Verbesserte Vertragsbedingungen nach gemeinsamen Verhandlungen von HU und TU mit Zoom

Nach dem Urteil des EuGH „Schrems 2“ im Sommer letzten Jahres nahmen beide Berliner Universitäten gemeinsame Verhandlungen mit Zoom auf. Beteiligt waren neben den Fachverantwortlichen auch die Datenschützer*innen beider Einrichtungen.

Wir konnten in mehreren intensiven Verhandlungsrunden mit Zoom bewirken, dass wesentliche Anforderungen an den Datenschutz im neuen Vertrag berücksichtigt werden und dieser allen Berliner Hochschulen von Zoom angeboten wird.

Soweit uns bekannt sind die vereinbarten Änderungen weitreichender als die sonst ausgehandelten Verträge zu kommerziellen Videokonferenz-Tools.

Parallel verhandelten andere deutsche Hochschulen mit Zoom – teilweise auch bundeslandweit, Bayern konnte beispielsweise ein sogenanntes Master Service Agreement (MSA) vereinbaren, in dem ausschließlich deutsches Recht für den Vertrag gilt.

Dank der bundesweiten Vernetzung der Hochschulen konnten wir dieses MSA übernehmen und die von den Berliner Universitäten ausgehandelten Vereinbarungen im sogenannten Data Processing Agreement (DPA) bilden die Grundlage eines Higher Education Deutschland DPA, welches anderen deutschen Hochschulen als Vertragsgrundlage dienen wird.

Verbesserungen im Data Processing Agreement (DPA)

Es wurde verbindlich vereinbart, dass die Rechenzentrumsregion ausgewählt werden kann (sogenannte Lokalisierung), so dass

  • Real-Time-Meeting-Daten nur über Datenzentren in der EU geleitet werden,
  • Cloud Recordings nur in der EU gespeichert werden (wird an der TU nicht genutzt) und
  • ruhende Daten (Data at Rest) primär in der EU gespeichert werden.

Zusätzlich wurden Klarstellungen zu internationalen Datenflüssen und zu weiteren technischen und organisatorischen Maßnahmen erreicht.

Zoom darf nach den neuen Verträgen personenbezogene Daten ausschließlich zum Zweck der Vertragserfüllung nutzen und nicht für andere Zwecke.

Die Unterauftragnehmer sind abschließend aufgelistet. Bevor weitere Unterauftragnehmer beauftragt werden, muss Zoom nunmehr die Hochschulen informieren. Diese können der Beauftragung widersprechen.

Weiterhin wurden Zusagen bzgl. der Ende-zu-Ende-Verschlüsselung erreicht.

Auch wenn trotz dieser signifikanten Verbesserungen keine vollständige Verarbeitung der personenbezogenen Daten innerhalb der EU und in Ländern mit gleichwertigem Datenschutzniveau sichergestellt werden kann, ist es dank der Vereinbarungen und zusätzlicher Maßnahmen wie der Ende-zu-Ende-Verschlüsselung oder dem Betrieb des Zoom Connectors im TU-eigenen Rechenzentrum möglich, ein deutlich besseres Schutzniveau als bislang zu erreichen.

Der Vertrag kann zwar nicht als datenschutzrechtlich unbedenklich bewertet werden, jedoch sind wir überzeugt, dass die bestmöglichen Vereinbarungen getroffen werden konnten.

Hinweise der Berliner Aufsichtsbehörde zu Videokonferenz-Tools

In den am 18.2.2021 aktualisierten Hinweisen der Beauftragten für Datenschutz und Informationssicherheit (BBDI) zum Einsatz von ViKo-Tools gibt es ausführliche Anmerkungen zu Zoom, die wir geprüft und mit unserem Vertrag abgeglichen haben. Dabei konnten wir feststellen, dass die Monita der BBDI überwiegend nur für das globale DPA, jedoch nicht für den ausgehandelten Vertrag gelten. Einige wenige auch für uns geltenden Einwände werden in den bereits mit Zoom vereinbarten Follow-up-Verhandlungsrunden besprochen und können hoffentlich abschließend geklärt werden.

Fazit

Von uns wird positiv eingeschätzt, dass Zoom die im Laufe des letzten Jahres bekannt gewordenen Schwachstellen zügig geschlossen hat und das Produkt um viele aus Datenschutz-Sicht sinnvolle Funktionen erweitert hat, bspw. verbesserte Verschlüsselungsmechanismen, den Ausbau der EU-Datacenter und die Möglichkeit, den Betrieb weitgehend auf diese zu beschränken. Die vertragliche Reduzierung der Subauftragnehmer wird ebenso positiv bewertet, da dadurch Datenflüsse an Dritte reduziert werden konnten.

Ergänzend möchten wir noch anmerken, dass wir mit InnoCampus im engen Austausch zu den Optionen und globalen Einstellungen von Zoom stehen und insgesamt eine sehr Datenschutz-freundliche Konfiguration eingestellt ist. Nähere Informationen dazu sowie verschiedene Anleitungen (Ende-zu-Ende-Verschlüsselung, Zoom Connector) sind auf der Webseite von InnoCampus zu Zoom abrufbar.

Insgesamt bietet Zoom sowohl vertraglich, funktionell und aus Datenschutz-Sicht eine gute Lösung, gerade auch im Vergleich mit den Mitbewerbern. Zoom kann zwar von uns aus den oben genannten Gründen nicht als datenschutzrechtlich unbedenklich eingestuft werden, aufgrund der Alternativlosigkeit für große Veranstaltungen halten wir die Nutzung aus Datenschutz-Sicht für vertretbar. Wir konnten zusätzliche Maßnahmen mit Zoom vereinbaren („additional safeguards“), um den aus dem Urteil des EuGH „Schrems 2“ folgenden Anforderungen der Datenschutzaufsichts­behörden Folge zu leisten.

Außerdem begrüßen wir, dass die TU sich für den Betrieb von Open Source Videokonferenz-Tools einsetzt. Wir setzen auch darauf, dass sich die ersten positiven Erfahrungen der Humboldt-Universität mit dem Betrieb von BigBlueButton bestätigen und die TU daran partizipiert.

Weitere Informationen

 

 

Videoüberwachung von schriftlichen Online-Prüfungen im datenschutzrechtlichen Fokus

Obwohl an der TU Berlin unseres Wissens nach keine Videoüberwachung bei Online-Klausuren praktiziert wird, haben wir uns der Fragestellung angenommen und geprüft, inwieweit diese möglich wäre.

Wir kommen zur folgenden datenschutzrechtlichen Einschätzung:

Derzeit ist eine Videoüberwachung von Online-Klausuren nicht zulässig.

Und:

Soweit eine solche geplant ist, bedarf es einer landesgesetzlichen Rechtsgrundlage.

„Videoüberwachung von schriftlichen Online-Prüfungen im datenschutzrechtlichen Fokus“ weiterlesen

Zoom läuft an der TU nur noch über europäische Data-Center

Im Sommer wurde das Routing der TU Zoom-Videokonferenzen der TU umgestellt:

Hauptstandort ist der neue Zoom-Cloud-Standort Deutschland (Frankfurt).

Bei Bedarf wird der Echzeit-Datenverkehr der Videokonferenzen auch über die anderen Datacenter von Zoom in der EU übertragen – derzeit sind das Irland, Niederlande und Schweden; jedoch nicht außerhalb der EU. Selbst Teilnehmer*innen aus der USA oder anderen Nicht-EU-Staaten werden über die EU abgewickelt.

„Zoom läuft an der TU nur noch über europäische Data-Center“ weiterlesen

Was sollten Sie bei der anonymen Teilnahme an Online-Lehrveranstaltungen und Videokonferenzen beachten?

Wir geben Empfehlungen, wie Sie anonym an Online-Veranstaltungen der TU teilnehmen können.

„Was sollten Sie bei der anonymen Teilnahme an Online-Lehrveranstaltungen und Videokonferenzen beachten?“ weiterlesen

Zoom: Aufhebung der Stummschaltung des Mikrofons nur mit Zustimmung

In Zoom kann der Host alle Mikrofone stummschalten und eine Stummschaltung aufheben. In der Voreinstellung ist dieses auch ohne Zustimmung der Teilnehmer*innen möglich. Leider lässt es sich nicht in den globalen Zoom Einstellungen konfigurieren. Wir beschreiben, wie Nutzer*innen die Mikrofon-Aktivierung steuern können.

Das ISIS/Zoom-Team hat in Abstimmung mit dem Team Datenschutz strenge globale Voreinstellungen vorgenommen. Einige kritische Punkte können nicht durch den Host abgeändert werden, beispielsweise tritt man einem Meeting immer mit ausgeschaltetem Video und stummgeschalteten Mikrofon bei.

„Zoom: Aufhebung der Stummschaltung des Mikrofons nur mit Zustimmung“ weiterlesen

Zoom Datenschutz-gerecht im Online-Lehrbetrieb nutzen

Wir stellen hier Informationen zusammen, wie Zoom an der TU betrieben wird und wie Veranstalter und Teilnehmer die Software datensparsam nutzen können. Dieser Beitrag wird regelmäßig ergänzt.

„Zoom Datenschutz-gerecht im Online-Lehrbetrieb nutzen“ weiterlesen