Am 25.03.2020 hatten wir eine 1 1/2-stündige Webkonferenz zu kollaborativen Plattformen angeboten (Ergebnisse siehe hier). Rund 100 Teilnehmer*innen waren dabei. Im Anschluss daran wollen wir weitere Online-Konferenzen anbieten, die sich aber jeweils auf ein eingegrenztes Thema beziehen und einen weiteren Zeitrahmen haben.
Hier bieten wir eine Konferenz zum obigen Thema für Donnerstag, 9. April 2020, von 15:00 bis 17:00 Uhr an.
Unser Anliegen
Webkonferenzen sind ein heißes Thema. Aktuell sind viele Verwaltungen dabei, ihre Mitarbeitenden in den Home-Offices mit entsprechenden Tools zu versorgen, um den Zusammenhalt aufrecht zu erhalten.
Bei der Einführung dieser Software-Produkte stoßen die Verantwortlichen auf zwei Herausforderungen: eine gute Usability zu gewährleisten, aber auch das Thema Datenschutz zu beachten. Auf dieses letztere Thema wollen wir bei unserer Webkonferenz den Fokus richten. Denn unter dem jetzt regierenden Erwartungsdruck ist die Versuchung groß, das Thema Datenschutz als nachrangig zu betrachten und schnell ein „cooles“ oder „etabliertes“ Tool einzuführen wie z.B. Zoom, Skype for Business, MS-Teams, etc.
Wir vom Forum Agile Verwaltung möchten die Chance, die Corona bietet, nutzen, um auf dem Feld „Webkonferenzen“ gemeinsam voranzukommen und den Aufwand der Tool-Auswahl (für längerfristige Lösungen) für die Verwaltungen zu reduzieren. Auf unseren Webseiten haben wir schon erste Übersichten erstellt (http://agilesverwaltungswissen.org/index.php?title=Kategorie:Werkzeuge). Dabei sehen wir uns aber nicht in der Rolle von Fachexperten, sondern in der von Moderatoren. Wir laden dringend alle Verantwortlichen in Kommunen und Hochschulverwaltungen ein, die schon dabei sind, sich Wissen zu erarbeiten, auf unserer Konferenz ihr Wissen weiterzugeben.
Die Stadt Freiburg zum Beispiel schlägt vor, vorhandene Mustervereinbarungen zur Auftragsdatenverarbeitung nach DSGVO zugrunde zu legen (in BW https://www.baden-wuerttemberg.datenschutz.de/datenschutzthemen/ Rubrik „Auftragsverarbeitung“). Gemeinsam könnten Besonderheiten derartiger Verträge beim Thema Webconferencing in der Cloud besprochen werden.
Inhalte der Konferenz:
1. Welche datenschutzrechtlichen K.O.-Kriterien gelten bei der Auswahl von Konferenztools?
Sichtung und Ergänzung der vorliegenden ersten Anforderungsliste des FAV.
2. Können wir bestimmte Konferenzsoftware-Produkte aus datenschutzrechlicher Sicht bereits jetzt ausschließen?
Gibt es definitive Kenntnisse zu einigen verbreiteten Produkten?
3. Wie kommen wir zu einem DSGVO-konformen Vertrag zur Auftragsdatenverarbeitung?
Vorstellung des aktuellen Standes bei der Stadt Freiburg und evtl. Städtetag
4. Wie können wir die Ergebnisse allen betroffenen Verwaltungen zur Verfügung stellen?
Vorstellung der Wissensplattform www.agilesverwaltungswissen.org
Anmeldung
Anmeldung kostenlos bei XING: https://www.xing.com/events/2829035
Agile Verwaltung 
Danke für den fruchtbaren Gedankenaustausch und die vielen Referenzen. Ich liefere für eine kommende Fortsetzung noch ein paar Gedanken nach, die in dem Zeitrahmen nur angedeutet werden konnten.
Worüber reden wir eigentlich, wenn wir von Webkonferenz-„Plattformen“ sprechen ?
Welche Daten werden wie zu welchem Zweck verarbeitet?
Nähere Hinweise dazu gibt das Verfahrensverzeichnis, und das kann bei verschiedenen Produkten durchaus sehr unterschiedlich ausfallen.
Ich möchte das am Beispiel von Blackboard CU erläutern, auf dem die Online-Veranstaltung lief. Als Operator der Konferenz, freiberuflicher Online-Trainer und Lieferant von Dienstleistung für Klassenraum-Produkte von Blackboard bin ich sicherlich nicht unvoreingenommen, was die Vorzüge des Produkts betrifft, kann aber mit einem Blick hinter die Kulissen der Branche dienen 🙂
Webkonferenz-Plattformen, die umfassend personenbezogene Daten einsammeln und diese mehr oder weniger restriktiv wieder- bzw weitergeben, gibt es im Netz reichlich. Dem eigentlichen (synchronen )Konferenzsystem wird in der Regel einige (asynchrone) Zusatz-Funktionalität hinzugefügt, um die Einstiegsschwelle in eine positive Ersterfahrung zu senken und die User danach mit all-inclusive Komfort bei der Stange zu halten.
Für diese Art Geschäftsmodell bieten die die Plattformen nicht nur Konferenz-Funktionalität, sondern auch Teilnehmer-Datenbank, Mailingdienste, Event-Marketing mit Besucher-Tracking, Community-Funktionen für die Zeit zwischen Konferenzen, Anwesenheits-Tracking, Homepage-Baukasten für den Webinar-Veranstalter und vor allem einem Online-Shop, damit die Maschinenleistung efffektiv monetarisiert werden kann.
Für den personell aufwändigen technischen Support einer solchen „al-inclusive“ Lösung ist es gerade im Massenmarkt besonders kostengünstig, wenn während der Sitzungen möglichst viele Details über die Hard- und Software sämtlicher Teilnehmerrechner eingesammelt wird. Idealerweise wird bereits mit der Installation des Programms, das solche Plattformen benötigen, ein Fernwartungszugang zum Teilnehmerrechner mit eingebaut.
Blackboard CU gehört nicht in diese Kategorie, denn es ist einfach nur Konferenzsystem pur, in diesem Sinn also keine Plattform. CU wurde primär dafür entwickelt, sich in bereits bestehende Teilhabe-Infrastrukturen (akademische Lernumgebungen, SocialNetwork Plattformen, etc) zu integrieren , wo all die sensiblen Nutzer-Daten liegen und dort auch bleiben können.
Zur Erläuterung des Unterschieds betrachte ich mal l exemplarisch die Frage:
Wie kann ich im Nachhinein feststellen, wer an der obigen Veranstaltung teilgenommen hat?
Während der CU Sitzung ist auf dem Server eine Liste von Namen entstanden, welche die Teilnehmenden beim Eintritt selbst eingegeben haben. Ob dies Pseudonyme oder echte Namen waren, ist ungewiss. Wer teilgenommen hat, dem stand es ebenso frei, einen Namen zu wählen, wie auch von dieser Teilnehmerliste einen Screenshot zu machen, während die Veranstaltung lief.
Der Server weiß in diesem Szenario „Gast-Zugang“ über den einzelnen Gast wenig, denn es ist weder eine authentifizierte Identität („Anmeldung mit Facebook,Google,…“) vorgeschaltet, noch wird eine eMailadresse („Wir erinnern Ihre Teilnehmer automatisch, dass es bald los geht“) erfasst. Falls einzelne Gäste mal ausnahmsweise einen technischen Anlass sehen, Informationen über das eigene System an den CU Support zu übermitteln, kann das in transparenter Weise mit der Funktion „Problem melden“ geschehen.
Selbstverständlich existiert auch auf dem Blackboard-Server ein Reporting, das die Liste der Anzeigenamen enthält.
Der Auftraggeber kann die Namensliste dieser Veranstaltung beim Provider schriftlich anfragen. Falls nichts dagegen spricht (typischerweise ein Betriebsrat oder eine fehlende Rechtsgrundlage) , wird die Liste kryptografisch gesichert an den Auftraggeber übermittelt mit dem Hinweis, dass eine Weitergabe dieser Liste an interessierte Dritte ebenfalls eine Rechtsgrundlage braucht 😉
Obwohl eine Aufzeichnung der Veranstaltung erstellt wurde, sind die Anzeigenamen dort nicht gespeichert, da sie bereits während der Sitzung anonymisiert wurden. Daher läßt auch die Weitergabe der Aufzeichnung keinen Rückschluss auf Teilnehmernamen zu.
Im Fall der obigen Veranstaltung führt der einzige Weg zu den Kontaktdaten nicht zu Blackboard, sondern dorthin, wo die Teilnehmerdaten verarbeitet wurden:
Eingeladen wurde mit dem Xing-Eventmanagement-System. Im sozialen Netz von Xing liegen Infos über diejenigen, die sich angemeldet hatten. Diese Information wird dort für Xing-Mitglieder freizügig präsentiert, da dies das Kerngeschäft von Xing ist. Ob diese Personen auch wirklich an der Session teilgenommen haben, weiß das Xing-Eventsystem allerdings nicht. Da es einen Weg gab, auch ohne Xing-Anmeldung an der Konferenz teil zu nehmen, war für diejenigen, die dies wünschten, eine pseudonymisierte Teilnahme möglich.
Bei einer in Xing mit integrierten Webkonferenz wäre das anders; hier wäre die Mitgliedschaft bei Xing für eine Teilnahme obligatorisch und die Daten könnten zusammen geführt werden. Das gilt in gleicher Weise auch für eine Webkonferenz-Plattform, die eine Teilnehmer-Verwaltungskomponente und Kalenderfunktionen, enthält, also für alle Webkonferenz-Plattformen.
Ich hoffe, ich konnte mit dieser Darstellung deutlich machen, dass „soziale“ Netzwerk-Plattformen mit Gewinnerzielungsabsicht, reichhaltigem Wissen über individuele User-Aktivitäten und einem eigenem Webkonferenzdienst sich besonders eignen würden für das Einsammeln von Kontaktdaten. Der Event-Typ „kostenloses Webinar zum Thema X“ ist auch entsprechend beliebt, um Kontakte zu knüpfen zu Personen, die am Thema X interessiert sind.
Der Fokus eines virtuellen Klassenraums wie Blackboard CU liegt dagegen in der Unterstützung von verteilt sitzenden Arbeits-/Lern-/Interessen-Gruppen, die sich bereits unter einem gemeinsamen organisatorischen Dach gefunden haben und auf Augenhöhe miteinander interagieren wollen, ohne dies gegenüber Außenstehenden zu veröffentlichen.
Wie dieses organisatorische Dach implementiert ist, sollte die Organisation gestalten, nicht der Webkonferenz-Provider. Eine Hochschule, in der sich Student[inn]en für ein Studium einschreiben und in Folge Vorlesung, Seminar, Kolloquium oder Vortrag belegen, geht mit personen-bezogenen Daten anders um als eine Organisation, die eigene Mitarbeiter[innen] qualifizieren will oder die Projekt-bezogen agil kollaborierende Teams bildet, in denen auch externemitwirken.
Ein auf Datensparsamkeit getrimmtes Konferenzsystem fügt sich hier besser ein als eine „Application as a Service“ Plattform, die zu extern gelagerten Duplikaten personen-bezogener Daten führt, weil für die Teilnahme an Web-Konferenzen zwinged auch ein externes Web-Konferenz Dach mit NutzerDaten beliefertt werden muss, das die Organisation eigentlich gar nicht benötigt.
Insofern ist für den Verarbeitungszweck „Webkonferenz“ die Speicherung von Nutzerdaten nicht zwingend erforderlich. Dies gilt nur für Webkonferenzen auf einer Plattform, welche nur mit Nutzerdaten funktioniert.
Jede Auslagerung der Teilnehmer- und Terminverwaltung an eine Webkonferenz-Plattform stellt insofern eine Erweiterung der Auftragsverarbeitung dar, die eine aus Sicht des Datenschutzes sinnvollere interne Verwaltung der Nutzerdaten externalisiert.
Selbstverständlich gibt es einige denkbare Anwendungsszenarien, wo eine vom internen Betrieb vollständig ausgelagerte Verwaltung die beste Lösung ist. Gerade in der derzeitigen Krise sind solche Plattformen hilfreich für adhoc zu organisierende Videokommunikations-Prozesse . Gleichwohl stellt dies höhere Anforderungen an den Datenschutz , was einer schnellen Umsetzung ebenfalls im Wege steht.
LikeGefällt 1 Person
Ich kann leider nicht an dieser Konferenz teilnehmen, falls es wieder eine Aufzeichnung dazu gibt, wäre ich froh um einen entsprechenden Hinweis nach der Konferenz.
Die Kantonale Verwaltung in Zürich hat übrigens vor dem Hintergrund der Corona-Krise die Datenschutzrichtlinien für den Einsatz von Tools für die digitale Zusammenarbeit angepasst: https://dsb.zh.ch/internet/datenschutzbeauftragter/de/themen/digitale-zusammenarbeit.html
Beste Grüsse und einen spannenden Austausch am 9.4.!
LikeLike