Suche
Contact
09.04.2020 | KPMG Law Insights

Online-Kollaborationswerkzeuge und Datenschutz – Dürfen Hochschulen solche Dienste nutzen?

Online-Kollaborationswerkzeuge und Datenschutz – Dürfen Hochschulen solche Dienste nutzen?

Die Lehre aufrechtzuerhalten ist eine der großen Herausforderungen, die Universitäten in Zeiten von Kontaktverboten zu meistern haben. Helfen könnten die digitalen Kollaborationstools diverser Anbieter,– wenn es den Hochschulen gelingt, die Bedenken der Datenschützer auszuräumen. Mit dieser Aufgabe wenden sich derzeit viele Hochschulen an die Experten von KPMG.

Leere Hörsäle, geschlossene Bibliotheken – die Corona-Krise stellt die universitäre Lehre vor große Herausforderungen. In Zeiten, in denen jeglicher persönliche Kontakt vermieden werden soll oder gar verboten ist, müssen Hochschulen ihren Studierenden Alternativen zum regulären Universitätsbetrieb bieten, um die Lehre aufrechtzuerhalten.

Eine Chance dazu bietet das digitale Lernen. Vielen Hochschulen fehlt es allerdings an der flächendeckenden Infrastruktur, die das Lernen von zu Hause ermöglicht. Hatten Hochschulen bisher unbegrenzt Zeit, die Digitalisierung von Lernprozessen zu testen und nach und nach in den Studienalltag zu integrieren, muss es in Anbetracht der aktuellen Lage nun schnell gehen.

Einen Beitrag zu dieser digitalen Lehre sehen viele Hochschulen in den Diensten großer, vornehmlich US-amerikanischer Anbieter. Die Anwendungen bieten ein breites Spektrum sowohl zum Austausch von Materialien und zur Vernetzung mit Kommilitonen und Lehrpersonal als auch zur zentralen Speicherung der geteilten Inhalte. Die Einführung dieser Anwendungen stößt jedoch vor allem bei Datenschutzbeauftragten und Aufsichtsbehörden noch immer auf Bedenken.

Hohe datenschutzrechtliche Anforderungen

Beim Einsatz solcher Dienste werden an verschiedensten Stellen, beispielsweise durch die Verwendung von Benutzerkonten, personenbezogene Daten erhoben. Das Datenschutzrecht – sowohl die DSGVO als auch Landesdatenschutzgesetze – stellen hohe Anforderungen an den Schutz dieser Daten. Gerade für den internationalen Datentransfer, wie hier von deutschen Universitäten an das jeweilige US-amerikanische Unternehmen, werden strenge Maßstäbe angelegt. Damit eine Übertragung von Daten in die USA stattfinden darf, müssen die empfangenden Unternehmen in den USA ein entsprechendes angemessenes Datenschutzniveau gewährleisten. Viele der großen US-Anbieter sind bereits durch ihre Teilnahme am sogenannten „EU-US Privacy Shield“ als datenverarbeitende Dienstleistungsunternehmen zertifiziert, wodurch eben dieses angemessene Schutzniveau sichergestellt werden soll.

Dennoch bewerten Datenschutzaufsichtsbehörden den Einsatz derartiger Produkte, insbesondere in Hochschulen, bisweilen kritisch. Aufgrund von fehlender Transparenz vieler Unternehmen bestehe das Risiko, dass die datenschutzrechtlichen Vorgaben missachtet und somit personenbezogene Daten rechtswidrig verarbeitet würden.

Zentrale Kritikpunkte der Datenschützer

Bemängelt wird von den Datenschutzaufsichtsbehörden vor allem der intransparente Umgang mit Nutzerdaten. Eine Überprüfung im Auftrag des niederländischen Justizministeriums hatte ergeben, dass beispielsweise mindestens ein Anbieter Telemetriedaten erhebt, an seine amerikanischen Server übermittelt und dort verarbeitet, ohne die Auftraggeber oder Nutzer darüber ausreichend zu informieren.

Kritisiert wird zudem die fehlende oder unklare Grenzziehung zwischen den jeweiligen Verantwortlichkeiten der Universität als Auftraggeber und dem Dienstleister als Auftragsverarbeiter. Die Dienstleister legen aus Sicht der Datenschützer weder gegenüber den Universitäten noch den Nutzern ausreichend offen, welche Daten im Einzelnen erhoben und zu welchen Zwecken verarbeitet werden. Befürchtet wird beispielsweise eine Profilbildung mit den Gewohnheiten der Benutzer der Dienste. Eine solche, möglicherweise rechtswidrige Datenverarbeitung durch den Dienstleister könnte auch den Hochschulen angelastet werden. Als Auftraggeber bleiben sie zunächst verantwortlich und haben das beauftragte Unternehmen in Bezug auf die Einhaltung des Datenschutzes zu überwachen.

Bedenken bestehen bei Datenschützern ferner im Zusammenhang mit dem sogenannten „CLOUD Act“. Dieser ermöglicht es amerikanischen Behörden, Daten von Nutzern ohne Absprache mit deutschen Behörden von den Unternehmen, etwa zur Strafverfolgung, anzufordern.

Auf diese Kritik haben einige Unternehmen jedoch bereits reagiert und bei ihren Diensten in Bezug auf den Datenschutz nachgebessert. So wurden Verantwortlichkeiten neu geregelt und mehr Transparenz hinsichtlich der Datenspeicherorte und Zugriffsmöglichkeiten hergestellt. Einige Dienstleister sehen sich mittlerweile ferner als starke Verfechter der Freiheitsrechte gegen unberechtigte Anfragen US-amerikanischer Behörden nach Daten europäischer Bürger.

Diese Beispiele zeigen deutlich, dass zwar bei dem Einsatz von Online-Diensten US-amerikanischer Anbieter aus datenschutzrechtlicher Sicht weiterer Handlungsbedarf besteht, dass viele Unternehmen aber gleichwohl Bereitschaft zur Kooperation und Anpassung an regulatorische Vorgaben zeigen. Ein Grund dafür dürfte sein, dass sowohl der europäische als auch der deutsche Markt, auch im Bereich der Bildungseinrichtungen, weiterhin als kommerziell sehr wichtig angesehen wird.

Eine Frage der konkreten Umsetzung

Die Rechtmäßigkeit der Nutzung solcher Online-Dienste durch die Universitäten hängt unserer Einschätzung nach letztlich nur von der datenschutzkonformen Ausgestaltung des konkreten Nutzungsszenarios ab.

Die Experten der KPMG AG Wirtschaftsprüfungsgesellschaft und KPMG Law erhalten im Zuge der aktuellen Entwicklungen und der Dringlichkeit, den Lernenden alternative Lernoptionen zu bieten, vermehrt Anfragen von Hochschulen und anderen Bildungseinrichtungen zur Nutzung von Online-Kollaborationsplattformen und ähnlichen Diensten. Obwohl sich die Bildungseinrichtungen meist von Beginn an mit den Vorbehalten der Aufsichtsbehörden und behördlichen Datenschutzbeauftragten konfrontiert sehen und daher bestens mit den Argumentationsstrukturen vertraut sind, konnten wir im Dialog mit den Aufsichtsbehörden und den Datenschutzbeauftragten der Hochschulen gute Erfahrungen machen und weitergehende Handlungsmöglichkeiten aufzeigen, die den Hochschulen die Umsetzung ihrer gesetzten Ziele ermöglichen. Denn vielfach werden Bedenken angeführt, die nicht von einer generellen Rechtswidrigkeit der Nutzung ausgehen, sondern auf Risiken beruhen, die sich erst aus der (nach aufsichtsbehördlicher Einschätzung) unzureichenden Ausgestaltung der Vertragsdokumente und Prozesse der Standardangebote der Anbieter ergeben. Es besteht daher die Möglichkeit, bei der konkreten Gestaltung der Nutzung rechtliche Vorkehrungen und technische Maßnahmen zu treffen, die diese Risiken minimieren und so die Rechte und Freiheiten der Studierenden und Mitarbeiter der Universität angemessen schützen.

Durch die interdisziplinäre Zusammenarbeit von Rechtsanwälten und technischen Beratern erarbeiten wir umfassende und fachübergreifend abgestimmte Maßnahmenpakete, die von den Bildungsstätten im Rahmen einer Datenschutzfolgenabschätzung nutzbar gemacht werden können.
Dazu gehören an die konkrete Situation angepasste technische Konzepte, die beispielsweise dazu dienen, die Menge der personenbezogenen Daten und das damit verbundene Risiko einer Rückbeziehbarkeit auf eine bestimmte Person zu minimieren. Ebenso erarbeitet KPMG Law im Rahmen der rechtlichen Begleitung von Projekten Argumentationslinien und Stellungnahmen. In diesen werden die vorgebrachten Bedenken der konkret geplanten Nutzung, unter Berücksichtigung aller in Frage kommenden Rechtsgrundlagen und rechtlichen Gestaltungsmöglichkeiten, gegenübergestellt. In einer Vielzahl der Fälle entpuppen sich die verbleibenden rechtlichen Risiken letztlich als handhabbar und die Bedenken der Datenschützer – unter Anwendung entsprechender Maßnahmen – als ausräumbar.

Fazit

Der Einsatz von Online-Kollaborationswerkzeugen an Hochschulen wurde schon vor Beginn der aktuellen Lage aufgrund der Corona-Pandemie vielfach diskutiert. Der stetige Wandel in der Wahrnehmung digitaler Konzepte und die Bemühungen der Anbieter haben nach Einschätzung unserer Datenschutzexperten zu günstigeren Bedingungen für den Einsatz solcher Online-Dienste geführt. Hochschulen können diese Entwicklungen jetzt nutzen, um die Krisenzeiten zu meistern und die Digitalisierung des Lehrbetriebs in Deutschland unter Berücksichtigung im konkreten Fall notwendiger Maßnahmen voranzutreiben.

Explore #more

22.03.2023 | KPMG Law Insights

Podcast-Serie „KPMG Law on air”: Aktuelle Themen aus dem Arbeitsrecht

Verpflichtung des Arbeitgebers zur Arbeitszeiterfassung – BAG, Beschluss vom 13.09.2022 – 1 ABR 21/22 Alle Arbeitgeber sind verpflichtet, ein System zur Arbeitszeiterfassung einzuführen. Diese Entscheidung…

17.03.2023 | KPMG Law Insights

MiCAR – Was die neue EU-Verordnung für Krypto-Dienstleister und Emittenten bedeutet

In Kürze tritt eine EU-Verordnung in Kraft, mit der Kryptowerte europaweit einheitlich geregelt werden. Sie enthält signifikante neue Verpflichtungen für Emittenten und Krypto-Dienstleister. Gleichzeitig bietet…

16.03.2023 | KPMG Law Insights

Podcast-Serie „KPMG Law on air”: Datenschutz nach Schrems II – Unternehmen im Handlungsdruck

Im Jahr 2013 legte ein 25-jähriger Österreicher vor einem irischen Gericht Klage gegen einen führenden Social Media-Anbieter ein. Der Vorwurf: Die Plattform habe seine Daten…

15.03.2023 | KPMG Law Insights

Der überarbeitete Unionsrahmen für Forschung, Entwicklung und Innovation von 2022

Der überarbeitete Unionsrahmen für Forschung, Entwicklung und Innovation von 2022 Am 19. Oktober 2022 ist der überarbeitete Unionsrahmen für Forschung, Entwicklung und Innovation in Kraft…

13.03.2023 | KPMG Law Insights

Podcast-Serie „KPMG Law on air”: Matrix-Organisationen – Chancen und Risiken der Unternehmenstransformation

Plötzlich ist möglich, was noch vor ein paar Jahren undenkbar schien: Mitarbeitende kommen nicht mehr zur Arbeit in die Unternehmenszentrale, sondern die Einstellung erfolgt dort,…

09.03.2023 | Dealmeldungen

KPMG Law berät XPRESS Ventures bei Finanzierungsrunde

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat die XPRESS Ventures Beteiligungs GmbH bei einer Finanzierungsrunde mit einer Pre-Seed-Finanzierung für das RetailTech-Start-up HomeRide beraten. HomeRide…

07.03.2023 | Pressemitteilungen

KPMG Law verstärkt sich mit Marcello Toscani

KPMG Law hat sich zum 1. März 2023 mit Marcello Toscani als Senior Manager am Standort Düsseldorf verstärkt. Herr Toscani kommt von der Peek &…

06.03.2023 | KPMG Law Insights

Urteil zur Entgeltgleichheit – das Ende der Gehaltsverhandlung?

Urteil zur Entgeltgleichheit – das Ende der Gehaltsverhandlung? Zahlt der Arbeitgeber einer Frau ein geringeres Gehalt als einem vergleichbaren männlichen Kollegen, kann er sich nicht…

01.03.2023 | Dealmeldungen

KPMG Law und KPMG beraten heptus, Muttergesellschaft der Syserso Networks und Portfoliogesellschaft von Chequers Capital, beim Erwerb der SHD

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) und die KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben die heptus 391. GmbH (heptus), die die Muttergesellschaft der Syserso Networks…

28.02.2023 | KPMG Law Insights

EU verabschiedet zehntes Sanktionspaket gegen Russland

Im Hinblick auf die nun seit etwa einem Jahr anhaltenden Kampfhandlungen in der Ukraine hat die EU das mittlerweile zehnte Sanktionspaket gegen Russland erlassen. Dieses…

Kontakt

Sebastian Hoegl, LL.M. (Wellington)

Senior Manager
Rechtsanwalt
Fachanwalt für IT-Recht
LL.M. (Wellington)

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

tel: +49 761 769999-20
shoegl@kpmg-law.com

© 2023 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll