Verbesserte Vertragsbedingungen nach gemeinsamen Verhandlungen von HU und TU mit Zoom

Nach dem Urteil des EuGH „Schrems 2“ im Sommer letzten Jahres nahmen beide Berliner Universitäten gemeinsame Verhandlungen mit Zoom auf. Beteiligt waren neben den Fachverantwortlichen auch die Datenschützer*innen beider Einrichtungen.

Wir konnten in mehreren intensiven Verhandlungsrunden mit Zoom bewirken, dass wesentliche Anforderungen an den Datenschutz im neuen Vertrag berücksichtigt werden und dieser allen Berliner Hochschulen von Zoom angeboten wird.

Soweit uns bekannt sind die vereinbarten Änderungen weitreichender als die sonst ausgehandelten Verträge zu kommerziellen Videokonferenz-Tools.

Parallel verhandelten andere deutsche Hochschulen mit Zoom – teilweise auch bundeslandweit, Bayern konnte beispielsweise ein sogenanntes Master Service Agreement (MSA) vereinbaren, in dem ausschließlich deutsches Recht für den Vertrag gilt.

Dank der bundesweiten Vernetzung der Hochschulen konnten wir dieses MSA übernehmen und die von den Berliner Universitäten ausgehandelten Vereinbarungen im sogenannten Data Processing Agreement (DPA) bilden die Grundlage eines Higher Education Deutschland DPA, welches anderen deutschen Hochschulen als Vertragsgrundlage dienen wird.

Verbesserungen im Data Processing Agreement (DPA)

Es wurde verbindlich vereinbart, dass die Rechenzentrumsregion ausgewählt werden kann (sogenannte Lokalisierung), so dass

  • Real-Time-Meeting-Daten nur über Datenzentren in der EU geleitet werden,
  • Cloud Recordings nur in der EU gespeichert werden (wird an der TU nicht genutzt) und
  • ruhende Daten (Data at Rest) primär in der EU gespeichert werden.

Zusätzlich wurden Klarstellungen zu internationalen Datenflüssen und zu weiteren technischen und organisatorischen Maßnahmen erreicht.

Zoom darf nach den neuen Verträgen personenbezogene Daten ausschließlich zum Zweck der Vertragserfüllung nutzen und nicht für andere Zwecke.

Die Unterauftragnehmer sind abschließend aufgelistet. Bevor weitere Unterauftragnehmer beauftragt werden, muss Zoom nunmehr die Hochschulen informieren. Diese können der Beauftragung widersprechen.

Weiterhin wurden Zusagen bzgl. der Ende-zu-Ende-Verschlüsselung erreicht.

Auch wenn trotz dieser signifikanten Verbesserungen keine vollständige Verarbeitung der personenbezogenen Daten innerhalb der EU und in Ländern mit gleichwertigem Datenschutzniveau sichergestellt werden kann, ist es dank der Vereinbarungen und zusätzlicher Maßnahmen wie der Ende-zu-Ende-Verschlüsselung oder dem Betrieb des Zoom Connectors im TU-eigenen Rechenzentrum möglich, ein deutlich besseres Schutzniveau als bislang zu erreichen.

Der Vertrag kann zwar nicht als datenschutzrechtlich unbedenklich bewertet werden, jedoch sind wir überzeugt, dass die bestmöglichen Vereinbarungen getroffen werden konnten.

Hinweise der Berliner Aufsichtsbehörde zu Videokonferenz-Tools

In den am 18.2.2021 aktualisierten Hinweisen der Beauftragten für Datenschutz und Informationssicherheit (BBDI) zum Einsatz von ViKo-Tools gibt es ausführliche Anmerkungen zu Zoom, die wir geprüft und mit unserem Vertrag abgeglichen haben. Dabei konnten wir feststellen, dass die Monita der BBDI überwiegend nur für das globale DPA, jedoch nicht für den ausgehandelten Vertrag gelten. Einige wenige auch für uns geltenden Einwände werden in den bereits mit Zoom vereinbarten Follow-up-Verhandlungsrunden besprochen und können hoffentlich abschließend geklärt werden.

Fazit

Von uns wird positiv eingeschätzt, dass Zoom die im Laufe des letzten Jahres bekannt gewordenen Schwachstellen zügig geschlossen hat und das Produkt um viele aus Datenschutz-Sicht sinnvolle Funktionen erweitert hat, bspw. verbesserte Verschlüsselungsmechanismen, den Ausbau der EU-Datacenter und die Möglichkeit, den Betrieb weitgehend auf diese zu beschränken. Die vertragliche Reduzierung der Subauftragnehmer wird ebenso positiv bewertet, da dadurch Datenflüsse an Dritte reduziert werden konnten.

Ergänzend möchten wir noch anmerken, dass wir mit InnoCampus im engen Austausch zu den Optionen und globalen Einstellungen von Zoom stehen und insgesamt eine sehr Datenschutz-freundliche Konfiguration eingestellt ist. Nähere Informationen dazu sowie verschiedene Anleitungen (Ende-zu-Ende-Verschlüsselung, Zoom Connector) sind auf der Webseite von InnoCampus zu Zoom abrufbar.

Insgesamt bietet Zoom sowohl vertraglich, funktionell und aus Datenschutz-Sicht eine gute Lösung, gerade auch im Vergleich mit den Mitbewerbern. Zoom kann zwar von uns aus den oben genannten Gründen nicht als datenschutzrechtlich unbedenklich eingestuft werden, aufgrund der Alternativlosigkeit für große Veranstaltungen halten wir die Nutzung aus Datenschutz-Sicht für vertretbar. Wir konnten zusätzliche Maßnahmen mit Zoom vereinbaren („additional safeguards“), um den aus dem Urteil des EuGH „Schrems 2“ folgenden Anforderungen der Datenschutzaufsichts­behörden Folge zu leisten.

Außerdem begrüßen wir, dass die TU sich für den Betrieb von Open Source Videokonferenz-Tools einsetzt. Wir setzen auch darauf, dass sich die ersten positiven Erfahrungen der Humboldt-Universität mit dem Betrieb von BigBlueButton bestätigen und die TU daran partizipiert.

Weitere Informationen

 

 

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.