Suche
Contact
09.04.2020 | KPMG Law Insights

Online-Kollaborationswerkzeuge und Datenschutz – Dürfen Hochschulen solche Dienste nutzen?

Online-Kollaborationswerkzeuge und Datenschutz – Dürfen Hochschulen solche Dienste nutzen?

Die Lehre aufrechtzuerhalten ist eine der großen Herausforderungen, die Universitäten in Zeiten von Kontaktverboten zu meistern haben. Helfen könnten die digitalen Kollaborationstools diverser Anbieter,– wenn es den Hochschulen gelingt, die Bedenken der Datenschützer auszuräumen. Mit dieser Aufgabe wenden sich derzeit viele Hochschulen an die Experten von KPMG.

Leere Hörsäle, geschlossene Bibliotheken – die Corona-Krise stellt die universitäre Lehre vor große Herausforderungen. In Zeiten, in denen jeglicher persönliche Kontakt vermieden werden soll oder gar verboten ist, müssen Hochschulen ihren Studierenden Alternativen zum regulären Universitätsbetrieb bieten, um die Lehre aufrechtzuerhalten.

Eine Chance dazu bietet das digitale Lernen. Vielen Hochschulen fehlt es allerdings an der flächendeckenden Infrastruktur, die das Lernen von zu Hause ermöglicht. Hatten Hochschulen bisher unbegrenzt Zeit, die Digitalisierung von Lernprozessen zu testen und nach und nach in den Studienalltag zu integrieren, muss es in Anbetracht der aktuellen Lage nun schnell gehen.

Einen Beitrag zu dieser digitalen Lehre sehen viele Hochschulen in den Diensten großer, vornehmlich US-amerikanischer Anbieter. Die Anwendungen bieten ein breites Spektrum sowohl zum Austausch von Materialien und zur Vernetzung mit Kommilitonen und Lehrpersonal als auch zur zentralen Speicherung der geteilten Inhalte. Die Einführung dieser Anwendungen stößt jedoch vor allem bei Datenschutzbeauftragten und Aufsichtsbehörden noch immer auf Bedenken.

Hohe datenschutzrechtliche Anforderungen

Beim Einsatz solcher Dienste werden an verschiedensten Stellen, beispielsweise durch die Verwendung von Benutzerkonten, personenbezogene Daten erhoben. Das Datenschutzrecht – sowohl die DSGVO als auch Landesdatenschutzgesetze – stellen hohe Anforderungen an den Schutz dieser Daten. Gerade für den internationalen Datentransfer, wie hier von deutschen Universitäten an das jeweilige US-amerikanische Unternehmen, werden strenge Maßstäbe angelegt. Damit eine Übertragung von Daten in die USA stattfinden darf, müssen die empfangenden Unternehmen in den USA ein entsprechendes angemessenes Datenschutzniveau gewährleisten. Viele der großen US-Anbieter sind bereits durch ihre Teilnahme am sogenannten „EU-US Privacy Shield“ als datenverarbeitende Dienstleistungsunternehmen zertifiziert, wodurch eben dieses angemessene Schutzniveau sichergestellt werden soll.

Dennoch bewerten Datenschutzaufsichtsbehörden den Einsatz derartiger Produkte, insbesondere in Hochschulen, bisweilen kritisch. Aufgrund von fehlender Transparenz vieler Unternehmen bestehe das Risiko, dass die datenschutzrechtlichen Vorgaben missachtet und somit personenbezogene Daten rechtswidrig verarbeitet würden.

Zentrale Kritikpunkte der Datenschützer

Bemängelt wird von den Datenschutzaufsichtsbehörden vor allem der intransparente Umgang mit Nutzerdaten. Eine Überprüfung im Auftrag des niederländischen Justizministeriums hatte ergeben, dass beispielsweise mindestens ein Anbieter Telemetriedaten erhebt, an seine amerikanischen Server übermittelt und dort verarbeitet, ohne die Auftraggeber oder Nutzer darüber ausreichend zu informieren.

Kritisiert wird zudem die fehlende oder unklare Grenzziehung zwischen den jeweiligen Verantwortlichkeiten der Universität als Auftraggeber und dem Dienstleister als Auftragsverarbeiter. Die Dienstleister legen aus Sicht der Datenschützer weder gegenüber den Universitäten noch den Nutzern ausreichend offen, welche Daten im Einzelnen erhoben und zu welchen Zwecken verarbeitet werden. Befürchtet wird beispielsweise eine Profilbildung mit den Gewohnheiten der Benutzer der Dienste. Eine solche, möglicherweise rechtswidrige Datenverarbeitung durch den Dienstleister könnte auch den Hochschulen angelastet werden. Als Auftraggeber bleiben sie zunächst verantwortlich und haben das beauftragte Unternehmen in Bezug auf die Einhaltung des Datenschutzes zu überwachen.

Bedenken bestehen bei Datenschützern ferner im Zusammenhang mit dem sogenannten „CLOUD Act“. Dieser ermöglicht es amerikanischen Behörden, Daten von Nutzern ohne Absprache mit deutschen Behörden von den Unternehmen, etwa zur Strafverfolgung, anzufordern.

Auf diese Kritik haben einige Unternehmen jedoch bereits reagiert und bei ihren Diensten in Bezug auf den Datenschutz nachgebessert. So wurden Verantwortlichkeiten neu geregelt und mehr Transparenz hinsichtlich der Datenspeicherorte und Zugriffsmöglichkeiten hergestellt. Einige Dienstleister sehen sich mittlerweile ferner als starke Verfechter der Freiheitsrechte gegen unberechtigte Anfragen US-amerikanischer Behörden nach Daten europäischer Bürger.

Diese Beispiele zeigen deutlich, dass zwar bei dem Einsatz von Online-Diensten US-amerikanischer Anbieter aus datenschutzrechtlicher Sicht weiterer Handlungsbedarf besteht, dass viele Unternehmen aber gleichwohl Bereitschaft zur Kooperation und Anpassung an regulatorische Vorgaben zeigen. Ein Grund dafür dürfte sein, dass sowohl der europäische als auch der deutsche Markt, auch im Bereich der Bildungseinrichtungen, weiterhin als kommerziell sehr wichtig angesehen wird.

Eine Frage der konkreten Umsetzung

Die Rechtmäßigkeit der Nutzung solcher Online-Dienste durch die Universitäten hängt unserer Einschätzung nach letztlich nur von der datenschutzkonformen Ausgestaltung des konkreten Nutzungsszenarios ab.

Die Experten der KPMG AG Wirtschaftsprüfungsgesellschaft und KPMG Law erhalten im Zuge der aktuellen Entwicklungen und der Dringlichkeit, den Lernenden alternative Lernoptionen zu bieten, vermehrt Anfragen von Hochschulen und anderen Bildungseinrichtungen zur Nutzung von Online-Kollaborationsplattformen und ähnlichen Diensten. Obwohl sich die Bildungseinrichtungen meist von Beginn an mit den Vorbehalten der Aufsichtsbehörden und behördlichen Datenschutzbeauftragten konfrontiert sehen und daher bestens mit den Argumentationsstrukturen vertraut sind, konnten wir im Dialog mit den Aufsichtsbehörden und den Datenschutzbeauftragten der Hochschulen gute Erfahrungen machen und weitergehende Handlungsmöglichkeiten aufzeigen, die den Hochschulen die Umsetzung ihrer gesetzten Ziele ermöglichen. Denn vielfach werden Bedenken angeführt, die nicht von einer generellen Rechtswidrigkeit der Nutzung ausgehen, sondern auf Risiken beruhen, die sich erst aus der (nach aufsichtsbehördlicher Einschätzung) unzureichenden Ausgestaltung der Vertragsdokumente und Prozesse der Standardangebote der Anbieter ergeben. Es besteht daher die Möglichkeit, bei der konkreten Gestaltung der Nutzung rechtliche Vorkehrungen und technische Maßnahmen zu treffen, die diese Risiken minimieren und so die Rechte und Freiheiten der Studierenden und Mitarbeiter der Universität angemessen schützen.

Durch die interdisziplinäre Zusammenarbeit von Rechtsanwälten und technischen Beratern erarbeiten wir umfassende und fachübergreifend abgestimmte Maßnahmenpakete, die von den Bildungsstätten im Rahmen einer Datenschutzfolgenabschätzung nutzbar gemacht werden können.
Dazu gehören an die konkrete Situation angepasste technische Konzepte, die beispielsweise dazu dienen, die Menge der personenbezogenen Daten und das damit verbundene Risiko einer Rückbeziehbarkeit auf eine bestimmte Person zu minimieren. Ebenso erarbeitet KPMG Law im Rahmen der rechtlichen Begleitung von Projekten Argumentationslinien und Stellungnahmen. In diesen werden die vorgebrachten Bedenken der konkret geplanten Nutzung, unter Berücksichtigung aller in Frage kommenden Rechtsgrundlagen und rechtlichen Gestaltungsmöglichkeiten, gegenübergestellt. In einer Vielzahl der Fälle entpuppen sich die verbleibenden rechtlichen Risiken letztlich als handhabbar und die Bedenken der Datenschützer – unter Anwendung entsprechender Maßnahmen – als ausräumbar.

Fazit

Der Einsatz von Online-Kollaborationswerkzeugen an Hochschulen wurde schon vor Beginn der aktuellen Lage aufgrund der Corona-Pandemie vielfach diskutiert. Der stetige Wandel in der Wahrnehmung digitaler Konzepte und die Bemühungen der Anbieter haben nach Einschätzung unserer Datenschutzexperten zu günstigeren Bedingungen für den Einsatz solcher Online-Dienste geführt. Hochschulen können diese Entwicklungen jetzt nutzen, um die Krisenzeiten zu meistern und die Digitalisierung des Lehrbetriebs in Deutschland unter Berücksichtigung im konkreten Fall notwendiger Maßnahmen voranzutreiben.

Explore #more

15.01.2025 | KPMG Law Insights

Gesetzliche Neuerungen im Arbeitsrecht 2025

Seit dem 1. Januar 2025 gelten einige Neuerungen im Arbeitsrecht. Insbesondere das Bürokratieentlastungsgesetz sorgt für viele Erleichterungen und ermöglicht es Personalabteilungen, Prozesse zu digitalisieren. Arbeitgeber…

13.01.2025 | KPMG Law Insights

IED: Erstes Gesetzespaket zur Umsetzung der EU-Richtlinie liegt vor

Die neue EU-Industrieemissionsrichtlinie (Industrial Emissions Directive, IED) ist am 4. August 2024 in Kraft getreten und muss bis Juli 2026 von den Mitgliedsstaaten umgesetzt werden.…

12.01.2025 | In den Medien

Podcast zur EU-Entwaldungsverordnung

Entwaldung und Waldschädigung nehmen weltweit mit besorgniserregender Geschwindigkeit zu. Sie sind eng mit der globalen Klimakrise und dem Verlust von Artenvielfalt verknüpft – das sind…

09.01.2025 | In den Medien

KPMG Law stärkt den Bereich Legal Transformation Managed Services und Legal Corporate Services mit zwei neuen Senior Managerinnen

KPMG Law hat sich zum 1. Januar mit Jana Sichelschmidt im Bereich Transformation Managed Services und mit Dr. Michaela Lenk im Bereich Corporate Services verstärkt.…

07.01.2025 | KPMG Law Insights

Grundsteuer als Betriebskosten: Drei aktuelle Fragen und Antworten

Als Teil der Betriebs- und Nebenkosten kann die für eine vermietete Wohn- oder Gewerbeimmobilie erhobene Grundsteuer regelmäßig an Mieterinnen und Mietern weiterberechnet werden. Zum 1. …

07.01.2025 | KPMG Law Insights

Digitalisierung und Kooperationen – diese Maßnahmen sollten Kommunen im Haushalt einplanen

Mit Maßnahmen der Digitalisierung und mit Kooperationen können Kommunen langfristig erhebliche Kosten und auch Personal sparen. Auch wenn das Geld gerade knapp ist, sollten die…

06.01.2025 | Dealmeldungen

KPMG Law hat die Flexfy GmbH bei der Ausgründung aus der DAW SE sowie einer anschließenden Finanzierungsrunde beraten

Die DAW SE hat im Rahmen eines Innovationsprogramms einen elektrisch leitfähigen und magnetischen Wandaufbau entwickelt, der eine flexible und neuartige Nutzung von Wänden ermöglicht („FLEXFY…

06.01.2025 | Dealmeldungen

KPMG Law begleitet den Verkauf der Käppler & Pausch GmbH

Gabriel Pausch, der Mitgründer und Hauptgesellschafter der Käppler & Pausch GmbH, ein Systemlieferant für Metallbaugruppen sowie Metall- und Blechverarbeitung mit 160 Mitarbeitern in Neukirch/Lausitz, hat…

03.01.2025 | In den Medien

Interview in der Betrieb zum EU-Geldwäschepaket und seine Auswirkungen

Das EU-Geldwäschepaket harmonisiert die Geldwäsche- und Terrorismusbekämpfungsregeln in Europa, bringt neue Maßnahmen wie Bargeld-Obergrenzen von 10.000 €, Identifizierungspflichten ab 3.000 € und eine neue zentrale…

02.01.2025 | In den Medien

KPMG Law Statement im eMagazin Immobilienanwälte: Beim Markenschutz trifft Kreativität auf Recht

Four Frankfurt, Elbtower, Vonovia: Hinter Immobilienprojekten und -firmen stehen millionen- oder gar milliardenschwere Konstrukte. Um sich mit ihren Angeboten und Dienstleistungen aus der Masse abzuheben,…

Kontakt

Sebastian Hoegl, LL.M. (Wellington)

Senior Manager
Rechtsanwalt
Fachanwalt für IT-Recht
LL.M. (Wellington)

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

Tel.: +49 761 769999-20
shoegl@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll