Mit dem „Hessischen Modell“ können Hochschulen künftig Zoom datenschutzgerecht nutzen

Auch ein klassisches Dilemma lässt sich lösen. Und wenn ein Anbieter unverzichtbar erscheint, finden sich sogar in Landesbehörden kreative Lösungswege. Die hessische Hochschullandschaft macht nun vor, wie man trotz Schrems-II-Urteil Videokonferenzen mit Zoom führen und zugleich den Datenschutz wahren kann.

Video-Konferenz als Hörsaalersatz

Die Situation ist bekannt: Die hessischen Hochschulen und viele weitere Bildungseinrichtungen in Deutschland haben seit Beginn der Corona-Einschränkungen das Videokonferenzsystem Zoom für sich entdeckt und als virtuellen Hörsaal und Ersatz zu den Präsenzveranstaltungen genutzt. Nun ist es mit Zoom datenschutzrechtlich so eine Sache. 2020 wurde der Video-Dienstleister dafür kritisiert, nur eine unzureichende Ende-zu-Ende-Verschlüsselung zu gewährleisten. Hier hat der Anbieter inzwischen nachgerüstet. Doch fallen neben den fraglichen Live-Videodaten auch Metadaten der Nutzer an. Und damit wird die Problematik Schrems II berührt. Im Sommer 2020 – also noch in der ersten Phase der Pandemie – entschied der Europäischen Gerichtshof, dass personenbezogene Daten wegen zweifelhafter Datensicherheit nicht in die USA übertragen werden dürfen. Damit war das Geschäftsmodell von US-amerikanischen Unternehmen wie Zoom in Europa infragegestellt.

Was aber tun, wenn nicht nur die deutsche Bildungslandschaft auf Konferenz-Dienstleister von jenseits des Atlantiks angewiesen ist, um in Pandemiezeiten einigermaßen intakt zu bleiben? Der Hessische Landesdatenschutzbeauftragte Alexander Roßnagel hatte schon im Frühjahr 2020 eine vorübergehende Duldung ausgesprochen – eine Art Schonfrist für Zoom, der er nun zum 31. Juli 2022 ein Ende setzte. Zugleich waren die hessischen Hochschulen vom obersten Datenschützer des Bundeslandes aufgefordert worden, Lösungen zu suchen, um Zoom datenschutzgerecht nutzen zu können – oder zu alternativen Systemen zu wechseln.

Das „Hessische Modell“

Bei dieser Suche wurde von der Universität Kassel in Zusammenarbeit mit dem Landesdatenschutzbeauftragten das „Hessische Modell“ entwickelt, das jetzt zum Muster für andere Bundesländer werden könnte. Mit ihm lässt sich Zoom, von wo offensichtlich keine Hilfe zu erwarten war, im Sinne der Datenschutzvorgaben des Europäischen Gerichtshofs weiternutzen. Der oberste Datenschützer ist des Lobes voll. Das Ergebnis zeige, wie er verlautbaren lässt, „dass es sich lohnt, konstruktiv nach Wegen zu suchen, wie durch Technikgestaltung die Vorteile bestimmter IT-Systeme genutzt werden können, ohne dass der Datenschutz auf der Strecke bleibt. Insofern ist dieses Modell auch für andere Videokonferenzsysteme ein Vorbild und kann methodisch auf viele Probleme des Datenschutzes übertragen werden.“ Kritisch fügt er an, dass aber auch die Anbieter von IT-Systemen und -Diensten solche Lösungen von sich aus anbieten könnten.

Die Hochschulen werden künftig einen unabhängigen Auftragsverarbeiter mit Sitz in der EU mit dem Betrieb von Zoom auf EU-Servern beauftragen. Sie stellen sicher, dass eine Ende-zu-Ende-Verschlüsselung aller Konferenzdaten vorhanden ist. Der Transfer von personenbezogenen Daten in die USA sowie ein Zugriff von amerikanischen Behörden auf diese Daten soll unmöglich gemacht werden. Ferner soll Zoom ausschließlich auf Lehrveranstaltungen zum Einsatz kommen. Für alle, die Zoom ablehnen, wird ein alternatives System angeboten. Außerdem möchten die Hochschulen alle involvierten Personen über weitere Maßnahmen zum Schutz der informationellen Selbstbestimmung informieren.

Ein Vorbild für andere?

Konkret bedeutet das beispielsweise, dass beim „Hessischen Modell“ ein lokales Identitätsmanagement in Verbindung mit einem Virtual Private Network für die Konferenzteilnehmer verhindert, dass Klarnamen in die USA übertragen werden. Ein Personenbezug von Daten ist damit nicht mehr möglich. Zwar landen weiterhin öffentliche Daten auf amerikanischen Servern. Diese sind aber wie das Vorlesungsverzeichnis ohnehin nicht relevant, weil von jedermann ermittelbar und unpersönlich. Damit erlaubt das „Hessische Modell“ auch reinen Gewissens den Abschluss der Standardvertragsklauseln, ohne die ein Datentransfer in die USA und damit ein Betrieb von Zoom nicht möglich wären. Indes stehen die hessischen Hochschulen jetzt vor der Herausforderung, die ehrgeizig gelobten technischen Auswege auch wie geplant zu realisieren. Dies bedeutet einen erheblichen Mehraufwand. In absehbarer Zeit wird sich die Frage stellen, ob dieser Weg – auch für andere – praktikabel ist oder ob man nicht doch in den Aufbau eines eigenen, absolut datenschutzgerechten Konferenzsystems für Bildungsstätten investieren sollte.