[dk] Videokonferenzsysteme für das Sommersemester

[Andreas Westfeld]

Liebe Mitglieder des Studentenrates, liebes Referat Datenkultur,

wie Sie vielleicht wissen, ist Frau Niehues Ende Februar in den Ruhestand gegangen. Ich habe ihren Sachverstand und insbesondere ihre juristische Kompetenz sehr geschätzt.

In seiner neuen Zusammensetzung hat das Rektorat am Dienstag einen „Vorratsbeschluss“ gefasst, 200 Lizenzen für das Zoom-Videokonferenzportal zu beschaffen.

Ich habe dem Rektorat gegenüber immer betont, dass ich gegen eine Vorortinstallation (on premise) von Zoom nichts einzuwenden habe und diese empfohlen. Der Sächsische Datenschutzbeauftragte hat die Verwendung von Zoom durch staatliche sächsische Hochschulen (in der Cloud-Variante) beanstandet.

Spätestens seit dem Schrems-II-Urteil ist bekannt, dass US-Anbieter wie Zoom insbesondere zwingendem US-Recht unterliegen (FISA), mit dem die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren. Der FISA gilt unabhängig davon, ob der US-Anbieter auf europäischen Servern verarbeitet.

Dennoch habe ich unmittelbar nach Bekanntwerden des Rektoratsbeschlusses die Unterlagen zur Prüfung und Beratung angefordert (vertragliche Unterlagen, Datenschutz-Folgenabschätzung gem. Art. 35 der Datenschutz-Grundverordnung). Aus dem heutigen Schreiben der Prorektorin für Lehre und Studium (s. u.) wird klar, dass zumindest Vertragsunterlagen vorliegen müssen. Diese enthält man mir vor.

Damit wird bewusst ein wichtiges Instrument umgangen, das dem Schutz für die Rechte und Freiheiten der Studentinnen und Studenten dient. Um so stärker müssen sich die Studentinnen und Studenten der HTW Dresden für Ihre Rechte selbst einsetzen.

Was ist aus Sicht der betroffenen Personen zu beachten?

1. Die Verarbeitung personenbezogener Daten für die Lehre ist nicht ohne wirksame Einwilligung der betroffenen Personen zulässig. Wenn die Zwecke der Verarbeitung nicht genannt werden (die Telemetrie der Zoom-Seite bewertet z. B. persönliche Aspekte, insbesondere die wirtschaftliche Lage, persönliche Vorlieben oder Interessen, das Verhalten und den Aufenthaltsort durch Verknüpfung der anfallenden, zum Teil unscheinbar wirkenden Metadaten mit einem Sekundärdatenstamm; dabei wird der Zweck nicht genannt) ist eine wirksame Einwilligung aber nicht möglich.

2. Die staatlichen sächsischen Hochschulen sind durch das Staatsministerium für Wissenschaft, Kultur und Tourismus (SMWK) mit Schreiben vom 20. August 2020 (Dr. Werner) gebeten worden, „künftig datenschutzkonforme Lösungen zu nutzen“. Dabei könne es hilfreich sein, entsprechende Konzepte an den jeweiligen Hochschulen mit den dortigen Datenschutzbeauftragten abzustimmen.

3. Der Sächsische Datenschutzbeauftragte (SDB) sieht ausdrücklich ein praktisches Nutzungsverbot für das Videokonferenzportal Zoom (Schreiben vom 30. April 2020). Diese Auffassung (Schreiben des SDB vom 28. Juli 2020) berücksichtigt insbesondere eine Ende-zu-Ende-Verschlüsselung und die Ablösung der ungeeigneten Betriebsart Electronic Codebook (ECB; vgl. Schreiben des SMWK vom 2. Juli 2020, Staatssekretärin Franke)

4. Das Rektorat hat die Nutzung des Videokonferenzportals Zoom als rechtswidrige Maßnahme zu beanstanden (§ 83 Abs. 4 Satz 1 des Sächsischen Hochschulfreiheitsgesetzes).

5. Die datenschutzrechtlich mildere Alternative (BBB) kommt ohne Verarbeitung von Anbietern aus Drittländern aus und verfügt über eine getestete Kapazität von 180 Teilnehmern bei mehreren Videoströmen in FullHD-Qualität und wahlweise geteiltem Bildschirm, Bildschirmfenster oder Präsentation.

Das heutige Schreiben der Prorektorin für Lehre und Studium (s. u.) erweckt den Eindruck, als wäre MS Teams schlimmer als Zoom. Aus meiner Sicht ist zu beachten, dass Zoom nicht einmal einen Duldungsstatus, sondern den Status „durch den SDB beanstandet“ hat:

* BBB: datenschutzkonform
* MS Teams: geduldet (ordnungswidrig aber sanktionsfrei, soweit die mit dem SDB ausgehandelten Duldungsbedingungen eingehalten werden)
* Zoom: durch die Datenschutzaufsicht SDB für staatliche Hochschulen im Freistaat Sachsen beanstandet, die Rechtsaufsicht SMWK bittet die Hochschulen in diesem Zusammenhang ausdrücklich, datenschutzkonforme Lösungen einzusetzen

Ich bitte die Studentinnen und Studenten unserer Hochschule, von ihren Lehrenden datenschutzkonforme Verarbeitung und die Wahl dafür geeigneter Werkzeuge einzufordern. Als Hochschullehrer habe ich in den vergangenen Semestern sehr positive Erfahrungen mit BBB gemacht.

Fragen beantworte ich gern.

Viele Grüße

Andreas Westfeld

Datenschutzbeauftragter der HTW Dresden


> Am 12.03.2021 um 14:26 schrieb Haubold, Anne-Katrin <anne-katrin.haubold at htw-dresden.de>:
> 
> Liebe Kolleginnen und Kollegen, 
>  
> für die anstehende Vorlesungszeit des Sommersemesters möchten wir Ihnen heute einige zusätzliche Informationen mitteilen, insbesondere hinsichtlich der zur Verfügung stehenden Tools für die Online-Lehre. 
>  
> BigBlueButton
> BigBlueButton bleibt Ihnen als Videokonferenzsystem in den bekannten Varianten und mit den kommunizierten Einschränkungen (Kameras, Anzahl der Teilnehmer:innen < 100) erhalten. Es ist eines derjenigen Systeme, die vom sächsischen Landesdatenschutzbeauftragtem als bedenkenlos einsetzbar angesehen wird. Daher sollte BigBlueButton auch für Gremiensitzungen verwendet werden. 
>  
> Zoom
> Wir konnten in Verhandlungen mit Zoom für die HTW eine angepasste Lizenzvereinbarung schließen. Diese gestattet uns die Nutzung des s.g. EU-Zoom-Clusters von Zoom. Dabei findet die Verarbeitung personenbezogener Daten von Meeting-Teilnehmenden ausschließlich in Rechenzentren in der Europäischen Union statt. 
> Die Freigabe der Zoom-Lizenzen zur Nutzung für die Lehre wird ab dem 15.03.2021 möglich sein. Wenn Sie Zoom für Ihre Lehrveranstaltungen nutzen möchten, senden Sie uns bitte zeitnah eine E-Mail an plus at htw-dresden.de <mailto:plus at htw-dresden.de>. Um die Administration der verschiedenen Videokonferenzsysteme so wenig aufwändig wie möglich zu gestalten, bitten wir Sie zu prüfen, ob Sie sich auf die Nutzung eines Videokonferenzsystems beschränken können. Das hilft uns dabei Kapazitäten und Personalressourcen besser zu planen.
>  
> MS Teams
> Im Sommersemester wird Ihnen weiterhin MS Teams zur Verfügung stehen. Bei MS Teams ist zu beachten, dass dieses auch weiterhin nur einen Duldungsstatus hat. Zugänge können über einen neuen Self-Service (https://msts.htw-dresden.de <http://msts.htw-dresden.de/>) beantragt werden.
> Mit dem Self Service kann sich jeder Studierende und Mitarbeitende ohne M365 Login ein Login generieren und Mitarbeitende und Studierende mit M365 ihr Passwort zurücksetzen. Damit entfällt die Einschreibung im OPAL für die Studierenden. Die E-Mail-Adresse msteams.support at htw-dresden.de <mailto:msteams.support at htw-dresden.de>nutzen Sie weiterhin bei Problemen, welche über den Self-Service hinaus gehen.
>  
> BigBlueButton für studentische Tutoren/Tutorinnen
> Mit Ablauf des Wintersemesters 2020/21 inkl. des erweiterten Prüfungszeitraums sind die BBB-Anträge der studentischen Tutoren und der Lehrbeauftragten ohne Lehrauftrag für das SoSe zum 06.03.2021 abgelaufen. Die Nutzendenen wurden 2 Wochen vor Ablauf des Accounts per E-Mail informiert und auf das Prozedere einer ggf. notwendigen Neubeantragung für das SoSe 2021 hingewiesen. Hinweise, wie in den Fakultäten Zugänge für studentische Tutoren/Tutorinnen zu beantragen sind, finden Sie hier (https://www.htw-dresden.de/hochschule/lehre-an-der-htw-dresden/beratung-und-service/online-lehre/bigbluebutton?no_cache=1#c81482 <https://www.htw-dresden.de/hochschule/lehre-an-der-htw-dresden/beratung-und-service/online-lehre/bigbluebutton?no_cache=1#c81482>).
>  
> Weitere Werkzeuge
> Daneben werden Ihnen im Sommersemester neben OPAL und Videocampus weiterhin die Werkzeuge Tweedback sowie für Online-Prüfungen HTWexam zur Verfügung stehen.

[…]

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.stura.htw-dresden.de/pipermail/dk/attachments/20210312/76dd1c04/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2519 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.stura.htw-dresden.de/pipermail/dk/attachments/20210312/76dd1c04/attachment.bin>