Datenschutz an Hochschulen - Positionierung Entwurf

1.1.1. Unsere Forderungen

• DSGVO-konformen Videokonferenz-Lösungen, die nach Privacy by Design implementiert sind, Datensparsamkeit beachten und Datensouveränität ermöglichen
• solide Finanzierung
• Beendigung des (verpflichtenden ) Einsatzes datenschutzunfreundlicher Tools
• Transparenz
• Online-Prüfungen
• E2E
• Plattformunabhängigkeit
• Barrierefreiheit
• Förderung von Open Source-Software auch bei Videokonferenzsystemen, wie es bereits der offenen Lernplattform ILIAS und dem Medienplugin Opencast der Fall ist ("Public Money? Public Code!").
• Bereitstellung von mindestens zwei unterschiedlichen Videokonferenzsystemen, um verschiedenen Anwendungsszenarien gerecht zu werden. Bei Problemen muss kurzfristig auf andere Systeme ausgewichen werden können.
• Hilfreich wäre dazu möglicherweise die Kooperation mit anderen Hochschulen.
• Aktive Einbindung der gesellschaftlichen und ökologischen Implikationen von Informations- und Kommunikationstechnologien (IKT) in die Lehre
• Berücksichtigung von IKT in nachhaltigen Beschaffungsrichtlinien
• Funktionalität
• Einrichtung einer dauerhaften Lösung, die auch nach der COVID-19-Pandemie genutzt werden kann

1.2. Stellungnahme zu Datenschutz an den Hochschulen in BaWü

Die COVID-19-Pandemie hat den Universitätsbetrieb, wie vieles andere, auf den Kopf gestellt. Eine Lehre in Präsenz war zu Beginn des Sommersemesters 2020 plötzlich nicht mehr möglich. In relativ kurzer Zeit musste auf eine reine Online-Lehre umgestellt werden, was die Einrichtung einer Videokonferenz-Lösung erforderlich gemacht hat. Die Universitäten in Baden-Württemberg entschieden sich größtenteils für datenschutzbedenklich Videokonferenztools, wie zum Beispiel "Cisco Webex Meetings", "Zoom" und "Microsoft Teams". Diese sollen auch im nächsten Semester weiterhin zum Einsatz kommen. Diese Entscheidung betrifft nahezu alle Studierenden und Mitarbeitenden. Für viele ist die Nutzung nicht wirklich freiwillig und verbindlich. Wir sehen den Einsatz aufgrund mehrerer Aspekte kritisch und fordern deshalb die Universitätsleitungen auf, den Einsatz ihrer eingesetzten Videokonferenztools zu überdenken und alternative Lösungen bereit zu stellen.

Zudem wird aktuell in Baden-Württemberg geprüft, ob Online-Klausuren an Universitäten stattfinden sollen und können. Die eingesetzten Überwachungssoftwares sind für Studierende "ein massiver Eingriff in die Freiheit". Der Landesdatenschutzbeauftragte Brink sieht den Einsatz von Überwachungstool hochproblematisch.

1.2.1. Datenschutz als Grundvoraussetzung für digitale Lehre

Datenschutz allgemein, Grundvoraussetzung

Die DSGVO regelt die Mindestanforderungen an Tools im Hinblick auf Datenschutz. Datenschutzfreundlichkeit vs. DSGVO-konform

Im Sinne der Datensouveränität sind selbstgehostete Dienste ("On Demand") zu bevorzugen, denn nur dann sind die Daten ganz unter Kontrolle der Hochschule. Falls Cloud-Services zum Einsatz kommen, sollten die Anbieter*innen vertrauenswürdig sein und möglichst aus der EU kommen.

Bei Diensten US-amerikanischer Unternehmen gibt es besondere Probleme: Seitdem der EuGH am 16.07.2020 das EU-US Privacy-Shield für ungültig erklärt hat (Schrems Il)\footnote{https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf, abgerufen am 15.03.2021}, gibt es bei der Übertragung von Daten in die USA für eine DSGVO-konforme Nutzung hohe Hürden. Vom Landesbeauftragten für Datenschutz und Informationssicherheit (LfDI) Baden-Württemberg heißt es dazu in der Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?\footnote{https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf, abgerufen am 15.03.2021}:

Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden- Württemberg untersagt werden.

Zumutbare Alternativlösungen gibt es aber durchaus. (mehr )

US-amerikanische Unternehmen unterliegen dem Cloud Act und sind als solche dazu verpflichtet, auf Anfrage der US-Behörden Daten herauszugeben, selbst wenn diese sich auf Servern in der EU befinden. Viele Datenschutzbeauftragte kritisieren unter anderem deshalb die Nutzung von Diensten insbesondere von US-amerikanischen Unternehmen wie Cisco Webex, Microsoft Teams oder Zoom. So versieht etwa die Berliner Beauftragte für Datenschutz und Informationssicherheit diese Dienste in den Hinweise[n] für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten\footnote{https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf, abgerufen am 15.03.2021} ausnahmslos mit einer roten Ampel.

An dieser Stelle möchten wir exemplarisch auf die "Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen" [4] der Berliner Beauftragten für Datenschutz und Informationsfreiheit sowie die "Orientierungshilfe Videokonferenzsysteme" [5] der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder verweisen.

Die Zentrale Datenschutzstelle der baden-württembergischen Universitäten (ZENDAS)

1.2.2. Transparenz

Besonders wichtig ist, dass Studierende (und Beschäftigte) darüber informiert werden, was mit ihren persönlichen Daten geschieht. Hochschulen müssen transparent machen, welche Daten erhoben werden, wozu sie verwendet werden, wer darauf Zugriff hat, wie lange sie gespeichert werden und wie sie ggf. gelöscht werden können. Falls (noch) Tools eingesetzt werden, die hinsichtlich Datenschutz gravierende Mängel aufweisen, so ist ausdrücklich darauf hinzuweisen und sicherzustellen, dass die Nutzung dieser Tools freiwillig geschieht.

Falls es Verträge mit Drittanbieter*innen gibt, sollten diese öffentlich einsehbar sein.

1.2.3. Datenschutz und Privatsphäre bei Online-Prüfungen

Sollen Prüfungen mithilfe von Online-Tools durchgeführt werden, so ergeben sich besondere Probleme. Im Landeshochschulgesetz sind dazu einige Anforderungen festgehalten\footnote{LHG § 32 a Online-Prüfungen}. Demnach muss die Freiwilligkeit gewährleistet sein, Studierende müssen informiert und Verbindungsdaten unverzüglich gelöscht werden.

Mit dem Ziel, Täuschungsversuche zu vermeiden, wird manchmal Überwachungssoftware eingesetzt, die etwa Kameradaten auswertet. Dies führt allerdings zur ständigen Angst, eine Bewegung zu machen, die als Täuschung interpretiert wird. Es sollte bedacht werden, dass der Druck bei Online-Prüfungen ohnehin oft deutlich höher ist, dadurch dass die Internetverbindung jederzeit abbrechen kann.

Weitere Maßnahmen wie Filmen der Raumumgebung zu Beginn oder Installation von Software, die Zugriff auf das private Endgerät hat, bedeuten einen übermäßigen Eingriff in die Privatsphäre.

Es sollten Präsenzprüfungen oder Open-Book-Klausuren präferiert werden.

1.2.4. Sicherheit

IT-Dienste von Drittanbieter*innen: E2E

Eigenes Hosting:

1.2.5. Plattformunabhängigkeit

alt:

Einige WebEx-Tools oder -Funktionalitäten sind nicht mit allen Betriebssystemen kompatibel. So ist es zum Beispiel für Linux User eine Erstellung von Umfragen nicht möglich und eine Beteiligung mit Problemen behaftet.  Weiterhin können Linux Nutzende an Webex Events und Teams-Veranstaltungen nur teilnehmen, diese aber selbst nicht ausrichten. Zudem ist eine Übernahme der Chatbetreuung bei einem Event nicht möglich. Diesen Personen wird empfohlen/vorgeschrieben proprietäre Betriebssysteme wie Windows oder MacOS zu verwenden. Gerade bei naturwissenschaftlichen/technischen Studiengängen wird häufig mit Linux gearbeitet.

Die oder das ausgewählte(n) Konferenzsystem(e) sollte(n) mit allen bekannten (gängigen ) Betriebssystemen kompatibel sein. Bei WebEx ist zum Beispiel die Teilnahme an Umfragen unter Linux mit Problemen behaftet, auch können dort Linux Nutzende bei Events keine Chatbetreuung übernehmen. Gerade Hochschulen sind ein Ort mit einer Vielfalt und Diversität an Betriebssystemen sowohl unter Lehrenden als auch unter Studierenden, diese sollten durch proprietäre Tools nicht von der Teilnahme ausgeschlossen werden.

1.2.6. Barrierefreiheit

Die Hochschule muss dafür Sorge tragen, "dass Studierende mit Behinderungen oder chronischen Erkrankungen in ihrem Studium nicht benachteiligt werden und die Angebote der Hochschule möglichst ohne fremde Hilfe in Anspruch nehmen können." (§ 2 Abs. 3 Landeshochschulgesetz Baden-Württemberg). Das bedeutet, dass die Videokonferenztools auch von Menschen mit Behinderungen nutzbar sein müssen. Insbesondere betroffen sind davon schwer sehende Menschen.

Der Deutsche Blinden- und Sehbehindertenverband gibt Folgende Vorgaben zur Barrierefreiheit von Konferenzplattformen:

• Muss mit Screenreader lesbar sein
• Muss kontrastreich sein
• Muss mit Tastenkombinationen steuerbar sein

Bei der Wahl der Tools sollte die Barrierefreiheit ausreichend Beachtung finden. Noch erfüllen weder Cisco Webex, noch BigBlueButton alle diese Anforderungen. Es muss also egal bei welcher Lösung nachgebessert werden. Hier kann der Vorteil von Open Source sein, dass diese Anforderungen besser angepasst werden können.

1.2.7. Freie Software für freie Lehre

90 Prozent aller deutschen Hochschulen (Stand: August 2019) nutzen Lernplattformen auf Open-Source-Basis. Diese Offenheit und Freiheit der Bildungslandschaft in Bezug auf Lernplattformen begrüßen wir sehr. Allerdings ist diese in Gefahr, wie insbesondere die im Sommer 2020 veröffentlichte gemeinsame Erklärung "Freie Software für freie Lehre!" der deutschen, communitygestützten Open-Source-Bildungsplattformen verdeutlicht [xyz]. Wie es in der Erklärung heißt, werden durch den Einsatz von proprietärer Lösungen die Bildungseinrichtungen abhängig von Softwarekonzernen, verlieren an Know-how und gefährden die langfristige Stabilität der Plattformen. Der Einsatz und die Weiterentwicklung von freier Open-Source-Software ist für die Bildungslandschaft in Deutschland essentiell und muss unbedingt gestärkt und gefördert werden. Zahlreiche Universitäten und Hochschulen sowie auch die Hochschulrektorenkonferenz (HRK) haben die Erklärung unterzeichnet. Aus Baden-Württemberg befinden sich unter den Unterzeichnenden unter anderem Schulen und Schulverbände, die Universität Ulm, die Pädagogische Hochschule Heidelberg, das Leibniz-Institut für Wissensmedien aus Tübingen, die Universität Hohenheim, die Duale Hochschule Baden-Württemberg, der Philologenverband Baden-Württemberg und die BelWü-Koordination.

Wir unterstützen die Erklärung "Freie Software für freie Lehre!" ausdrücklich und schließen uns den drin enthaltenen Forderungen an. Zugleich wollen wir die Forderungen auf Videokonferenzsysteme erweitern, denn diese werden absehbar auch nach der COVID-19-Pandemie eine wichtige Rolle in der Lehre einnehmen und somit Teil der digitalen Bildungslandschaft werden. Wie bei den Lernplattformen ist es auch bei Videokonferenzsystemen essentiell, dass freie Open-Source-Software eingesetzt und gefördert wird. Nur so kann eine freie Lehre auch in Zukunft sichergestellt werden.

[xzy] https://www.opensourcelms.de/

1.2.8. Vielseitigkeit 

Die Festlegung auf ein einziges Tool für Videokonferenzen sollte ebenfalls kritisch hinterfragt werden. Bei technischen Problemen seitens der Anbietenden gibt es für die Mitarbeitenden und Studierenden keine Möglichkeit auf eine Alternative auszuweichen. Dies war in den vergangenen Monaten mehrfach der Fall und es ist damit zu rechnen, dass es zu weiteren Ausfällen kommen kann. Des Weiteren bietet die Verfügbarkeit von zwei bis drei unterschiedlichen Systemen den Vorteil, je nach Anwendungsfall und Anforderungen das passende Tool auszuwählen. Außerdem halten wir es für problematisch, wenn Studierende nur ein einziges (proprietäres) System kennenlernen. Im Sinne des Erwerbs digitaler Kompetenzen während des Studiums ist es essentiell, Erfahrungen mit datenschutzfreundlichen und nachhaltigen Tools zu sammeln. Dies gilt insbesondere für Lehramtsstudierende, da sie als zukünftige Lehrende eine besondere Verantwortung gegenüber ihren Schüler*innen tragen und digitale Kompetenzen vermitteln werden.

1.2.9. Zukunftsfähige Digitalisierung

Ein konsequenter Datenschutz ist Grundvoraussetzung für eine zukunftsfähige Digitalisierung. Die Wissenschaftler Steffen Lange und Tilman Santarius bezeichnen

neben digitaler Suffizienz und Gemeinwohlorientierung zu den Leitprinzipien einer nachhaltigen Digitalisierung, wie von .

Im Kontext einer nachhaltigen Digitalisierung ...

Neben dem Datenschutz sehen wir bei der Nutzung von Webex zusätzlich Probleme hinsichtlich der Nachhaltigkeit. Hochschulen sind Orte der Transformation, an denen wichtige Impulse für eine zukunftsfähige Gesellschaft entstehen. Aus unserer Sicht sollte sich deshalb die Universität Stuttgart ihrer besonderen Verantwortung bewusst werden und in ihrer Digitalisierungsstrategie die Leitprinzipien "digitale Suffizienz, konsequenter Datenschutz und Gemeinwohlorientierung" [7] als Rahmen setzen. Für Kommunikationstools bedeutet dies insbesondere, dass die Universität sich nicht von kommerziellen Tools abhängig macht und "zur Wahrung der sozialen Fairness, Datenschutz und Chancengleichheit [...] digitale Lösungen genutzt werden, die von der Universität bereitgestellt und verwaltet werden" [8]. Bei der exklusiven Nutzung von Webex ist dies nicht gegeben. Webex ist eine proprietäre Software, d.h. die Universität macht sich abhängig von den Entscheidungen eines Unternehmens und finanziert zugleich mit öffentlichen Geldern die Entwicklung einer Closed Source-Software, die nicht der Allgemeinheit bereitsteht ("Public Money? Public Code!" [9]). Des Weiteren steht die Nutzung einer einzigen proprietären Software für Videokonferenzen den Interessen einer nachhaltigen Beschaffung entgegen. Im Sinne einer zukunftsfähigen Universität sind wir der Ansicht, dass auch der Bereich der Informations- und Kommunikationstechnik (IKT) in den nachhaltigen Beschaffungsrichtlinien berücksichtigt werden sollte.

1.2.10. Kooperation zwischen Hochschulen

Derzeit sind alle Hochschulen auf geeignete Videokonferenzsysteme und Tools angewiesen. Wir sehen es deshalb als sinnvoll an, mehr auf Kooperation zu setzen und gemeinsam datenschutzfreundliche und nachhaltige IT-Dienste für Mitarbeitende, Studierende und Schüler*innen bereitzustellen.

Es ist unnötig, hier das Rad immer wieder neu zu erfinden. Hochschulen sollten sich untereinander austauschen und absprechen darüber, was sich bewährt hat und durch welche Einstellungen Dienste noch datenschutzfreundlicher werden können. Das Know-How sollte hier möglichst effizient eingesetzt werden. Insbesondere kleiner Hochschulen können die Infrastruktur anderer Hochschulen mitnutzen. Bei Kooperationsstudiengängen würde dies außerdem die Nutzung einheitlicher IT-Systeme begünstigen. Gleichzeitig können die Systeme anderer Hochschulen im Störungsfall als Reserve genutzt werden.

Möglicherweise könnten auch (zusätzliche ) landesweite Lösungen bereitgestellt werden. In Baden-Württemberg haben wir mit der bwCloud bereits eine Cloud, die von Lehr- und Forschungseinrichtungen des Landes genutzt werden kann. Es wäre wünschenswert, wenn diese auch für Videokonferenzsysteme genutzt wird.

1.2.11. Funktionalität

1.2.12. Positivbeispiele

Zahlreiche Universitäten zeigen, dass es möglich ist, datenschutzfreundliche und nachhaltige Videokonferenzlösungen anzubieten. Als Beispiel möchten wir an dieser Stelle auf die Universität Heidelberg verweisen, welche über die selbstbetriebene universitäre Cloud-Infrastruktur heiCLOUD den Mitarbeitenden und Studierenden diverse IT-Dienste anbietet, die datenschutzfreundlich sind und Nachhaltigkeitsaspekte berücksichtigen: Für Videokonferenzen wird heiCONF [10] bereitgestellt, welches auf BigBlueButton basiert und in zwei Ausführungen für interaktive Veranstaltungsformate (bis zu 50 Personen) sowie frontale Veranstaltungsformate (bis zu 200 Personen) angeboten wird, als Chat-Plattform gibt es heiCHAT [11] basierend auf Matrix und zum Teilen von Dateien heiBOX [12] basierend auf Seafile. Zudem kommt als datenschutzfreundliche und nachhaltige Lösung für Videokonferenzen BigBlueButton unter anderem an folgenden Universitäten zum Einsatz (Stand 10.02.2021): Universität Bremen, TU Dresden, Universität Duisburg, Universität Freiburg, Universität Greifswald, Universität Göttingen, Universität Hildesheim, Universität Koblenz-Landau, Universität Leipzig, Universität Mainz, Universität Marburg, Universität Osnabrück, Universität Paderborn, Universität Rostock, Universität Trier, Universität Ulm.

1.2.13. Perspektive / Vision

Einrichtung einer dauerhaften Lösung, die auch nach der COVID-19-Pandemie genutzt werden kann

...

Wir erwarten von der Universitätsleitung, dass sie ihrer Verantwortung den Mitarbeitenden und Studierenden gegenüber gerecht wird und eine zukunftsfähige Lösung für Videokonferenzen bereitstellt.

Quellenverweise:

 [1] https://www.tik.uni-stuttgart.de/das-tik/aktuelles/news/Webex-an-der-Universitaet-Stuttgart/

 [2] https://www.cisco.com/c/de_de/about/legal/privacy-full.html 

 [3] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf

 [4] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Checkliste_Videokonferenzen.pdf

 [5] https://www.tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/oh-videokonferenzsysteme_final.pdf

 [6] https://www.zendas.de/themen/videokonferenzen/produkt_webex.html (über Uni-VPN erreichbar)

[7] https://www.oekom.de/buch/smarte-gruene-welt-9783962380205

[8] https://hochschulforumdigitalisierung.de/sites/default/files/dateien/Studentisches_Thesenpapier_2019.pdf

[9] https://publiccode.eu/de/

[10] https://www.urz.uni-heidelberg.de/de/heiconf

[11] https://www.urz.uni-heidelberg.de/de/heichat

[12] https://www.urz.uni-heidelberg.de/de/heibox