Hauptinhalt

Allgemeine Hinweise zum Datenschutz bei Web-Konferenzdiensten

Auf Grund der aktuellen Lage ist die Nachfrage an Web-Konferenzdiensten sehr hoch. Im Hinblick auf den Datenschutz, sollte auf die universitätseigenen Dienste zurückgegriffen werden (DFNConf, WebEx, BigBlueButton). Wird von diesen Diensten abgewichen, sind bestimmte Voraussetzungen zu erfüllen:

Da bei der Verwendung von Web-Konferenzdiensten in der Regel personenbezogene Daten verarbeitet werden, bedarf es zunächst immer einer Rechtsgrundlage. Diese kann sich im Gesetz finden, beispielsweise dem hessischen Hochschulgesetz oder der Immatrikulationsverordnung, die als Grundlage dafür dient, Daten der Studierenden zu Zwecken der Durchführung des Studiums zu verarbeiten. Es sind jedoch stets die Grundsätze des Datenschutzrechtes einzuhalten, sodass nicht jede Maßnahme, die im entferntesten Sinne der Lehre dient, auch angemessen ist.

Auch dort, wo eine Verarbeitung personenbezogener Daten zu gesetzlich festgelegten Gründen stattfindet, muss stets das schonendste Mittel verwenden werden. Bezüglich eines Web-Konferenzdienstes bemisst sich das beispielsweise nach der Frage der Speicherdauer, ob die Daten weitergegeben werden und in welchem Land sie gespeichert werden.

Die Universität hält drei Angebote vor (DFNConf, BigBlueButton, Cisco WebEx), die entweder komplett auf universitätseigenen Servern betrieben oder von Anbietern werden, mit denen entsprechende Verträge geschlossen wurden um die Einhaltung des Datenschutzes zu gewährleisten. Da jedes System angreifbar ist, ist eine stetige Kontrolle, regelmäßige Updates und das Treffen von Sicherheitsvorkehrungen immer Voraussetzung für den Schutz der Daten. Dieser Service beschäftigt viele Mitarbeiter und kostet viel Zeit, sodass er nicht unbegrenzt geboten werden kann und sich daher auf die universitätseigenen Lösungen beschränkt.

Wird eine Individuallösung geschaffen, müssen die jeweiligen Einrichtungen hierfür selbst die Verantwortung übernehmen und die gleichen Voraussetzungen schaffen, wie sie die Universität bezüglich ihrer eigenen Angebote schafft. Dies betrifft zum einen die Gewährleistung der informationstechnischen Sicherheit, aber auch die Einhaltung der datenschutzrechtlichen Vorgaben.

Die Verantwortung in datenschutzrechtlicher Hinsicht liegt nicht allein bei dem Anbieter des Dienstes. Durch die Veranlassung der Nutzung des jeweiligen Dienstes, entsteht eine Verantwortlichkeit im Sinne der Datenschutzgrundverordnung bei der Philipps Universität. Wird die Nutzung eines universitätsfremden Dienstes veranlasst, liegt die Verantwortlichkeit nicht bei der Hochschulleitung, sondern der Einrichtung oder dem Fachbereich, der diesen Dienst einsetzt. In diesem Fall sind die folgenden Voraussetzungen zu erfüllen:

  • Datenschutzerklärung
    Werden personenbezogene Daten verarbeitet, sind die Betroffenen stets darüber aufzuklären was genau mit ihren Daten geschieht. Diese Informationspflichten sind gesetzlich festgeschrieben (Art. 13, 14 DSGVO) und deren Nichterfüllung kann zu empfindlichen Strafen führen. Geeignetes Mittel zur Erfüllung dieser Informationspflichten ist eine Datenschutzerklärung, die vor der Teilnahme an einer Web-Konferenz von jedem Teilnehmer wahrgenommen werden können muss.
  • Auftragsverarbeitungsvertrag
    Der Verantwortliche muss mit dem Anbieter des Dienstes einen sogenannten Auftragsverarbeitungsvertrag schließen. Solch ein Vertrag ist nicht optional, sondern muss nach der DSGVO abgeschlossen werden, sobald Daten im Auftrag verarbeitet werden. Einige Web-Konferenzdienste beziehen eine Auftragsverarbeitungsvereinbarung automatisch durch das Akzeptieren der Nutzungsvereinbarungen mit ein. Bedient sich die Universität der Dienste eines Auftragsverarbeiters, werden die Verträge in der Rechtsabteilung geprüft und bei Bedarf angepasst bevor sie abgeschlossen werden. Das pauschale akzeptieren solch einer Vereinbarung birgt Risiken, da hier häufig Klauseln enthalten sind, die beispielsweise die Verarbeitung in einem Drittland erlaubt. Daher sollte vor Abschluss dieser Vereinbarung stets eine gründliche Prüfung erfolgen.

  • Verarbeitungsverzeichnis
    Verantwortliche sind verpflichtet ein Verzeichnis der Verarbeitungstätigkeit zu führen. Dieses Verzeichnis dient der Dokumentation, dass sämtliche Verarbeitungsvorgänge erfasst und nach den datenschutzrechtlichen Vorgaben ausgestaltet werden. Ein Muster für das Verarbeitungsverzeichnis kann beim Referat für Datenschutz unter angefordert werden. Ein Exemplar des ausgefüllten und unterzeichneten Verzeichnisses muss zentral in der Rechtsabteilung hinterlegt werden.

Eine weitere Verpflichtung jedes Verantwortlichen ist die möglichst datenschutzgerechte Ausgestaltung der Verarbeitung und die damit verbundene Ergreifung von technischen und organisatorischen Maßnahmen zum Schutz der Daten. Hierzu zählt im konkreten Fall auch die Vornahme sämtlicher Voreinstellungen, die geeignet sind, die Privatsphäre der Konferenzteilnehmer zu schützen. Hierzu zählt beispielsweise, dass dem Dienst kein Zugriff auf Kontakte oder Fotos auf dem eigenen Gerät gewährt wird. Funktionen die geeignet sind die Aufmerksamkeit der Konferenzteilnehmer zu überprüfen, weil es einen Hinweis gibt, wenn das Programm nur im Hintergrund ausgeführt wird, sind auszuschalten. Sämtliche Einstellungen die der Verantwortliche vornehmen kann sind vor der Konferenz anzupassen. Da einige der Einstellungen von den einzelnen Teilnehmern vorgenommen werden müssen, ist eine entsprechende Anleitung zu erstellen und den Teilnehmern zur Verfügung zu stellen, damit diese in der Lage sind die Risiken zu erkennen und zu verhindern. Gleiches gilt für Cookie-Einstellungen, auch hier ist darauf hinzuweisen, dass der Verwendung unter Umständen widersprochen werden sollte. Wichtig ist, dass die Teilnehmer stets nachvollziehen können, wer ihre Daten wie lange, wo und zu welchem Zweck verarbeitet.

Auf Grund der datenschutzrechtlichen Bedenken, sind die Nutzungsmöglichkeiten für Dienste, die nicht von der Universität gestellt werden, sehr eingeschränkt.

Da die Universität selbst Dienste anbietet, von denen die Studierenden wissen, können sie nicht zur Verwendung eines fremden Dienstes gedrängt werden, der nicht durch die Hochschulleitung angeschafft, durch das HRZ gepflegt und von der Rechtsabteilung geprüft wurde. Die Nutzung solcher Dienste kann lediglich auf der Grundlage einer Einwilligung stattfinden. Ein entscheidendes Kriterium der Einwilligung ist die Freiwilligkeit. An dieser bestehen Zweifel, wenn ein Studierender an einer Lehrveranstaltung teilnimmt, die solch einen fremden Dienst verwendet und ihm keine Wahl bleibt da es keine Alternativen zum angebotenen Dienst gibt. Die Studierenden fühlen sich hier unter Umständen verpflichtet das Angebot wahrzunehmen und eine Einwilligung zu erteilen, auch wenn Sie mit der Verarbeitung Ihrer personenbezogenen Daten durch den universitätsfremden Web-Konferenzdienst nicht einverstanden sind. Diese Bedenken bestehen bei den universitätseigenen Angeboten nicht, da hier zusätzlich zum Vorliegen einer Rechtsgrundlage weitere rechtliche Vereinbarungen zum Datenschutz geschlossen wurden und entsprechende Sicherheitsvorkehrungen zentral ergriffen werden.

Da sich die Nutzungsmöglichkeit auf Personenkreise beschränkt in denen eine freiwillige Einwilligung abgegeben werden kann, mit dem Wissen, dass es Alternativen gibt, bleibt nur ein kleiner Bereich in dem ein universitätsfremdes Angebot verwendet werden kann. In der Lehre ist auf Grund des Über-/Unterordnungsverhältnis zwischen Lehrenden und Studierenden kaum eine Konstellation denkbar, in der solch ein Dienst für die Lehre verpflichtend eingesetzt werden kann.

Im Rahmen von Sitzungen oder zum Ersatz von Arbeitstreffen mit Mitarbeiterinnen und Mitarbeitern ist die Nutzung möglich, aber auch nur, wenn alle Teilnehmer hiermit einverstanden sind und wissen, dass Ihnen ein alternativer Dienst zur Verfügung steht und ihnen keinerlei Nachteile daraus entstehen, wenn sie auf einen universitätseigenen Dienst zurückgreifen möchten.

In den Fällen, in denen die Nutzung möglich ist, bestehen noch Einschränkungen bezüglich der möglichen Gesprächsinhalte. Besonders sensible personenbezogene Daten im Sinne des Art. 9 DSGVO oder vertrauliche Inhalte dürfen nicht besprochen werden, daher eignet sich solch ein Dienst beispielsweise nicht zur Besprechung von Patientendaten oder als Ersatz für Therapietermine.

Stand: 20.04.2020
Referat für Datenschutz
Stabsstelle Recht