Verbesserte Vertragsbedingungen nach gemeinsamen Verhandlungen von HU und TU mit Zoom

Nach dem Urteil des EuGH „Schrems 2“ im Sommer letzten Jahres nahmen beide Berliner Universitäten gemeinsame Verhandlungen mit Zoom auf. Beteiligt waren neben den Fachverantwortlichen auch die Datenschützer*innen beider Einrichtungen.

Wir konnten in mehreren intensiven Verhandlungsrunden mit Zoom bewirken, dass wesentliche Anforderungen an den Datenschutz im neuen Vertrag berücksichtigt werden und dieser allen Berliner Hochschulen von Zoom angeboten wird.

Soweit uns bekannt sind die vereinbarten Änderungen weitreichender als die sonst ausgehandelten Verträge zu kommerziellen Videokonferenz-Tools.

Parallel verhandelten andere deutsche Hochschulen mit Zoom – teilweise auch bundeslandweit, Bayern konnte beispielsweise ein sogenanntes Master Service Agreement (MSA) vereinbaren, in dem ausschließlich deutsches Recht für den Vertrag gilt.

Dank der bundesweiten Vernetzung der Hochschulen konnten wir dieses MSA übernehmen und die von den Berliner Universitäten ausgehandelten Vereinbarungen im sogenannten Data Processing Agreement (DPA) bilden die Grundlage eines Higher Education Deutschland DPA, welches anderen deutschen Hochschulen als Vertragsgrundlage dienen wird.

Verbesserungen im Data Processing Agreement (DPA)

Es wurde verbindlich vereinbart, dass die Rechenzentrumsregion ausgewählt werden kann (sogenannte Lokalisierung), so dass

  • Real-Time-Meeting-Daten nur über Datenzentren in der EU geleitet werden,
  • Cloud Recordings nur in der EU gespeichert werden (wird an der TU nicht genutzt) und
  • ruhende Daten (Data at Rest) primär in der EU gespeichert werden.

Zusätzlich wurden Klarstellungen zu internationalen Datenflüssen und zu weiteren technischen und organisatorischen Maßnahmen erreicht.

Zoom darf nach den neuen Verträgen personenbezogene Daten ausschließlich zum Zweck der Vertragserfüllung nutzen und nicht für andere Zwecke.

Die Unterauftragnehmer sind abschließend aufgelistet. Bevor weitere Unterauftragnehmer beauftragt werden, muss Zoom nunmehr die Hochschulen informieren. Diese können der Beauftragung widersprechen.

Weiterhin wurden Zusagen bzgl. der Ende-zu-Ende-Verschlüsselung erreicht.

Auch wenn trotz dieser signifikanten Verbesserungen keine vollständige Verarbeitung der personenbezogenen Daten innerhalb der EU und in Ländern mit gleichwertigem Datenschutzniveau sichergestellt werden kann, ist es dank der Vereinbarungen und zusätzlicher Maßnahmen wie der Ende-zu-Ende-Verschlüsselung oder dem Betrieb des Zoom Connectors im TU-eigenen Rechenzentrum möglich, ein deutlich besseres Schutzniveau als bislang zu erreichen.

Der Vertrag kann zwar nicht als datenschutzrechtlich unbedenklich bewertet werden, jedoch sind wir überzeugt, dass die bestmöglichen Vereinbarungen getroffen werden konnten.

Hinweise der Berliner Aufsichtsbehörde zu Videokonferenz-Tools

In den am 18.2.2021 aktualisierten Hinweisen der Beauftragten für Datenschutz und Informationssicherheit (BBDI) zum Einsatz von ViKo-Tools gibt es ausführliche Anmerkungen zu Zoom, die wir geprüft und mit unserem Vertrag abgeglichen haben. Dabei konnten wir feststellen, dass die Monita der BBDI überwiegend nur für das globale DPA, jedoch nicht für den ausgehandelten Vertrag gelten. Einige wenige auch für uns geltenden Einwände werden in den bereits mit Zoom vereinbarten Follow-up-Verhandlungsrunden besprochen und können hoffentlich abschließend geklärt werden.

Fazit

Von uns wird positiv eingeschätzt, dass Zoom die im Laufe des letzten Jahres bekannt gewordenen Schwachstellen zügig geschlossen hat und das Produkt um viele aus Datenschutz-Sicht sinnvolle Funktionen erweitert hat, bspw. verbesserte Verschlüsselungsmechanismen, den Ausbau der EU-Datacenter und die Möglichkeit, den Betrieb weitgehend auf diese zu beschränken. Die vertragliche Reduzierung der Subauftragnehmer wird ebenso positiv bewertet, da dadurch Datenflüsse an Dritte reduziert werden konnten.

Ergänzend möchten wir noch anmerken, dass wir mit InnoCampus im engen Austausch zu den Optionen und globalen Einstellungen von Zoom stehen und insgesamt eine sehr Datenschutz-freundliche Konfiguration eingestellt ist. Nähere Informationen dazu sowie verschiedene Anleitungen (Ende-zu-Ende-Verschlüsselung, Zoom Connector) sind auf der Webseite von InnoCampus zu Zoom abrufbar.

Insgesamt bietet Zoom sowohl vertraglich, funktionell und aus Datenschutz-Sicht eine gute Lösung, gerade auch im Vergleich mit den Mitbewerbern. Zoom kann zwar von uns aus den oben genannten Gründen nicht als datenschutzrechtlich unbedenklich eingestuft werden, aufgrund der Alternativlosigkeit für große Veranstaltungen halten wir die Nutzung aus Datenschutz-Sicht für vertretbar. Wir konnten zusätzliche Maßnahmen mit Zoom vereinbaren („additional safeguards“), um den aus dem Urteil des EuGH „Schrems 2“ folgenden Anforderungen der Datenschutzaufsichts­behörden Folge zu leisten.

Außerdem begrüßen wir, dass die TU sich für den Betrieb von Open Source Videokonferenz-Tools einsetzt. Wir setzen auch darauf, dass sich die ersten positiven Erfahrungen der Humboldt-Universität mit dem Betrieb von BigBlueButton bestätigen und die TU daran partizipiert.

Weitere Informationen

 

 

Ende-zu-Ende-Verschlüsselung für vertrauliche Meetings bei Zoom und Webex

Die Übertragung der Audio- und Videodaten wird zwar verschlüsselt, auf den Servern der Diensteanbieter in der Cloud werden die Daten aber oft unverschlüsselt verarbeitet.

Um den Zugriff Dritter auf vertrauliche Meetings zu erschweren, kann bei Webex und Zoom vom Gastgeber Ende-zu-Ende-Verschlüsselung (E2E) aktiviert werden.

„Ende-zu-Ende-Verschlüsselung für vertrauliche Meetings bei Zoom und Webex“ weiterlesen

Personalräte und Datenschutzbeauftragte der Berliner Hochschulen setzen sich für Open-Source-Videokonferenztools ein

Die Arbeitsgemeinschaft der Berliner Personalräte und Datenschutzbeauftragten der Berliner Hochschulen zu IT-Fragen hat ein Positionspapier verabschiedet, indem die Hochschulen aufgefordert werden, starkes Engagement für den Betrieb und die Weiterentwicklung von Open-Source-Videokonferenztools wie BigBlueButton (BBB) und Jitsi zu zeigen.

„Personalräte und Datenschutzbeauftragte der Berliner Hochschulen setzen sich für Open-Source-Videokonferenztools ein“ weiterlesen

Wie können geheime Online-Abstimmungen durchgeführt werden?

In Pandemiezeiten sind wir gezwungen, Gremiensitzungen und die darin notwendigen Abstimmungen online durchzuführen.

Wir diskutieren hier, wie geheime Abstimmungen online durchgeführt werden können und zeigen einige Grenzen auf.

Außerdem verweisen wir auf eine ausführliche Anleitung für das Abstimmungstool in Webex.

„Wie können geheime Online-Abstimmungen durchgeführt werden?“ weiterlesen

Mac-Nutzer*innen: Update der Zoom-App vornehmen, da diese Ton aufzeichnet.

Betroffen ist nach unseren Erkenntnissen die Version 5.4.4 für MacOS, die am 23. November 2020 ausgerollt wurde. Bei Version 5.4.6 vom 8. Dezember scheint das eigentümliche Verhalten nicht mehr aufzutreten.

Mac-Nutzer*innen ist dringend anzuraten die Zoom-Desktop-App mindestens auf die Version 5.4.6 upzudaten. Stand heute ist Version 5.4.7 verfügbar.

„Mac-Nutzer*innen: Update der Zoom-App vornehmen, da diese Ton aufzeichnet.“ weiterlesen

Zoom läuft an der TU nur noch über europäische Data-Center

Im Sommer wurde das Routing der TU Zoom-Videokonferenzen der TU umgestellt:

Hauptstandort ist der neue Zoom-Cloud-Standort Deutschland (Frankfurt).

Bei Bedarf wird der Echzeit-Datenverkehr der Videokonferenzen auch über die anderen Datacenter von Zoom in der EU übertragen – derzeit sind das Irland, Niederlande und Schweden; jedoch nicht außerhalb der EU. Selbst Teilnehmer*innen aus der USA oder anderen Nicht-EU-Staaten werden über die EU abgewickelt.

„Zoom läuft an der TU nur noch über europäische Data-Center“ weiterlesen

Schritt-für-Schritt-Anleitung: Webex-Meeting im Browser beitreten

Meetings mit Webex und Zoom können direkt im Browser ohne Installation einer (Desktop-)App genutzt werden.

Wie es mit Webex geht beschreiben wir hier.

„Schritt-für-Schritt-Anleitung: Webex-Meeting im Browser beitreten“ weiterlesen

Sicherheitsupdates für Desktop-Apps von WebEx und Zoom

Für die Videokonferenz-Systeme werden regelmäßig Sicherheits-Schwachstellen bekannt, die in den daraufhin verfügbaren Updates zumeist gefixt werden.

Aktuell kann ein Angreifer bei WebEx beliebige Dateien auf dem Windows-System löschen und bei Zoom gab es im April einen sogenannten Zero-Day-Exploit, mit dem der gesamte Computer übernommen werden konnte.

Da die Desktop-Apps nicht durchgängig Update-Meldungen anzeigen, müssen Nutzer regelmäßig auf Aktualisierungen prüfen und diese installieren.

„Sicherheitsupdates für Desktop-Apps von WebEx und Zoom“ weiterlesen

Bundesdatenschutzbeauftragter Kelber warnt vor Zoom wegen fehlender Ende-zu-Ende-Verschlüsselung

Im Interview mit dem Handelsblatt rät er von Zoom und ähnlichen Tools ab, wenn personenbezogene Daten im Spiel sind.

Sind Bild und Ton in Videokonferenzen personenbezogen?

Mit einer Ausnahme: Passive Teilnahme an einer Videokonferenz, z.B. in der Online-Lehre – sofern ein Pseudonym gewählt und sowohl Mikro als auch Kamera ausgeschaltet bleiben.

Auf der Webseite des Bundesdatenschutzbeauftragten findet man eine Übersicht von Messenger-Diensten mit Video-Funktion, die er vom niederländischen Datenschutzbeauftragte übernahm.

„Bundesdatenschutzbeauftragter Kelber warnt vor Zoom wegen fehlender Ende-zu-Ende-Verschlüsselung“ weiterlesen

Gehts noch? Microsoft mahnt Berlins Datenschutzbeauftragte ab

Microsofts Chefjurist beschwert sich in einem  Schreiben darüber, dass die Berliner Datenschutzbeauftragte einen Vermerk publizierte, in dem sie vor der ungeregelten Nutzung von Videokonferenz-Tools wie Microsoft Teams und Zoom eindringlich warnt.

„Gehts noch? Microsoft mahnt Berlins Datenschutzbeauftragte ab“ weiterlesen