Hinweise zum Datenschutz in Videokonferenzen mit Zoom

Allgemeine Hinweise

Vereinzelt erreichen uns Rückfragen zum Theme Datenschutz, zumeist verursacht durch Publikationen im Internet. Daher fassen wir hier die relevanten Informationen noch einmal zusammen.

Insbesondere sind uns dabei die folgenden Punkte wichtig:

1. Datenschutz kann niemals allein durch technische und organisatorische Maßnahmen sichergestellt werden. Es ist dazu Ihre persönliche aktive Mitwirkung erforderlich.
2. Prüfen Sie bei allen Äußerungen auch den Inhalt der Äußerungen und Publikationen kritisch und stellen Sie einen Zusammenhang mit ihren eigenen Anforderungen an den Datenschutz her. Oft stehen durchaus auch persönliche, politische oder wirtschaftliche Interessen im Hintergrund. So ist es durchaus nachvollziehbar, dass z.B. Organisationen aus dem Verfassungsschutz aufgrund der sensiblen Inhalte auf die Nutzung von Zoom (wie auch anderen Cloud-basierten Diensten) verzichten. In der Regel werden sich aber Vorlesungsinhalte davon deutlich abgrenzen können.
   Bei Rückfragen wenden Sie sich jederzeit gerne an videokonferenz@support.unibw.de oder datenschutz@unibw.de. 
3. Viele der bekannten Probleme mit der Software Zoom wurden bereits korrigiert. Bitte nutzen Sie daher stets die aktuellste Version der Clients.
4. Sehr viele gemeldete datenschutzrelevante Probleme lassen sich durch Vorgaben in der Konfiguration der Videokonferenzen umgehen (z.B. Zwang zur Nutzung einer PIN). Diese wurde bereits durch uns umgesetzt. Weitere umfangreiche Hinweise zu individuellen Einstellungen zur Verbesserung des Datenschutzes erhalten Sie auch in unserer Wiki-Seite zu ZOOM. 
5. Leider kann derzeit das vom DFN-Verein gehostete Videokonferenzsystem DFNconf nicht in der erforderlichen Verfügbarkeit genutzt werden. Daher haben wir uns frühzeitig mit Alternativen beschäftigt und uns für Zoom entschieden. Dabei wurden vorrangig Themen des Datenschutzes sowie der Verfügbarkeit und Nutzbarkeit für Online-Vorlesungen mit einbezogen. Diesem Beispiel sind sehr viele Hochschulen (vor allem in Bayern) gefolgt. Wir stehen dazu in ständigem Kontakt mit den Hochschulen, insbesondere mit Datenschützern und Sicherheitsbeauftragten. Eine spätere Rückkehr zu DFNconf ist dabei vorgesehen.
6. An der Universität Würzburg (Stabsstelle IT-Recht der bayerischen staatlichen Universitäten und Hochschulen, Datenschutzbeauftragter der Virtuellen Hochschule Bayern) ist dazu unter "Zoom - Stellungnahme zu Schwachstellen" eine lesenswerte aktuelle Stellungnahme zu den aktuellen Publikationen zu diesem Thema entstanden.
7. Das Rechenzentrum und die Datenschützer sind permanent mit dieser Thematik beschäftigt und verfolgen zeitnah die aktuellen Entwicklungen.

Weitere Empfehlungen zum Datenschutz für Teilnehmer

1. Für eine Teilnahme müssen Sie sich nicht vorher registrieren. Sollte der Veranstalter der Konferenz dieses als Kriterium festgelegt haben sprechen Sie diesen bitte darauf an.
2. Sie müssen Ihre Identität mit Vorname + Nachname nicht zwingend angeben. Eine praktikable Möglichkeit wäre z.B. die Angabe von Vorname und 1. Buchstaben des Nachnamens (Danke für diesen Lösungsvorschlag von studium plus).
3. Sofern keine aktive Teilnahme von Ihnen erforderlich ist können Sie Mikrofon und Video ausschalten. Klären Sie ggf. die Details dazu mit dem Veranstalter.
4. Aufzeichnungen der Konferenz werden stets vorher per Audio angekündigt. Inaktive Teilnehmer einer Konferenz werden auch in Aufzeichnungen nicht erscheinen.
5. Die Übertragung datenschutzrelevanter Informationen (z.B. Personendaten) sollten Sie vermeiden bzw. vorher mit dem Veranstalter abklären.

Weitere Empfehlungen zum Datenschutz für Veranstalter

1. Die meisten der datenschutzrelevanten Vorgaben sind durch uns administrativ gesperrt und individuell nicht änderbar.
2. Sofern individuelle Anpassungen bei Einstellungen durchführbar sind sollten Sie diese nur in Ausnahmefällen durchführen, insbesondere:
   1. "Beitritt vor Moderator" sollte nicht aktiviert sein (ggf. zu Testzwecken oder völlig offenen VCs sinnvoll)
   2. "Nur berechtigte Nutzer" sollte möglichst deaktiviert bleiben, da sonst eine Registrierung aller Teilnehmer erforderlich wird.

      1. Dies könnte aber für definitiv geschlossene Nutzergruppen sinnvoll sein

      2. Nicht registrierte Teilnehmer sind am Namenszusatz "(Gast)" in der Teilnehmerliste ersichtlich
3. Für die Kontrolle der Teilnehmer ist die Funktion "Warteraum" sinnvoll. Damit muss der Veranstalter die Teilnehmer einzeln zur Konferenz zulassen und kann z.B. die Identität prüfen.
4. Registrierte Teilnehmer können automatisch in einem vorreservierten "Breakout"-Raum getrennt von anderen Teilnehmern eingeladen werden. Beliebige können durch den Veranstalter manuell in den Raum verschoben werden.
5. Weisen Sie die Teilnehmer vorab auf die Bedingungen zur VC hin. Dazu können Sie z.B. vor dem Beginn bereits eine automatisierte Präsentation mit den "Spielregeln" laufen lassen.
6. Nutzen Sie für verschiedene Teilnehmerkreise auch verschiedene definierte Videokonferenzen und publizieren Sie die Zugangsdaten dazu nicht öffentlich sondern per individueller Einladung an die Teilnehmer (z.B. Besprechungseinladung per Exchange-Termin oder im geschützten ILIAS-Bereich).
7. Bei wiederkehrenden Terminen ändern Sie ggf. die PIN auch in regelmäßigen Abständen.

Weitere durchgeführte Verbesserungen

Weitere Informationen

1. 30.03.2020:Mail des Rechenzentrums mit Betreff "Bedenken zu Datenschutz bei der Anwendung von Zoom" (nur hochschulintern erreichbar)
2. 16.04.2020: Mail des Informationssicherheitsbeauftragten zur Änderung von Zoom-Passwörtern(nur hochschulintern erreichbar)
3. Webseite der Uni Würzburg zu "Zoom - Stellungnahme zu Schwachstellen" 
4. (Datenschutzkonforme) Konfiguration und Nutzung von Zoom
5. Bei weiteren Fragen wenden Sie sich bitte an das Rechenzentrum unter videokonferenz@support.unibw.de 

Fazit

Stand 27.04.2020: Unter Einhaltung der Festlegungen zum Datenschutz ist die Nutzung von Zoom aktuell die "gesamtuniversitäre Lösung bzw. Empfehlung".