Suche
Contact
09.04.2020 | KPMG Law Insights

Online-Kollaborationswerkzeuge und Datenschutz – Dürfen Hochschulen solche Dienste nutzen?

Online-Kollaborationswerkzeuge und Datenschutz – Dürfen Hochschulen solche Dienste nutzen?

Die Lehre aufrechtzuerhalten ist eine der großen Herausforderungen, die Universitäten in Zeiten von Kontaktverboten zu meistern haben. Helfen könnten die digitalen Kollaborationstools diverser Anbieter,– wenn es den Hochschulen gelingt, die Bedenken der Datenschützer auszuräumen. Mit dieser Aufgabe wenden sich derzeit viele Hochschulen an die Experten von KPMG.

Leere Hörsäle, geschlossene Bibliotheken – die Corona-Krise stellt die universitäre Lehre vor große Herausforderungen. In Zeiten, in denen jeglicher persönliche Kontakt vermieden werden soll oder gar verboten ist, müssen Hochschulen ihren Studierenden Alternativen zum regulären Universitätsbetrieb bieten, um die Lehre aufrechtzuerhalten.

Eine Chance dazu bietet das digitale Lernen. Vielen Hochschulen fehlt es allerdings an der flächendeckenden Infrastruktur, die das Lernen von zu Hause ermöglicht. Hatten Hochschulen bisher unbegrenzt Zeit, die Digitalisierung von Lernprozessen zu testen und nach und nach in den Studienalltag zu integrieren, muss es in Anbetracht der aktuellen Lage nun schnell gehen.

Einen Beitrag zu dieser digitalen Lehre sehen viele Hochschulen in den Diensten großer, vornehmlich US-amerikanischer Anbieter. Die Anwendungen bieten ein breites Spektrum sowohl zum Austausch von Materialien und zur Vernetzung mit Kommilitonen und Lehrpersonal als auch zur zentralen Speicherung der geteilten Inhalte. Die Einführung dieser Anwendungen stößt jedoch vor allem bei Datenschutzbeauftragten und Aufsichtsbehörden noch immer auf Bedenken.

Hohe datenschutzrechtliche Anforderungen

Beim Einsatz solcher Dienste werden an verschiedensten Stellen, beispielsweise durch die Verwendung von Benutzerkonten, personenbezogene Daten erhoben. Das Datenschutzrecht – sowohl die DSGVO als auch Landesdatenschutzgesetze – stellen hohe Anforderungen an den Schutz dieser Daten. Gerade für den internationalen Datentransfer, wie hier von deutschen Universitäten an das jeweilige US-amerikanische Unternehmen, werden strenge Maßstäbe angelegt. Damit eine Übertragung von Daten in die USA stattfinden darf, müssen die empfangenden Unternehmen in den USA ein entsprechendes angemessenes Datenschutzniveau gewährleisten. Viele der großen US-Anbieter sind bereits durch ihre Teilnahme am sogenannten „EU-US Privacy Shield“ als datenverarbeitende Dienstleistungsunternehmen zertifiziert, wodurch eben dieses angemessene Schutzniveau sichergestellt werden soll.

Dennoch bewerten Datenschutzaufsichtsbehörden den Einsatz derartiger Produkte, insbesondere in Hochschulen, bisweilen kritisch. Aufgrund von fehlender Transparenz vieler Unternehmen bestehe das Risiko, dass die datenschutzrechtlichen Vorgaben missachtet und somit personenbezogene Daten rechtswidrig verarbeitet würden.

Zentrale Kritikpunkte der Datenschützer

Bemängelt wird von den Datenschutzaufsichtsbehörden vor allem der intransparente Umgang mit Nutzerdaten. Eine Überprüfung im Auftrag des niederländischen Justizministeriums hatte ergeben, dass beispielsweise mindestens ein Anbieter Telemetriedaten erhebt, an seine amerikanischen Server übermittelt und dort verarbeitet, ohne die Auftraggeber oder Nutzer darüber ausreichend zu informieren.

Kritisiert wird zudem die fehlende oder unklare Grenzziehung zwischen den jeweiligen Verantwortlichkeiten der Universität als Auftraggeber und dem Dienstleister als Auftragsverarbeiter. Die Dienstleister legen aus Sicht der Datenschützer weder gegenüber den Universitäten noch den Nutzern ausreichend offen, welche Daten im Einzelnen erhoben und zu welchen Zwecken verarbeitet werden. Befürchtet wird beispielsweise eine Profilbildung mit den Gewohnheiten der Benutzer der Dienste. Eine solche, möglicherweise rechtswidrige Datenverarbeitung durch den Dienstleister könnte auch den Hochschulen angelastet werden. Als Auftraggeber bleiben sie zunächst verantwortlich und haben das beauftragte Unternehmen in Bezug auf die Einhaltung des Datenschutzes zu überwachen.

Bedenken bestehen bei Datenschützern ferner im Zusammenhang mit dem sogenannten „CLOUD Act“. Dieser ermöglicht es amerikanischen Behörden, Daten von Nutzern ohne Absprache mit deutschen Behörden von den Unternehmen, etwa zur Strafverfolgung, anzufordern.

Auf diese Kritik haben einige Unternehmen jedoch bereits reagiert und bei ihren Diensten in Bezug auf den Datenschutz nachgebessert. So wurden Verantwortlichkeiten neu geregelt und mehr Transparenz hinsichtlich der Datenspeicherorte und Zugriffsmöglichkeiten hergestellt. Einige Dienstleister sehen sich mittlerweile ferner als starke Verfechter der Freiheitsrechte gegen unberechtigte Anfragen US-amerikanischer Behörden nach Daten europäischer Bürger.

Diese Beispiele zeigen deutlich, dass zwar bei dem Einsatz von Online-Diensten US-amerikanischer Anbieter aus datenschutzrechtlicher Sicht weiterer Handlungsbedarf besteht, dass viele Unternehmen aber gleichwohl Bereitschaft zur Kooperation und Anpassung an regulatorische Vorgaben zeigen. Ein Grund dafür dürfte sein, dass sowohl der europäische als auch der deutsche Markt, auch im Bereich der Bildungseinrichtungen, weiterhin als kommerziell sehr wichtig angesehen wird.

Eine Frage der konkreten Umsetzung

Die Rechtmäßigkeit der Nutzung solcher Online-Dienste durch die Universitäten hängt unserer Einschätzung nach letztlich nur von der datenschutzkonformen Ausgestaltung des konkreten Nutzungsszenarios ab.

Die Experten der KPMG AG Wirtschaftsprüfungsgesellschaft und KPMG Law erhalten im Zuge der aktuellen Entwicklungen und der Dringlichkeit, den Lernenden alternative Lernoptionen zu bieten, vermehrt Anfragen von Hochschulen und anderen Bildungseinrichtungen zur Nutzung von Online-Kollaborationsplattformen und ähnlichen Diensten. Obwohl sich die Bildungseinrichtungen meist von Beginn an mit den Vorbehalten der Aufsichtsbehörden und behördlichen Datenschutzbeauftragten konfrontiert sehen und daher bestens mit den Argumentationsstrukturen vertraut sind, konnten wir im Dialog mit den Aufsichtsbehörden und den Datenschutzbeauftragten der Hochschulen gute Erfahrungen machen und weitergehende Handlungsmöglichkeiten aufzeigen, die den Hochschulen die Umsetzung ihrer gesetzten Ziele ermöglichen. Denn vielfach werden Bedenken angeführt, die nicht von einer generellen Rechtswidrigkeit der Nutzung ausgehen, sondern auf Risiken beruhen, die sich erst aus der (nach aufsichtsbehördlicher Einschätzung) unzureichenden Ausgestaltung der Vertragsdokumente und Prozesse der Standardangebote der Anbieter ergeben. Es besteht daher die Möglichkeit, bei der konkreten Gestaltung der Nutzung rechtliche Vorkehrungen und technische Maßnahmen zu treffen, die diese Risiken minimieren und so die Rechte und Freiheiten der Studierenden und Mitarbeiter der Universität angemessen schützen.

Durch die interdisziplinäre Zusammenarbeit von Rechtsanwälten und technischen Beratern erarbeiten wir umfassende und fachübergreifend abgestimmte Maßnahmenpakete, die von den Bildungsstätten im Rahmen einer Datenschutzfolgenabschätzung nutzbar gemacht werden können.
Dazu gehören an die konkrete Situation angepasste technische Konzepte, die beispielsweise dazu dienen, die Menge der personenbezogenen Daten und das damit verbundene Risiko einer Rückbeziehbarkeit auf eine bestimmte Person zu minimieren. Ebenso erarbeitet KPMG Law im Rahmen der rechtlichen Begleitung von Projekten Argumentationslinien und Stellungnahmen. In diesen werden die vorgebrachten Bedenken der konkret geplanten Nutzung, unter Berücksichtigung aller in Frage kommenden Rechtsgrundlagen und rechtlichen Gestaltungsmöglichkeiten, gegenübergestellt. In einer Vielzahl der Fälle entpuppen sich die verbleibenden rechtlichen Risiken letztlich als handhabbar und die Bedenken der Datenschützer – unter Anwendung entsprechender Maßnahmen – als ausräumbar.

Fazit

Der Einsatz von Online-Kollaborationswerkzeugen an Hochschulen wurde schon vor Beginn der aktuellen Lage aufgrund der Corona-Pandemie vielfach diskutiert. Der stetige Wandel in der Wahrnehmung digitaler Konzepte und die Bemühungen der Anbieter haben nach Einschätzung unserer Datenschutzexperten zu günstigeren Bedingungen für den Einsatz solcher Online-Dienste geführt. Hochschulen können diese Entwicklungen jetzt nutzen, um die Krisenzeiten zu meistern und die Digitalisierung des Lehrbetriebs in Deutschland unter Berücksichtigung im konkreten Fall notwendiger Maßnahmen voranzutreiben.

Explore #more

28.05.2024 |

Veröffentlichungen in der ESGZ im Mai

Die KPMG Law Expertinnen Isabelle Knoché und Denise Spinnler-Weimann haben einen Beitrag über „Die zweite Reform des KSG“ in der Mai Ausgabe der ESGZ veröffentlicht.…

27.05.2024 | KPMG Law Insights

BImSchG-Novelle soll Genehmigungsverfahren beschleunigen

Am 17.05.2024 haben sich die Ampel-Fraktionen auf die Novelle des Bundes-Immissionsschutzgesetzes (BImSchG) geeinigt. Mit dem Gesetz sollen schnellere und unbürokratischere Verfahren geschaffen und so Genehmigungsverfahren…

27.05.2024 | KPMG Law Insights

Ökodesign-Verordnung: Produkte sollen nachhaltiger werden

Das Europäische Parlament hatte am 23. April 2024 der neuen EU-Ökodesign-Verordnung zugestimmt; am 27. Mai 2024 gaben auch die EU-Mitgliedsstaaten grünes Licht. Die Verordnung legt…

27.05.2024 | KPMG Law Insights

Podcast-Serie „KPMG Law on air“: M&A-Ausblick 2024

Immer noch sind viele potenzielle Unternehmenskäufer in Wartestellung. Die Hoffnung: fallende Zinsen und eine damit verbundene leichtere Finanzierung. Zinssenkungen werden vermutlich einen regelrechten Boost für…

22.05.2024 | PR-Veröffentlichungen

Gastbeitrag in der WiWo: Warum die Klage der Schweizer Klimaseniorinnen deutsche Unternehmen interessieren muss

Der Europäische Gerichtshof für Menschenrechte hat der Klage des Vereins Klimaseniorinnen gegen die Schweiz stattgegeben: Die Schweiz muss mehr für den Klimaschutz tun. Weltweit sind…

22.05.2024 | KPMG Law Insights

High im Job? Das bedeutet die Cannabis-Legalisierung für Arbeitgeber

Seit dem 1. April 2024 sind der Besitz und der Konsum von Cannabis unter Berücksichtigung der Vorschriften des viel diskutierten Cannabisgesetzes legal. Seit Inkrafttreten wird…

22.05.2024 | KPMG Law Insights

Der AI Act kommt: EU möchte Risiken von KI in den Griff bekommen

Am 21. Mai 2024 haben die EU-Staaten dem AI Act zugestimmt. Das weltweit erste Gesetz zur Regulierung künstlicher Intelligenz (KI) kann nun in Kraft treten.…

22.05.2024 | PR-Veröffentlichungen

Gastbeitrag in der KlimaRZ zum Thema EU-Verpackungsverordnung

In der KlimaRZ Ausgabe 3/2024 (S. 67 ff.) ist ein Gastbeitrag von den KPMG Law Experten Simon Meyer und Sandro Köpper zum Thema “ EU-Verpackungsverordnung…

17.05.2024 | KPMG Law Insights

Podcast-Serie „KPMG Law on air“: Wenn das Familienunternehmen verkauft werden soll

Circa 38.000 Familienunternehmen werden momentan pro Jahr übergeben. In den meisten Fällen findet der Inhaberwechsel innerhalb der Familie statt. Doch immer häufiger entschließen sich Familien…

14.05.2024 | KPMG Law Insights

So können Rechtsabteilungen KI im Vertragsmanagement nutzen

Der Einsatz künstlicher Intelligenz ermöglicht es Rechtsabteilungen, manuelle Prozesse im Vertragsmanagement zu automatisieren. Dies steigert die Effizienz über den gesamten Lebenszyklus eines Vertrags hinweg und…

Kontakt

Sebastian Hoegl, LL.M. (Wellington)

Senior Manager
Rechtsanwalt
Fachanwalt für IT-Recht
LL.M. (Wellington)

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

tel: +49 761 769999-20
shoegl@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll