Datenschutzkonforme Nutzung von Zoom an Hochschulen

Als im März 2020 die Covid-19-Pandemie in Europa begann, waren sowohl öffentlichen Einrichtungen als auch Unternehmen gezwungen, „Remote“-Lösungen für Arbeit und Lehre unter hohem Zeitdruck einzuführen.. Als dann im Juni 2020 der Europäische Gerichtshof in seinem „Schrems 2“-Urteil Datenexporte in die USA in Frage stellte, wurde ein Dilemma offenbar: Lösungen mit hoher Nutzerfreundlichkeit basieren auf Datenexporten – insofern mussten sich Nutzende oft zwischen Funktionalität und Datenschutzkonformität entscheiden. Davon besonders betroffen: Universitäten und Hochschulen, die vor der Herausforderung standen, den Lehrbetrieb “remote”  mit tausenden Professoren, Lehrbeauftragten und Studierenden sicherzustellen. Einige Hochschulen haben sich dabei fast nebenbei neu erfunden: Weg von starren Institutionen hin zu digitalen Wissensplattformen.

Genau zwei Jahre nach dem Schrems 2-Urteil hat nun der Datenschutzbeauftragte des Landes Hessen, Professor Dr. Alexander Roßnagel, entschieden, dass Zoom an hessischen Universitäten und Hochschulen datenschutzkonform und sicher unter bestimmten Bedingungen eingesetzt werden kann. 

Diese Entscheidung ist für Zoom eine Bestätigung  der Investitionen in IT-Sicherheit und Datenschutz in den letzten zwei Jahren: Zooms optionale Ende-zu-Ende-Verschlüsselung, die Lokalisierung von Content-Daten im Europäischen Wirtschaftsraum, Kooperationen mit Single Sign On-Anbietern, Anonymisierung und Pseudonymisierungsoptionen, sowie zahlreiche weitere Einstellungsmöglichkeiten, die den unbeabsichtigten Abfluss von Informationen während eines Meetings verhindern. 

Diese Fortschritte sind durch unabhängige Dritte bestätigt worden: Im Frühjahr dieses Jahres haben wir mit den niederländischen Behörden ein Data Processing Impact Assessment (DPIA) durchgeführt und alle Risiken adressieren können. Neben Erreichung der ISO-Zertifizierung ISO/IEC 27001:2013 haben wir als erster Anbieter eines Videokonferenzdienstes unseren Client nach Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen. Erst kürzlich haben wir einen Code-Review durch MITRE Engenuity, der gemeinnützigen Technologie-Stiftung von MITRE, durchführen lassen, dessen Ergebnisse in einem Abschlussbericht veröffentlicht wurden.

Zum Fall Hessen: Der hessische Datenschutzbeauftragte hat spezifisch die Implementierung von Zoom an der Universität Kassel unter die Lupe genommen. Hierbei handelt es sich um eine Lösung, die vom Zoom-Partner Connect 4 Video mit Sitz in Rüsselsheim umgesetzt wird. Connect 4 Video ist als Vertragspartner der Universität Kassel der Auftragsdatenverarbeiter und betreibt die Server, auf denen die Zoom-Konnektoren gehostet sind. Der dazugehörige Service-Support wird ebenfalls von Connect 4 Video angeboten. 

Eine datenschutzkonforme Einrichtung und Betrieb von Videokonferenzsystem an Hochschulen ist gemäß der Feststellung durch den hessischen Datenschutzbeauftragten immer dann gegeben, wenn unter anderem folgende Kriterien eingehalten werden (eine vollständige Übersicht zu den Kriterien findet sich hier).  

• Der Auftragsverarbeiter ist ein Unternehmen mit Sitz in der EU, welches das Videokonferenzsystem auf Servern in der EU betreibt,
• Inhaltsdaten werden Ende-zu-Ende-verschlüsselt,
• Der Abfluss personenbezogener Daten von Studierenden in die USA wird unterbunden.

Der verantwortlichen Hochschule obliegen weitere Sicherheitsmaßnahmen, unter anderem der Betrieb eines lokalen Identitätsmanagement (IDM), Nutzung eines Virtual Private Networks (VPN) sowie die Information der Teilnehmenden, durch welche Maßnahmen sie ihre informationelle Selbstbestimmung schützen können.

Damit steht der Universität eine hoch-performante und datenschutzkonforme Lösung zu Verfügung, bei der nicht zwischen Funktionalität und Datenschutzkonformität entschieden werden muss. 

Zoom bedankt sich ausdrücklich bei allen Beteiligten für den konstruktiven Austausch!

Die Zusammenarbeit mit Universitäten bleibt weiterhin ein wichtiges Anliegen. Wir sind stolz darauf, unseren Teil dazu beigetragen zu haben, Lehre und Lernen auch in der Covid-19-Pandemie zu ermöglichen. Die Transformation zu hybriden Wissensplattformen ist den Universitäten in der Pandemie gelungen, abgeschlossen ist diese Entwicklung aber noch nicht. Bei Zoom freuen wir uns, den Universitäten bei ihrem weiteren Weg in die hybride Welt helfen zu können. 

Zoom wird weiterhin in IT-Sicherheit und Datenschutz investieren. Die Validierung unsere Ansätze durch unabhängige Dritte ist dabei zentral – weitere Informationen dazu finden Sie hier auf unserem Blog.