Positionspapier Datenschutz an Hochschulen - Entwurf

1.1.1. Unsere Forderungen

• DSGVO-konformen Videokonferenz-Lösungen, die nach Privacy by Design implementiert sind, Datensparsamkeit beachten und Datensouveränität ermöglichen
• solide Finanzierung
• Beendigung des (verpflichtenden ) Einsatzes datenschutzunfreundlicher Tools
• Transparenz
• Online-Prüfungen
• E2E
• Plattformunabhängigkeit
• Barrierefreiheit
• Förderung von Open Source-Software auch bei Videokonferenzsystemen, wie es bereits der offenen Lernplattform ILIAS und dem Medienplugin Opencast der Fall ist ("Public Money? Public Code!").
• Bereitstellung von mindestens zwei unterschiedlichen Videokonferenzsystemen, um verschiedenen Anwendungsszenarien gerecht zu werden. Bei Problemen muss kurzfristig auf andere Systeme ausgewichen werden können.
• Hilfreich wäre dazu möglicherweise die Kooperation mit anderen Hochschulen.
• Aktive Einbindung der gesellschaftlichen und ökologischen Implikationen von Informations- und Kommunikationstechnologien (IKT) in die Lehre
• Berücksichtigung von IKT in nachhaltigen Beschaffungsrichtlinien
• Funktionalität
• Einrichtung einer dauerhaften Lösung, die auch nach der COVID-19-Pandemie genutzt werden kann
• Landesregierung: Genügend Mittel zur Verfügung stellen für ...
• Steuerreform
• Kooperation, landesweite Lösung

1.2. Stellungnahme zu Datenschutz an den Hochschulen in BaWü

Die COVID-19-Pandemie hat den Betrieb an den Hochschulen, wie vieles andere, auf den Kopf gestellt. Eine Lehre in Präsenz war zu Beginn des Sommersemesters 2020 plötzlich nicht mehr möglich. In relativ kurzer Zeit musste auf eine reine Online-Lehre umgestellt werden, was die Einrichtung einer Videokonferenz-Lösung erforderlich gemacht hat. Die Hochschulen in Baden-Württemberg entschieden sich größtenteils für datenschutzbedenkliche Videokonferenztools, wie zum Beispiel "Cisco Webex Meetings", "Zoom" und "Microsoft Teams". Diese sollen auch im nächsten Semester weiterhin zum Einsatz kommen. Diese Entscheidung betrifft nahezu alle Studierenden und Mitarbeitenden. Für viele ist die Nutzung nicht wirklich freiwillig und verbindlich. Wir sehen den Einsatz aufgrund mehrerer Aspekte kritisch und fordern deshalb die Hochschulleitungen auf, den Einsatz ihrer eingesetzten Videokonferenztools zu überdenken und alternative Lösungen bereit zu stellen.

Zudem wird aktuell in Baden-Württemberg geprüft, ob Online-Klausuren an Universitäten stattfinden sollen und können. Die eingesetzten Softwaretools zur Überwachung sind für Studierende "ein massiver Eingriff in die Freiheit". Der Landesdatenschutzbeauftragte Brink sieht den Einsatz von Tools zur Onlineüberwachung als hochproblematisch an.

1.2.1. Datenschutz als Grundvoraussetzung für digitale Lehre

Da die Nutzung von Videokonferenztools für alle Studierenden und Lehrenden praktisch verpflichtend ist, ist es besonders wichtig, auf Datenschutz zu achten. Der sorgsame Umgang mit den persönlichen Daten von Studierenden und Lehrenden ist eine Grundvoraussetzung für digitale Lehre.

Bei Tools wie Microsoft Teams, Webex oder Zoom werden massenweise personenbezogene Daten verarbeitet und gespeichert. Bei Webex beispielsweise kann die Person, die ein Meeting erstellt hat, im Nachhinein (noch mehrere Jahre) minutengenau nachvollziehen, wer (vollständiger Name, u. U. mit E-Mail-Adresse) von wann bis wann mit welchem Gerätetyp an dem Meeting teilgenommen hat. Darüber, dass diese Daten im Nachhinein für die Erstellenden (und für Cisco) einsehbar sind, werden die Teilnehmenden nicht informiert. Übertragen auf eine Vorlesung im Hörsaal wäre das in etwa so, als würden die Vortragenden (und eventuell weitere Personen) im Nachhinein minutengenau einsehen können, wer von wann bis wann im Hörsaal war und ob ein Kuli oder ein Bleistift zum Mitschreiben benutzt wurde. Die automatische Speicherung dieser Daten ist nicht notwendig!

Bei Diensten US-amerikanischer Unternehmen, wie Microsoft Teams, Webex oder Zoom, sind die Datenschutzprobleme besonders gravierend: US-Unternehmen unterliegen dem Cloud Act und sind als solche dazu verpflichtet, auf Anfrage der US-Behörden Daten herauszugeben, selbst wenn diese sich auf Servern in der EU befinden. Eine Datenübertragung in die USA ist kaum noch DSGVO-konform möglich, seit der EuGH am 16.07.2020 das EU-US Privacy-Shield für ungültig erklärt hat (Schrems Il)\footnote{https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf, abgerufen am 15.03.2021}. Solche Dienste sind damit von Datenschutzfreundlichkeit noch meilenweit entfernt.

Vom Landesbeauftragten für Datenschutz und Informationssicherheit (LfDI) Baden-Württemberg heißt es zu dieser Transferproblematik in der Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?\footnote{https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf, abgerufen am 15.03.2021}:

Wenn Sie uns nicht davon überzeugen können, dass der von Ihnen genutzte Dienstleister/Vertragspartner mit Transferproblematik kurz- und mittelfristig unersetzlich ist durch einen zumutbaren Dienstleister/Vertragspartner ohne Transferproblematik, dann wird der Datentransfer vom LfDI Baden- Württemberg untersagt werden.

Zumutbare Alternativlösungen gibt es aber durchaus, z.B. BigBlueButton. Dieses Tool ist bei richtiger Konfiguration zum einen datensparsam, d.h. es werden nur die Daten verarbeitet und gespeichert, die auch wirklich benötigt werden, und zum anderen Open Source, d.h. der Quellcode kann eingesehen und angepasst werden. So kann die Funktionsweise und die Verarbeitung von Daten nachvollzogen und die Software, falls nötig, an die Datenschutzanforderungen der Hochschulen angepasst werden. Außerdem können Sicherheitslücken von der Community leichter entdeckt und behoben werden. Im Sinne der Datensouveränität ist es zu empfehlen, Dienste wie BigBlueButton selbst zu hosten, denn nur dann sind die Daten ganz unter Kontrolle der Hochschule. Es gibt aber auch Anbieter*innen aus Deutschland und der EU, die BigBlueButton als DSGVO-konforme Cloud-Lösung anbieten.

Exemplarisch möchten wir auf ein paar Einschätzungen von Datenschutzbeauftragten verweisen: Die Berliner Beauftragte für Datenschutz und Informationssicherheit stellt zum einen eine "Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen"\footnote{https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Checkliste_Videokonferenzen.pdf, abgerufen am 17.03.2021} zur Verfügung, diese ist allerdings vom 03.07.2020 und berücksichtigt Schrems II daher noch nicht. Zum anderen bewertet die Berliner Beauftragte für Datenschutz und Informationssicherheit einige Dienste in den Hinweise[n] für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten\footnote{https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf, abgerufen am 15.03.2021} vom 18.02.2021 nach rechtlichen und technischen Aspekten – Microsoft Teams, Webex und Zoom bekommen alle aufgrund rechtlicher Mängel eine rote Ampel. In der "Orientierungshilfe Videokonferenzsysteme"\footnote{https://www.tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/oh-videokonferenzsysteme_final.pdf, abgerufen am 17.03.2021} der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder werden rechtliche und technische Anforderungen an Videotools dargestellt.

1.2.2. Transparenz

Besonders wichtig ist, dass Studierende (und Beschäftigte) in gut lesbarer Form und rechtzeitig darüber informiert werden, was mit ihren persönlichen Daten geschieht. Hochschulen müssen transparent machen, welche Daten erhoben werden, wozu sie verwendet werden, wer darauf Zugriff hat und wie lange sie gespeichert werden. Nutzende müssen darüber informiert werden, wie sie gespeicherte personenbezogene Daten einsehen und löschen lassen können, insbesondere müssen die Tools dies ermöglichen. Falls (noch) Tools eingesetzt werden, die hinsichtlich Datenschutz gravierende Mängel aufweisen, so ist ausdrücklich darauf hinzuweisen und sicherzustellen, dass die Nutzung dieser Tools freiwillig geschieht. Falls es Verträge mit Drittanbieter*innen gibt, sollten diese öffentlich einsehbar sein.

1.2.3. Datenschutz und Privatsphäre bei Online-Prüfungen

Sollen Prüfungen mithilfe von Online-Tools durchgeführt werden, so ergeben sich besondere Probleme. Im Landeshochschulgesetz sind dazu einige Anforderungen festgehalten\footnote{LHG § 32 a Online-Prüfungen}. Demnach muss die Freiwilligkeit gewährleistet sein, Studierende müssen informiert und Verbindungsdaten unverzüglich gelöscht werden.

Mit dem Ziel, Täuschungsversuche zu vermeiden, wird manchmal Überwachungssoftware eingesetzt, die etwa Kameradaten auswertet. Dies führt allerdings zur ständigen Angst, eine Bewegung zu machen, die als Täuschung interpretiert wird. Es sollte bedacht werden, dass der Druck bei Online-Prüfungen ohnehin oft deutlich höher ist, dadurch dass die Internetverbindung jederzeit abbrechen kann.

Weitere Maßnahmen wie Filmen der Raumumgebung zu Beginn oder Installation von Software, die Zugriff auf das private Endgerät hat, bedeuten einen übermäßigen Eingriff in die Privatsphäre.

Es sollten Präsenzprüfungen oder Open-Book-Klausuren präferiert werden.

1.2.4. Vertraulichkeit

Sollen Tools für besonders vertrauliche Zwecke wie Prüfungen oder nichtöffentliche Gremiensitzungen eingesetzt werden, so sollte im Sinne der Informationssicherheit Ende-zu-Ende-Verschlüsselung (E2E) eingesetzt werden, besonders, wenn es sich um Tools von Drittanbietern handelt, werden. Aus technischer Sicht ist es nur mit einer E2E-Verschlüsselung möglich, die Vertraulichkeit einer Sitzung sicherzustellen.

1.2.5. Plattformunabhängigkeit

Die ausgewählten Konferenzsysteme sollten mit allen bekannten gängigen Betriebssystemen kompatibel sein. Bei Webex ist bisher zum Beispiel die Teilnahme an Umfragen unter Linux mit Problemen behaftet. Wer Linux nutzt, kann außerdem auch bei Webex Events derzeit keine Chatbetreuung übernehmen. Gerade Hochschulen sind ein Ort mit einer Vielfalt und Diversität an Betriebssystemen sowohl unter Lehrenden als auch unter Studierenden, diese sollten durch proprietäre Tools nicht von der Teilnahme ausgeschlossen werden.

1.2.6. Barrierefreiheit

Die Hochschule muss dafür Sorge tragen, "dass Studierende mit Behinderungen oder chronischen Erkrankungen in ihrem Studium nicht benachteiligt werden und die Angebote der Hochschule möglichst ohne fremde Hilfe in Anspruch nehmen können." (§ 2 Abs. 3 Landeshochschulgesetz Baden-Württemberg). Das bedeutet, dass die Videokonferenztools auch von Menschen mit Behinderungen nutzbar sein müssen. Insbesondere betroffen sind davon schwer sehende Menschen.

Der Deutsche Blinden- und Sehbehindertenverband gibt folgende Vorgaben zur Barrierefreiheit von Konferenzplattformen:

• Muss mit Screenreader lesbar sein
• Muss kontrastreich sein
• Muss mit Tastenkombinationen steuerbar sein

Bei der Wahl der Tools sollte die Barrierefreiheit ausreichend Beachtung finden. Bisher erfüllen weder BigBlueButton, noch Cisco Webex, Microsoft Teams oder Zoom alle diese Anforderungen. Es muss also egal bei welcher Lösung nachgebessert werden. Hier kann der Vorteil von Open Source sein, dass diese Anforderungen besser angepasst werden können.

1.2.7. Freie Software für freie Lehre

90 Prozent aller deutschen Hochschulen (Stand: August 2019) nutzen Lernplattformen auf Open-Source-Basis. Diese Offenheit und Freiheit der Bildungslandschaft in Bezug auf Lernplattformen begrüßen wir sehr. Allerdings ist diese in Gefahr, wie insbesondere die im Sommer 2020 veröffentlichte gemeinsame Erklärung "Freie Software für freie Lehre!" der deutschen, communitygestützten Open-Source-Bildungsplattformen verdeutlicht\footnote{https://www.opensourcelms.de/, abgerufen am 18.03.2021}. Wie es in der Erklärung heißt, werden durch den Einsatz proprietärer Lösungen die Bildungseinrichtungen abhängig von Softwarekonzernen, verlieren an Know-how und gefährden die langfristige Stabilität der Plattformen. Der Einsatz und die Weiterentwicklung von freier Open-Source-Software ist für die Bildungslandschaft in Deutschland essentiell und muss unbedingt gestärkt und gefördert werden. Zahlreiche Universitäten und Hochschulen sowie auch die Hochschulrektorenkonferenz (HRK) haben die Erklärung unterzeichnet. Aus Baden-Württemberg befinden sich unter den Unterzeichnenden unter anderem Schulen und Schulverbände, die Universität Ulm, die Pädagogische Hochschule Heidelberg, das Leibniz-Institut für Wissensmedien aus Tübingen, die Universität Hohenheim, die Duale Hochschule Baden-Württemberg, der Philologenverband Baden-Württemberg und die BelWü-Koordination.

Wir unterstützen die Erklärung "Freie Software für freie Lehre!" ausdrücklich und schließen uns den drin enthaltenen Forderungen an. Zugleich wollen wir die Forderungen auf Videokonferenzsysteme erweitern, denn diese werden absehbar auch nach der COVID-19-Pandemie eine wichtige Rolle in der Lehre einnehmen und somit Teil der digitalen Bildungslandschaft werden. Wie bei den Lernplattformen ist es auch bei Videokonferenzsystemen essentiell, dass freie Open-Source-Software eingesetzt und gefördert wird. Nur so kann eine freie Lehre auch in Zukunft sichergestellt werden.

1.2.8. Zukunftsfähige Digitalisierung

Ein konsequenter Datenschutz ist Grundvoraussetzung für eine zukunftsfähige Digitalisierung. Die Wissenschaftler Steffen Lange und Tilman Santarius bezeichnen in ihrem Buch "Smarte grüne Welt?" einen "konsequenten Datenschutz" als einen von drei Leitprinzipien, die zentral für eine sozialökologische Digitalisierung sind\footnote{https://www.oekom.de/buch/smarte-gruene-welt-9783962380205, abgerufen am 18.03.2021}. Die zwei weiteren Leitprinzipien sind "digitale Suffizienz" und "Gemeinwohlorientierung". Im Sinne des Erwerbs digitaler Kompetenzen während des Studiums ist es essentiell, Erfahrungen mit datenschutzfreundlichen und nachhaltigen Tools zu sammeln. Dies gilt insbesondere für Lehramtsstudierende, da sie als zukünftige Lehrende eine besondere Verantwortung gegenüber ihren Schüler*innen tragen und digitale Kompetenzen vermitteln werden.

Hochschulen sind Orte der Transformation, an denen wichtige Impulse für eine zukunftsfähige Gesellschaft entstehen. Deshalb ist es umso wichtiger, dass sich die Hochschulen in Baden-Württemberg ihrer besonderen Verantwortung bewusst werden und in ihrer Digitalisierungsstrategie die Leitprinzipien als Rahmen setzen. Für Kommunikationssysteme bedeutet dies insbesondere, dass die Hochschulen sich nicht von kommerziellen Software-Diensten abhängig machen. "Zur Wahrung der sozialen Fairness, Datenschutz und Chancengleichheit sollten digitale Lösungen genutzt werden, die von der Universität bereitgestellt und verwaltet werden"\footnote{https://hochschulforumdigitalisierung.de/sites/default/files/dateien/Studentisches_Thesenpapier_2019.pdf, abgerufen am 18.03.2021}. Bei der Nutzung von Cloud-Diensten wie Webex, Zoom und Microsoft Teams ist dies nicht gegeben. Da es sich um proprietäre Tools handelt, wird zugleich mit öffentlichen Geldern die Entwicklung von Closed Source-Software finanziert, die nicht der Allgemeinheit bereitsteht ("Public Money? Public Code!"\footnote{https://publiccode.eu/de/, abgerufen am 18.03.2021}). Des Weiteren steht die Nutzung von proprietärer Software für Videokonferenzen den Interessen einer nachhaltigen Beschaffung entgegen. Im Sinne einer zukunftsfähigen Bildungslandschaft sind wir der Ansicht, dass auch der Bereich der Informations- und Kommunikationstechnik (IKT) in den nachhaltigen Beschaffungsrichtlinien berücksichtigt und entsprechende rechtliche Rahmenbedingungen geschaffen werden müssen.

1.2.9. Kooperation zwischen Hochschulen

Derzeit sind alle Hochschulen auf geeignete Videokonferenzsysteme und Tools angewiesen. Wir sehen es deshalb als sinnvoll an, mehr auf Kooperation zu setzen und gemeinsam datenschutzfreundliche und nachhaltige IT-Dienste für Mitarbeitende, Studierende und Schüler*innen bereitzustellen.

Es ist unnötig, hier das Rad immer wieder neu zu erfinden. Hochschulen sollten sich untereinander austauschen und absprechen darüber, was sich bewährt hat und durch welche Einstellungen Dienste noch datenschutzfreundlicher werden können. Das Know-How sollte hier möglichst effizient eingesetzt werden; dann können auch Probleme schnell behoben werden. Insbesondere kleinere Hochschulen können die Infrastruktur anderer Hochschulen mitnutzen. Bei Kooperationsstudiengängen könnte dies vielleicht die Nutzung einheitlicher IT-Systeme begünstigen. Außerdem können die Systeme anderer Hochschulen im Störungsfall als Reserve genutzt werden. Möglicherweise fällt es so auch leichter, je nach Anwendungsfall und Anforderungen das passende Tool auszuwählen.

Für sehr sinnvoll halten wir auch die Idee, zusätzliche landesweite Lösungen bereitzustellen. In Baden-Württemberg haben wir mit der bwCloud bereits eine Cloud, die von Lehr- und Forschungseinrichtungen des Landes genutzt werden kann. Es wäre wünschenswert, wenn diese auch für Videokonferenzsysteme genutzt wird.

1.2.10. Finanzierung

Besonders der Betrieb von Software auf hochsculeigenen Servern benötigt zusätzliche personelle und infrastrukturelle Ressourcen. Damit die Hochschulen im Baden-Württemberg gerade in der jetzigen Situation den Mehraufwand bezüglich IT-Angeboten und Support bewältigen können, benötigt es zusätzliche Finanzierung durch das Land Baden-Württemberg. Diese allerdings zeitlich zu befristen, wäre zu kurz gedacht; es braucht zusätzliche Dauerstellen, um nicht nur etwa Videokonferenztools bereitzustellen, sondern auch die digitale Lehreunterstützung voranzubringen.

Wir halten es für denkbar, die Vergabe von Mitteln teilweise etwa an die Nutzung freier Software zu koppeln.

1.2.11. Funktionalität

1.2.12. Positivbeispiele

Zahlreiche Universitäten und Hochschulen zeigen, dass es möglich ist, datenschutzfreundliche und nachhaltige Videokonferenzlösungen anzubieten. Als Beispiel möchten wir an dieser Stelle auf die Universität Heidelberg verweisen, welche über die selbstbetriebene universitäre Cloud-Infrastruktur heiCLOUD den Mitarbeitenden und Studierenden diverse IT-Dienste anbietet, die datenschutzfreundlich sind und Nachhaltigkeitsaspekte berücksichtigen: Für Videokonferenzen wird heiCONF\footnote{https://www.urz.uni-heidelberg.de/de/heiconf, abgerufen am 18.03.2021} bereitgestellt, welches auf BigBlueButton basiert und in zwei Ausführungen für interaktive Veranstaltungsformate (bis zu 50 Personen) sowie frontale Veranstaltungsformate (bis zu 200 Personen) angeboten wird, als Chat-Plattform gibt es heiCHAT\footnote{https://www.urz.uni-heidelberg.de/de/heichat, abgerufen am 18.03.2021} basierend auf Matrix und zum Teilen von Dateien heiBOX\footnote{https://www.urz.uni-heidelberg.de/de/heibox, abgerufen am 18.03.2021} basierend auf Seafile. Zudem kommt als datenschutzfreundliche und nachhaltige Lösung für Videokonferenzen BigBlueButton unter anderem an folgenden Universitäten zum Einsatz (Stand 10.02.2021): Universität Bremen, TU Dresden, Universität Duisburg, Universität Freiburg, Universität Greifswald, Universität Göttingen, Universität Hildesheim, Universität Koblenz-Landau, Universität Leipzig, Universität Mainz, Universität Marburg, Universität Osnabrück, Universität Paderborn, Universität Rostock, Universität Trier, Universität Ulm.

1.2.13. Perspektive / Vision

Einrichtung einer dauerhaften Lösung, die auch nach der COVID-19-Pandemie genutzt werden kann

...

Wir erwarten von ... dass sie ihrer Verantwortung den Mitarbeitenden und Studierenden gegenüber gerecht wird und eine zukunftsfähige Lösung für Videokonferenzen bereitstellt.