Datenschutz an Hochschulen - Positionierung Entwurf

1.1.1. Unsere Forderungen

• DSGVO-konformen Videokonferenz-Lösungen, die nach Privacy by Design implementiert sind, Datensparsamkeit beachten und Datensouveränität ermöglichen
• solide Finanzierung
• Beendigung des (verpflichtenden ) Einsatzes datenschutzunfreundlicher Tools
• Transparenz
• Online-Prüfungen
• E2E
• Plattformunabhängigkeit
• Barrierefreiheit
• Förderung von Open Source-Software auch bei Videokonferenzsystemen, wie es bereits der offenen Lernplattform ILIAS und dem Medienplugin Opencast der Fall ist ("Public Money? Public Code!").
• Bereitstellung von mindestens zwei unterschiedlichen Videokonferenzsystemen, um verschiedenen Anwendungsszenarien gerecht zu werden. Bei Problemen muss kurzfristig auf andere Systeme ausgewichen werden können.
• Hilfreich wäre dazu möglicherweise die Kooperation mit anderen Hochschulen.
• Aktive Einbindung der gesellschaftlichen und ökologischen Implikationen von Informations- und Kommunikationstechnologien (IKT) in die Lehre
• Berücksichtigung von IKT in nachhaltigen Beschaffungsrichtlinien
• Funktionalität
• Einrichtung einer dauerhaften Lösung, die auch nach der COVID-19-Pandemie genutzt werden kann

1.2. Stellungnahme zu Datenschutz an den Hochschulen in BaWü

Die COVID-19-Pandemie hat den Universitätsbetrieb, wie vieles andere, auf den Kopf gestellt. Eine Lehre in Präsenz war zu Beginn des Sommersemesters 2020 plötzlich nicht mehr möglich. In relativ kurzer Zeit musste auf eine reine Online-Lehre umgestellt werden, was die Einrichtung einer Videokonferenz-Lösung erforderlich gemacht hat. Die Universität Stuttgart hat sich für die alleinige Nutzung von "Cisco Webex Meetings" als Tool für Videokonferenzen entschieden [1], welches möglicherweise auch in den nächsten Semestern weiterhin zum Einsatz kommen könnte. Diese Entscheidung betrifft nahezu alle Studierenden an der Uni Stuttgart. Für viele Studierende ist die Nutzung nicht wirklich freiwillig. Die Teilnahme an Lehrveranstaltungen ist derzeit fast ausschließlich über Webex möglich. Wir sehen den Einsatz von Webex aufgrund mehrerer Aspekte kritisch und fordern deshalb die Universitätsleitung auf, den Einsatz von Webex zu überdenken und alternative Lösungen bereit zu stellen.

1.2.1. Datenschutz als Grundvoraussetzung für digitale Lehre

Datenschutz allgemein, Grundvoraussetzung

Cloud-Service vs. selbstgehostet (On-Demand bzw freie Software)

amerikanische Unternehmen

umfangreiche Speicherung personenbezogener Informationen stattfindet.

Zur Veranschaulichung: Die Erstellenden eines Webex-Meetings können im Nachhinein (3 Jahre lang) minutengenau nachvollziehen, wer (vollständiger Name, u. U. mit E-Mail-Adresse) von wann bis wann mit welchem Gerätetyp an dem Meeting teilgenommen hat. Darüber, dass diese Daten im Nachhinein für die Erstellenden (und für Cisco) einsehbar sind, werden die Teilnehmenden nicht informiert. Übertragen auf eine Vorlesung im Hörsaal wäre das in etwas so, als würden die Vortragenden (und eventuell weitere Personen) im Nachhinein minutengenau einsehen können, wer von wann bis wann im Hörsaal war und ob ein Kuli oder ein Bleistift zum Mitschreiben benutzt wurde. Die automatische Speicherung dieser Daten ist nicht notwendig!

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

Orientierungshilfe des Landesdatenschutzbeauftragten BW
Zum Dokument: Was jetzt in Sachen internationaler Datentransfer?

Im Zentrum des weiteren Vorgehens des LfDI Baden-Württemberg wird die Frage stehen, ob es neben/mit dem von Ihnen gewählten Dienstleister/Vertragspartner nicht auch zumutbare Alternativangebote ohne Transferproblematik gibt. Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden- Württemberg untersagt werden.

Vertrauenswürdigkeit

rechtliche Situation

personenbezogene Daten auch auf Servern in anderen Ländern zu übertragen

EU-US Privacy-Shield, das allerdings vom EuGH am 16.07.2020 für ungültig erklärt wurde [3].

US-amerikanische Unternehmen unterliegen dem Cloud Act und sind als solche dazu verpflichtet, auf Anfrage der US-Behörden Daten herauszugeben, selbst wenn diese sich auf Servern in der EU befinden. Viele Datenschutzbeauftragte kritisieren unter anderem deshalb die Nutzung von Diensten insbesondere von amerikanischen Unternehmen. An dieser Stelle möchten wir exemplarisch auf die "Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen" [4] von den Berliner Beauftragten für Datenschutz und Informationsfreiheit sowie die "Orientierungshilfe Videokonferenzsysteme" [5] der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder verweisen.

Die Zentrale Datenschutzstelle der baden-württembergischen Universitäten (ZENDAS)

1.2.2. Transparenz

Besonders wichtig ist, dass Studierende (und Beschäftigte) darüber informiert werden, was mit ihren persönlichen Daten geschieht. Hochschulen müssen transparent machen, welche Daten erhoben werden, wozu sie verwendet werden, wer darauf Zugriff hat, wie lange sie gespeichert werden und wie sie ggf. gelöscht werden können. Falls (noch) Tools eingesetzt werden, die hinsichtlich Datenschutz gravierende Mängel aufweisen, so ist ausdrücklich darauf hinzuweisen und sicherzustellen, dass die Nutzung dieser Tools freiwillig geschieht.

1.2.3. Datenschutz und Privatsphäre bei Online-Prüfungen

Sollen Prüfungen mithilfe von Online-Tools durchgeführt werden, so ergeben sich besondere Probleme. Im Landeshochschulgesetz sind dazu einige Anforderungen festgehalten\footnote{LHG § 32 a Online-Prüfungen}. Demnach muss die Freiwilligkeit gewährleistet sein, Studierende müssen informiert und Verbindungsdaten unverzüglich gelöscht werden.

Es sollte bedacht werden, dass der Druck bei Online-Prüfungen oft deutlich höher ist, dadurch dass die Internetverbindung jederzeit abbrechen kann.

https://www.kuketz-blog.de/proctorio-proctoring-software-auf-augenhoehe-mit-spyware/

1.2.4. Sicherheit

IT-Dienste von Drittanbieter*innen: E2E

Eigenes Hosting:

1.2.5. Plattformunabhängigkeit

Einige WebEx-Tools oder -Funktionalitäten sind nicht mit allen Betriebssystemen kompatibel. So ist es zum Beispiel für Linux User eine Erstellung von Umfragen nicht möglich und eine Beteiligung mit Problemen behaftet.  Weiterhin können Linux Nutzende an Webex Events und Teams-Veranstaltungen nur teilnehmen, diese aber selbst nicht ausrichten. Zudem ist eine Übernahme der Chatbetreuung bei einem Event nicht möglich. Diesen Personen wird empfohlen/vorgeschrieben proprietäre Betriebssysteme wie Windows oder MacOS zu verwenden. Gerade bei naturwissenschaftlichen/technischen Studiengängen wird häufig mit Linux gearbeitet.

1.2.6. Barrierefreiheit

Die Hochschule muss dafür Sorge tragen, "dass Studierende mit Behinderungen oder chronischen Erkrankungen in ihrem Studium nicht benachteiligt werden und die Angebote der Hochschule möglichst ohne fremde Hilfe in Anspruch nehmen können." (§ 2 Abs. 3 Landeshochschulgesetz Baden-Württemberg). Das bedeutet, dass die Videokonferenztools auch von Menschen mit Behinderungen nutzbar sein müssen. Insbesondere betroffen sind davon schwer sehende Meschen.

Der Deutsche Blinden- und Sehbehindertenverband gibt Folgende Vorgaben zur Barrierefreiheit von Konferenzplattformen:

• Muss mit Screenreader lesbar sein
• Muss kontrastreich sein
• Muss mit Tastenkombinationen steuerbar sein

Bei der Wahl der Tools sollte die Barrierefreiheit ausreichend Beachtung finden. Noch erfüllen weder Cisco Webex, noch BigBlueButton alle diese Anforderungen. Es muss also egal bei welcher Lösung nachgebessert werden. Hier kann der Vorteil von OpenSource sein, dass diese Anforderungen besser angepasst werden können.

1.2.7. Freie Software für freie Lehre

90 % aller Hochschulen in Deutschland nutzen Lernplattformen auf Open Source-Basis. Die Offenheit und Freiheit der Bildungslandschaft muss unbedingt erhalten bleiben.

Im Sommer 2020 wurde eine gemeinsame Erklärung der deutschen, communitygestützten Open-Source-Bildungsplattformen veröffentlicht, die von zahlreichen Universitäten und Hochschulen unterzeichnet wurde. Aus Baden-Württemberg sind unter den Unterzeichnenden unter anderem Schulen und Schulverbände, die Universität Ulm, Pädagogische Hochschule Heidelberg, Leibniz-Institut für Wissensmedien aus Tübingen, Universität Hohenheim, Duale Hochschule Baden-Württemberg sowie der Philologenverband Baden-Württemberg, die BelWü-Koordination und die Hochschulrektorenkonferenz (HRK).

1.2.8. Arbeitstitel: Angepasstheit 

Die Festlegung auf ein einziges Tool für Videokonferenzen sollte ebenfalls kritisch hinterfragt werden. Bei technischen Problemen seitens Cisco gibt es für die Mitarbeitenden und Studierenden keine Möglichkeit auf eine Alternative auszuweichen. Dies war in den vergangenen Monaten mehrfach der Fall und es ist damit zu rechnen, dass es zu weiteren Ausfällen kommen kann. Des Weiteren bietet die Verfügbarkeit von 2-3 unterschiedlichen Systemen den Vorteil, je nach Anwendungsfall und Anforderungen das passende Tool auszuwählen. Außerdem halten wir es für problematisch, wenn Studierende nur ein einziges (proprietäres) System kennenlernen. Im Sinne des Erwerbs digitaler Kompetenzen während des Studiums ist es essentiell, Erfahrungen mit datenschutzfreundlichen und nachhaltigen Tools zu sammeln. Dies gilt insbesondere für Lehramtsstudierende, da sie als zukünftige Lehrer*innen eine besondere Verantwortung gegenüber ihren Schüler*innen tragen und digitale Kompetenzen vermitteln werden.

1.2.9. Nachhaltige Digitalisierung

Im Kontext einer nachhaltigen Digitalisierung ...

Neben dem Datenschutz sehen wir bei der Nutzung von Webex zusätzlich Probleme hinsichtlich der Nachhaltigkeit. Hochschulen sind Orte der Transformation, an denen wichtige Impulse für eine zukunftsfähige Gesellschaft entstehen. Aus unserer Sicht sollte sich deshalb die Universität Stuttgart ihrer besonderen Verantwortung bewusst werden und in ihrer Digitalisierungsstrategie die Leitprinzipien "digitale Suffizienz, konsequenter Datenschutz und Gemeinwohlorientierung" [7] als Rahmen setzen. Für Kommunikationstools bedeutet dies insbesondere, dass die Universität sich nicht von kommerziellen Tools abhängig macht und "zur Wahrung der sozialen Fairness, Datenschutz und Chancengleichheit [...] digitale Lösungen genutzt werden, die von der Universität bereitgestellt und verwaltet werden" [8]. Bei der exklusiven Nutzung von Webex ist dies nicht gegeben. Webex ist eine proprietäre Software, d.h. die Universität macht sich abhängig von den Entscheidungen eines Unternehmens und finanziert zugleich mit öffentlichen Geldern die Entwicklung einer Closed Source-Software, die nicht der Allgemeinheit bereitsteht ("Public Money? Public Code!" [9]). Des Weiteren steht die Nutzung einer einzigen proprietären Software für Videokonferenzen den Interessen einer nachhaltigen Beschaffung entgegen. Im Sinne einer zukunftsfähigen Universität sind wir der Ansicht, dass auch der Bereich der Informations- und Kommunikationstechnik (IKT) in den nachhaltigen Beschaffungsrichtlinien berücksichtigt werden sollte.

1.2.10. Kooperation zwischen Hochschulen

Derzeit sind alle Hochschulen auf geeignete Videokonferenzsysteme und Tools angewiesen. Wir sehen es deshalb als sinnvoll an, mehr auf Kooperation zu setzen und gemeinsam datenschutzfreundliche und nachhaltige IT-Dienste für Mitarbeitende, Studierende und Schüler*innen bereitzustellen.

Es ist unnötig, hier das Rad immer wieder neu zu erfinden. Hochschulen sollten sich untereinander austauschen und absprechen darüber, was sich bewährt hat und durch welche Einstellungen Dienste noch datenschutzfreundlicher werden können. Das Know-How sollte hier möglichst effizient eingesetzt werden. Insbesondere kleiner Hochschulen können die Infrastruktur anderer Hochschulen mitnutzen. Bei Kooperationsstudiengängen würde dies außerdem die Nutzung einheitlicher IT-Systeme begünstigen. Gleichzeitig können die Systeme anderer Hochschulen im Störungsfall als Reserve genutzt werden.

Möglicherweise könnten auch (zusätzliche ) landesweite Lösungen bereitgestellt werden. In Baden-Württemberg haben wir mit der bwCloud bereits eine Cloud, die von Lehr- und Forschungseinrichtungen des Landes genutzt werden kann. Es wäre wünschenswert, wenn diese auch für Videokonferenzsysteme genutzt wird.

1.2.11. Funktionalität

1.2.12. Positivbeispiele

Zahlreiche Universitäten zeigen, dass es möglich ist, datenschutzfreundliche und nachhaltige Videokonferenzlösungen anzubieten. Als Beispiel möchten wir an dieser Stelle auf die Universität Heidelberg verweisen, welche über die selbstbetriebene universitäre Cloud-Infrastruktur heiCLOUD den Mitarbeitenden und Studierenden diverse IT-Dienste anbietet, die datenschutzfreundlich sind und Nachhaltigkeitsaspekte berücksichtigen: Für Videokonferenzen wird heiCONF [10] bereitgestellt, welches auf BigBlueButton basiert und in zwei Ausführungen für interaktive Veranstaltungsformate (bis zu 50 Personen) sowie frontale Veranstaltungsformate (bis zu 200 Personen) angeboten wird, als Chat-Plattform gibt es heiCHAT [11] basierend auf Matrix und zum Teilen von Dateien heiBOX [12] basierend auf Seafile. Zudem kommt als datenschutzfreundliche und nachhaltige Lösung für Videokonferenzen BigBlueButton unter anderem an folgenden Universitäten zum Einsatz (Stand 10.02.2021): Universität Bremen, TU Dresden, Universität Duisburg, Universität Freiburg, Universität Greifswald, Universität Göttingen, Universität Hildesheim, Universität Koblenz-Landau, Universität Leipzig, Universität Mainz, Universität Marburg, Universität Osnabrück, Universität Paderborn, Universität Rostock, Universität Trier, Universität Ulm.

1.2.13. Perspektive / Vision

Einrichtung einer dauerhaften Lösung, die auch nach der COVID-19-Pandemie genutzt werden kann

...

Wir erwarten von der Universitätsleitung, dass sie ihrer Verantwortung den Mitarbeitenden und Studierenden gegenüber gerecht wird und eine zukunftsfähige Lösung für Videokonferenzen bereitstellt.

Quellenverweise:

 [1] https://www.tik.uni-stuttgart.de/das-tik/aktuelles/news/Webex-an-der-Universitaet-Stuttgart/

 [2] https://www.cisco.com/c/de_de/about/legal/privacy-full.html 

 [3] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf

 [4] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Checkliste_Videokonferenzen.pdf

 [5] https://www.tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/oh-videokonferenzsysteme_final.pdf

 [6] https://www.zendas.de/themen/videokonferenzen/produkt_webex.html (über Uni-VPN erreichbar)

[7] https://www.oekom.de/buch/smarte-gruene-welt-9783962380205

[8] https://hochschulforumdigitalisierung.de/sites/default/files/dateien/Studentisches_Thesenpapier_2019.pdf

[9] https://publiccode.eu/de/

[10] https://www.urz.uni-heidelberg.de/de/heiconf

[11] https://www.urz.uni-heidelberg.de/de/heichat

[12] https://www.urz.uni-heidelberg.de/de/heibox