Zoom Videokonferenzen – Sicherheit & Datenschutz – wichtige Aspekte für Schule und Unterricht

Auch im weiteren Verlauf des Schuljahres wird es bei blended learning – der Mischung von Präsenz- und Onlineunterricht – bleiben. Viele Lehrpersonen möchten daher – neben der reinen Materialablage und Hausaufgabenkontrolle über Schulportale wie IServ oder Moodle – den persönlichen Kontakt, die pädagogische Beziehung zu den Schülerinnen und Schülern aufrecht erhalten. Das ist unter den aktuellen Bedingungen per Telefon oder Mail häufig nicht zu leisten – und auf der Ebene persönlichen Kontakts auch gar nicht vergleichbar, wie die Erfahrungen und Rückmeldungen der letzten Wochen zeigen.
Videokonferenzen haben sich dafür als ein – unter geeigneten Bedingungen kompaktes und zielführend einsetzbares – Mittel bewährt. Das zeigt sowohl das Feedback der Schülerinnen und Schüler als auch Kolleginnen und Kollegen. Gerade in Lerngruppen mit wenigen Wochenstunden stellen Videokonferenzen ein gutes Medium dar, um trotzdem im persönlichen Gespräch zu bleiben und unkompliziert Fragen klären zu können. Das können Messenger oder andere Kommunikationswege in dieser Form nicht leisten.

Dieser Beitrag ist in Zusammenarbeit von Dirk Thiede als Datenschutzbeauftragter und Hauke Pölert als von den Schulschließungen betroffener Lehrer entstanden. Aus Zeit- und Informationsmangel herrscht aktuell große Unsicherheit unter Lehrpersonen, Schülerinnen und Schülern und Eltern, was die Nutzung von Videokonferenzen angeht. Dieser Beitrag stellt den Versuch dar, so ausführlich wie nötig und so prägnant wie möglich die Perspektiven eines pragmatisch orientierten Lehrers und eines Datenschutzbeauftragten zusammenzubringen. Die Hoffnung / das Ziel: Lehrpersonen eine Orientierungsmöglichkeit zu bieten, denn bislang fehlen in den meisten Bundesländern entsprechende Handreichungen. 

Die meisten Kultusministerien haben auf diesen status quo reagiert und nennen in ihren Handreichungen als mögliche Kommunikationsmittel zumeist auch Videokonferenzen. In Hessen deutet sich aktuell sogar eine möglicherweise verpflichtende Teilnahme an Videokonferenzen – ohne Einschränkung auf bestimmte Anbieter – an.

Bei Schulschließungen zur Bewältigung der Corona-Krise können Videokonferenzen einen wesentlichen Beitrag zur Erfüllung des staatlichen Bildungs- und Erziehungsauftrags leisten. Der HBDI geht daher davon aus, dass für die Dauer der Krisenbewältigungsmaßnahmen die gegenwärtig erhältlichen Videokonferenzsysteme aufgrund einer vorläufigen positiven Beurteilung gemäß Art. 6 Abs. 1 Buchs. d) und e) DS-GVO als erlaubt gelten.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Auch der niedersächsische Kultusminister schließt in dem „Leitfaden Schule in Corona-Zeiten“ [Abrufdatum: 02.05.20], der Hinweise zum Unterricht unter Corona-Bedingungen gibt, Videokonferenzen ein:

Doch gerade die inzwischen übliche Verwendung von Videokonferenzen im Fernunterricht wirft auch viele Fragen auf. Diese eigentlich schon seit vielen Jahren im privaten Rahmen übliche Kommunikationsform ist im Bildungsbereich neu. Das führt auch zu Unsicherheit. Vor allem bei den vielen motivierten Lehrpersonen, die sich neben der großen Arbeitsbelastung nicht auch noch in die Tiefen der Datenschutzvorgaben einarbeiten können und dann bei der ersten Kritik lieber gleich auf die Nutzung verzichten.

Zoom – explodierende Nutzerzahlen, zunehmende Kritik

Besonders häufig wird für Videokonferenzen derzeit ein Tool verwendet, das zuvor nur wenig bekannt war: Zoom.

Pädagogische Erfordernisse, technische Möglichkeiten und der Vergleich unterschiedlicher Videokonferenz-Tools führten auch an vielen Schulen zur Nutzung von Zoom-Videokonferenzen. Die spezifischen Vorteile des Tools ließen die Nutzerzahlen in kürzester Zeit in die Höhe schnellen. Waren es Anfang Dezember 2019 noch 10 Millionen Nutzer täglich, wuchs die Nutzung von Zoom auf über 300 Millionen täglich im April 2020 an. Kaum eine Lehrperson, die bislang noch nicht zumindest von Zoom gehört hätte.

• • Hier ein Überblick über häufig genutzte Videokonferenz-Tools
  • In einem weiteren Blogbeitrag gehe ich auf die 10 praktischsten Funktionen von Zoom ein

Doch der Erfolg und die gestiegene Nutzung führten auch zu Problemen und Kritik an der Anwendung. Hier einige der bekanntesten Kritikpunkte:

• • Die Einbindung des Facebook-SDK in die App, das dann bei jeder Zoom-Nutzung Daten an Facebook schickte.
  • Der Hinweis, dass bei einer Mac-Installation ohne das Wissen der Nutzer ein Webserver installiert wurde, mit dessen Hilfe im theoretischen Fall eines Angriffs auch die Kamera hätte übernommen werden können.
  • Die zunächst deutlich zu zögerliche Informationspolitik des Unternehmens.
  • Das zunehmend aufkommende Phänomen von „Zoom-Bombing“, bei dem sich User unbefugten Zugriff zu Videokonferenzen verschaffen und dann – sei es mit politischen, pornographischen oder anderweitigen Inhalten – Videokonferenzen stören.

Zoom aus Sicht eines pragmatisch orientierten Lehrers

In Bezug auf Schule und Unterricht herrscht weitgehende Einigkeit darüber, dass unter den derzeitigen Bedingungen – zumindest in der Sekundarstufe I – Videokonferenzen im Unterricht nicht verpflichtend stattfinden sollten. Vielmehr ist es empfehlenswert,

• • zunächst über die üblichen Bedingungen und Hintergründe der Nutzung von Videokonferenzen zu informieren
  • ggf. eine Einwilligungserklärung in die Datenverarbeitung durch Zoom für Eltern und Schüler zur Verfügung zu stellen
  • und nur unter den Bedingungen freiwilliger Teilnahme und gegenseitiger Einverständnis Videokonferenzen mit Schülern durchzuführen.

Auf dieser Basis sprechen einige Punkte für die Nutzung von Zoom für Online-Unterricht, wie z.B.

• • äußerst stabile Verbindungen und Konferenzen mit bis zu 100 Teilnehmern, was insbesondere im Vergleich mit anderen Tools (wie IServ Videokonferenzen, Jitsi u.a.) einen deutlichen Vorteil darstellt.
  • zahlreiche Funktionen, die besonders für Lehren und Lernen zielführend und praktisch sind.
  • zahlreiche Sicherheitsfeatures, die das Arbeiten mit Zoom gerade für Lehrpersonen gut kontrollierbar und insgesamt sehr sicher machen.

Zwei Dinge sind aber ganz entscheidend zu beachten und sollten die eigene Meinungsbildung und dann auch Planung bestimmen:

• • Die Arbeit mit Videokonferenzen in einem so sensiblen Bereich wie der Schule setzt voraus, dass grundlegende Sicherheitsregeln eingehalten werden, die aber genauso auch für andere Videokonferenz- und teilweise auch Messenger-Anwendungen gelten.
  • Bei der Bewertung von Zoom als Videokonferenz-Tool sollte auch bei der (alarmierenden) Presseberichterstattung kritisch beurteilt werden, welche Hintergründe die Berichte haben bzw. wie es zu dem betreffenden Zwischenfall kam und auf welcher Informationsbasis die Beurteilungen beruhen.

Pressemeldungen, Updates und Experten-Einschätzungen

Im Moment werden viele Entwicklungen durch die Sozialen Medien getrieben – das kann schnell zu Fehl- oder Überbewertungen führen – während die Printpresse häufig erst berichtet, wenn Schwachstellen oder Fehler bereits durch Updates behoben worden sind. So teilweise auch im Fall von Zoom.

Dennoch gilt selbstverständlich, dass alle in der Schule eingesetzten Anwendungen genau geprüft und kritisch bewertet werden sollten! Entsprechende Meldungen sind sehr ernst zu nehmen. Doch im Fall von Videokonferenzen ist unter den aktuellen Bedingungen das Abwägen von pragmatischen, pädagogisch motivierten Überlegen und datenschutzrechtlichen Bedenken besonders schwierig.

Mit Blick auf die kritische Berichterstattung über Zoom ist zunächst anzumerken, dass:

• • zahlreiche der (tatsächlich in der Vergangenheit existierenden, aber nach bisherigem Stand für normale User nur theoretischen) potentiellen Risiken der Anwendung selbst inzwischen (per Update) behoben worden sind.
  • insbesondere mit der Ende April erschienenen Version 5.0 nochmal deutliche Sicherheitsverbesserungen einhergehen.
  • laut der differenzierten Einschätzung des IT- und Datenschutz-Fachanwalts Stephan Hansen-Oest, Zoom datenschutzkonform einsetzbar ist.
  • die aktuellen Berichte über Zoom-Bombing, pornographische oder politisch extremistische Störungen von Videokonferenz in den meisten Fällen kein spezifisches Sicherheitsproblem von Zoom darstellen, sondern vielmehr in der falschen Nutzung der Anwendung begründet liegen.

Häufiger Grund für Zoom-Bombing: Fehler von Nutzern

Das führt zum zweiten wichtigen Punkt, nämlich individuelle Fehler von Zoom-Nutzern bzw. auch Nutzern anderer Videokonferenz-Tools, die unvorbereitet oder wenig reflektiert Videokonferenzen im Bildungsbereich einführen. Denn für viele Lehrpersonen sind Videokonferenzen eine gänzlich neue Möglichkeit – Interesse, Euphorie und zugleich hohe Arbeitsbelastung führen dann nicht selten zur wenig überlegten und dem Medium nicht entsprechend vorbereiteten ad hoc-Anwendung von Video-Chats.

Entscheidend wichtig: Nutzer müssen, wie bei allen digitalen Kommunikationsformen, Regeln und Grundsätze beachten, haben das bisher aus Mangel an Kenntnissen oder Zeit aber häufig nicht getan. Ein wesentlicher Grund für Zoom-Bombing.

Top 7: Zoom-Videokonferenzen sicher einstellen

Zoom bietet als professionelle Anwendung zahlreiche Sicherheitseinstellungen, die es letztlich Unbefugten unmöglich machen, ein Meeting zu betreten. Zahlreiche dieser Funktionen können auch noch während eines Meetings (ab Version 5.0 über den Security-Button im Host-Fenster) eingestellt werden. Empfehlenswert ist, die folgenden Möglichkeiten grundsätzlich zu nutzen:

1. 1. Die Wartezimmer-Funktion ist bei Zoom grundsätzlich aktiviert und sorgt dafür, dass keine Teilnehmer vor dem Host ein Meeting betreten. Nach Beginn des Meetings kann der Host die wartenden Teilnehmer einzeln oder als Gruppe ins Meeting holen.
   2. Meeting-Passwort: Diese Funktion zu aktivieren ist sehr empfehlenswert, da dann nur Teilnehmer, die über das Passwort verfügen mit dem Link das Meeting betreten können.
   3. Nicht Eingeladene entfernen: Per Klick auf den Security-Button lassen sich im Fall der Fälle nicht eingeladene Meeting-Teilnehmer problemlos entfernen.
   4. Private Chats deaktivieren: Diese Einstellung verhindert das Chatten der Teilnehmer untereinander, was eine nette Abwechslung sein kann, aber wenig zielführend ist. Ist diese Funktion aktiviert, können Meeting-Teilnehmer aber weiterhin mit der Lehrperson chatten.
   5. Bildschirmfreigabe deaktivieren: Für Bildungsinstitutionen ist diese Funktion grundsätzlich auf die Lehrpersonen beschränkt. Während eines Meetings kann die Bildschirmfreigabe aber auch per Klick auf den Security-Button für die Teilnehmer aktiviert werden.
   6. Links niemals öffentlich posten: Diese Regel trifft natürlich auf alle online-Tools zu. Wer Zugangsdaten zu IServ, Jitsi, Big Blue Button oder eben Zoom öffentlich postet, sollte sich nicht über unerwünschten Besuch wundern. Daher sollte diese Regel immer eingehalten und auch den Schülern verdeutlicht werden. Denn natürlich beruht  eine Videokonferenz immer auch auf gegenseitigem Vertrauen.
   7. Meeting schließen: Mit dieser Funktion, die ebenfalls unter dem Security-Button zu finden ist, lässt sich garantieren, dass niemand mehr ein Meeting betreten kann – ob mit oder ohne Passwort. Es empfiehlt sich nach Meeting- oder Unterrichtsbeginn das Meeting zu sperren. Damit kann Zoom-Bombing definitiv unterbunden werden.

Handreichung: Zoom-Videokonferenzen sicher einstellen

Wie hier zu sehen ist, bietet gerade Zoom viele Sicherheitsfunktionen, die einen sehr weitgehenden Schutz ermöglichen. Hält man die einfachen, in der hier gezeigten Handreichung aufgezeigten Regeln ein, ist der Zugriff Dritter auf eine Zoom-Videokonferenz – genauso wie z.B. auch auf Jitsi, Big Blue Button o.a. – unter normalen Bedingungen nicht möglich.

Beachtet man diese mit Zoom einfach einzustellenden Sicherheitsregeln aber nicht, kann es zu solchen Ereignissen kommen, wie sie in der Presse jetzt häufiger beschrieben werden: Ein Dozent oder Lehrer, der Zugangsdaten zu einer Videokonferenz mit Lernenden in den Sozialen Medien postet, sollte grundlegend seine Arbeitsweise und Vorbildfunktion bedenken. Das würde im Übrigen genauso alle anderen Tools wie Jitsi, Big Blue Button u.a. betreffen. Hier fehlt häufig die notwendige Sensibilität.

Neben diesen Sicherheitsfunktionen spricht auch das in der Unterrichtspraxis häufig übliche bzw. empfehlenswerte Vorgehen für eine datensparsame Nutzung der Zoom-Anwendung:

• • Setze ich Zoom im Unterricht ein, so benötigen die Schülerinnen und Schüler keinen eigenen Account,
  • können dem Meeting – ohne Installation des Zoom-Clients – über den Browser beitreten (Youtube-Tutorial),
  • können sich – falls gewünscht – mit einem anonymen Nutzernamen anmelden
  • und können während der Videokonferenz – falls gewünscht – die Kamera ausgeschaltet lassen.

Der persönliche Austausch ist mit diesem Vorgehen praktisch anonym mit großer Datensparsamkeit und unter Beachtung der Datenschutzbestimmungen möglich. Dabei werden aber natürlich Daten verarbeitet, die in einer Einwilligungserklärung in die Datenverarbeitung aufgeschlüsselt werden sollten.

Bei der Teilnahme an einer Zoom Videokonferenz ohne eigenes Nutzerkonto werden Metadaten zur Konferenz verarbeitet:

• • Thema, Beschreibung (optional)
  • IP-Nummer des Teilnehmers und
  • Informationen zum genutzten Endgerät
  • Bei Nutzung des Chats in Zoom sind die Chat-Inhalte Gegenstand der Verarbeitung

Bei Bestehen eines Nutzerkontos (nicht erforderlich), werden außerdem folgende Daten verarbeitet:

• • Vorname, Nachname
  • Telefonnummer (optional)
  • E-Mail
  • Passwort
  • Profilbild (optional)

Die Nutzung von Zoom betreffend bin ich nach langer Einarbeitung und Beschäftigung mit dem Thema, dem Austesten inzwischen fast sämtlicher Alternativen zusammen mit meinen Kollegen und Rücksprachen mit Datenschutzbeauftragten zu dem Ergebnis gekommen, dass sich dieses Tool sehr datensparsam und sicher im schulischen Bereich einsetzen lässt.

Zoom aus Sicht eines Datenschutzbeauftragten

Für diesen Beitrag hat sich mit Dirk Thiede ein Datenschutzbeauftragter zur Mitarbeit bereit erklärt. Auf seiner Website Datenschutz-Schule.info stellt der Autor (behördlicher Datenschutzbeauftragter für die Schulen im Kreis Olpe, NRW) umfassende Informationen – datenschutzrechtliche Einschätzungen, Service-Materialien, Hintergrundartikel – für Schulleitungen, Lehrpersonen, Schüler und Eltern zur Verfügung.

Aktuelle Nutzung von Zoom-Videokonferenzen

Zoom ist aktuell die Plattform, an die viele Menschen denken, wenn es um Videokonferenzen geht. Durch die rasant gestiegene Zahl von Benutzern ist die Plattform in den Fokus von Datenschutzexperten wie auch Hackern gerückt. Eine Reihe von Fehlern, die der Anbieter in der Vergangenheit bei der Entwicklung der Plattform gemacht hat, haben ihn dann schnell eingeholt. Dazu gehörte, dass man zu lange vor allem auf umfangreiche Funktionalität und Leistung gesetzt hat, dabei aber im Bereich Sicherheit etwas nachlässiger war. Das rächte sich in jüngster Vergangenheit, wie weiter oben erwähnt, durch zahlreiche negative Schlagzeilen. Für normale Nutzer ist dabei kaum zu erkennen, ob es bei reißerischen Überschriften und Meldungen um reelle Gefahren bei der Nutzung von Zoom geht, um Schwachstellen, die längst behoben sind, oder gar um Probleme, die auf fehlerhafte Bedienung durch die Benutzer zurückzuführen sind.

Wird in Schulen Lehrkräften oder Eltern Zoom als Videokonferenz-Plattform für Online Unterricht in Zeiten von Corona-Schulschließungen vorgeschlagen, reagieren viele mittlerweile, verunsichert von den zahlreichen Negativmeldungen, ablehnend.

Tun sie das zurecht, oder kann man Zoom nicht doch nutzen, um mit Schülern in Gruppen und Klassenverbänden regelmäßig von Angesicht zu Angesicht in Kontakt zu treten?

Zoom – Steckbrief

• • Zoom-Website
  • Anbieter-Informationen: Unternehmen mit Sitz in San Jose, Kalifornien/USA
  • Datenschutzerklärung
  • Datenschutzerklärung für Schulen
  • Nutzungsbedingungen
  • Zoom Data Processing Addendum (Version von März 2019 – Schulen sollten per Kontakt die aktuelle Version anfordern)

Zoom ist mittlerweile eine Firma mit Niederlassungen in verschiedenen Ländern, darunter auch in der EU. Der Dienst wird über Server in verschiedenen auf der ganzen Welt verteilten Server-Standorten erbracht. Neben dem Hauptquartier in den USA gibt es noch eine Entwicklungsabteilung in China. Nachdem es Probleme mit dem Routing einiger Videokonferenzen durch die chinesische Niederlassung gab, hat der Anbieter dieses mittlerweile abgestellt und sichert zu, dass Videokonferenzen, die nicht von in China registrierten Nutzern initiiert werden, auch nicht durch China laufen. Auch wenn die Videokonferenzen europäischer Nutzer durch Datenzentren in der EU laufen, so werden die Konten dieser Nutzer, soweit bekannt, in den USA geführt.

Zoom und die DS-GVO

Rein formell erfüllt Zoom die datenschutzrechtlichen Voraussetzungen für eine Nutzung durch Personen in der EU. Der Anbieter hat sich EU-US Privacy Shield zertifiziert. Damit ist der Datentransfer in die USA abgesichert. Außerdem bietet Zoom entsprechend Art. 3 Art. 26 DS-GVO und Art. 46 Abs. 2 lit. c DS-GVO die EU-Standardvertragsklauseln als Bestandteil des Data Processing Addendum an.

“Schließen der Datenexporteur und der Datenimporteur einen Vertrag unter Verwendung der Standarddatenschutzklauseln der EU-Kommission (Art. 46 Abs. 2 lit. c DS-GVO), ist der darauf basierende Datentransfer ohne weitere Genehmigung durch die Aufsichtsbehörde zulässig …” [Datenschutz Rheinland-Pfalz, abgerufen am 25.04.2020]

Zoom mit kostenlosem Konto versus Bezahlkonto

Schulen dürfen gemäß §2 Abs. 3 VO-DV I Dritte nur im Rahmen eines Vertrags zur Auftragsverarbeitung mit der Verarbeitung von personenbezogenen Daten beauftragen. Zoom bietet mit dem Data Processing Addendum ein dem Vertrag zur Auftragsverarbeitung der DS-GVO gleichwertigen Vertrag an. Durch diesen ist sichergestellt, dass der Anbieter die personenbezogenen Daten der an Videokonferenzen beteiligten Personen nur auf Weisung der Schule und zu deren Zwecken verarbeitet. Nicht erfasst von dieser Regelung sind üblicherweise im Hintergrund laufende technische Prozesse und dabei anfallende Logdaten, die keine personenbezogenen Daten beinhalten sollten.

Das Data Processing Addendum erhalten Schulen nur, wenn sie einen kostenpflichtigen Zugang über den Anbieter lizenzieren. Damit genügt die Verarbeitung von personenbezogenen Daten im Rahmen von Videokonferenzen durch Zoom dann den Vorgaben von §2 Abs. 3 VO-DV I.

Bei einem kostenfreien Zugang erhalten Schulen bzw. Lehrkräfte, die sich ein solches Konto erstellen, kein Data Processing Addendum. Die Übermittlung von personenbezogenen Daten der Videokonferenzteilnehmer ist zwar noch immer durch den EU-US Privacy Shield abgesichert, doch ohne das Data Processing Addendum gibt es keine Garantie, dass Zoom nicht über Cookies bestimmte Informationen der Nutzer verwertet, wie etwa in den Cookie Richtlinien unter Advertising Cookies beschrieben. Da kostenfreie Zugänge nur für Privatpersonen gedacht sind, können Schulen dann auch nicht die vollständige Einhaltung der in den speziellen Datenschutzrichtlinien für K12 Schulen beschriebenen Zusagen bezüglich des besonderen Schutzes von personenbezogenen Daten von Schülern erwarten.

Standard im Corona-Fernunterricht: Kostenlose Zoom-Version

Zoom bietet Nutzern die Möglichkeit, die Videokonferenz-Plattform auch ohne ein kostenpflichtiges Konto zu nutzen. Dabei stehen Nutzern auch die zentralen Funktionen der Plattform zur Verfügung. Im Kontext der Corona-Schulschließungen wurde für Schulen das 40-Minuten-Limit der kostenlosen Basic-Version aufgehoben – ein Option, die viele Schulen derzeit nutzen.

Um die datenschutz- und schulrechtlichen Vorgaben möglichst gut zu erfüllen, ist aber prinzipiell der Kauf von Nutzerlizenzen für Gastgeber zu empfehlen, bei Schulen als Schullizenz, und der Abschluss eines Vertrags zur Auftragsverarbeitung (bei Zoom – Data Processing Addendum). Nicht immer haben Schulen diese Möglichkeit.

Von daher stellt sich die Frage, ob es auch möglich ist, mit kostenlosen Zoom-Konten zu arbeiten, welche Lehrkräfte für sich erstellen und womit sie dann Schüler zu Videokonferenzen einladen?

Dieser Text geht nicht auf etwaige Sicherheitsprobleme der Plattform ein, sondern geht davon aus, dass bisher veröffentlichte Sicherheitslücken durch den Anbieter abgestellt wurden und Nutzer als Gastgeber mit sicheren Einstellungen Videokonferenzen durchführen.

Kein Vertrag zur Auftragsverarbeitung – ein Problem?

Die Nutzung einer Videokonferenz-Plattform ohne Vertrag zur Auftragsverarbeitung wirkt sich aus datenschutzrechtlicher Sicht dahingehend aus, dass der Verantwortliche (Schule bzw. Schulleitung) keine Kontrolle über die Verarbeitung von personenbezogenen Daten aus der Schule durch den Anbieter hat. Eine Nutzung, bei welcher der Verantwortliche für Schüler Nutzerkonten erstellt und diese verwaltet, scheidet von daher eindeutig aus, da dieses nicht mit schul- und datenschutzrechtlichen Vorgaben vereinbar wäre.

In Zoom können in einem kostenlosen Konto keine weiteren Benutzer angelegt werden. Eine Datenverarbeitung findet jedoch nicht nur statt, wenn Nutzer angelegt und verwaltet werden, sondern auch, wenn andere Personen an einer Videokonferenz teilnehmen. Das ist analog zu sehen zum Besuch der Schulhomepage, bei dem ebenfalls personenbezogene Daten der Websitebesucher erhoben und verarbeitet werden, und seien es nur Informationen zur IP-Nummer, dem Betriebssystem, der Browserversion, den innerhalb der Website besuchten Seiten und ähnliche Daten. Für den Betrieb einer Website benötigen Schulen einen Vertrag zur Auftragsverarbeitung mit dem Hoster, dem Anbieter des Webspace, auf welchem die Website betrieben wird.

Schulen können von daher als Institution Schule kein kostenloses Zoom Konto beantragen und nutzen.

Übliches Vorgehen: Lehrpersonen nutzen eigene Zoom-Konten – eine praxistaugliche Lösung?

Wenn Schulen als Institution Zoom nicht mit einem kostenlosen Konto nutzen können, bleibt noch die derzeit übliche Alternative, dass die einzelnen Lehrkräfte sich ein solches Konto einrichten und ihre Schüler dann zu den Videokonferenzen einladen. Immer dann, wenn im Schulgesetz eine Datenverarbeitung legitimiert wird, kann diese ohne Einwilligung der Betroffenen stattfinden. Die Verarbeitung von Leistungsdaten durch die Schule und Lehrkräfte wäre ein Beispiel dafür.

Für die Durchführung von Videokonferenzen bietet das Schulgesetz, in NRW und vermutlich auch kaum einem anderen Bundesland, bis jetzt keine rechtliche Grundlage. Lässt sich aus dem Schulgesetz keine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten von Schülern und Lehrkräften ableiten, bleibt regelmäßig nur noch die Alternative, diese Verarbeitung über eine Einwilligung zur Nutzung zu legitimieren.

Vorausgesetzt es bestehen das beiderseitige Einverständnis und die Freiwilligkeit der Anwendung, ist diese aktuell zumeist praktizierte Option also legitimiert.

• • Hier können Sie eine EU-DSGVO-konforme Einwilligung zur Nutzung von Zoom herunterladen (für Schüler)
  • Hier können Sie eine EU-DSGVO-konforme Einwilligung zur Nutzung von Zoom herunterladen (für Lehrpersonen)

Zoom und der Schutz personenbezogener Daten

Die Zoom-Videokonferenzplattform bietet zudem eine Reihe von weitergehenden Möglichkeiten, die personenbezogenen Daten der Teilnehmer einer Videokonferenz zu schützen. Abschließend sei noch auf die folgenden, weiter oben bereits teilweise genannten Aspekte hingewiesen:

• • Möglichkeit der Teilnahme ohne eigenes Nutzerkonto,
  • Verzicht auf die Nutzung des kompletten Namens als Benutzername in der Videokonferenz,
  • Verzicht auf Video, wo nicht erforderlich,
  • Teilnehmern eine Teilnahme über den Browser, also ohne Installation einer Software, erlauben,
  • Nutzung eines Warteraums, in welchem Teilnehmer warten müssen, bis der Gastgeber sie in das Meeting aufnimmt,
  • Schutz der Videokonferenz mit einem Passwort,
  • Überblenden des Hintergrundes der Teilnehmer bei Teilnahme mit Video (setzt jedoch Nutzung einer Client Software voraus),
  • Deaktivierung von Screensharing bei den Teilnehmern,
  • Verzicht auf die Aufzeichnung von Videokonferenzen,
  • Schließen von Videokonferenzräumen nach Ende der Videokonferenz,
  • Erarbeitung von Regeln für eine verantwortungsvolle Nutzung von Zoom durch Gastgeber und Teilnehmer.

Zoom-Videokonferenzen in der Schule – Fazit und Handlungsempfehlungen

Längerfristige Perspektive mit dem Ziel dauerhafter Nutzung

Wollen Schulen inbesondere auch nach Corona und längerfristig Zoom-Videokonferenzen für den Distanzunterricht oder die Durchführung von Lehrerkonferenzen nutzen, empfiehlt sich die Nutzung eines bezahlten Schulkontos und Zeichnung des Data Processing Addendum. In dieser Konstellation können Schulen die Vorgaben von Schulgesetz und DS-GVO sehr gut umsetzen und die Risiken für Kinder und Jugendliche als Teilnehmer maximal reduzieren.

Gekoppelt mit einer Sensibilisierung der Lehrkräfte als Gastgeber und Schüler als Teilnehmer für eine verantwortungsvolle Nutzung des Mediums und mit vereinbarten Regelungen in Form einer Nutzungsvereinbarung, kann die Schule als organisatorische Maßnahme zusätzlich für ein Mehr an Sicherheit und geringere Risiken sorgen. Dieses muss durch technische Maßnahmen, das meint sichere Voreinstellungen innerhalb der Plattform, ergänzt werden.

Werden dann die betroffenen Lehrkräfte, Schüler und Eltern umfassend über diese Maßnahmen und die mit der Nutzung von Zoom einhergehende Verarbeitung von personenbezogene Daten informiert und haben sie eine echte Möglichkeit zu einer freiwilligen Entscheidung, ob sie ihre Einwilligung geben oder verweigern, steht einer Nutzung von Zoom an einer Schule für den Distanzunterricht nichts im Wege.

Dirk Thiede

Werden dann die betroffenen Lehrkräfte, Schüler und Eltern umfassend über diese Maßnahmen und die mit der Nutzung von Zoom einhergehende Verarbeitung von personenbezogene Daten informiert und haben sie eine echte Möglichkeit zu einer freiwilligen Entscheidung, ob sie ihre Einwilligung geben oder verweigern, steht einer Nutzung von Zoom an einer Schule für den Distanzunterricht nichts im Wege. Die Freiwilligkeit der Entscheidung setzt echte Alternativen voraus, etwa die Beschränkung auf eine Teilnahme über Audio oder eine alternative Kontaktaufnahme. Einer Teilnahme über Audio, ohne ein Benutzerkonto und ohne Installation einer Software, dürfte sich kaum ein Betroffener verweigern.

Nach Möglichkeit sollte eine Schule die Gremien der Mitbestimmung bei der Entscheidung zur Einführung von Zoom mit einbeziehen. Die Informationen zur Datenverarbeitung sowie die Maßnahmen, welche die Schule zum Schutz der personenbezogenen Daten der Betroffenen treffen wird, sollten dabei von diesen mit in die Entscheidung einbezogen werden.

Zum derzeitigen Standardfall: Nutzung der kostenlosen Zoom-Version in der Schule

Je nach Bundesland ist die Kommunikation von Lehrkräften mit Schülern über Social Media entweder unter bestimmten Voraussetzungen geduldet oder strikt untersagt. Auch wenn Zoom kein Facebook ist und kein WhatsApp, so kann jedoch davon ausgegangen werden, dass die Kommunikation über eine Videokonferenz-Plattform ohne ein offizielles Schulkonto von Schulministerien und Datenschützern vielfach analog eingeschätzt wird.

Wenn die Schulleitung ihren Lehrkräften die Zustimmung zur Nutzung einer Videokonferenz-Plattform für den Austausch mit Schülern gibt, dann können Lehrkräfte diese mit ihren Schülern nutzen.

• • Das setzt außerdem eine Zustimmung der Betroffenen voraus, die immer nur freiwillig sein kann.
  • Freiwilligkeit kann nur gewährleistet sein, wenn sich aus einer Nichteinwilligung keine Nachteile für die Betroffenen ergeben.
  • Das ist nur dann der Fall, wenn das Angebot zur Teilnahme an Videokonferenzen entweder ein zusätzliches Angebot ist, welches keine Auswirkung auf Lernen und Schulerfolg hat, die Teilnahme auf Audio beschränkt werden kann oder die in der Videokonferenz besprochenen Inhalte auch über andere Kanäle verfügbar gemacht werden können (z.B. als Protokoll per E-Mail oder zum Download von einem Schulserver).
  • Bei jüngeren Schülern vor Vollendung des 16. Lebensjahres muss die Zustimmung durch die Eltern erfolgen.
  • Für eine Zustimmung sollten den Betroffenen ausreichend Informationen über die mit der Nutzung der Videokonferenz-Plattform verbundene Datenverarbeitung gegeben werden, so dass sie in die Lage versetzt werden, die mit einer Nutzung verbundenen Risiken abzuschätzen.

Insgesamt dürfte man sich mit diesem Vorgehen aus schul- und datenschutzrechtlicher Sicht zum jetzigen Zeitpunkt in einem Graubereich bewegen, der in vielen Bundesländern und zahlreichen Schulen aber momentan den Regelfall darstellt.

In der aktuellen Situation der durch Covid-19 bedingten Schulschließungen werden datenschutzrechtliche Vorgaben vielerorts freizügig ausgelegt, worauf die Publikationen zahlreicher Kultusministerien schließen lassen. Mögliche einschränkende Regelungen sind deshalb immer landesspezifisch zu bewerten und hängen daher sehr von der individuellen Situation und den beteiligten Akteuren ab.

Und außerdem…

Der Anbieter Zoom ist sehr bemüht, seine Plattform weiterzuentwickeln und die Sicherheit der Videokonferenzen weiter zu verbessern. Es ist trotzdem damit zu rechnen, dass auch in Zukunft immer wieder Meldungen auftauchen werden über echte oder angebliche Sicherheitslücken und daraus folgende Verbote an Schulen, Behörden, in ganzen Schulbezirken oder gar Ländern.

Nach allem, was in den letzten Wochen und Monaten zu beobachten war und ist, meint es der Anbieter mit seinen Bemühungen, die personenbezogenen Daten seiner Kunden maximal zu schützen, sehr ernst. Wenn neue Sicherheitslücken auftauchen, sollten diese zeitnah geschlossen werden. Ein Blick auf einschlägige Seiten, die sich ernsthaft mit der Sicherheit von Plattformen wie Zoom auseinandersetzen, lohnt immer, wenn entsprechende Meldungen auftauchen. Die Schule als verantwortliche Stelle ist in der Verantwortung, und verliert diese das Vertrauen in die Plattform, sollte sie die Nutzung von Zoom – wie auch jeder anderen Anwendung, deren Vertrauenswürdigkeit nicht mehr gegeben ist – einstellen und das Konto sowie alle Daten löschen.

---

Dieser Artikel ist in Zusammenarbeit von Dirk Thiede als Datenschutzbeauftragter und Hauke Pölert als von den Schulschließungen betroffener Lehrer entstanden.

Beide Perspektiven zeigen den schmalen Grat, auf dem sich Lehrpersonen bewegen, wenn sie aus pädagogischer Motivation heraus funktionale, intuitiv und problemlos nutzbare Videokonferenz-Lösungen nutzen möchten. Zugleich verdeutlichen die aktuellen Entwicklungen in den Schulen den großen Bedarf an einer pragmatischen und an der Unterrichtsentwicklung orientierten Datenschutz-Rahmung im Bildungswesen, die zugleich größtmögliche Sicherheit und den Schutz von Kindern, Jugendlichen und Lehrpersonen fokussiert. Die Diskrepanz zwischen Vorgaben und Praxis ist derzeit besonders deutlich und könnte Ausgangspunkt für eine kritische Diskussion der Datenschutz-Problematik in einem zunehmend digitalisierten Bildungswesen sein.