taz.de -- Mangelhafter Datenschutz an Uni: Videokonferenz als Datenkrake

Die Freie Universität Berlin arbeitet mit einem Videokonferenzsystem, dessen Nutzung rechtswidrig ist. Die Uni weiß das, informiert darüber ab nicht.
Bild: Auch Despoten nutzen Videokonferenzen – sicher mit besserem Datenschutz als an der FU

Berlin taz | Zu den wenigen positiven Seiten der Coronapandemie gehört, dass Videokonferenzen [1][Teil des (Berufs-)Alltags vieler Menschen geworden sind]. Zwar ruckelt manchmal noch das Bild, und ab und an vergisst man, die Stummschaltung beim Sprechen zu deaktivieren. Aber im Großen und Ganzen funktioniert diese Art von Onlinezusammenkunft, zumindest oberflächlich betrachtet.

Im Hintergrund bleiben zahlreiche Probleme: Das bekommt jetzt die Freie Universität (FU) Berlin zu spüren. Ihre Nutzung des unter anderem für Vorlesungen und Seminare umfassend eingesetzten Videokonferenzdiensts Cisco Webex ist rechtswidrig. Das hat die Berliner Datenschutzbeauftragte nach einer mehrere Monate dauernden Prüfung entschieden. Anlass war eine Beschwerde des Allgemeinen Studierendenausschusses (AStA) der Hochschule. Die FU steht damit vor einem Riesenproblem.

Dabei kommt die Entscheidung von Berlins oberster Datenschützerin nicht einmal besonders überraschend. Bereits im ersten Jahr der Pandemie hatte sie den meisten großen Anbietern von Videokonferenzsystemen bescheinigt, nicht datenschutzfreundlich zu arbeiten – etwa weil die Unternehmen häufig personenbezogene Daten auch für eigene Zwecke verwenden dürfen.

Auch [2][die überarbeitete Liste aus dem Jahr 2021] stellt unter anderem den Anwendungen Cisco Webex, Google Meet, Microsoft Teams, Skype und Zoom durchweg schlechte Noten in dieser Hinsicht aus. Dennoch sind sie in vielen Universitäten und Unternehmen weit verbreitet – weil sie oft stabiler laufen als andere Systeme.

An der FU dürfte es damit zumindest auf mittlere Sicht vorbei sein. Bereits im November hatte die Datenschutzbeauftragte die Hochschule darüber informiert, dass „die von der FU Berlin unter https:\\fu-berlin.webex.com genutzte Lösung sich derzeit nicht datenschutzkonform einsetzen lässt“, wie es in einem Schreiben der Datenschützerin an den AStA vom 8. Dezember heißt. Die Uni solle nun klären, so der Brief weiter, ob durch organisatorische und technische Maßnahmen „die Verletzung der Grundrechte der betroffenen Personen entscheidend“ verringert werden könne. Gelinge dies, könnte der weitere Einsatz von Webex zumindest über einen gewissen Zeitraum „tolerierbar“ werden.

Das Schreiben der Datenschutzbeauftragten veröffentlichte der AStA am Mittwoch, weil die FU – [3][anders als von der Datenschutzgrundverordnung (DSGVO]) vorgeschrieben – bisher weder die Gremien der Hochschule noch die Mitglieder der Uni über die Entscheidung informiert habe. „Dieses Versäumnis muss umgehend nachgeholt werden“, fordert Janik Besendorf, AStA-Referent für Datenschutz und Kommunikation. Auch Tobias Schulze, Linken-Abgeordneter und Experte seiner Fraktion für Digitalisierung und Hochschulen, kritisiert die fehlende Information der Betroffenen durch die Hochschulen und behält sich eine Vorladung der Hochschulleitung in den zuständigen Ausschuss des Berliner Abgeordnetenhauses vor.

Der AStA der FU stellt der Hochschule im Hinblick auf Datenschutz generell kein gutes Zeugnis aus und nennt als Beispiel die fehlerhafte Konfiguration des Notensystems Campus-Management vor einem Jahr, wodurch die Noten von Studierenden öffentlich einsehbar wurden. „Die Entscheidung der Berliner Datenschutzbeauftragten ist ein Korrektiv für das Versagen der FU“, kommentiert Janik Besendorf. Statt Webex sollte die FU laut dem AStA eine „datensparsame Lösung“ einsetzen, „idealerweise auf eigenen Servern“. Andere Hochschulen, darunter die Humboldt-Universität (HU), sowie einige FU-Fachbereiche zeigten, dass dies möglich sei.

Tatsächlich sind die Schwierigkeiten bei der von der FU konfigurierten Version von Webex umfassend, wie Simon Rebiger, Sprecher der Datenschutzbeauftragen, auf taz-Anfrage erläutert. Problematisch an der Verwendung sei unter anderem, „dass Cisco die rechtswidrigen Übermittlungen personenbezogener Daten in die USA bisher nicht beendet hat“.

Ebenso bestehe das Problem der nach europäischem Recht unzulässigen Zugriffsbefugnisse US-amerikanischer Behörden: Danach muss Cisco Nutzungsdaten auf Anfrage etwa an US-Geheimdienste liefern, auch wenn diese auf Servern in Deutschland liegen. Schließlich, so Rebiger weiter, würden „zur Leistungserbringung nicht vertraglich zugelassene Subunternehmer eingesetzt“. Die FU soll nun einen Zeitplan erstellen, wann mögliche Änderungen umgesetzt werden könnten. Ansonsten drohten Sanktionen.

FU weist Vorwürfe zurück

Die FU reagierte erst am Donnerstag mit einer Stellungnahme. Darin weist sie die Vorwürfe zurück. Ein abschließendes Ergebnis der datenschutzrechtlichen Prüfung durch die Berliner Datenschutzbeauftrage zum konkreten Einsatz von Webex liege bisher nicht vor. „Folglich kann auch nicht von einem rechtswidrigen Einsatz gesprochen werden“, teilte ein Sprecher auf taz-Anfrage mit. Die FU prüfe und bearbeite die Anforderungen des Datenschutzes beim Einsatz von Cisco Webex „sehr sorgfältig“.

Zugleich wies der FU-Sprecher auf die technische Herausforderung hin, die für ein Videokonferenzsystem besteht, das in Hochzeiten pro Tag bis zu 30.000 Nutzer*innen gleichzeitig verbinden muss. Eine eigene Plattform zu betreiben, die dies leisten könne, „und den Anforderungen an die IT-Sicherheit genügt, ist praktisch und wirtschaftlich nicht durch eigene Infrastruktur herzustellen“.

Bei der Berliner Datenschutzbeauftragten stieß die Arumentation der FU auf Irritation. Ihr Sprecher Rebiger bestätigte zwar, dass das Prüfungsverfahren rein formal erst abgeschlossen sei, wenn die FU auf die Hinweise der Datenschutzbeauftragen eingegangen ist. Rebiger betonte aber zugleich: „Der Befund steht.“

5 Jan 2022

LINKS

[1] /Volkssport-Zoom-Konferenzen/!5823282
[2] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf
[3] /Datenschutz-Grundverordnung/!5572748

AUTOREN

Bert Schulz

TAGS

Datenschutzbeauftragte
DSGVO
Freie Universität Berlin
Videokonferenz
Datenschutz
Videokonferenz
Wochenkommentar
Freie Universität Berlin
Gesichtserkennung
Gesichtserkennung
DSGVO
DSGVO

ARTIKEL ZUM THEMA

Neue Datenschutzbeauftragte für Berlin: Späte Kür

Rot-Grün-Rot will den über ein Jahr lang vakanten Posten der Datenschutzbeauftragen Anfang Oktober besetzen – mit einer Ex-Mitarbeiterin der Behörde.

Streit um Datenschutz an der FU Berlin: Letzte Frist für Webex

Berlins Datenschutzbeauftragter setzt die Freie Universität unter Druck: Die Hochschule müsse noch diesen Monat den Einsatz des Videotools beenden.

Datenschutz bei Videokonferenzen: Da wird lieber weggeschaut

Die FU Berlin ignoriert ihr Datenschutzproblem mit dem Konferenztool Cisco Webex. Das wird übrigens auch vom Bundestag genutzt. Ein Wochenkommentar.

Datenschutz im öffentlichen Dienst: „Es braucht eine kleine Revolution“

Die FU Berlin nutzt ein Videokonferenzsystem, das nicht datenschutzkonform ist. Das Problem betrifft nicht nur die Uni, sagt Tobias Schulze (Linke).

Biometrische Gesichtserkennung: Berliner Zoo rudert zurück

Der Zoo will die biometrischen Daten von Dauerkartenbesitzer*innen erfassen. Nach massiver Kritik wird der Plan aufgeschoben – vorerst.

Berlins Zoo plant Gesichtserkennung: „Das geht gar nicht“

Die Pläne des Zoos, biometrische Daten der Besucher zur Gesichtserkennung zu nutzen, werden von der Koalition klar abgelehnt.

Ein Jahr DSGVO: Vorbild trotz Mängeln

Am Samstag wird sie ein Jahr alt, die Datenschutz-Grundverordnung. Vor einem Jahr war der Aufschrei groß. Und nun? Eine Bilanz.

Datenschutz-Grundverordnung: DSGVO ist in Kraft – und nun?

Vor zehn Monaten trat die Datenschutz-Grundverordnung in Kraft. Doch VerbraucherInnen fühlen sich wenig informiert.