Hauptinhalt
Die Nutzung von Web-Konferenzsystemen für Lehren und Lernen, Forschung und Verwaltung an der Philipps-Universität Marburg
Stand: 20.04.2020
Zentrale Dienstleistungsangebote der UMR für Beschäftigte und Studierende
Die Philipps-Universität hat sich im Bereich Webkonferenzen für die drei Säulen DFNConf, BigBlueButton als OpenSource Lösung und Cisco WebEx entschieden. Bei der Entscheidung für BigBlueButton und Cisco WebEx als zusätzliche Dienste waren Aspekte des Datenschutzes, der Funktionalität, des Benutzermanagements und der Wirtschaftlichkeit ausschlaggebend. Es werden bis auf Weiteres drei unterschiedliche Web-Konferenzdienste verfügbar gemacht, um im Falle eines teilweisen oder gänzlichen Ausfalls eines Dienstes über mindestens eine Ausweichoption zu verfügen.
Damit stehen an der Universität leistungsfähige Tools für Veranstaltungsstreaming und interaktive digitale Kommunikationsformate zur Verfügung. Web-Konferenzen mit DFNConf und Cisco WebEx können derzeit nur durch Beschäftigte der Universität initiiert werden. Für Studierende wird WebEx in Kürze geöffnet.
Für diese drei Dienste gewährleistet die Universität den jeweils bestmöglichen Datenschutz, verfolgt fortlaufend Hinweise auf mögliche Datenschutz- und Sicherheitslücken und reagiert in geeigneter Weise zeitnah auf bekanntwerdende Vorfälle. Aus haushaltsrechtlichen Gründen dürfen weitere Dienste ab sofort nicht mehr kostenpflichtig beschafft werden.
Betrieb anderer Konferenzdienste durch dezentrale Organisationseinheiten
Bereits dezentral beschaffte andere Konferenzdienste wie z. B. Zoom können nur unter den nachfolgend erläuterten Bedingungen weiter eingesetzt werden. Voraussetzung ist zunächst, dass der Besteller gemäß DSGVO einen Auftragsverarbeitungsvertrag, ein Datenverarbeitungsverzeichnis und eine Datenschutzerklärung für die Nutzer/innen zusammenstellt und bei der Rechtsabteilung registriert. Im Falle von z. B. Zoom empfiehlt sich auch eine Anleitung zur Einstellung von datenschützenden Maßnahmen. Die Bereitstellung und der Betrieb solcher Dienste fällt in die Verantwortung des Bestellers. Das bedeutet auch, dass die für den Betrieb des Dienstes verantwortliche Person bzw. Organisationseinheit sich fortlaufend über mögliche Datenschutz- und Sicherheitslücken des Dienstes informiert halten und zeitnah auf bekanntwerdende Vorfälle in geeigneter Weise reagieren muss. Ein Einsatz von dezentral betriebenen Diensten setzt voraus, dass die verantwortliche Person dem Datenschutzbeauftragten der UMR schriftlich erläutert, wie die fortlaufende Gewährleistung der Datensicherheit konkret realisiert wird und dass sie die volle Verantwortung für den Betrieb im Sinne der DSGVO übernimmt. Außerdem muss von der verantwortlichen Person oder Organisationseinheit angegeben werden, bis zu welcher Stufe personenbezogene Daten mit dem angebotenen Web-Konferenz-Dienst verarbeitet werden dürfen (s.u.). Gibt es begründete Hinweise auf wesentliche Bedenken zum Datenschutz, darf der Dienst bis zum Ausräumen der Bedenken nicht verwendet werden. Der Einsatz soll deshalb nur nach gründlicher Abwägung und restriktiv erfolgen und nur dann, wenn entsprechende Sicherheitsvorkehrungen getroffen sind (siehe z. B. Heise-Ticker u.a.). Bitte beachten Sie die allgemeinen Hinweise zu datenschutzrechtlichen Aspekten bei Web-Konferenzen. Bei weiteren Fragen können Sie sich an Frau Nina Raschke aus der Rechtsabteilung wenden.
Teilnahme an Web-Konferenzen von anderen Institutionen, die nicht mit DFNconf oder von einer deutschen Wissenschaftseinrichtung selbst gehosteten Software durchgeführt werden
In der Regel ist es im Vorfeld der Teilnahme an einer Web-Konferenz, die von einer anderen Einrichtung oder Person organisiert wird, in der Praxis nicht möglich, den Datenschutzstatus der Web-Konferenz zu überprüfen. Wenn es sich bei dem angesetzten Termin um Gespräche handelt, in denen personenbezogene Daten kommuniziert werden, sollten Sie vorab folgende Tabelle nutzen, um zu klären, bis zu welcher Stufe personenbezogene Daten mit dem angebotenen Web-Konferenz-Dienst verarbeitet werden dürfen. Falls Sie selbst mit einer solchen Frage konfrontiert werden: Bei den drei oben genannten Web-Konferenzdienste der Philipps-Universität, können personenbezogene Daten bis zur Stufe 1 verarbeitet werden. Für Daten der Stufe 2 soll primär das Angebot des DFNconf oder BigBlueButton verwendet werden. Bei fehlender Verfügbarkeit bzw. Stabilität der Dienste kann auf Cisco WebEx ausgewichen werden. Daten der Stufe 3 dürfen generell nicht per Videokonferenz ausgetauscht werden.
| Stufe | Beschreibung | Beispiele |
|---|---|---|
| 1 | Eigene personenbezogene Daten, pseudonymisierte oder anonymisierte personenbezogene Daten Dritter, öffentlich verfügbare personenbezogene Daten Dritter, Daten ohne Personenbezug, | Persönliche Informationen, die nur mich betreffen, Nicknamen, die sich keiner Person zuordnen lassen, dienstliche E-Mail-Adresse oder Telefonnummer einer Person, die auf der Webseite veröffentlicht ist |
| 2 | Personenbezogene Daten Dritter, die nicht unter Art. 9 DSGVO fallen | Name, Anschrift, E-Mail-Adresse, Geburtsdatum, Alter, Familienstand, Konto- und Kreditkartennummer, Personalausweisnummer oder Zeugnisse einer anderen Person |
| 3 | Personenbezogene Daten Dritter, die unter Art. 9 DSGVO fallen | Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten, Daten zur sexuellen Orientierung und zum Sexualleben einer anderen Person |
Falls Sie von einer entsprechenden Vorab-Frage absehen oder nicht rechtzeitig eine zufriedenstellende Antwort erhalten, sollten Sie keine personenbezogenen Daten Dritter in der Web-Konferenz bekannt geben. Ob Sie eigene Daten oder Ihr Videobild bekanntgeben, liegt in Ihrem Ermessen.