Mit dem Urteil vom 16.07.2020 hat der EuGH das sog. Privacy Shield als geeignete Garantie für Datentransfers aus der EU in die Vereinigten Staaten, mangels angemessenen Schutzniveaus in den Vereinigten Staaten, für unanwendbar erklärt. Damit sind alle Datenverarbeitungen, die ausschließlich auf dem EU-US Privacy Shield beruhen, rechtswidrig.

Anders als das Privacy Shield hält der EuGH allerdings die sogenannten EU-Standardvertragsklauseln, die ebenfalls Gegenstand des Verfahrens waren, weiterhin für gültig.

Die EU-Standardvertragsklauseln können dem EuGH Urteil nach, als geeignete und ergänzende Garantien nach  Art.44 ff. DSGVO zwischen den Vertragspartner vereinbart werden. Jedoch genügen diese alleine nicht den Anforderungen an einen datenschutzkonformen Datentransfer in Drittländer. Sollten die EU-Standardvertragsklauseln als Vertragsgrundlage eingesetzt werden, müssen sie durch weitere Maßnahmen erweitert werden, so dass Daten von EU-Bürgern durch den sog. Datenimporteur in Hinblick auf die Zugriffsmöglichkeit der US-Behörden geschützt werden.

Anlässlich der jüngsten Rechtsprechung hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) eine Reihe von Maßnahmen aufgelistet, die ergänzend zu den EU-Standardvertragsklauseln umzusetzen sind, um ein angemessenes Datenschutzniveau bei einer Übermittlung in die USA zu erreichen:

• Die EU-Standardvertragsklauseln müssen um verschiedene Aspekte/Punkte angepasst werden.

• Die Angemessenheit des Datenschutzniveaus ist auch abhängig von Umfang, Inhalt und Art der verarbeiteten Daten. Die Anforderungen für sensible Daten müssen als höher eingestuft werden, als Meta-/Verbindungsdaten, öffentliche Daten bzw. weniger sensible Daten im Allgemeinen. Es sollte daher eine Prüfung/Bewertung (Risikobewertung) der Datenverarbeitung in Anbetracht der eingesetzten technischen und organisatorischen Maßnahmen erfolgen.

• Die eingesetzten Schutzmaßnahmen müssen bewertet werden und ggf. zusätzliche technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten eingesetzt werden.

• Es sollte eine Dokumentation der initiierten/umgesetzten Maßnahmen/Vorgehensweise erfolgen, die dient der datenschutzkonformen Nutzung von Anbietern in Drittstaaten bzw. einer datenschutzkonformen Drittstaatenübermittlung sowie dem Nachweis gegenüber der zuständigen Landesdatenschutzaufsichtsbehörde im Prüfungsfall.

Aufgrund der im Rahmen der Videokonferenz verarbeiteten besonderen personenbezogenen Daten, wurde zwischen der Universität Ulm und Connect4Video (C4V) ein Auftragsverarbeitungsvertrag (AVV) nach Art.28 DSGVO abgeschlossen. C4V arbeitet als deutsche Firma seit 2013 mit Zoom zusammen und ist Partner in Europa. Die Firma handelt als Wiederverkäufer des Zoom-Videodienstleisters und ergänzt die Angebote von Zoom mit eigenen Dienstleistungen. Im Rahmen der Zusammenarbeit agiert Zoom als Unter-Auftragsverarbeiter von C4V.

Als Unterauftragsnehmer wurden auch die Verträge von Zoom datenschutzrechtlich geprüft. Aufgefallen ist, dass Zoom in 2020 nicht nur umfangreiche Maßnahmenpakete erstellt hat, sondern auch vertragliche Änderungen vorgenommen, Anforderungen der DSGVO beachtet und die Standarddatenschutzklausel miteinbezogen hat.

• In der Konfiguration wurden die Einstellungen in Zoom deaktiviert, die dazu führen können, dass Daten ggf. automatisch durch Zoom verarbeitet werden können. Filetransfers, Speicherungen von Chats und Lifestreams sind beispielsweise daher nicht möglich.
• Gäste bzw. Studierende können an einer Veranstaltung teilnehmen, ohne sich einen Zoom-Account anlegen zu müssen. Jede(r) Nutzer*in hat die Möglichkeit sich bei Bedarf einen Zoom-Account anzulegen und sich am Identity- Provider der Universität Ulm mit ihrem/seinem kiz-Account (Single-Sign-On via Shibboleth) zu authentisieren. Dies bedeutet, dass keine Vorabregistrierung beim Zoom-Service erforderlich ist.
• Zugangsbeschränkungen verhindern den Zutritt von unautorisierten Benutzer*innen. Dies wird u. a. durch Vergabe von Meeting-IDs, komplexen Kennwörtern und Einrichtung von Warteräumen erreicht.
• Ein weiteres Sicherheitsmerkmal ist, dass nur Serverstandorte in der EU und in der Schweiz verwendet werden.
• Als eine der wichtigsten Sicherheitsvorkehrungen, wurden verschiedene Schutzbedarfskategorien entwickelt (siehe Punkt Risikoanalyse & Schutzbedarfskategorien), um die Vertraulichkeit der personenbezogenen Daten zu schützen.

Es werden die folgenden personenbezogenen Daten von Connect4Video verarbeitet:

• Personenstammdaten (Vorname, Name, Firma, Adresse)
• Kommunikationsdaten (Telefonnummer, E-Mail-Adresse, Nutzername)
• Kundenhistorie (Konferenzstatistiken, inkl. technischer Daten zur Qualitätssicherung und Fehlersuche im Speicherzeitraum)
• Verkehrs- und Mediendaten

Bei externen Teilnehmern*innen:

• Kommunikationsdaten (Vorname, Name, E-Mail-Adresse wie vom Nutzer eingegeben)
• Verkehrs- und Mediendaten

Es werden zusätzlich die folgenden personenbezogenen Daten von Zoom verarbeitet:

• Anwenderdaten: Vorname, Name, E-Mail-Adresse, Status - Nutzergruppe, Berechtigung
• Log-Daten: Meeting-ID, Titel, Gastgeber, Startzeit, Endzeit, Dauer, Anzahl der Teilnehmer*innen, Host Data-Center, Nutzung von Telefonie/VoIP/3rd Party Audio/ Video/ Screensharing/ Recording/ Encryption/ CRC, Betriebssystem, IP-Adresse, Location, Join-Time, Leave-Time
• Benutzerprofil: Profilbild (optional), Name, Vorname, Konto-Nr. (Zoom), Pers. Meeting-ID, Anmelde-E-Mailadresse, Lizenztyp, Sprache, Datum / Uhrzeit, Eingrenzung Rechenzentren, Abmeldung von angemeldeten Geräten
• Kommunikationsinhalte: Inhalte der elektronischen Kommunikation, die personenbezogene Daten enthalten können (Text-, Audio-, Bild- und Videoübertragung, Dateiübertragungen)

Es werden die folgenden personenbezogenen Daten von der Universität Ulm als Verantwortliche Stelle verarbeitet:

• Anwenderdaten

Datenverarbeitung von Beschäftigten an der Universität Ulm:

Für die Verarbeitung personenbezogener Daten von Beschäftigten an der Universität Ulm bei der Nutzung von Zoom zur Durchführung des Beschäftigungsverhältnisses sowie organisatorischer und personeller Maßnahmen ist Art. 6 Abs.I lit.c) DSGVO, Art. 6 Abs. 1 lit. e DSGVO, Art. 88 DSGVO i.V.m §§12 LHG, §15 LDSG und §§ 83 LBG i.V.m §§ 45, 56, 44 LHG die Rechtsgrundlage.

Die technische Umsetzung (Metadaten) basiert auf der Rechtsgrundlage gem. Art.6 Abs.1 lit.f DSGVO. Im Rahmen der Pandemie ist für die Technisierung zusätzlich Art. 6 Abs.1 lit.e DSGVO einschlägig.

Datenverarbeitung von Bewerber*innen:

Für Bewerber*innen ist eine Einwilligung der betroffenen Person gemäß Art. 6 lit. a DSGVO unter Angebot einer alternativen Kommunikationslösung die Rechtsgrundlage.

Datenverarbeitung i.R.d Lehrveranstaltung und online Prüfung:

Für die Verarbeitung personenbezogener Daten bei der Nutzung von Zoom für die Durchführung von Lehrveranstaltungen ist die gesetzliche Rechtsgrundlage gem. Art.6 Abs.I c) DSGVO, Art. 6 Abs. I e) DSGVO und § 12 LHG BaWü einschlägig.

Für die Verarbeitung personenbezogener Daten bei der Nutzung von Zoom für die Durchführung von Onlineprüfungen ist Art. 6 Abs. 1 lit. a) DSGVO, Art. 6 Abs.I lit.c) DSGVO, Art. 6 Abs. 1 lit. e DSGVO i.V.m Abs.3 DSGVO, Art. 88 DSGVO i.V.m §§12 LHG, 32 lit.a und §32 lit.b LGH BaWü i.V.m. mit Prüfungsordnung und Universitätssatzung der Universität Ulm. Art.6 Abs. 1 lit. b) DSGVO, Art. 6 Abs.1 lit.e DSGVO i.V.m §12 LHG, §15 LDSG und §§ 83 LBG i.V.m §§ 45, 56, 44 LHG.

Die technische Umsetzung (Metadaten) basiert auf der Rechtsgrundlage gem. Art.6 Abs.I lit.f DSGVO. Im Rahmen der Pandemie ist für die Technisierung zusätzlich Art. 6 Abs.1 lit.e DSGVO einschlägig.

Datenverarbeitung im Rahmen von Forschungsprojekten und Studien:

Für die Verarbeitung personenbezogener Daten bei Forschungsprojekten und Studien ist für die Nutzung von Zoom die Einwilligung der Teilnehmer*innen gemäß Art. 6 Abs. 1 lit. a DSGVO zwingend erforderlich. Bei Forschenden ist Art. 88 DSGVO i.V.m. § 12 LHG und §§ 13, 15 LDSG die Rechtsgrundlage.

Datenverarbeitung von externen Teilnehmer(n)*innen:

Für die Verarbeitung personenbezogener Daten bei der Durchführung einer Video- und/oder Audiokonferenz mit externen Teilnehmer(n)*innen im Verantwortungsbereich der Universität Ulm ist in aller Regel die Rechtsgrundlage die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO und das Bestehen eines Vertragsverhältnisses gem. Art. 6 Abs.1 S.1 lit.b) DSGVO. Davon abweichend kann die Rechtsgrundlage sich aus dem jeweiligen Anlass der Teilnahme ergeben.

Besondere Kategorien von personenbezogenen Daten:

Zur Durchführung von Videokonferenzen mit Zoom für die oben genannten Zwecke - interne Kommunikation, Lehre, Webinare und Meetings - ist die Verarbeitung von sensiblen Daten im Sinne von Art. 9 DSGVO sowie von Daten mit hohem und auch sehr hohem Schutzbedarf grundsätzlich nicht zulässig, es sei denn, der/die verantwortliche Meeting-Gastgeber*in ergreift gesonderte Schutzmaßnahmen, um den Schutzbedarf dieser Daten gesondert Rechnung zu tragen. Vor Beginn jeder Videokonferenz ist daher stets zu prüfen, welchen Schutzbedarf die verarbeiteten Daten haben und welche Verhaltensregeln hierbei zu beachten sind. Die unterschiedlichen Schutzbedarfskategorien und empfohlenen Schutzmaßnahmen sind auf der Webseite des kiz unter https://www.uni-ulm.de/index.php?id=119021 verfügbar.

Die personenbezogenen Daten werden nur so lange gespeichert, wie für die festgelegten und legitimen Zwecke erforderlich. Eine Weiterverarbeitung, die nicht mit diesen Zwecken vereinbar ist, findet nicht statt. Die Daten werden spätestens nach Beendigung des Auftragsverhältnisses zwischen der Universität Ulm und Connect4Video zur Nutzung des Videodienstes Zoom gelöscht, sofern keine Verpflichtung zur Speicherung nach Unionsrecht bzw. der Mitgliedstaaten vorliegt.

Eine vorherige und gesonderte Löschung der Daten erfolgt nur nach Aufforderung der betroffenen Person, sein Nutzerkonto an der Universität Ulm zu löschen. In diesem Fall, werden sämtliche Daten gelöscht.

Im Falle einer Aufzeichnung werden die Daten auf dem jeweiligen Endgerät des Gastgebers, sowie auf den für die Bereitstellung der Aufzeichnung eingesetzten Servern der Universität Ulm nach spätestens Ende des jeweiligen Semesters gelöscht. Sofern keine Daten Dritter betroffen sind, kann die/der Lehrende eine Verlängerung der Speicherdauer beantragen.

Im Rahmen der Videokonferenz werden Ihre Daten durch das Kommunikations- und Informationszentrum (kiz) der Universität Ulm verwendet. Innerhalb der Universität haben nur diejenigen Personen Zugriff auf Ihre Daten, die diese für einen ordnungsgemäßen Ablauf der Videokonferenz inkl. deren Bereitstellung benötigen.

Die oben genannten personenbezogenen Daten von Connect4Video werden an den Dienstanbieter Connect4Video übermittelt, bzw. auf Servern des Anbieters in Europa und der Schweiz, verarbeitet. Die Universität Ulm hat mit Connect4Video zur Nutzung des Videokonferenzdienstes Zoom, einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO abgeschlossen.

Die Datenübermittlung zu Zoom Video Communications, Inc. in den USA erfolgt gemäß Art. 46 Abs. 1 DSGVO unter der Dokumentation geeigneter Garantien, in diesem Fall sind das die Standarddatenschutzklauseln (Art. 46 Abs. 2 lit.c und d DSGVO).

In Einzelfällen kann darüber hinaus eine Datenübermittlung an Dritte auf Grundlage einer besonderen gesetzlichen Erlaubnis erfolgen, zum Beispiel eine Übermittlung an Strafverfolgungsbehörden zur Aufklärung von Straftaten im Rahmen der Regelungen der Strafprozessordnung (StPO).

Unkritische (personenbezogenen) Daten

Mögliche Beispiele: Videokonferenzen, die der Lehre und Wissenschaft dienen (z. B. Vorlesungen und Übungen, wissenschaftliche Vorträge und Konferenzen), Meetings ohne kritische Inhalte

Einstellungen: In Bezug auf Sicherheit sind die Voreinstellungen i.d.R. ausreichend. Anpassungen sind sinnvoll je nach Größe und Art des Meetings.

Sensible (personenbezogenen) Daten

Mögliche Beispiele: Team-Meetings mit sensiblen Inhalten, betriebsinterne Themen, ggf. Senat (themenabhängig)

Einstellungen: Moderator eröffnet Meeting, Kenncodepflicht (mind. 8 Zeichen), Warteraum für alle User, Audio: Nur Computeraudio, Teilnehmervideo zu Beginn AN, ggf. Chat AN (speichern durch Teilnehmer AUS), ggf. Umfragen AN, Gastteilnehmer identifizieren.

Sehr sensible (personenbezogenen) Daten

Mögliche Beispiele: Personalratssitzungen, Personalgespräche, Senat (themenabh.), Präsidiumssitzungen (themenabhg.), kritische Studien, kritische (geheimhaltungspflichtige) Forschungsgespräche, Meetings mit personenbezogenen Daten nach Art. 9 DSGVO (wie u. a. Gesundheitsdaten, politische Meinungen, rassische und ethnische Herkunft, biometrische/genetische Daten)

Einstellungen: Durchgehende Ende-zu-Ende-Verschlüsselung AN, Kenncodepflicht (mind. 8 Zeichen), ggf. virtueller Hintergrund an.

Vorlesungen = NORMAL

Übungen = NORMAL

Wissentschaftlicher Vortrag = NORMAL

Meeting ohne kritischen Inhalt = NORMAL

Team-Meeting mit sensiblen Inhalt = HOCH

Senat-Meetings  = HOCH/SEHR HOCH

Personalratsitzungen = SEHR HOCH

Präsidiumssitzungen = SEHR HOCH

Kritische Studien = SEHR HOCH

Geheimhaltungspfliche Forschungsprojekte = SEHR HOCH

Meeting nach Art. 9 DSGVO = SEHR HOCH

Ein einzelnes Meeting hat verschiedene Eigenschaften, die teils vom System vorgegeben, teils aber auch vom verantwortlichen Gastgeber beim Ansetzen eines Meetings konfigurierbar sind.

Es obliegt dem verantwortlichen Gastgeber, gemäß dem Schutzbedarf der Meetinginhalte die erforderliche Schutzbedarfskategorie zu wählen und dann entsprechend beim Ansetzen seines Meetings auch umzusetzen. Dabei kann er sich entsprechende Meeting-Vorlagen anlegen und diese später immer wieder verwenden. Das folgende Schaubild hilft bei der konkreten Umsetzung des gewünschten Schutzbedarfs.

Bei manchen Features wird deren Einstellung durch den angestrebten Schutzbedarf festgelegt. Das gilt z.B. für Ende-zu-Ende Verschlüsselung (E2EE = end to end encryption). Bei anderen hängt die geeignete Einstellung von der Art der Veranstaltung und von deren Größe ab.

Die sicherheitsrelevanten Einstellungen machen sie auf ihrer Persönlichen Zoom Homepage, die sie über das Zoom Portal der Uni Ulm erreichen.

Nützlich ist es dazu, wenn alle Teilnehmer einen bezeichnenden Namen und auch ihre Kamera eingeschaltet haben.

Die Ende-zu-Ende-Verschlüsselung SOLLTE bei allen Schutzbedarfskategorien aktiviert werden, da dadurch sämtliche Inhalte von einem Client zum Anderen und zurück komplett verschlüsselt werden. Es können keine Dritte auf die Inhalte zugreifen. Nachteile sind, das einige Features nicht mehr funktionieren und nur der Zoom-Client verwendet werden kann. Bei der Schutzbedarfskategorie SEHR HOCH, MUSS die Ende-zu-Ende-Verschlüsselung aktiviert werden.

Weitere Informationen zur Sicherheit:

support.zoom.us/hc/de/articles/360041848151

Der Schutz Ihrer personenbezogenen Daten ist uns wichtig. Daher hat die Universität Ulm Maßnahmen ergriffen, um die Datenverarbeitung während der Aufzeichnung von Lehrveranstaltungen den gesetzlichen Vorgaben entsprechend, sicher zu gestalten.

Die Aufzeichnung von Lehrveranstaltungen ist den Lehrenden nur unter Einhaltung strenger Voraussetzungen gestattet. Aufgezeichnet werden darf nur, wenn die vollständige Anonymisierung der Teilnehmerinnen und Teilnehmer gewährleistet ist. Vor Beginn der Aufzeichnung müssen die Lehrende und der Lehrende jegliche Einstellungen, die einen Rückschluss auf die Teilnehmer/-innen führen, deaktivieren. Darunter fallen neben der Videoaufnahme, auch der Name und die Chatbeiträge.

Nähere Angaben zur Funktion finden Sie in dem entsprechenden Handout zur Aufzeichnung von Lehrveranstaltungen:

Handout Lokale Aufzeichnung V.1.0.pdf

- Der Ordner für die Speicherung der lokalen Aufzeichnung muss vorab über den Zoom-Client festgelegt werden. Dieser darf nur lokal auf dem jeweiligen Endgerät liegen (aus technischen Gründen).

- Es darf als Speicherort kein Dritt-Cloudanbieter, wie Dropbox oder Google Drive verwendet werden. Zusätzlich ist eine Verbreitung über soziale Netzwerke/Medien untersagt.

- Temporäre Aufzeichnungsdateien sind zu löschen

- Das Endgerät, auf dem die Aufzeichnung gespeichert wird muss sicher sein, dies bedeutet:

• Das Endgerät muss durch ein sicheres Passwort (mind. 12 Zeichen mit Komplexität) gesichert sein
• Aktuelle Patches für u. a. das Betriebssystem und für die Software Zoom müssen eingespielt werden
• Ein aktuelle Virenscanner muss installiert sein und sollten in regelmäßigen Abständen das System überprüfen
• Die Aufzeichnungsdaten sind ggf. zu verschlüsseln, z. B. mit den Tools 7-zip bzw. Cryptomator lokal oder wenn diese via CloudStore geteilt werden sollen
• Bei der Löschung der Aufzeichnung muss diese nicht wiederherstellbar gelöscht werden