Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat die Nutzung von Zoom für Lehrveranstaltungen an den Hochschulen seines Bundeslandes nach dem sog. „Hessischen Modell“ für zulässig erklärt.
Dieses Modell, mit dem das Videokonferenzsystem Zoom von den Hochschulen konfiguriert und betrieben werden kann, ohne gegen die Datenschutzvorgaben des Europäischen Gerichtshofs zu verstoßen, hat die Universität Kassel mit Unterstützung des HBDI entwickelt.
Die Hochschulen stellen dabei sicher, dass sie
- einen von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU beauftragen, das Videokonferenzsystem auf Servern in der EU zu betreiben und mit ihnen abzurechnen,
- eine Ende-zu-Ende-Verschlüsselung aller Inhaltsdaten zur Verfügung zu stellen,
- den Abfluss personenbezogener Daten von Studierenden in die USA und den Zugriff auf solche Daten aus den USA heraus verhindern,
- die Nutzung von Zoom auf Lehrveranstaltungen beschränken,
- ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen, anbieten,
- die Lehrenden und Studierenden über weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung ausführlich informieren.
Hintergrund ist die Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 (Schrems II). In dieser hat das Gericht festgestellt, dass die USA ihren Behörden ermöglichen, in unverhältnismäßiger Weise auf personenbezogene Daten aus der EU zuzugreifen, den betroffenen Personen aber dagegen keinen Rechtsschutz bieten. Daher dürfen personenbezogene Daten in die USA nur übertragen werden, wenn ausgeschlossen ist, dass US-Behörden auf sie zugreifen können. Das jedoch kann ein US-amerikanischer Diensteanbieter nicht garantieren, insbesondere nicht, wenn er – wie der Videokonferenzsystem-Dienstleister Zoom – die Übertragung von Daten in die USA vorsieht.
Der HBDI hatte daher die im April 2020 pandemiebedingte Duldung solcher Systeme zum 31. Juli 2021 beendet und die Hessischen Hochschulen dazu aufgefordert, die Nutzung von US-Videokonferenzsystemen datenschutzgerecht zu gestalten oder zu datenschutzkonformen Systemen zu wechseln.
[Quelle: Pressemitteilung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit vom 17.06.2022]