.st0{fill:#FFFFFF;}

HBDI zum datenschutzkonformen Einsatz von Zoom

Wichtige Datenschutz-Themen von Profis aufbereitet

HBDI zum datenschutzkonformen Einsatz von Zoom

Das US-amerikanische Unternehmen Zoom hat, neben anderen Videokonferenz-Programmen, in besonderem Maße von der Pandemie und den von Home-Office geprägten Jahren profitiert. Aufgrund mangelnden Datenschutzes hat das Unternehmen seither allerdings überwiegend mit negativen Schlagzeilen auf sich aufmerksam gemacht. Zoom hat auf die Kritik reagiert und viele Neuerungen an dem Programm vorgenommen.

Nachdem sich bereits der Zusammenschluss niederländischer Bildungs- und Forschungseinrichtungen (SURF) vor nicht allzu langer Zeit positiv zum Einsatz des Videokonferenzsystems Zoom geäußert hat, gibt es nun auch erste positive Einschätzungen seitens der deutschen Datenschutzbehörden. In einer aktuellen Pressemitteilung vom 17.06.2022 hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) bestätigt, dass ein datenschutzkonformer Einsatz des Video-Dienstes Zoom unter bestimmten Bedingungen möglich ist.


Das Wichtigste in Kürze

  • Wesentliches Problem bei der Verwendung von Zoom ist der damit verbundene Datentransfer in die USA, der seit der Schrems II-Rechtsprechung des EuGH datenschutzrechtlich unzulässig ist.
  • Der HBDI hat die pandemiebedingte Duldung des Einsatzes von US-Videokonferenzsystemen zum 31.07.2021 beendet und die Hochschulen dazu aufgefordert, den Einsatz von Zoom datenschutzkonform zu gestalten oder auf Alternativen umzusteigen.
  • Die hessische Datenschutzbehörde hat im Hinblick auf den Einsatz des Videochat-Tools an hessischen Hochschulen jetzt klargestellt, dass ein datenschutzkonformer Betrieb unter bestimmten Voraussetzungen nunmehr möglich ist.
  • Unter Beachtung des „Hessischen Modells“ können Hochschulen das Videokonferenzsystem im Einklang mit dem geltenden Datenschutzrecht betreiben. Im Wesentlichen müssen die Hochschulen den Zugriff auf Inhalts - und Metadaten aus den Videokonferenzen durch US-Behörden ausschließen.
    Inhalt
    Das Wichtigste in Kürze
    1. Datenschutzrechtliche Probleme mit Zoom
    2. Pressemitteilung des HBDI
    3. Das „Hessische Modell“
    4. Ausblick

    1. Datenschutzrechtliche Probleme mit Zoom

    Wesentliches Problem bei der Verwendung des Video-Chat-Systems ist der damit verbundene Datentransfer in die USA, der seit der Schrems II-Rechtsprechung des EuGH datenschutzwidrig und damit datenschutzrechtlich unzulässig ist. Die Richter des EuGH haben festgestellt, dass die Behörden der USA in unverhältnismäßig großem Umfang befugt sind, auf personenbezogene Daten aus der EU zuzugreifen. Eine Datenübermittlung in die USA kommt aus diesem Grund nur noch unter der Bedingung in Betracht, dass die US-Behörden keinen Zugriff auf die personenbezogenen Daten der EU-Bürger haben. Der Videokonferenz-Dienstleister Zoom Video Communications, der Daten in die Vereinigten Staaten transferiert, kann solche Zugriffe jedoch nicht ausschließen. Aus diesem Grund hat die hessische Datenschutzbehörde bereits im vergangenen Jahr zum 31.07.2021 die pandemiebedingte Duldung des Einsatzes von US-Videokonferenzsystemen beendet und hessische Hochschulen dazu aufgefordert, den Einsatz von US - Videokonferenzsystemen Datenschutz-gerechter zu gestalten oder auf datenschutzkonforme Alternativen umzusteigen.


    2. Pressemitteilung des HBDI

    In einer kürzlich veröffentlichten Pressemitteilung stellt die Hessische Datenschutzbehörde nun im Hinblick auf den Einsatz des Videochat-Tools an hessischen Hochschulen ihre Auffassung dar, wonach ein datenschutzkonformer Betrieb bei Vorliegen bestimmter Voraussetzungen denkbar ist.

    Insoweit wäre es allerdings auch viabel, die von der Behörde gemachten Ausführungen auf privatwirtschaftliche Unternehmen zu übertragen.

    Der HBDI habe zusammen mit den hessischen Hochschulen unter der Leitung des hessischen Ministeriums für Wissenschaft und Kunst (HMWK) nach einer datenschutzkonformen Lösung gesucht. In enger Zusammenarbeit mit dem HBDI hat die Universität Kassel das sog. „Hessische Modell“ entwickelt. Unter Beachtung dieses Modells können Hochschulen das Videokonferenzsystem im Einklang mit dem geltenden Datenschutzrecht betreiben. Im Wesentlichen müssen die Hochschulen den Zugriff auf Inhalts - und Metadaten aus den Videokonferenzen durch US-Behörden ausschließen.


    3. Das „Hessische Modell“

    Folgende Voraussetzungen müssen nach dem „Hessischen Modell“ vorliegen:

    • Es muss ein vom US-Dienstleister unabhängiger Auftragsverarbeiter mit Sitz im EU-Inland beauftragt werden, der mit Servern innerhalb der EU arbeitet.
    • Es muss eine Ende-zu-Ende-Verschlüsselung aller Inhaltsdaten stattfinden.
    • Sowohl der Abfluss personenbezogener Daten von Studierenden (oder anderer betroffener Personen) in die USA muss verhindert werden als auch die Möglichkeit des Zugriffs auf solche Daten aus der USA.
    • Die Nutzung von Zoom sollte auf Lehrveranstaltungen beschränkt werden.
    • Für andere Zwecke oder (Lehr-)Personen, die eine Nutzung des Programms vermeiden möchten, sollten datenschutzkonforme Alternativen angeboten werden.
    • Sensibilisierung des Lehrpersonals und der Studierenden für weiterführende, unterstützenden Maßnahmen des Datenschutzes.


    4. Ausblick

    Zwar wurde das „Hessische Modell“ für Lehrveranstaltungen entwickelt, allerdings wurde bereits in den Niederlanden eine über 100-seitige Datenschutzfolgenabschätzung veröffentlicht, aus der hervorgeht, dass ein datenschutzkonformer Einsatz nicht nur im Hinblick auf Lehrveranstaltungen unter Beachtung einiger Punkte und der Implementierung angemessener Schutzmaßnahmen möglich ist. Wie so oft kommt es auch hier auch auf die Initiative der Verantwortlichen an, die Nutzung solcher Systeme wie Zoom, datenschutzkonform einsetzen zu können.

    Share0
    Tweet0
    Share0

    Datenschutzschulungen für Ihre Mitarbeiter?

    Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.

     Mehr ansehen