# taz.de -- Mangelhafter Datenschutz an Uni: Videokonferenz als Datenkrake | |
> Die Freie Universität Berlin arbeitet mit einem Videokonferenzsystem, | |
> dessen Nutzung rechtswidrig ist. Die Uni weiß das, informiert darüber ab | |
> nicht. | |
Bild: Auch Despoten nutzen Videokonferenzen – sicher mit besserem Datenschutz… | |
BERLIN taz | Zu den wenigen positiven Seiten der Coronapandemie gehört, | |
dass Videokonferenzen [1][Teil des (Berufs-)Alltags vieler Menschen | |
geworden sind]. Zwar ruckelt manchmal noch das Bild, und ab und an vergisst | |
man, die Stummschaltung beim Sprechen zu deaktivieren. Aber im Großen und | |
Ganzen funktioniert diese Art von Onlinezusammenkunft, zumindest | |
oberflächlich betrachtet. | |
Im Hintergrund bleiben zahlreiche Probleme: Das bekommt jetzt die Freie | |
Universität (FU) Berlin zu spüren. Ihre Nutzung des unter anderem für | |
Vorlesungen und Seminare umfassend eingesetzten Videokonferenzdiensts Cisco | |
Webex ist rechtswidrig. Das hat die Berliner Datenschutzbeauftragte nach | |
einer mehrere Monate dauernden Prüfung entschieden. Anlass war eine | |
Beschwerde des Allgemeinen Studierendenausschusses (AStA) der Hochschule. | |
Die FU steht damit vor einem Riesenproblem. | |
Dabei kommt die Entscheidung von Berlins oberster Datenschützerin nicht | |
einmal besonders überraschend. Bereits im ersten Jahr der Pandemie hatte | |
sie den meisten großen Anbietern von Videokonferenzsystemen bescheinigt, | |
nicht datenschutzfreundlich zu arbeiten – etwa weil die Unternehmen häufig | |
personenbezogene Daten auch für eigene Zwecke verwenden dürfen. | |
Auch [2][die überarbeitete Liste aus dem Jahr 2021] stellt unter anderem | |
den Anwendungen Cisco Webex, Google Meet, Microsoft Teams, Skype und Zoom | |
durchweg schlechte Noten in dieser Hinsicht aus. Dennoch sind sie in vielen | |
Universitäten und Unternehmen weit verbreitet – weil sie oft stabiler | |
laufen als andere Systeme. | |
An der FU dürfte es damit zumindest auf mittlere Sicht vorbei sein. Bereits | |
im November hatte die Datenschutzbeauftragte die Hochschule darüber | |
informiert, dass „die von der FU Berlin unter https:\\fu-berlin.webex.com | |
genutzte Lösung sich derzeit nicht datenschutzkonform einsetzen lässt“, wie | |
es in einem Schreiben der Datenschützerin an den AStA vom 8. Dezember | |
heißt. Die Uni solle nun klären, so der Brief weiter, ob durch | |
organisatorische und technische Maßnahmen „die Verletzung der Grundrechte | |
der betroffenen Personen entscheidend“ verringert werden könne. Gelinge | |
dies, könnte der weitere Einsatz von Webex zumindest über einen gewissen | |
Zeitraum „tolerierbar“ werden. | |
Das Schreiben der Datenschutzbeauftragten veröffentlichte der AStA am | |
Mittwoch, weil die FU – [3][anders als von der Datenschutzgrundverordnung | |
(DSGVO]) vorgeschrieben – bisher weder die Gremien der Hochschule noch die | |
Mitglieder der Uni über die Entscheidung informiert habe. „Dieses | |
Versäumnis muss umgehend nachgeholt werden“, fordert Janik Besendorf, | |
AStA-Referent für Datenschutz und Kommunikation. Auch Tobias Schulze, | |
Linken-Abgeordneter und Experte seiner Fraktion für Digitalisierung und | |
Hochschulen, kritisiert die fehlende Information der Betroffenen durch die | |
Hochschulen und behält sich eine Vorladung der Hochschulleitung in den | |
zuständigen Ausschuss des Berliner Abgeordnetenhauses vor. | |
Der AStA der FU stellt der Hochschule im Hinblick auf Datenschutz generell | |
kein gutes Zeugnis aus und nennt als Beispiel die fehlerhafte Konfiguration | |
des Notensystems Campus-Management vor einem Jahr, wodurch die Noten von | |
Studierenden öffentlich einsehbar wurden. „Die Entscheidung der Berliner | |
Datenschutzbeauftragten ist ein Korrektiv für das Versagen der FU“, | |
kommentiert Janik Besendorf. Statt Webex sollte die FU laut dem AStA eine | |
„datensparsame Lösung“ einsetzen, „idealerweise auf eigenen Servern“. | |
Andere Hochschulen, darunter die Humboldt-Universität (HU), sowie einige | |
FU-Fachbereiche zeigten, dass dies möglich sei. | |
Tatsächlich sind die Schwierigkeiten bei der von der FU konfigurierten | |
Version von Webex umfassend, wie Simon Rebiger, Sprecher der | |
Datenschutzbeauftragen, auf taz-Anfrage erläutert. Problematisch an der | |
Verwendung sei unter anderem, „dass Cisco die rechtswidrigen Übermittlungen | |
personenbezogener Daten in die USA bisher nicht beendet hat“. | |
Ebenso bestehe das Problem der nach europäischem Recht unzulässigen | |
Zugriffsbefugnisse US-amerikanischer Behörden: Danach muss Cisco | |
Nutzungsdaten auf Anfrage etwa an US-Geheimdienste liefern, auch wenn diese | |
auf Servern in Deutschland liegen. Schließlich, so Rebiger weiter, würden | |
„zur Leistungserbringung nicht vertraglich zugelassene Subunternehmer | |
eingesetzt“. Die FU soll nun einen Zeitplan erstellen, wann mögliche | |
Änderungen umgesetzt werden könnten. Ansonsten drohten Sanktionen. | |
## FU weist Vorwürfe zurück | |
Die FU reagierte erst am Donnerstag mit einer Stellungnahme. Darin weist | |
sie die Vorwürfe zurück. Ein abschließendes Ergebnis der | |
datenschutzrechtlichen Prüfung durch die Berliner Datenschutzbeauftrage zum | |
konkreten Einsatz von Webex liege bisher nicht vor. „Folglich kann auch | |
nicht von einem rechtswidrigen Einsatz gesprochen werden“, teilte ein | |
Sprecher auf taz-Anfrage mit. Die FU prüfe und bearbeite die Anforderungen | |
des Datenschutzes beim Einsatz von Cisco Webex „sehr sorgfältig“. | |
Zugleich wies der FU-Sprecher auf die technische Herausforderung hin, die | |
für ein Videokonferenzsystem besteht, das in Hochzeiten pro Tag bis zu | |
30.000 Nutzer*innen gleichzeitig verbinden muss. Eine eigene Plattform | |
zu betreiben, die dies leisten könne, „und den Anforderungen an die | |
IT-Sicherheit genügt, ist praktisch und wirtschaftlich nicht durch eigene | |
Infrastruktur herzustellen“. | |
Bei der Berliner Datenschutzbeauftragten stieß die Arumentation der FU auf | |
Irritation. Ihr Sprecher Rebiger bestätigte zwar, dass das | |
Prüfungsverfahren rein formal erst abgeschlossen sei, wenn die FU auf die | |
Hinweise der Datenschutzbeauftragen eingegangen ist. Rebiger betonte aber | |
zugleich: „Der Befund steht.“ | |
5 Jan 2022 | |
## LINKS | |
[1] /Volkssport-Zoom-Konferenzen/!5823282 | |
[2] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshi… | |
[3] /Datenschutz-Grundverordnung/!5572748 | |
## AUTOREN | |
Bert Schulz | |
## TAGS | |
Datenschutzbeauftragte | |
DSGVO | |
Freie Universität Berlin | |
Videokonferenz | |
Datenschutz | |
Videokonferenz | |
Wochenkommentar | |
Freie Universität Berlin | |
Gesichtserkennung | |
Gesichtserkennung | |
DSGVO | |
DSGVO | |
## ARTIKEL ZUM THEMA | |
Neue Datenschutzbeauftragte für Berlin: Späte Kür | |
Rot-Grün-Rot will den über ein Jahr lang vakanten Posten der | |
Datenschutzbeauftragen Anfang Oktober besetzen – mit einer Ex-Mitarbeiterin | |
der Behörde. | |
Streit um Datenschutz an der FU Berlin: Letzte Frist für Webex | |
Berlins Datenschutzbeauftragter setzt die Freie Universität unter Druck: | |
Die Hochschule müsse noch diesen Monat den Einsatz des Videotools beenden. | |
Datenschutz bei Videokonferenzen: Da wird lieber weggeschaut | |
Die FU Berlin ignoriert ihr Datenschutzproblem mit dem Konferenztool Cisco | |
Webex. Das wird übrigens auch vom Bundestag genutzt. Ein Wochenkommentar. | |
Datenschutz im öffentlichen Dienst: „Es braucht eine kleine Revolution“ | |
Die FU Berlin nutzt ein Videokonferenzsystem, das nicht datenschutzkonform | |
ist. Das Problem betrifft nicht nur die Uni, sagt Tobias Schulze (Linke). | |
Biometrische Gesichtserkennung: Berliner Zoo rudert zurück | |
Der Zoo will die biometrischen Daten von Dauerkartenbesitzer*innen | |
erfassen. Nach massiver Kritik wird der Plan aufgeschoben – vorerst. | |
Berlins Zoo plant Gesichtserkennung: „Das geht gar nicht“ | |
Die Pläne des Zoos, biometrische Daten der Besucher zur Gesichtserkennung | |
zu nutzen, werden von der Koalition klar abgelehnt. | |
Ein Jahr DSGVO: Vorbild trotz Mängeln | |
Am Samstag wird sie ein Jahr alt, die Datenschutz-Grundverordnung. Vor | |
einem Jahr war der Aufschrei groß. Und nun? Eine Bilanz. | |
Datenschutz-Grundverordnung: DSGVO ist in Kraft – und nun? | |
Vor zehn Monaten trat die Datenschutz-Grundverordnung in Kraft. Doch | |
VerbraucherInnen fühlen sich wenig informiert. |