problemen, den schwarzen Peter an den externen Dienstleister weiterreichen. Wie oben schon erwähnt, könnte ich auch das verstehen :-)
Würde es sich um ein rein intern – non internet facing System handeln, wäre das vielleicht etwas anderes, was den Eigenbetrieb angeht. Jedoch ist non internet facing bei „Jugend forscht" „undenkbar".
> einen von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU beauftragen..
Metadaten komplett von den VK-Servern zu entkoppeln und wirksam anonymisieren – ohne dass der Anbieter von Zoom abhängig ist. Ernsthaft? DAS Konzept würde ich gern mal lesen.
> Warum betreibt die Uni Zoom denn nicht gleich selbst?
Warum betreibt die Uni keine datenschutzneutralen opentalk Server (opentalk.eu) anstatt auf fragwürdige Anbieter wie zoom zu setzen?
Lt. Artikel im Hessischem Modell ist sowas mit Punkt 5. enthalten:
> ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen, anbieten
> Warum betreibt die Uni keine datenschutzneutralen opentalk Server (opentalk.eu) anstatt auf fragwürdige Anbieter wie zoom zu setzen?
Das kannte ich bisher auch noch nicht. Von anderen Pädagogen wurde ich zu Beginn der Pandemie auf BigBlueButton aufmerksam. Das Teil schaut auch nicht schlecht aus.
Ich vermute, dass die Wahl zu den großen Anbietern meistens mit dem Support und dem Auslagern der Dienste zusammenhängt.
In Hessen scheint es noch vernünftige Entscheider zu geben die nicht auf unsinniger Prinzipienbürokratie bestehen, sondern mit zuverlässgen Lösungen dem Bildungsauftrag nachkommen. Daumen hoch!
Hat mit Prinzipienbürokratie Null zu tun. Es gibt eine DSGVO und es gibt das Schrems II-Urteil des EuGH – da geht kein Weg dran vorbei. Der Datenschutzbeauftragte hat den Ball elegant gespielt: Letztendlich ist die Hochschule verantwortlich.
/signed
Naja, in NRW ist es de facto so, dass Cisco einen Freibrief für den Betrieb an Hochschulen bekommen hat.
Die DSB hat da überhaupt keinen Schmerz mit, wenn Daten in die USA abfliessen, wie es scheint.
naja. wird sich durch unabhängige Prüfungen erstmal zeigen müssen, ob das überhaupt stimmt was die da sagen … wäre schließlich nicht das erste mal das solche Versprechen eher unter die Kategorie "Märchenonkel" fallen.
Sicher interessant am Ball zu bleiben.
Genau das Gleiche dachte ich auch beim Lesen …
Wenn Politiker etwas "hochjubeln" – besonders solch diverse "Eigenmodelle", die schon mal gleich wieder nach wie im Hobbykeller zusammengeschraubt klingen – ist generell IMMER zunächst mal Vorsicht angebracht! Man kann auch schon wieder etwas Selbstbeweihräucherung erkennen, nach dem Motto: "Wir wissen wie es geht – ihr nicht!"
Sehe schon demnächst vor meinem geistigen Auge die Schlagzeile aufpoppen: "Hessisches Modell bei Zoom hält nach eingehender Überprüfung doch nicht dem Versprechen des Datenschutzes stand!"
Wir nutzen Zoom an einer Hessischen Hochschule über einen Rahmenvertrag vom DFN. Hier wird Zoom über die Telekom angeboten, welche alle Daten auch Metadaten vorher anonymisieren und somit Datenschutzkonform arbeitet. Nennt sich dann Zoom X.
Steht das so im Marketing Prospekt oder hat das jemals jemand geprüft?
Wir von der IT haben hierzu weitere Informationen erhalten, wie die Anonymisierung statt findet und bei der Durchsicht gab es hier nichts zu beanstanden.
Und welche Informationen wären das? Wie findet die Anonymisierung statt? Dass könnt ihr von der IT doch sicher kurz allgemeinverständlich darstellen. Vielen Dank.
Zitat:
Zoom X powered by Telekom in Frankfurt am Main und in Biere (Rechenzentrum der Telekom) erfüllt die Anforderungen nach DSVGO, denn die Informationen werden in Deutschland gespeichert. Wie wird die DSVGO von der Telekom sichergestellt, wenn ein Anwender z. B. aus Deutschland mit einem Nutzer außerhalb der EU kommuniziert? Die Telekom hat mit Zoom gemeinsam eine angepasste Infrastruktur in Deutschland installiert, die die Information des Nutzers „maskiert". Damit können Zoom X Telekom- kunden davon ausgehen, dass die Daten im Rechenzentrum in FFM und Biere gespeichert werden und diese nicht verlassen.
Zoom und Telekom arbeiten gemeinsam an weiteren Optimierungen für die Zoom X Lösung "powered by Telekom".
So wie ich das noch im Kopf habe, werden jegliche Kennungen und damit übertragenen Daten vorher anonymisiert, in dem zufällig erstellte Kennungen die eigentlichen Kennungen ersetzen, was dann von der Telekom als "maskieren" bezeichnet wird.
Wahrscheinlich ist es noch komplizierter als ich hier darstelle.
Ich bin zufrieden das wir Zoom nutzen können, unsere eigenen Lösungen liefen alle, aber eher schlecht als recht.
Auch die Akzeptanz bei unseren Studenten und Mitarbeiter war hier viel höher, da viele Zoom für private Zwecke genutzt haben und die Gewöhnung vor allem zu Beginn der Corona-Pandemie von alleine lief.
Ok, ihr von der IT habt also den o.g. Marketing Prospekt durchgesehen, das Wort Maskierung gehört und seid jetzt damit zufrieden. Danke für diese Einschätzung.
Vielleicht weiss noch jemand etwas genauer, wie Zoom X und seine Anonymisierung technisch funktionieren soll.
> Zoom X powered by Telekom in Frankfurt am Main und in Biere (Rechenzentrum der Telekom) erfüllt die Anforderungen nach DSVGO (…)
Danke das kannte ich noch nicht.
Aber, ohje. So ne Form der maskierenden Anonymisierung ist nichts, das man einfach so glaubt. Verantwortung rechtlich abschieben zu können, heißt nicht sie wahrzunehmen.
zoomX soll auch als on-premise angeboten werden. Die Telekom selbst spricht NICHT von Anonymisierung (sondern: Pseudonymisierung).
Ich sehe da kein Versprechen der Maskierung über alle Dienste und alle Netze. Ohnehin sehe ich da kaum wie die verlässliche Entkopplung umgesetzt worden sein soll. Auch keine rechtliche Bewertung oder Darlegung der Verträge mit zoom und die Garantie der Auhebung aller relevanten Interventionsoptionen seitens US-Rechtssprechung.
Die setzen Zoom ein, weil es einfach gut läuft. Allein die Webinare mit tausenden von Usern funktioniert einwandfrei. Da kotzen die anderen Anbieter mit ihren Produkten wie Webex, Teams etc. ab. Das onprem zu hosten frisst Ressourcen und Aufwand. Das hessische Model hat aber ein Fehler, denn die Verarbeitung der Userdaten und die Anmeldungen werden weiterhin auf den Zoom Servern in den USA stattfinden und der Abfluss der Daten bleibt bestehen. Deswegen gibt es demnächst vom DFN das ZoomX Produkt von der Detschen Telekom für die Uni's/FHs, welches diese Daten dann anonymisiert.
Das geht deshalb vmtl. weil die Daten in Deutschland bleiben.
Zoom wird für den öffentlichen Dienst künftig von der Telekom gehostet.
Die Daten gehen also nicht über die USA.
Zoom und Telekom vertiefen Partnerschaft mit gemeinsamer Lösung für deutschen Markt
Zoom und Telekom vertiefen Partnerschaft mit gemeinsamer Lösung für deutschen Markt
"Das geht deshalb vmtl. weil die Daten in Deutschland bleiben. (…) Die Daten gehen also nicht über die USA."
https://youtu.be/p56aVppK2W4?t=2931
Derlei Ammenmärchen kennt unsereiner schon zur Genüge. Wird anders verpackt, genannt und verschachtelt, aber ändert letztlich rein gar nichts.
> weil die Daten in Deutschland bleiben.
Wir kommst du zu dieser Aussage? Selbst die Telekom spricht in ihrer Werbung nicht davon. Sie sichert lediglich zu, dass der Vertragspartner in der EU sitzt und das Anmeldedaten (einmalig?) pseudonymisiert werden.
> Zoom wird für den öffentlichen Dienst künftig von der Telekom gehostet.
Ich sehe da keine Beschluss des Bundesrats. Woher hast du denn die Aussage?
> Die Daten gehen also nicht über die USA.
Alle Video-, Audio-, Textdateien, Metadaten werden weiterhin über Server von zoom weltweit geroutet. Jedenfalls sehe ich da keine andere Aussage der Telekom.
Ist der CLOUD Act noch aktiv? Dann ist es US Unternehmen auch möglich, auf Server im Ausland zuzugreifen. Also wieder mal nur ein "…ich mach mir die Welt … wie sie mir gefällt". [Quelle: US CLOUD Act regelt internationalen Datenzugriff]
Der Link funktioniert zumindest bei mir nicht (404 – File not found)
GB: Ich habe den Link korrigiert – es war ein ] am Ende zu viel.
FTFY:
"Dann sind US Unternehmen und Unternehmen mit Niederlassungen in den USA auf Aufforderung verpflichtet, auf Server im Ausland zuzugreifen."
Wie kommt eine Hochschule(!) auf die Idee proprietäre Software zu nutzen? Haben die da Aktien von dem Unternehmen und wollen so profitieren?