Die Nutzung von Videokonferenzsystemen ist aus datenschutzrechtlicher Sicht stets ein schwieriges und komplexes Thema. Hinzu kommen Auswahlschwierigkeiten durch die, im Vergleich zu den großen US-Konzernen, eher geringe Anzahl europäischer Anbieter. Da nach den Weihnachtsferien die Schulen überwiegend ihren Betrieb per Distanzunterricht wiederaufnehmen, hat sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz nun in Bezug auf US-Videokonferenzsystemen an Schulen und deren Nutzung geäußert und Empfehlungen abgegeben.
Der Inhalt im Überblick
Immer wieder Videokonferenzsysteme
Das Thema lässt uns auch in diesem Jahr nicht in Ruhe. Die Corona-Virus stellt die Gesellschaft, nach wie vor, vor erhebliche Herausforderungen. Nicht nur bei der Erledigung der klassischen Büroarbeit haben Videokonferenzsysteme an Bedeutung gewonnen, gerade auch im Bildungsbereich sind sie nicht mehr wegzudenken. So stellt sich auch für die Schulen seit nunmehr fast einem Jahr immer wieder das gleiche Problem: Wenn die Schüler nicht in die Schulen gehen können, wie bekommen wir dann die Schule zu ihnen nach Hause?
Die einfachste Antwort ist auch hier: Videokonferenzsysteme. Doch gerade im Bildungsbereich beim Umgang mit Kindern und Jugendlichen gilt es aus datenschutzrechtlicher Sicht einiges zu beachten. Kinder und Jugendliche können das Ausmaß der Datenverarbeitung oftmals nicht absehen und einschätzen, so dass diese eines besonderen Schutzes bedürfen.
Die Hürden im Datenschutz
Beim Abhalten von Videokonferenzen stellen sich immer wieder die gleichen Probleme:
- Findet eine sichere Transportverschlüsselung statt (Ende-zu-Ende-Verschlüsselung)?
- Können nur autorisierte Personen auf die Videokonferenz und die übertragenen Daten zugreifen? Gibt es die Möglichkeit Nutzernamen und Passwörter zu vergeben?
- Ist es möglich eine rollenbasierte Trennung einzurichten und auf diese Weise Teilnehmer von administrierenden, moderierenden und präsentierenden Personen zu trennen?
- Können Aufzeichnungen der Videokonferenzen technisch unterbunden werden?
- Wird ein US-Amerikanischer Anbieter mit möglichem Datentransfer in die USA genutzt und werden dabei Telemetrie- und Nutzungsdaten außerhalb des europäischen Wirtschaftsraumes übertragen?
Gerade im Hinblick auf das Schrems-II-Urteil ist die Nutzung von US-Anbietern und die damit verbundene mögliche Datenübertragung in die USA für Videokonferenzsysteme an Schulen problematisch. Wir haben uns zu diesem Thema bereits neulich mit der DSK-Checkliste zur Orientierungshilfe von Videokonferenzsystemen befasst und vorher bereits zum Jahresanfang eigene Auswahlkriterien für Videokonferenz-Tools aufgestellt.
Nachdem die Berliner Beauftragte für Datenschutz und Informationsfreiheit Ende letzten Jahres mit der Verwarnung einer Schule für den Einsatz von Microsoft Teams eine bundesweite Debatte anstieß, gibt es jetzt eine weitere Stellungnahme einer Datenschutzbehörde zum Einsatz von US-Tools an Schulen.
Welche Software kann noch genutzt werden?
Professor Dieter Kugelmann, der LfDI Rheinland-Pfalz hat jetzt zur Debatte über Videokonferenzsysteme an Schulen Stellung genommen:
„Aus datenschutzrechtlichen Gründen sollte daraufhin gearbeitet werden, dass mit Beginn des Schuljahrs 2021/2022 alle Schulen auf Big Blue Button zurückgreifen können. Angesichts der derzeitigen Ausnahmesituation und bestehender technischer Probleme ist es vertretbar, wenn im laufenden Schuljahr Schulen außereuropäische Videokonferenzsoftware verwenden, um dem Bildungsauftrag nachzukommen. Um den Schulen in der schwierigen Pandemie-Situation Möglichkeiten des Distanzunterrichts zu erhalten, werden, mit Blick auf den bis Schuljahresende zugesagten performanten Ausbau der Big Blue Button-Plattform, daher Bedenken hinsichtlich einer fortdauernden Nutzung durch Schulen von MS Teams und vergleichbaren Lösungen US-amerikanischer Anbieter vorerst zurückgestellt.“
Die Vorrübergehende Nutzung amerikanischer Videokonferenzsysteme ist folglich zumindest in Rheinland-Pfalz unter Auflagen bis zum Ablauf des aktuellen Schuljahres noch möglich. Und das trotz nicht unerheblicher datenschutzrechtlicher Bedenken.
Und unter welchen Auflagen geht das?
Der Datenschutzbeauftrage formuliert die Voraussetzungen, deren Erfüllung er für Erforderlich hält, um Videokonferenzen mit Systemen amerikanischer Anbieter durchzuführen. Er weist darauf hin, dass
- bereits eingesetzte Lösungen US-amerikanischer Anbieter auf schuleigenen Systemen betrieben werden müssen oder
- bei der Inanspruchnahme eines Dienstleisters im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO die Konferenzdaten auf Systemen deutscher oder europäischer Anbieter verarbeitet werden müssen.
- die Lösungen datensparsam konfiguriert werden müssen und
- mit von der Schule vergebenen, pseudonymisierten Zugangsdaten genutzt werden müssen.
- die Verwendung der Nutzungsdaten für Werbezwecke vertraglich ausgeschlossen wird.
- die Nutzerinnen und Nutzer gemäß Art. 13 DSGVO informiert werden.
- keine verbindliche Nutzung der digitalen Lehr- und Lernmittel vorgesehen wird. Wenn Eltern, Schülerinnen oder Schüler einer Nutzung amerikanischer Softwareprodukte ausdrücklich widersprechen, sind äquivalente Lehrangebote zur Verfügung zu stellen.
Und was kommt im neuen Schuljahr?
Nur bis zum Ende dieses Schuljahrs toleriert der LfDI Rheinland-Pfalz amerikanische Anbieter für Videokonferenzsysteme an Schulen. Für das neue Schuljahr verweist der Datenschutzbeauftragte auf die vom rheinland-pfälzischen Bildungsministerium empfohlene Lösung Big Blue Button.
Dabei handelt es sich um eine Open Source-Lösung, die es ermöglicht, sie unter vollständiger eigener Kontrolle und auf eigenen Systemen zu betreiben. Die Übermittlung von Nutzungsdaten an Dritte oder deren Verwendung für Werbezwecke kann ausgeschlossen werden. In Rheinland-Pfalz wird das System bei der Johannes-Gutenberg-Universität Mainz gehostet. Damit wird die Gefahr von datenschutzrechtlichen Verstößen für Videokonferenzsysteme an Schulen minimiert. Eine Übermittlung der übertragenen Daten in ein Drittland nach Art. 44 DSGVO und den damit verbundenen Risiken findet dann nicht mehr statt.
Videokonferenzsysteme an Schulen – der Rückgewinn der Datenhoheit
Auch außerhalb von Rheinland-Pfalz nutzen die Bildungseinrichtungen der Länder bereits jetzt Open-Source Software wie Big Blue Button oder Jitsi Meet, um Videokonferenzen datenschutzkonform zu ermöglichen. Dem Umstieg auf datenschutzkonforme Videokonferenzen im Bildungsbereich sind somit langsam in die Bahn geleitet. Dies passiert glücklicherweise nicht in einer Hau-Ruck-Aktion, sondern mit Rücksicht auf die pandemiebedingte Situation mehr oder weniger bedacht, sodass soft- und hardwareseitige Lücken geschlossen werden können.
Gerade zu einem Zeitpunkt an dem Bildungseinrichtungen auf funktionierende Videokonferenzsysteme angewiesen sind, scheint es der richtige Ansatz zu sein, den Umstieg erst langsam zu forcieren. Dies gilt insbesondere, da im letzten Jahr aufgrund der Alternativlosigkeit installierte und angeschaffte Systeme nicht von jetzt auf gleich umgestellt werden können. Sollten die Schulen jetzt damit beginnen die Umstellung der Systeme in Angriff zu nehmen, dürften nach den Sommerferien nur wenig Schwierigkeiten bei der Verwendung der datenschutzkonformen Systeme auftreten.
Und warum nutzen Schulen keine DS-konformen Systeme, die zB von eine Universität gehostet und administriert werden oder Systeme wie >senfcallred-connect< ? Die sind mE besser und tun es auch ….
Ich stell mir das richtig spannend vor. Eigene Videokonferenzsysteme, eigene Server, keiner da, der sich auskennt wenn was hakt, 1000 Schüler die es gleichzeitig nutzen (müssen) und dann noch eine hochtechnisierte 16k DSL-Leitung vom deutschen Anbieter.
Was soll da noch schiefgehen??