Liebe Orga, hier drei aufeinander aufbauende Resolutionen  aus dem AK "Datenshutz Videokonferenzsysteme" Resolution: "Datenschutzrechtliche Bewertung der Zulässigkeit von //nichteuropäischen// Videokonferenzdiensten und cloudbasierten Diensten im universitären Lehrbetrieb an Hochschulen" Resolution: "Datenschutzrechtliche Bewertung der Zulässigkeit von //nichteuropäischen// Videokonferenzdiensten und cloudbasierten Diensten im universitären Lehrbetrieb an Datenschutzbeauftragte" Beschluss: "Aufruf an den StaPF den Aufruf an Studierende, lokale Datenschutzbeauftragte zur Prüfung der Datenschutzkonformität von //nichteuropäischen// Videokonferenzdiensten und cloudbasierten Diensten im universitären Lehrbetrieb an Fachschaften im deutschsprachigen Raum weiter zu leiten." Die anderen Antragsteller im CC zur Info Liebe Grüße, Tobi === Resolution an Datenschutzbeauftragte === Resolution von: Jörg (Siegen), Tobi (Düsseldorf), Sean(Bonn), Jörg (Alumni) Resolution: "Datenschutzrechtliche Bewertung der Zulässigkeit von //nichteuropäischen// Videokonferenzdiensten und cloudbasierten Diensten im universitären Lehrbetrieb an Datenschutzbeauftragte" Empfänger sind: Datenschutzbeauftragte von Bund und Ländern Die ZaPF schließt sich dem Inhalt der Resolution der KaWuM "Datenschutzrechtliche Bewertung der Zulässigkeit von //nichteuropäischen// Videokonferenzdiensten und cloudbasierten Diensten im universitären Lehrbetrieb" vollumfänglich an. Dies heißt im Einzelnen: Nichteuropäische Videokonferenz- und cloudbasierte Dienste wurden in der Pandemiesituation an fast allen deutschen Hochschulen eingeführt, um digitale Lehre zu ermöglichen. Bereits seit Beginn der aktuellen Pandemie sind Probleme mit nichteuropäischen/amerikanischen Systemen bekannt; diese wurden, insbesondere in Hinblick auf den zeitkritischen Handlungsdruck, von diversen Stellen geduldet. In einer Kurzanalyse hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Berlin bereits gravierende Mängel in den Auftragsdatenverarbeitungsverträgen (ADV) diverser Videokonferenzsystemanbieter aufgezeigt und Zweifel an der Vertrauenswürdigkeit geäußert[1]. Diese gelten größtenteils genauso für andere Systeme. Der EuGH hat das „EU-US Privacy Shield“-Abkommen gekippt[2], dementsprechend sollten die Datenschutzbeauftragten sämtliche eingesetzte Software mit Hinblick auf Datenschutz (vor allem DSGVO) erneut prüfen und unter dem Vorbehalt, dass in Amerika der FISA (Foreign Intelligence Surveillance Act) meist für diese Angebote gilt. Diese Prüfung hat bisher nicht stattgefunden. Besonders sollte das Augenmerk darauf liegen, dass bei den Studierenden nicht von einer „informierten Zustimmung“ ausgegangen werden kann. Schließlich haben Studierende meist nur die Wahl, nicht an Veranstaltungen teilzunehmen und somit nicht weiter zu studieren oder aber der Datenschutzklausel zuzustimmen. Aus diesen Gründen gehen wir davon aus, dass die Nutzung entsprechender Dienste in der Hochschullehre rechtswidrig ist und fordern eine Prüfung und Stellungnahme durch die Datenschutzbeauftragten von Bund und Ländern. Die anhaltende Situation hat den Hochschulen hier ausreichend Zeit geboten, datenschutzfreundliche Alternativen zu erproben und für den Produktivbetrieb vorzubereiten. Bisher sind an den meisten Universitäten aber keine Bemühungen erkennbar, sich an geltendes Recht zu halten. [1] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungs... [2] https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1594929248980&uri... === Resolution an Universitäten === Resolution: "Datenschutzrechtliche Bewertung der Zulässigkeit von //nichteuropäischen// Videokonferenzdiensten und cloudbasierten Diensten im universitären Lehrbetrieb an Hochschulen" Resolution von: Jörg (Siegen), Tobi (Düsseldorf), Sean(Bonn), Jörg (Alumni) Empfänger: Rektorate von Universitäten mit Physikstudiengängen (wegen Relevanz und es gibt SEHR viele Universitäten) Oberresolution mit folgendem Text nach "Bund und Länder." anstatt dem Abschnitt der in der oberen Reso Steht. "Ebenso fordern wir die Hochschulen auf, den Betrieb von nicht mit der DSGVO zu vereinbarenden Videokonferenzsystemen unverzüglich einzustellen und durch datenschutzkonforme Systeme zu ersetzen. Die Hochschulleitungen haben, in Zusammenarbeit mit den Datenschutzbeauftragten, jedes aktuell eingesetzte oder zukünftig einzusetzende Videokonferenzsystem kritisch auf Einhaltung der DS-GVO zu prüfen. Insbesondere dürfen sich Hochschulen und Datenschutzbehörden nicht auf die zwingende Notwendigkeit der Nutzung datenschutzrechtlich zweifelhafter oder unzulässiger Systeme berufen. Es existieren datenschutzkonforme und -freundliche Alternativen. Diese werden an vielen Hochschulen bereits erfolgreich eingesetzt." === Aufruf an Betroffene === Resolution von: Jörg (Siegen), Tobi (Düsseldorf), Sean(Bonn), Jörg (Alumni) Titel "Aufruf an den StaPF den Aufruf an Studierende, lokale Datenschutzbeauftragte zur Prüfung der Datenschutzkonformität von //nichteuropäischen// Videokonferenzdiensten und cloudbasierten Diensten im universitären Lehrbetrieb an Fachschaften im deutschsprachigen Raum weiter zu leiten." Beschluss: "Die ZaPF beauftragt den StAPF damit die Folgende Mail sinngemäß an die Fachschaften schicken." Begründung: Datenschutzbeauftragte müssen Aktiv werden, wenn sie von Betroffenen über Misstände informiert werden. Hierfür braucht man betroffene Studierende an allen Universitäten. Empfänger: Physik-Fachschaften " Liebe Fachschaften, die Nutzung von Videokonferenzsystemen von Firmen mit Sitz außerhalb der EU ist durch Wegfall des Privacy Shield Abkommens höchstwahrscheinlich nicht mehr DSGVO-konform. Dieses hat die ZaPF auch in ihrer Resolution "Langer Resolutionsname" angemerkt und an Universitäten und Datenschutzbeauftragten von Bund und Ländern geschickt. Datenschutzbeauftragte sind jedoch nicht daran gebunden, sich auf Resolutionen von Fachschaftentagungen hin in Bewegung zu setzen. Jedoch sind sie rechtlich verpflichtet, auf Anfragen von Betroffenen hin aktiv zu werden. Hier kommt Ihr ins Spiel. Wenn bei euch ein Videokonferenzsystem einer Firma mit Sitz außerhalb der EU eingesetzt wird, so habt ihr die Möglichkeit, euch an die mit dem Datenschutz beauftragte Stelle eurer Universität mit Bitte um (erneute) Überprüfung zu wenden. Sollte von dieser Stelle keine Antwort kommen, bleibt euch natürlich die Eskalation in Richtung der Landes- und Bundesdatenschutzverantwortlichen frei. Tschüss ihr Trottx Der StaPF Hier findet Ihr noch einen Text den ihr als Vorlage für so eine Anfrage an eure mit dem Datenschutz beauftragte Stelle nutzen könnt. Sehr geehrte Damen und Herren, als Studierender der [Universität] bin ich im Zuge meines Studiums gezwungen den Videodienst/cloudbasierten Dienst des Anbieters [] zu Nutzen. Das EuGH hat das „EU-US Privacy Shield“-Abkommen 16. Juli 2020 für ungültig erklärt [1] und damit sind auch viele Grundlagen für die DSGvO konformität nicht mehr gegeben. Ich bitte Sie, als für den Datenschutz zuständige Stelle darum, die DSGVO-Konformität zu Prüfen. Bitte legen sie besonderen Augenmerk daruf, dass ich als studierende Person, nicht „informiert Zustimmen“ kann, da ich für mein Studium auf die Nutzung des von der Universität vorgegebenen Videodienstes angewiesen bin. Mit freundlichen Grüßen, [Name] [1]https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1594929248980&uri=CELEX:62018CJ0311 "