Zentrum für Datenverarbeitung (ZDV)

Videokonferenzen und Datenschutz

Videokonferenzen bedeuten gerade für den Einsatz in der Lehre auch eine besondere Herausforderung für den Datenschutz. Die verschiedenen angebotenen Dienste unterscheiden sich hier, es gibt aber auch zentrale Gemeinsamkeiten. Auf dieser Seite möchten wir kurz über das Wesentliche mit Fokus auf den Einsatz in der Lehre Informieren.

Allgemeines

Im Vorfeld von digitalen Lehrveranstaltungen sind die Teilnehmenden über die verwendeten Techniken zu informieren.

Alle angebotenen Dienste können über einen Client oder über eine Web-Oberfläche gesteuert werden. Zoom erlaubt deutlich mehr Konfigurationen über die Weboberfläche, während DFNconf (Pexip) besser über den Client gesteuert wird. Insbesondere bei zoom sollte unbedingt die Konfiguration über das Webinterface genutzt werden. Wird der Client verwendet, ist insbesondere darauf zu achten immer die aktuelle Version der Software zu verwenden.

In allen Fällen ist sicherzustellen, dass nur die "Eingeladenen" an den Konferenzen teilnehmen. Hierfür bietet sich der Schutz der Konferenzen mit einem Kennwort an, welches den Teilnehmern auf unabhängigem Weg, etwa über die Lernmanagement-Systeme, bereit gestellt wird. Manche Systeme bieten das Prinzip Warteraum an, bei welchem Nutzer erst durch den Anbieter (Host) freigeschaltet werden müssen. Dies ist bei großen Teilnehmerzahlen allerdings nur schwer umzusetzen.

Für die Unterstützung der asynchronen Lehre ist die Aufzeichnung von Videokonferenzen und die nachfolgende Veröffentlichung der Aufzeichnung sinnvoll. Hierüber sind alle Teilnehmenden im Vorfeld zu informieren.

Jitsi

Der angebotene Jitsi-Dienst läuft vollständig im internen Netz der Universität und kann von außen nur per VPN erreicht werden. Ein Fremdzugriff auf Inhalte der Videokonferenzen ist ausgeschlossen.

Der Dienst ist aber technisch nicht in der Lage, mit einer größeren Zahl Teilnehmenden umzugehen.

DFNconf

DFNconf ist ein Videokonferenzdienst, den der DFN-Verein auf Servern deutscher Hochschulen und Universitäten betreibt. Der Dienst stellt in hohem Maß die Vertraulichkeit der Videokonferenzen sicher.

Microsoft Teams

Teams wird im Rahmen des universitären Microsoft365-Dienstes (früher Office365) angeboten.

Teams wird wie der Clouddienst auf Servern in der EU betrieben und unterliegt der DSGVO.

BigBlueButton

Der zum Wintersemester 2020/21 neu zentral angeboten VC-Dienst BigBlueButton wird vollständug auf zentraler Infrastruktur des ZDV betrieben und kann daher für alle Zwecke, auch Prüfungen, eimngesetzt werden.

Zoom

Zoom verwendet weltweit verteilte Rechenzentren, die nicht notwendig in der EU liegen (dies ändert sich möglicherweise in Kürze); von daher kann die Gültigkeit der DSGVO nicht zwingend vorausgesetzt werden. Es wird eine starke Verschlüsselung verwendet, die in der Standardkonfiguration keine durchgehende Ende-zu-Ende-Verschlüsselung darstellt, die aber optional gewählt werden kann. Für den Einsatz im Prüfungsumfeld ist Zoom nur mit durchgehender Verschlüsselung geeignet.

In Absprfache mit der Universität Tübingen hat sich der Landesbeauftragte für Datenschutz und Informationssicherheit positiv zum Einsatz von Zoom geäußert.

Insbesondere bei zoom sind die umfangreichen Konfigurationsmöglichkeiten zu beachten, die wichtige Einstellungen bieten (alle im Unterpunkt "Einstellungen" in der Web-Oberfläche von zoom). Hier sind teilweise je nach Größe der Veranstaltung verschiedene Empfehlungen notwendig. Die wichtigsten Hinweise hierfür sind (viele sind die Default-Werte):

Beim Anberaumen neuer Meetings Kennwort verlangen ja
Kennwort für Sofort-Meetings verlangen ja
Bei Personal-Meeting-ID (PMI) Kennwort verlangen alle Meetings mit PMI
Only authenticated users can join meetings from Web client nein
Einbetten des Kennworts in den Meeting-Link für die Teilnahme mit einem Klick nein
Kennwort für Telefonteilnehmer anfordern

ja

Datenübertragung (Dateien im Chat versenden) nein
Feedback an zoom nein
Co-Moderation ja
Breakout-Room ja
Warteraum ja - wenn dies die Teilnehmerzahl erlaubt
Einen Link "Vom Browser teilnehmen" zeigen ja
Kamera-Fernsteuern nein

Der Client soll mindestens Version 5.4 oder neuer sein.

Zoom mit Ende-zu-Ende-Verschlüsselung

Zoom bietet seit November 2020 eine durchgehende Verschlüsselung des Inhaltes zwischen allen Beteiligten an einer Videokonferenz an (Ende-zu-Ende-Verschlüsselung, E2EE). Diese Möglichkeit steht allen Nutzerinnen und Nutzern dee universitären Zoom-Lizenz offen.

Zu beachten ist dabei:

  • Zoom als E2EE-Konferenz bedeutet aktuell einige einschränkungen gegenüber der normalen Zoom-Verschlüsselung, welche nur den Transportweg verschlüsselt und auf dem Server des Herstellers den Inhalt der Konferenz unverschlüsselt verarbeitet.
  • Zoom E2EE muss vom Veranstalter bei Anlegen der Konferenz konfiguriert werden (Option "durchgehende Verschlüsselung")
  • Zoom E2EE ermöglicht nicht
    • Teilnahme mit dem Browser, es wird der Zoom Client benötigt
    • Teilnahme vor dem Veranstalter
    • Abfragen
    • persönlicher Chat
    • Meinungszeichen wie "Applaus"
    • Aufzeichnung in der Zoom-Cloud, was insgesamt nicht empfohlen ist

Erkennbar ist die durchgegende E2EE-Verschlüsselung durch das Schloß-Symbol im grünen Icon oben links im Zoom-Client anstelle des Hakens.