Online-Kollaborationswerkzeuge und Datenschutz – Dürfen Hochschulen solche Dienste nutzen?
Die Lehre aufrechtzuerhalten ist eine der großen Herausforderungen, die Universitäten in Zeiten von Kontaktverboten zu meistern haben. Helfen könnten die digitalen Kollaborationstools diverser Anbieter,– wenn es den Hochschulen gelingt, die Bedenken der Datenschützer auszuräumen. Mit dieser Aufgabe wenden sich derzeit viele Hochschulen an die Experten von KPMG.
Leere Hörsäle, geschlossene Bibliotheken – die Corona-Krise stellt die universitäre Lehre vor große Herausforderungen. In Zeiten, in denen jeglicher persönliche Kontakt vermieden werden soll oder gar verboten ist, müssen Hochschulen ihren Studierenden Alternativen zum regulären Universitätsbetrieb bieten, um die Lehre aufrechtzuerhalten.
Eine Chance dazu bietet das digitale Lernen. Vielen Hochschulen fehlt es allerdings an der flächendeckenden Infrastruktur, die das Lernen von zu Hause ermöglicht. Hatten Hochschulen bisher unbegrenzt Zeit, die Digitalisierung von Lernprozessen zu testen und nach und nach in den Studienalltag zu integrieren, muss es in Anbetracht der aktuellen Lage nun schnell gehen.
Einen Beitrag zu dieser digitalen Lehre sehen viele Hochschulen in den Diensten großer, vornehmlich US-amerikanischer Anbieter. Die Anwendungen bieten ein breites Spektrum sowohl zum Austausch von Materialien und zur Vernetzung mit Kommilitonen und Lehrpersonal als auch zur zentralen Speicherung der geteilten Inhalte. Die Einführung dieser Anwendungen stößt jedoch vor allem bei Datenschutzbeauftragten und Aufsichtsbehörden noch immer auf Bedenken.
Hohe datenschutzrechtliche Anforderungen
Beim Einsatz solcher Dienste werden an verschiedensten Stellen, beispielsweise durch die Verwendung von Benutzerkonten, personenbezogene Daten erhoben. Das Datenschutzrecht – sowohl die DSGVO als auch Landesdatenschutzgesetze – stellen hohe Anforderungen an den Schutz dieser Daten. Gerade für den internationalen Datentransfer, wie hier von deutschen Universitäten an das jeweilige US-amerikanische Unternehmen, werden strenge Maßstäbe angelegt. Damit eine Übertragung von Daten in die USA stattfinden darf, müssen die empfangenden Unternehmen in den USA ein entsprechendes angemessenes Datenschutzniveau gewährleisten. Viele der großen US-Anbieter sind bereits durch ihre Teilnahme am sogenannten „EU-US Privacy Shield“ als datenverarbeitende Dienstleistungsunternehmen zertifiziert, wodurch eben dieses angemessene Schutzniveau sichergestellt werden soll.
Dennoch bewerten Datenschutzaufsichtsbehörden den Einsatz derartiger Produkte, insbesondere in Hochschulen, bisweilen kritisch. Aufgrund von fehlender Transparenz vieler Unternehmen bestehe das Risiko, dass die datenschutzrechtlichen Vorgaben missachtet und somit personenbezogene Daten rechtswidrig verarbeitet würden.
Zentrale Kritikpunkte der Datenschützer
Bemängelt wird von den Datenschutzaufsichtsbehörden vor allem der intransparente Umgang mit Nutzerdaten. Eine Überprüfung im Auftrag des niederländischen Justizministeriums hatte ergeben, dass beispielsweise mindestens ein Anbieter Telemetriedaten erhebt, an seine amerikanischen Server übermittelt und dort verarbeitet, ohne die Auftraggeber oder Nutzer darüber ausreichend zu informieren.
Kritisiert wird zudem die fehlende oder unklare Grenzziehung zwischen den jeweiligen Verantwortlichkeiten der Universität als Auftraggeber und dem Dienstleister als Auftragsverarbeiter. Die Dienstleister legen aus Sicht der Datenschützer weder gegenüber den Universitäten noch den Nutzern ausreichend offen, welche Daten im Einzelnen erhoben und zu welchen Zwecken verarbeitet werden. Befürchtet wird beispielsweise eine Profilbildung mit den Gewohnheiten der Benutzer der Dienste. Eine solche, möglicherweise rechtswidrige Datenverarbeitung durch den Dienstleister könnte auch den Hochschulen angelastet werden. Als Auftraggeber bleiben sie zunächst verantwortlich und haben das beauftragte Unternehmen in Bezug auf die Einhaltung des Datenschutzes zu überwachen.
Bedenken bestehen bei Datenschützern ferner im Zusammenhang mit dem sogenannten „CLOUD Act“. Dieser ermöglicht es amerikanischen Behörden, Daten von Nutzern ohne Absprache mit deutschen Behörden von den Unternehmen, etwa zur Strafverfolgung, anzufordern.
Auf diese Kritik haben einige Unternehmen jedoch bereits reagiert und bei ihren Diensten in Bezug auf den Datenschutz nachgebessert. So wurden Verantwortlichkeiten neu geregelt und mehr Transparenz hinsichtlich der Datenspeicherorte und Zugriffsmöglichkeiten hergestellt. Einige Dienstleister sehen sich mittlerweile ferner als starke Verfechter der Freiheitsrechte gegen unberechtigte Anfragen US-amerikanischer Behörden nach Daten europäischer Bürger.
Diese Beispiele zeigen deutlich, dass zwar bei dem Einsatz von Online-Diensten US-amerikanischer Anbieter aus datenschutzrechtlicher Sicht weiterer Handlungsbedarf besteht, dass viele Unternehmen aber gleichwohl Bereitschaft zur Kooperation und Anpassung an regulatorische Vorgaben zeigen. Ein Grund dafür dürfte sein, dass sowohl der europäische als auch der deutsche Markt, auch im Bereich der Bildungseinrichtungen, weiterhin als kommerziell sehr wichtig angesehen wird.
Eine Frage der konkreten Umsetzung
Die Rechtmäßigkeit der Nutzung solcher Online-Dienste durch die Universitäten hängt unserer Einschätzung nach letztlich nur von der datenschutzkonformen Ausgestaltung des konkreten Nutzungsszenarios ab.
Die Experten der KPMG AG Wirtschaftsprüfungsgesellschaft und KPMG Law erhalten im Zuge der aktuellen Entwicklungen und der Dringlichkeit, den Lernenden alternative Lernoptionen zu bieten, vermehrt Anfragen von Hochschulen und anderen Bildungseinrichtungen zur Nutzung von Online-Kollaborationsplattformen und ähnlichen Diensten. Obwohl sich die Bildungseinrichtungen meist von Beginn an mit den Vorbehalten der Aufsichtsbehörden und behördlichen Datenschutzbeauftragten konfrontiert sehen und daher bestens mit den Argumentationsstrukturen vertraut sind, konnten wir im Dialog mit den Aufsichtsbehörden und den Datenschutzbeauftragten der Hochschulen gute Erfahrungen machen und weitergehende Handlungsmöglichkeiten aufzeigen, die den Hochschulen die Umsetzung ihrer gesetzten Ziele ermöglichen. Denn vielfach werden Bedenken angeführt, die nicht von einer generellen Rechtswidrigkeit der Nutzung ausgehen, sondern auf Risiken beruhen, die sich erst aus der (nach aufsichtsbehördlicher Einschätzung) unzureichenden Ausgestaltung der Vertragsdokumente und Prozesse der Standardangebote der Anbieter ergeben. Es besteht daher die Möglichkeit, bei der konkreten Gestaltung der Nutzung rechtliche Vorkehrungen und technische Maßnahmen zu treffen, die diese Risiken minimieren und so die Rechte und Freiheiten der Studierenden und Mitarbeiter der Universität angemessen schützen.
Durch die interdisziplinäre Zusammenarbeit von Rechtsanwälten und technischen Beratern erarbeiten wir umfassende und fachübergreifend abgestimmte Maßnahmenpakete, die von den Bildungsstätten im Rahmen einer Datenschutzfolgenabschätzung nutzbar gemacht werden können.
Dazu gehören an die konkrete Situation angepasste technische Konzepte, die beispielsweise dazu dienen, die Menge der personenbezogenen Daten und das damit verbundene Risiko einer Rückbeziehbarkeit auf eine bestimmte Person zu minimieren. Ebenso erarbeitet KPMG Law im Rahmen der rechtlichen Begleitung von Projekten Argumentationslinien und Stellungnahmen. In diesen werden die vorgebrachten Bedenken der konkret geplanten Nutzung, unter Berücksichtigung aller in Frage kommenden Rechtsgrundlagen und rechtlichen Gestaltungsmöglichkeiten, gegenübergestellt. In einer Vielzahl der Fälle entpuppen sich die verbleibenden rechtlichen Risiken letztlich als handhabbar und die Bedenken der Datenschützer – unter Anwendung entsprechender Maßnahmen – als ausräumbar.
Fazit
Der Einsatz von Online-Kollaborationswerkzeugen an Hochschulen wurde schon vor Beginn der aktuellen Lage aufgrund der Corona-Pandemie vielfach diskutiert. Der stetige Wandel in der Wahrnehmung digitaler Konzepte und die Bemühungen der Anbieter haben nach Einschätzung unserer Datenschutzexperten zu günstigeren Bedingungen für den Einsatz solcher Online-Dienste geführt. Hochschulen können diese Entwicklungen jetzt nutzen, um die Krisenzeiten zu meistern und die Digitalisierung des Lehrbetriebs in Deutschland unter Berücksichtigung im konkreten Fall notwendiger Maßnahmen voranzutreiben.
