In Zeiten von Schulschließungen, bei der Kommunikation mit Schulen in fernen Ländern oder Schülern mit einem längeren Krankenhausaufenthalt kommt schnell das Thema Videokonferenzen auf und es stellt sich dabei die Frage, ob und unter welchen Bedingungen solche Tools in bzw. von der Schule eingesetzt werden können. Können die Tools mit Schülern eingesetzt werden und vielleicht auch für Lehrer- und Zeugniskonferenzen?
Am Markt gibt es viele verschiedene Plattformen, die meisten davon kommerzielle Angebote (z.B. Zoom und Cisco Webex) und einige betrieben von Vereinen, Universitäten und Privatleuten (z.B. Jitsi und BigBlueButton). Darüber hinaus finden sich in einigen bereits von Schulen genutzten Plattformen Videokonferenz Tools als Bestandteil der Plattform (z.B. in Office 365 und Google Workspace for Education), in andere können sie integriert werden (z.B. in Moodle und NextCloud). Einige der erwähnten Videokonferenz Tools bieten Zusatzfunktionen wie Chat oder Dateifreigabe.
Um welche Daten geht es?
Zur Nutzung von Videokonferenz Plattformen ist die Verarbeitung von personenbezogenen Daten erforderlich. Bei einigen Plattformen benötigen nur die sogenannten Gastgeber ein Konto mit Anmeldung. Die Teilnehmer können dann ohne individuelles Konto per Link zur Videokonferenz eingeladen werden. Einzelne Plattformen lassen eine “anonyme” Teilnahme sowohl für Gastgeber als auch Teilnehmer zu.
Aus Sicht des Datenschutz ist es unerheblich, ob der Zugang zur Plattform “anonym”1Eine echte Anonymität gibt es schon wegen der erhobenen technischen Daten, wie weiter unten beschrieben, nicht wirklich. Allerdings speichern je nach Einstellung zumindest die Open Source Videokonferenz Plattformen die Daten der Nutzer nicht dauerhaft. erfolgt oder mit einer Anmeldung bzw. einem persönlichen Konto. Hauptteil der Verarbeitung sind Bild- und Tondaten (Abbild des Nutzers, Stimme und gesprochene sowie gezeigte Inhalte. Einige Plattformen bieten zusätzlich Chat-Funktionen an, Screensharing, kollaboratives Whiteboard, Teilen von Dateien, Aufzeigen, Abstimmung, Aufzeichnung des Videostreams, Häufigkeit der Redebeiträge u. Ä.. Im Hintergrund werden bei allen Plattformen technische Daten erhoben, von denen zumindest ein Teil vollständig oder teilweise anonymisiert in Log-Dateien aufgezeichnet wird. Dazu gehören in der Regel Informationen zum Browser, Betriebssystem des Endgerätes, ungefährer Standort, Datum und Uhrzeit, Beginn und Ende der Videosession und je nach System auch Rolle (Gastgeber, Teilnehmer) und eventuell vorgenommene Einstellungen in der Plattform. Je nach Nutzungsszenario können auch Zugehörigkeit zu einer Organisation (hier Schule, Schulname) zu den verarbeiteten Daten gehören.
Bedacht werden sollte auch, dass bei bei Videokonferenzen mit Schüler um die Daten von Kindern und Jugendlichen geht, denen eine besondere Schutzwürdigkeit zukommt.2“Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, […] wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden” Erwägungsgrund 75, DS-GVO
Bei Videokonferenzen fallen somit in der Regel sehr viele personenbezogene Daten an und diese können durchaus auch recht sensibel sein. Für Schulen sollte damit klar sein, mit dem Thema Videokonferenzen muss aus Sicht von Datenschutz sehr verantwortungsvoll umgegangen werden.
Welche Fragen sollte Schule sich stellen?
Grundsätzliche Fragen
- Macht eine Videokonferenz für den beabsichtigten Zweck Sinn, ist sie erforderlich oder gibt es vielleicht Alternativen?
- Ist die Plattform auf allen gängigen Endgeräten bzw. Betriebssystemen (sicher) nutzbar.
- Welche Plattformen kommen in Fragen bzw. stehen zur Verfügung?
Fragen bei kommerziellen Anbietern
- Erfüllen die Plattformen die datenschutzrechtlichen Voraussetzungen, welche sich für Schulen aus dem Schulgesetz, Landesdatenschutzgesetz und der DS-GVO ergeben?
- Bietet die Plattform einen Vertrag zur Auftragsverarbeitung (AVV) oder ein vergleichbares Rechtsinstrument nach Art. 28 Abs. 3 DS-GVO, durch welches sichergestellt werden kann, dass die personenbezogenen Daten nur zu Zwecken der Schule verarbeitet werden?
Fragen bei nicht EU Anbietern (US Anbietern)
- Wo stehen die Server, welcher Hoster, welcher Cloud Anbieter wird genutzt?
Hat sich der Anbieter EU-US Privacy Shield zertifiziert?- Bietet der Anbieter die Standard Vertragsklauseln (SCC; Standard Contractual Clauses) an?
Fragen bei kostenlosen kommerziellen Angeboten
- Wie sehen die Datenschutzbestimmungen aus?
- Werden Dritten (z.B. Facebook, Google, Werbenetzwerken, …) Zugriffe auf Nutzerdaten ermöglicht?
- Werden Daten verkauft oder räumt sich der Anbieter das Recht dazu ein?
- Werden Profile zur Anzeige von Werbung gebildet?
- Wird in der Plattform Werbung angezeigt?
Fragen bei kostenlosen Angeboten (Open Source)
- Wer ist der Betreiber und welche Datenschutzbestimmungen gelten?
- Welche Serverplattform wird genutzt (eigene, Hoster aus D. oder EU, internationaler Cloud Anbieter wie AWS)?
Plattform und Datenschutz
- Wie sicher ist die Plattform (HTTPS)?
- Ist die Plattform frei von Trackern, Third Pary Cookies oder anderen Mechanismen zum Ausspionieren von Nutzerverhalten?
- Lässt sich der Zugang zu einer einzelnen Videokonferenz kontrollieren?
- Ist der Zugriff auf allen Plattformen unter den gleichen Bedingungen in Bezug auf Datenschutz möglich?
- Werden beim Zugriff mit Apps (iOS, Android) die gleichen Daten erhoben, die auch beim Browser-Zugriff anfallen oder weitere?
- Lässt sich die Datenerhebung durch Nutzer individuell in der Plattform regulieren?
- Ist eine Nutzung der Plattform auch bei Blockierung von Cookies/ Trackern ohne essentielle Funktionseinschränkungen möglich?
- Ist eine Ende-zu-Ende Verschlüsselung der Kommunikation Standard oder einstellbar?
Handlungsempfehlungen
Kommerzielle Anbieter – kostenlos
Die kostenlosen Angebote kommerzieller Anbieter sind selten ganz umsonst zu haben. Oftmals sind diese Angebote in ihren Funktionalitäten deutlich eingeschränkt, und bei einem Teil dieser Angebote wird man auch davon ausgehen müssen, dass Nutzer mit personenbezogenen Daten für die Nutzung zahlen. Nutzer meint hier sowohl den Gastgeber, der die Videokonferenz startet und leitet, wie auch die Teilnehmer. Letzteres ist besonders zu berücksichtigen, da diese Tatsache den eingeladenen Teilnehmern zumeist nicht bewusst ist. Für Schulen sind diese kostenlosen Angebote von daher in vielen Fällen nicht geeignet, auch nicht mit Einwilligung der Betroffenen. Das gilt vor allem, wenn es um Schüler geht. Die Schule ist verpflichtet, die Schüler zu schützen und könnte dieses bei einem derartigen Angebot nicht. Wenn Lehrkräfte sich informell über einen solchen Kanal austauschen möchten, bleibt das ihrem persönlichen Ermessen überlassen. Für die Durchführung offizieller Konferenzen können die kostenlosen Angebote kommerzieller Anbieter in der Regel nicht genutzt werden, denn neben der Problematik um den Abfluss von Nutzerdaten, fehlen hier in der Regel die rechtlichen Voraussetzungen. Ohne finanzielle Gegenleistung durch den Nutzer bieten nur wenige kommerzielle Anbieter einen Vertrag zur Auftragsverarbeitung an.3Hinweis: es gibt einige Anbieter, die für ihre kostenlosen Angebote tatsächlich auch einen AVV oder ein vergleichbares Rechtsinstrument nach Unionsrecht anbieten. Ob ein solches Angebot dann für den geplanten Zweck genutzt werden kann, ist im Einzelfall zu prüfen. Zoom ist hierfür ein Beispiel.
Kommerzielle Anbieter – kostenpflichtig
Da kommerzielle Plattformen in der Regel neben den oben beschriebenen sehr viele weitere personenbezogene Daten verarbeiten, um die Vielfalt an Funktionen innerhalb der Plattform bereitstellen zu können und da dort jeder Gastgeber ein eigenes Nutzerkonto erhält und auch Teilnehmerdaten anfallen, ob mit oder ohne Registrierung, müssen Schulen die Nutzung mit einem Vertrag zur Auftragsverarbeitung datenschutzrechtlich absichern. Der Vertrag garantiert, dass alle anfallenden Daten durch den Anbieter nur für die Zwecke des Verantwortlichen, hier der Schule, verarbeitet werden und nicht für eigene Zwecke.4Ausgenommen sind davon technische Nutzungsdaten, die zur Bereitstellung der Funktionen der Plattform und zur Wahrung der Sicherheit erforderlich sind Das gilt sowohl für die Daten der Gastgeber wie auch der Teilnehmer an den Videokonferenzen. Bei bezahlten Konten werden diese Verträge von den meisten Anbietern bereitgestellt. Die ganz großen Anbieter in diesem Segment kommen überwiegend aus den USA. Hier ist bei Server Standorten in den USA zu empfehlen, dass der Anbieter die Standard Vertragsklauseln anbietet. Rein formal erfüllen die Anbieter dann die Anforderungen der DS-GVO. Ideal ist eine solche Konstellation für eine schulische Nutzung allerdings trotzdem nicht. Nicht unberücksichtigt bleiben sollte darüber hinaus die Gestaltung der Nutzungsbedingungen (Terms of Service) und die in der Plattform selbst möglichen Datenschutzvoreinstellungen. Besser geeignet sind US Anbieter, wenn sie für Nutzer in der EU Serverstandorte in Europa anbieten. Datenschutzrechtliche Probleme, die aus einer Übermittlung von personenbezogenen Daten in die USA entstehen können, lassen sich damit vermeiden. Idealerweise ermöglichen solche Anbieter außerdem eine Ende-zu-Ende Verschlüsselung von Videokonferenzen. Datenschutzrechtliche Probleme lassen sich jedoch trotzdem nicht ausschließen. Am sichersten fahren Schulen in der Regel, wenn sie europäische oder deutsche Anbieter wie z.B. alfaview für ihre Videokonferenzen nutzen.
Stimmen die Voraussetzungen, kann solch eine kommerzielle Plattform zur Kommunikation mit Schülern und auch zur Kommunikation von Lehrkräften untereinander eingesetzt werden. Ist die Kommunikation verschlüsselt und wird der Stream nicht aufgezeichnet, sollte das Risiko auch bezüglich der Inhalte von Lehrerkonferenzen gegen Null tendieren.
Nichtkommerzielle Anbieter
Die Videokonferenz Plattformen Jitsi wird an vielen Stellen ohne finanzielle Interessen offen angeboten. Von BigBlueButton findet man vereinzelt solche Angebote. Man sollte hier schauen, wer der Anbieter ist und wie er seine Videokonferenz Plattform betreibt. Kommt der Anbieter aus der Freifunk Szene, hat mit dem Chaos Computer Club zu tun5Beispiele dafür sind „https://jitsi.hamburg.ccc.de“ und „jitsi.hamburg.freifunk.net„. Erkennen kann man hier die Zugehörigkeit zu den Domains „ccc.de“ oder „freifunk.net“. Bei allen anderen sollte der Betreiber recherchiert werden., ist ein Verein, der sich für Datenschutz und Bürgerrechte einsetzt oder gehört zu einer Universität, dann kann man in der Regel davon ausgehen, dass eine Nutzung nur geringe bis keine Risiken birgt und damit vorstellbar ist. Bei frei angebotenen BigBlueButton Servern müssten Lehrkräfte sich auf eigene Initiative anmelden. Einen Vertrag zur Auftragsverarbeitung erhält man von all diesen Anbietern in der Regel nicht.
Thema Einwilligung
Sobald eine Schule eine Videokonferenz Plattform selbst betreibt, auf einem eigenen Server oder mit Vertrag zur Auftragsverarbeitung mittels eines Dienstleisters, ist die Schule die verantwortliche Stelle. Sie verarbeitet die personenbezogenen Daten von Gastgebern und Teilnehmern bzw. lässt diese Daten im Auftrag verarbeiten. Dabei ist es unerheblich ob die Teilnahme mit identifizierbaren Nutzerkonten erfolgt oder ohne Anmeldung und mit selbstgewählten Nutzernamen. Auch wenn die Plattform keine dauerhafte Speicherung von personenbezogenen oder beziehbaren Daten vornimmt, so werden eben doch immer personenbezogene Daten aller Teilnehmer verarbeitet. Und diese sind höchst sensibel. Es geht um Bild- und Tonaufnahmen der Teilnehmer, Beiträge im Chat und eventuell geteilte Dateien. Für die Verarbeitung all dieser Daten braucht es eine Rechtsgrundlage.
Keine Einwilligung erforderlich
Gibt es diese Rechtsgrundlage im Schulgesetz des jeweiligen Bundeslandes, kann die Schule die Daten, welche zur Durchführung von Videokonferenzen erforderlich sind, auf dieser Rechtsgrundlage verarbeiten. In NRW ist das seit Februar 2022 durch das 16. Schulrechtsänderungsgesetz möglich, in welchem das SchulG NRW um entsprechende Rechtsgrundlagen erweitert wurde. Auch einige andere Bundesländer bieten bereits entsprechende Rechtsgrundlagen. Um Videokonferenzen durch das Schulgesetz zu legitimieren, müssen in der Regel weitere Bedingungen erfüllt werden. Sind alle dieses Bedingungen erfüllt, braucht es weder von Schülern noch von Lehrkräften eine Einwilligung. Wie dieses in NRW aussieht, erläutert der Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz.
A) Einwilligung bei Eigenbetrieb oder Nutzung mit Vertrag zur Auftragsverarbeitung
Gibt es im Schulgesetz des Bundeslandes keine ausreichende Rechtsgrundlage oder die erforderlichen Voraussetzungen für die Anwendung der Rechtsgrundlagen sind nicht hinreichend erfüllt, etwa weil die Schüler keine von der Schule zur Verfügung gestellten Endgeräte haben, setzt die Teilnahme an Videokonferenzen durch Schüler und Lehrkräfte immer auch eine Einwilligung voraus, die informiert und freiwillig6Über das Thema der Freiwilligkeit im Zusammenhang mit der Pflichtveranstaltung Schule kann man je nach Art der Datenverarbeitung diskutieren. sein muss, um rechtswirksam zu sein.
B) Einwilligung bei Nutzung ohne Vertrag zur Auftragsverarbeitung
Bei Videokonferenz Plattformen, die sehr datenschutzfreundlich betrieben werden und deren Betreiber keine finanziellen Interessen mit dem Betrieb ihrer Plattform verbinden, wie bei vielen Jitsi Servern und auch einigen BigBlueButton Servern, erfolgt der Betrieb oftmals aus idealistischen Gründen. Gastgeberkonten können, wenn erforderlich, nur auf individueller Basis erstellt werden, Schulkonten gibt es nicht. Einen Vertrag zur Auftragsverarbeitung wird man dort auch nicht erhalten. Es gibt somit keine verlässliche Rechtsgrundlage, auf die man sich berufen kann, wenn man beabsichtigt, die Plattform zu nutzen. Eine Nutzung solcher Plattformen bzw. Angebote kann deshalb, wenn überhaupt, nur auf der Grundlage einer informierten und freiwilligen Einwilligung durch die Betroffenen erfolgen. Wichtig ist in einem solchen Fall, dass aus den Informationen zur Datenverarbeitung hervorgeht, dass die Schule das Angebot nutzt, ohne dass sie die Kontrolle über die Verarbeitung der personenbezogenen Daten hat. Rechtlich bewegt man sich bei der Nutzung von Angeboten dieser Art jedoch schon in einer Grauzone. Es handelt sich von daher auch nicht eine Einwilligung im Sinne der DS-GVO, sondern um eine Einwilligung in die Nutzung einer Plattform zu einem bestimmten Zweck.
C) Einwilligung bei Übermittlung von personenbezogenen Daten an Dritte
Alternativ könnte man die Nutzung einer Plattform, deren Anbieter keinen Vertrag zur Auftragsverarbeitung zur Verfügung stellt, noch auf eine Einwilligung in die Übermittlung von personenbezogenen Daten an Dritte stützen. Die Schule veranstaltet eine Videokonferenz und die Daten von Gastgeber und Teilnehmern werden dazu an einen Anbieter übermittelt. Das würde dann ebenfalls eine Einwilligung der Betroffenen erfordern, in welcher auch in die erforderliche Übermittlung von personenbezogenen Daten eingewilligt wird.
A) – B) – C)?
Die sicherlich beste Lösung für jede Schule ist der Einsatz von Videokonferenz Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags, wenn dieser keiner Einwilligung von Schülern und Lehrkräften bedarf, da sowohl die Plattform die datenschutzrechtlichen Voraussetzungen erfüllt als auch, dass die weiteren zu einer Nutzung erforderlichen Bedingungen, etwa die Ausstattung mit Endgeräten, erfüllt sind. Ist dieses nicht der Fall, besteht immer noch die Möglichkeit, zur Durchführung von Videokonferenzen Einwilligungen einzuholen. Bei A) sind die Voraussetzungen eindeutig die besten, da die Nutzung datenschutzkonform möglich ist. B) stellt eine Nutzung außerhalb der Möglichkeiten der Schulgesetze dar. Sie ist nicht unmöglich, bewegt sich jedoch in einer Grauzone. Auch C) ist nicht ideal, lässt sich durch schulisches Datenschutzrecht in der Regel abbilden. Man dürfte sich aber auch damit in einer rechtlichen Grauzone bewegen.
Achtung! Keine der drei Möglichkeiten, wie Schulen sich aus datenschutzrechtlicher Sicht bei der Nutzung von Videokonferenz Plattformen absichern können, entlässt die Schule aus der Verantwortung. Wählt die Schule einen nicht geeigneten Anbieter aus, liegt die Verantwortung im Falle von Problemen zunächst bei ihr selbst, solange diese Probleme nicht durch unsachgemäßes Nutzerhandeln von Teilnehmern an einer Videokonferenz verursacht werden.
Nutzungsregeln vorab klären
Wie bei der Plattform, auf welcher Nutzer agieren und interagieren, ist es erforderlich, dass allen Beteiligten die Spielregeln klar sind. Welche Arten von selbstgewählten Nutzernamen, welche Inhalte sind zulässig. Wer darf teilnehmen? Was ist nicht erlaubt (z.B. Sceenshots, Mitschnitte, …)? Was darf über die Plattform geteilt werden? Wie wird mit Verstößen gegen die Regeln umgegangen?
Eine Möglichkeit, die Nutzung zu regeln, bietet diese anpassbare Vorlage:
No-gos
Einige Videokonferenz Plattformen, kommerzielle und auch kostenfrei nutzbare Open Source Angebote, verfügen über zusätzliche Funktionen, von deren Nutzung hier aus Gründen des Datenschutz nur dringlichst abgeraten werden kann. Dazu gehören:
- Aufzeichnung von Videokonferenzen
- Aufmerksamkeitsüberwachung der Teilnehmer
- Überwachung der neben der Videokonferenz genutzten Programme
Die beste Lösungen
Für Schulen gibt es im Grunde genommen nur vier wirklich aus Sicht des Datenschutz gute Lösungen. Auch wenn große nicht-EU Anbieter wie etwa Zoom oder Cisco Webex rein formell die datenschutzrechtlichen Voraussetzungen der DS-GVO für eine Nutzung in EU Ländern erfüllen, stellen diese Anbieter nicht unbedingt die besten Lösungen für Schulen dar. Besser ist es, entweder
- die vom Land angebotene Videokonferenz Plattform nutzen, etwa in NRW das an den Logineo NRW Messenger angedockte Jitsi,
- auf Anbieter aus der EU, EWR oder Deutschland zu setzen, die einen Vertrag zur Auftragsverarbeitung anbieten,
- in Schulserver7 iServ bietet z.B. die Integration von Jitsi, siehe IServ-Modul Videokonferenz , in LMS 8 Moodle lässt es beispielsweise zu BigBlueButton über ein Plugin zu integrieren, wenn eine Instanz vorhanden ist oder in Schul-Apps 9 SchoolFox, DieSchulApp und schul.cloud sind Beispiele für Anbieter, die Videokonferenzfunktionen in ihre Angebote integrieren. integrierte Lösungen zu nutzen oder
- den Schulträger dazu zu bewegen, selbst oder über einen beauftragten IT Dienstleister eine Lösung wie BigBlueButton oder Jitsi bereitzustellen.
Welche Lösung für eine Schule die beste ist, hängt von vielen Faktoren ab. Neben den Kosten kann auch die Integrationsmöglichkeit in bereits genutzte Plattformen, wie einen Schulserver, eine Arbeits- und Kommunikationslösung oder ein LMS die Entscheidung beeinflussen.
Die Datenschutzkonferenz hat im Oktober 2020 eine Orientierungshilfe Videokonferenzsysteme als PDF veröffentlicht, die weitere Informationen zum Thema bietet.
Stand 09/2022