Nach Auffassung des Hessischen Datenschutzbeauftragter kann der Video-Dienst Zoom unter bestimmten Bedingungen DSGVO-konform eingesetzt werden, wie die Behörde in einer aktuellen Pressemitteilung erklärt.
Problem des Einsatzes der Software ist der Datentransfer in die USA, die nach der Rechtsprechung des EuGH faktisch kaum mehr möglich ist.
Nun teilt die Datenschutzbehörde mit, dass, wenn bestimmte Voraussetzungen erfüllt sind, der Betrieb datenschutzkonform möglich ist. Es geht dabei primär um den Einsatz an hessischen Hochschulen. Die Ausführungen können jedoch auch auf die Privatwirtschaft übertragen werden:
"Seitdem haben die Hochschulen und der HBDI unter Moderation des Hessischen Ministeriums für Wissenschaft und Kunst (HMWK) nach geeigneten Lösungen gesucht. Hierbei hat die Universität Kassel mit Unterstützung des HBDI ein „Hessisches Modell“ entwickelt, mit dem das Videokonferenzsystem Zoom von den Hochschulen konfiguriert und betrieben werden kann, ohne gegen die Datenschutzvorgaben des Europäischen Gerichtshofs zu verstoßen.
Beim „Hessischen Modell“ stellen die Hochschulen sicher, dass sie
- einen von Zoom unabhängigen Auftragsverarbeiter mit Sitz in der EU beauftragen, das Videokonferenzsystem auf Servern in der EU zu betreiben und mit ihnen abzurechnen,
- eine Ende-zu-Ende-Verschlüsselung aller Inhaltsdaten zur Verfügung zu stellen,
- den Abfluss personenbezogener Daten von Studierenden in die USA und den Zugriff auf solche Daten aus den USA heraus verhindern,
- die Nutzung von Zoom auf Lehrveranstaltungen beschränken,
- ein alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen, anbieten,
- die Lehrenden und Studierenden über weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung ausführlich informieren.Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel, ist mit dieser Lösung sehr zufrieden: „Das Hessische Modell zeigt, dass es sich lohnt, konstruktiv nach Wegen zu suchen, wie durch Technikgestaltung die Vorteile bestimmter IT-Systeme genutzt werden können, ohne dass der Datenschutz auf der Strecke bleibt. Insofern ist dieses Modell auch für andere Videokonferenzsysteme ein Vorbild und kann methodisch auf viele Probleme des Datenschutzes übertragen werden. Solche Lösungen könnten natürlich auch die Anbieter von IT-Systemen und -Diensten von Anfang an vorsehen“.