Verbesserte Vertragsbedingungen nach gemeinsamen Verhandlungen von HU und TU mit Zoom

Nach dem Urteil des EuGH „Schrems 2“ im Sommer letzten Jahres nahmen beide Berliner Universitäten gemeinsame Verhandlungen mit Zoom auf. Beteiligt waren neben den Fachverantwortlichen auch die Datenschützer*innen beider Einrichtungen.

Wir konnten in mehreren intensiven Verhandlungsrunden mit Zoom bewirken, dass wesentliche Anforderungen an den Datenschutz im neuen Vertrag berücksichtigt werden und dieser allen Berliner Hochschulen von Zoom angeboten wird.

Soweit uns bekannt sind die vereinbarten Änderungen weitreichender als die sonst ausgehandelten Verträge zu kommerziellen Videokonferenz-Tools.

Parallel verhandelten andere deutsche Hochschulen mit Zoom – teilweise auch bundeslandweit, Bayern konnte beispielsweise ein sogenanntes Master Service Agreement (MSA) vereinbaren, in dem ausschließlich deutsches Recht für den Vertrag gilt.

Dank der bundesweiten Vernetzung der Hochschulen konnten wir dieses MSA übernehmen und die von den Berliner Universitäten ausgehandelten Vereinbarungen im sogenannten Data Processing Agreement (DPA) bilden die Grundlage eines Higher Education Deutschland DPA, welches anderen deutschen Hochschulen als Vertragsgrundlage dienen wird.

Verbesserungen im Data Processing Agreement (DPA)

Es wurde verbindlich vereinbart, dass die Rechenzentrumsregion ausgewählt werden kann (sogenannte Lokalisierung), so dass

  • Real-Time-Meeting-Daten nur über Datenzentren in der EU geleitet werden,
  • Cloud Recordings nur in der EU gespeichert werden (wird an der TU nicht genutzt) und
  • ruhende Daten (Data at Rest) primär in der EU gespeichert werden.

Zusätzlich wurden Klarstellungen zu internationalen Datenflüssen und zu weiteren technischen und organisatorischen Maßnahmen erreicht.

Zoom darf nach den neuen Verträgen personenbezogene Daten ausschließlich zum Zweck der Vertragserfüllung nutzen und nicht für andere Zwecke.

Die Unterauftragnehmer sind abschließend aufgelistet. Bevor weitere Unterauftragnehmer beauftragt werden, muss Zoom nunmehr die Hochschulen informieren. Diese können der Beauftragung widersprechen.

Weiterhin wurden Zusagen bzgl. der Ende-zu-Ende-Verschlüsselung erreicht.

Auch wenn trotz dieser signifikanten Verbesserungen keine vollständige Verarbeitung der personenbezogenen Daten innerhalb der EU und in Ländern mit gleichwertigem Datenschutzniveau sichergestellt werden kann, ist es dank der Vereinbarungen und zusätzlicher Maßnahmen wie der Ende-zu-Ende-Verschlüsselung oder dem Betrieb des Zoom Connectors im TU-eigenen Rechenzentrum möglich, ein deutlich besseres Schutzniveau als bislang zu erreichen.

Der Vertrag kann zwar nicht als datenschutzrechtlich unbedenklich bewertet werden, jedoch sind wir überzeugt, dass die bestmöglichen Vereinbarungen getroffen werden konnten.

Hinweise der Berliner Aufsichtsbehörde zu Videokonferenz-Tools

In den am 18.2.2021 aktualisierten Hinweisen der Beauftragten für Datenschutz und Informationssicherheit (BBDI) zum Einsatz von ViKo-Tools gibt es ausführliche Anmerkungen zu Zoom, die wir geprüft und mit unserem Vertrag abgeglichen haben. Dabei konnten wir feststellen, dass die Monita der BBDI überwiegend nur für das globale DPA, jedoch nicht für den ausgehandelten Vertrag gelten. Einige wenige auch für uns geltenden Einwände werden in den bereits mit Zoom vereinbarten Follow-up-Verhandlungsrunden besprochen und können hoffentlich abschließend geklärt werden.

Fazit

Von uns wird positiv eingeschätzt, dass Zoom die im Laufe des letzten Jahres bekannt gewordenen Schwachstellen zügig geschlossen hat und das Produkt um viele aus Datenschutz-Sicht sinnvolle Funktionen erweitert hat, bspw. verbesserte Verschlüsselungsmechanismen, den Ausbau der EU-Datacenter und die Möglichkeit, den Betrieb weitgehend auf diese zu beschränken. Die vertragliche Reduzierung der Subauftragnehmer wird ebenso positiv bewertet, da dadurch Datenflüsse an Dritte reduziert werden konnten.

Ergänzend möchten wir noch anmerken, dass wir mit InnoCampus im engen Austausch zu den Optionen und globalen Einstellungen von Zoom stehen und insgesamt eine sehr Datenschutz-freundliche Konfiguration eingestellt ist. Nähere Informationen dazu sowie verschiedene Anleitungen (Ende-zu-Ende-Verschlüsselung, Zoom Connector) sind auf der Webseite von InnoCampus zu Zoom abrufbar.

Insgesamt bietet Zoom sowohl vertraglich, funktionell und aus Datenschutz-Sicht eine gute Lösung, gerade auch im Vergleich mit den Mitbewerbern. Zoom kann zwar von uns aus den oben genannten Gründen nicht als datenschutzrechtlich unbedenklich eingestuft werden, aufgrund der Alternativlosigkeit für große Veranstaltungen halten wir die Nutzung aus Datenschutz-Sicht für vertretbar. Wir konnten zusätzliche Maßnahmen mit Zoom vereinbaren („additional safeguards“), um den aus dem Urteil des EuGH „Schrems 2“ folgenden Anforderungen der Datenschutzaufsichts­behörden Folge zu leisten.

Außerdem begrüßen wir, dass die TU sich für den Betrieb von Open Source Videokonferenz-Tools einsetzt. Wir setzen auch darauf, dass sich die ersten positiven Erfahrungen der Humboldt-Universität mit dem Betrieb von BigBlueButton bestätigen und die TU daran partizipiert.

Weitere Informationen

 

 

Steuer-ID wird neue Personenkennzahl

Der Bundesrat hat dem umstrittenen Gesetz zur Registermodernisierung zugestimmt.

Damit wird der gläserne Bürger Realität:

Künftig wird in amtlichen Registern und Datenbanken die Steuer-ID als identifizierendes Merkmal mitgeführt, so dass direkte Verknüpfungen der Daten von Bürgern technisch möglich sind.

Nach Einschätzung von Grundrechtsexperten und der Datenschutzaufsichtsbehörden ist das Gesetz verfassungswidrig, auch da es mildere Mittel gibt.

Weitere Informationen

Blogbeiträge zum Thema:

Endlich: Ausweispflicht für E-Mail und Messenger in geplanter TKG-Novelle

Damit mensch weiß, mit wem mensch es zu tun hat!

Das Bundesinnenministerium hat eine entsprechende Novelle des Telekommunikationsgesetzes TKG vorgelegt.

Zusammen mit der geplanten Entschlüsselung von verschlüsselter Kommunikation und der Überwachung des Datenverkehrs durch Geheimdienste und andere Behörden führt das zu mehr Transparenz der Bürger.

Seit einiger Zeit ist eine (Video-)Authentifizierung für Mobiltelefonnummern zwingend vorgeschrieben, das Prozedere soll also auf weitere Dienste ausgedehnt werden.

Die anlasslose Vorratsdatenspeicherung taucht in dem Gesetzentwurf auch wieder auf.

Weitere Informationen

Brandbrief der Berliner und Rheinland-Pfälzer Datenschutzbeauftragten: Schluss mit den Attacken auf den Datenschutz!

Der Datenschutz steht weder der Bewältigung der Coronakrise im Weg noch behindert er die Strafverfolgung.

Der EU-Datenschutzstandard ist eine Erfolgsgeschichte, auf die wir stolz sein können.

Datenschutz ein wichtiger Regulator und Steuerungsfaktor.

Datenschützer werden immer wieder als Verhinderer dargestellt, dabei versuchen sie die im Laufe der Geschichte mühsam erkämpften Grundrechte der Menschen auch in einer Zeit allumfassender Digitalisierung in die Zukunft zu retten.

Technische Innovationen sollen dem Menschen und nicht nur Investoren und Unternehmen dienen.

 

Personalräte und Datenschutzbeauftragte der Berliner Hochschulen setzen sich für Open-Source-Videokonferenztools ein

Die Arbeitsgemeinschaft der Berliner Personalräte und Datenschutzbeauftragten der Berliner Hochschulen zu IT-Fragen hat ein Positionspapier verabschiedet, indem die Hochschulen aufgefordert werden, starkes Engagement für den Betrieb und die Weiterentwicklung von Open-Source-Videokonferenztools wie BigBlueButton (BBB) und Jitsi zu zeigen.

„Personalräte und Datenschutzbeauftragte der Berliner Hochschulen setzen sich für Open-Source-Videokonferenztools ein“ weiterlesen

Windows-Sicherheitsupdate: Schwachstelle in Virenschutz-Programm Defender wird gefixt

Windows zog seinen monatlichen Patchday vor und rollte gestern ein Sicherheitsupdate aus. Sicherheitsrelevant ist vorallem ein Exploit über den Defender – Angreifer können darüber schädlichen Code auf betroffenen Geräten ausführen.

Windows-Anwender sind angehalten, die Updates schnellstmöglich auszuführen.

Weitere Informationen

Registermodernisierung: Steuer-ID steht als übergreifender Identifizierer fest

Der Bundestag hat das Gesetz im Dezember beraten und es steht kurz vor der Verabschiedung mit der Koalitionsmehrheit. Und das, obwohl sich bei der Anhörung im Bundestag mehrere Experten bei der Anhörung dagegen aussprachen.

Das informationelle Selbstbestimmungrecht wird damit faktisch ausgehebelt. „Registermodernisierung: Steuer-ID steht als übergreifender Identifizierer fest“ weiterlesen

SolarWinds SUNBURST – Massiver Cyber-Angriff auf US-Regierung und tausende Unternehmen weltweit

Es liest sich wie das Who-is-Who der amerikanischen Großunternehmen: Cisco, Dow Chemical, Ernst and Young, Ford, Lockheed Martin, MasterCard, Microsoft und viele andere sind betroffen, ebenso die US-amerikanische Energiebehörde, die NASA, das Pentagon, das US Militär und weitere Regierungseinrichtungen. Inwieweit europäische Unternehmen und Regierungen betroffen sind, ist noch nicht bekannt.

Von US-Seite wird geäußert, dass der Angriff aufgrund seiner Komplexität und Reichweite von einer fremden Macht (Russland) ausgeführt wurde, was seitens Russlands umgehend auf Facebook bestritten wurde.

Bereits im März ist es Hackern gelungen, administrativen Zugriff auf die Windows-Serverlandschaft vieler Unternehmen zu erlangen und sich dort dauerhaft einzunisten. Die Hacker haben nicht nur über lange Zeit und in großem Umfang Daten abgezogen „exfiltriert“ sondern es sogar geschafft, System-Accounts zu übernehmen. In einigen Fällen wird es nötig sein, sowohl die Server neu aufzusetzen als auch die eingebundenen Verzeichnisdienste zu bereinigen (d.h. die Accounts im Microsoft Active Directory).

Es scheint der erfolgreichste Hacker-Angriff aller Zeiten zu sein.

„SolarWinds SUNBURST – Massiver Cyber-Angriff auf US-Regierung und tausende Unternehmen weltweit“ weiterlesen

Schwachstelle in AnyConnect und anderen Cisco-Produkten

Cisco fällt seit Jahren mit Sicherheitsproblemen auf. Es ist ärgerlich, dass sie immer noch nicht ihre Produkte ausreichend absichern.

Diesmal sind u.a. der VPN-Client AnyConnect und die Weboberfläche von WebexTeams betroffen.

Bei AnyConnect ist es ein sogenannter Exploit, bei dem ein Angreifer lesenden Zugriff auf den Rechner erlangen kann. Bislang gibt es dafür noch keinen Fix  🙁

Weitere Informationen

Messenger-Dienst Matrix startet zum Wintersemester

Matrix ist ein sicherer und datensparsamer Messenger-Dienst, dessen Kommunikation ohne Dienste Dritter funktioniert – anders als gängige Produkte wie WhatsApp, Telegram, Signal oder Threema. Matrix ist Open-Source und wird aktiv weiterentwickelt.

Die öffentliche Testphase des Betriebs hat an der TU begonnen, zunächst für  Studierende. Matrix wird von immer mehr Hochschulen betrieben.

Zentrales Feature ist die Ende-zu-Ende-Verschlüsselung für Chats und VoIP-Telefonie (auch mit Video).

„Messenger-Dienst Matrix startet zum Wintersemester“ weiterlesen