Seitlicher Blick auf das D2 Gebäude.

Betriebsrat für das wissenschaftliche Personal

Souveräne und datenschutzkonforme Kommunikation am digitalen Arbeitsplatz

digitale Kommunikation

Souveränes digitales Arbeiten erfordert, dass Daten in Forschung und Lehre durch offene, portable Formate langfristig nutzbar bleiben sowie langlebige Hardware und ressourcenschonende, nicht-kommerzielle und quelloffene Software eingesetzt werden. Letzteres stellt sicher, dass unsere digitalen Arbeitsplätze möglichst selbstbestimmt gestaltet und nachhaltig betrieben werden können. Die Befähigung zu souveränem Arbeiten wird durch die nun bereits umgesetzte (Zoom, MS Teams), aber auch die anstehenden Vorhaben an der WU (OLE/ Canvas, Pure) zunehmend in Frage gestellt. Dies folgt aus den Eigenschaften der eingesetzten kommerziellen sowie proprietären „Software as a Service“ (BR-Info 07/2021).

Während die Sicherstellung ihrer digitalen Souveränität im ureigenen Interesse der WU als öffentlich finanzierte Universität liegt, und sich die WU in ihrer Digitalisierungsstrategie einer nachhaltigen Digitalisierung verschrieben hat, ist sie zum datenschutzkonformen Einsatz von IT-Anwendungen per Gesetz verpflichtet. Souveränität und Datenschutzkonformität (auf den ersten Blick zwei getrennte Ziele) lassen sich zu einem großen Teil über das Angebot von Alternativen zu kommerziell-proprietärer SaaS erreichen: nicht-kommerzielle und quelloffene „On-Premises-Software“:

  • „On-Premises-Software“: Dabei handelt es sich um ein Bezugsmodell, bei dem den AnwenderInnen durch die WU selbst eine Softwarelösung auf Ihrem Arbeitsrechner oder über das Internet (bzw. das lokale WU-Rechnernetz) zur Verfügung gestellt wird. Die WU ist dabei für Betrieb und Wartung der Software verantwortlich.

  • Nicht-kommerziell: Die eingesetzte Softwarelösung wurde nicht mit dem Ziel entwickelt, mit dem Verkauf an oder der Nutzung der Programme bzw. der durch die Programme generierten Daten Geld zu verdienen.

  • Quelloffen: Die Softwarelösung kann autonom durch die WU modifiziert und fortentwickelt werden (von der Benutzeroberfläche bis zum Datenmodell), um eine Entsprechung der WU-Anforderungen und einer Integration in die IT-Landschaft der WU zu ermöglichen. Außerdem stehen dadurch Wege offen, die Software dahingehend zu überprüfen, ob sie alle rechtsverbindlichen Regelungen im Hinblick auf den allg. und spezifischen Beschäftigtendatenschutz (Trennlinie Privat- und Arbeitsplatzsphäre, Schutz vor „Ausspähen“ durch Arbeitgeberin und Führungskraft) auch tatsächlich umsetzt.

Am Beispiel Audio/Video-(A/V)-Kommunikation am Arbeitsplatz: Für die Abhaltung von Konferenzen (Besprechungen, Lehrveranstaltungen) über das Internet werden an der WU momentan Zoom (Lehre) und MS-Teams (WU-Sitzungen) zur Verfügung gestellt und eingesetzt. Beides sind kommerziell-proprietäre SaaS-Lösungen, die beschleunigt durch die Anforderungen des pandemiebedingten Arbeitens auf Distanz ohne längere Vorbereitung eingeführt wurden. Zoom (und in ähnlicher Weise auch MS Teams) gelten als auf jeden Fall problematisch was die Übermittlung von personenbezogenen Daten der WU-Angehörigen betrifft sowie was die Einhaltung europäischer und nationaler Datenschutzbestimmungen betrifft.

Das Beispiel der Universität Kassel (Hessen) führt vor Augen, welches Maßnahmenpaket es bräuchte, um Zoom(aber vergleichbar auch für MS-Teams) auch an der WU datenschutzkonform einzusetzen:

  • Die Beauftragung eines innereuropäischen Auftragsverarbeiters unabhängig von Zoom als US-Unternehmen, der Zoom für die WU bereitstellt;

  • Minimierung der Übermittlung personenbezogener Daten (inkl. Stammdaten wie Name und Email-Adresse) bzw. personenbeziehbarer Daten (Rechneradresse des Arbeitsplatzes) an Zoom über ein geeignetes Identitätsmanagement (IDM) bzw. VPN-Verbindungen;

  • Zwingende Ende-zu-Ende-Verschlüsselung der Zoom-Klientensoftware;

  • Eingeschränkte Benutzung von Zoom für Lehrveranstaltungen; und das nur auf freiwilliger Basis. Zoom ist für sensible Gespräche (Selbstverwaltung, Interessenvertretungen und Betriebsräte, oder auch für die Durchführung von Bewerbungsverfahren) untersagt;

In jedem Fall, etwa für Gespräche außerhalb von Lehrveranstaltungen, sind Organisationen angehalten, datenschutzkonforme Alternativsysteme anzubieten (quelloffen, nicht-kommerziell, On-premise). Dafür stehen weltweit an Hochschulen erprobt zum Beispiel Jitsi und BigBlueButton zur Verfügung.

Jitsi

Jitsi ist ein seit langem existierendes Open-Source-Projekt, das durch den weltweiten Covid-Lockdown große Popularität und einen starken Entwicklungsschub erfahren hat.  Aufgrund der Open-Source-Lizenz ist es möglich, die Software frei zu verwenden und bei Bedarf den Quellcode zu studieren, zu ändern und problemlos eigene Programme zu erstellen, die damit direkt interagieren können.

Wenn Sie auf https://meet.jit.si („Jitsi ad-hoc Videokonferenz starten“)klicken, können Sie sofort Jitsi für eine Internetkonferenz nutzen, um ad hoc mit Studierenden, KollegInnen, FreundInnen oder auch mit Ihrer Familie über das Internet über Ihren Browser, Ihrem Smartphone oder Ihrem Pad zu konferieren!

BigBlueButton (BBB)

BigBlueButton (BBB) ist ein seit langem existierendes Open-Source-Projekt, das gleichermaßen durch den weltweiten Covid-Lockdown große Popularität und einen starken Entwicklungsschub erfahren hat. Aufgrund der Open-Source-Lizenz ist es möglich, die Software frei zu verwenden und bei Bedarf den Quellcode zu studieren, zu ändern und problemlos eigene Programme zu erstellen, die damit direkt interagieren können.

In Deutschland gibt es von Studierenden der TU Darmstadt und dem Karlsruher Institut für Technologie erstellte BBB-Konferenzplattform, mit der man fast so einfach wie mit Jitsi eine Videokonferenz erzeugen kann. Einfach auf https://www.senfcall.de („BigBlueButton ad-hoc Videokonferenz starten“) gehen und auf "Spontanes Meeting starten" klicken.

Wie bei Jitsi schicken Sie dann den Besprechungslink beispielsweise über e-Mail, über Signal, über Facebook den TeilnehmerInnen, die dann durch Anklicken dieses Links sofort der Videokonferenz beitreten können.  Sie können dazu den Browser Ihres Rechners, Ihres Smartphones oder Ihres Pads direkt verwenden.

Eine Besonderheit von www.senfcall.de ist, dass die europäische Datenschutzgrundverordnung (DSGVO) bewusst in den Vordergrund gestellt wird. Insoferne stellt es ein vorbildliches Beispiel, ein Lehrstück dar, wie man den Persönlichkeitsschutz problemlos gewährleisten kann, wenn man nur will!

Fazit

Beachten Sie, dass für einen datenschutzkonformen Einsatz im Arbeitskontext die Bereitstellung von Jitsi bzw. BBB durch die WU als vertrauenswürdiger Betreiber und Datenverarbeiter (im Sinne der innerbetrieblichen Regeln) vorzuziehen wäre. An der WU wurden in den Pandemiesemestern erfolgreich experimentelle WU-LEARN-Anbindungen sowohl mit Jitsi als auch mit BigBlueButton in realen Lehrveranstaltungen getestet, und es wurden sehr gute Erfahrungen damit gesammelt.

Das Beispiel der Universität Kassel zeigt, wie viel Sorgfalt der Einsatz von Zoom bzw. auch MS Teams von Seiten einer verantwortungsvollen Arbeitgeberin braucht. Insbesondere geht es auch um das Bereitstellen von alternativen Softwarelösungen (etwa für sensible Gespräche). Wir Betriebsräte werden uns in den kommenden Monaten für eine derartig umsichtige Lösung einsetzen.

01.07.2022

zurück zur Übersicht