Legale Zoom-Nutzung: Das „Hessische Modell“ macht’s möglich

Manchmal erweisen sich sogar Behörden als erfrischend kreativ. Vor allem, wenn es um kontaktloses Arbeiten geht. Die hessische Hochschullandschaft macht nun vor, wie man trotz Schrems-II-Urteil Videokonferenzen mit Zoom führen und zugleich den Datenschutz wahren kann. Ein Problem, das viele Unternehmen für sich noch nicht gelöst haben.

Der virtuelle Vorlesungssaal

Der virtuelle Vorlesungssaal Zahlreiche Hochschulen waren und sind durch Covid dazu gezwungen, Hörsaalveranstaltungen in die virtuelle Dimension zu transferieren und hatten dazu Zoom als Massen-Konferenztool für sich entdeckt. Nun ist es mit Zoom datenschutzrechtlich so eine Sache. 2020 wurde der Video-Dienstleister dafür kritisiert, nur eine unzureichende Ende-zu-Ende-Verschlüsselung zu gewährleisten. Hier hat der Anbieter inzwischen nachgerüstet. Doch fallen neben den fraglichen Live-Videodaten auch Metadaten der Nutzer an. Und damit wird die Problematik Schrems II berührt. Im Sommer 2020 – also noch in der ersten Phase der Pandemie – entschied der Europäischen Gerichtshof, dass personenbezogene Daten wegen zweifelhafter Datensicherheit nicht in die USA übertragen werden dürfen. US-Firmen waren also prinzipiell als Dienstleister tabu, wenn keine individuellen Klauseln mit ihnen vereinbart worden waren.

Allerdings gab es zu Zoom und anderen US-Lösungen für die deutschen Hochschulen kaum adäquate Alternativen. Also erschien es von Anfang an einfacher, datenschutzrechtlich nachzubessern, als kostspielige Programmierungen in Erwägung zu ziehen. Der Hessische Landesdatenschutzbeauftragte Alexander Roßnagel hatte schon im Frühjahr 2020 eine vorübergehende Duldung ausgesprochen – eine Art Schonfrist für Zoom, der er nun zum 31. Juli 2022 ein Ende setzte. Zugleich waren die hessischen Hochschulen vom obersten Datenschützer des Bundeslandes aufgefordert worden, Lösungen zu suchen, um Zoom datenschutzgerecht nutzen zu können – oder zu alternativen Systemen zu wechseln. Genau das wurde in Hessen nun pragmatisch umgesetzt.

„Hessisches Modell“ macht Schule

An der Universität Kassel wurde in Zusammenarbeit mit dem Landesdatenschutzbeauftragten das sogenannte „Hessische Modell“ entwickelt. Dieses könnte nun auch in anderen Bundesländern zur Anwendung kommen. Mit ihm lässt sich Zoom, von wo offensichtlich keine Hilfe zu erwarten war, im Sinne der Datenschutzvorgaben des Europäischen Gerichtshofs weiternutzen. Der oberste Datenschützer ist des Lobes voll. Das Ergebnis zeige, wie er verlautbaren lässt, „dass es sich lohnt, konstruktiv nach Wegen zu suchen, wie durch Technikgestaltung die Vorteile bestimmter IT-Systeme genutzt werden können, ohne dass der Datenschutz auf der Strecke bleibt. Insofern ist dieses Modell auch für andere Videokonferenzsysteme ein Vorbild und kann methodisch auf viele Probleme des Datenschutzes übertragen werden.“ Aber er fügt mahnend hinzu, dass solche pragmatischen Ansätze auch von anderen IT-Unternehmen schon längst entwickelt gehörten.

Der Trick ist einfach: Künftig wird ein unabhängiger Auftragsverarbeiter zwischengeschaltet, der seinen Firmensitz auf EU-Gebiet hat. Dieser stellt sicher, dass eine Ende-zu-Ende-Verschlüsselung aller Konferenzdaten vorhanden ist. Der Transfer von personenbezogenen Daten in die USA sowie ein Zugriff von amerikanischen Behörden auf diese Daten soll unmöglich gemacht werden. Ferner soll Zoom ausschließlich auf Lehrveranstaltungen zum Einsatz kommen. Für alle, die Zoom ablehnen, wird ein alternatives System angeboten. Dazu kommt, dass die Unis alle, die an diesen Onlineveranstaltungen teilnehmen, intensiv zum Thema informationelle Selbstbestimmung informieren.

Durchaus kopierwürdig

Das „Hessische Modell“ erweitert Zoom also durch datenschutzrelevante technische Details. Konkret bedeutet das, dass ein lokales Identitätsmanagement in Verbindung mit einem Virtual Private Network für die Konferenzteilnehmer verhindert, dass Klarnamen in die USA übertragen werden. Ein Personenbezug von Daten ist damit nicht mehr möglich. Zwar landen weiterhin öffentliche Daten auf amerikanischen Servern. Diese sind aber wie das Vorlesungsverzeichnis ohnehin nicht relevant, weil von jedermann ermittelbar und unpersönlich. Damit erlaubt das „Hessische Modell“ auch reinen Gewissens den Abschluss der Standardvertragsklauseln, ohne die ein Datentransfer in die USA und damit ein Betrieb von Zoom nicht möglich wären. Indes stehen die hessischen Hochschulen jetzt vor der Herausforderung, die ehrgeizig gelobten technischen Auswege auch wie geplant zu realisieren. Dies bedeutet einen erheblichen Mehraufwand. Stellt sich nur die Frage, ob der Aufwand für die „Zoom-Anpassung“ langfristig nicht höher ist, als die Entwicklung einer datenschutzkonformen Alternative.