 |
# taz.de -- Datenschutz im öffentlichen Dienst: „Es braucht eine kleine Revo… |
|
|
|
> Die FU Berlin nutzt ein Videokonferenzsystem, das nicht |
|
> datenschutzkonform ist. Das Problem betrifft nicht nur die Uni, sagt |
|
> Tobias Schulze (Linke). |
|
|
 |
Bild: Boomen seit Corona: Videokonferenztools, hier in Japan |
|
|
|
taz: Herr Schulze, am Mittwoch wurde bekannt, dass die Freie Universität |
|
Berlin (FU) ein Videokonferenzsystem einsetzt, das nicht datenschutzkonform |
|
und daher rechtswidrig ist. Das hat [1][die Berliner Datenschutzbeauftragte |
|
festgestellt]. Überrascht Sie der Befund? |
|
|
|
Tobias Schulze: Nein. Es gibt seit längerem [2][eine Liste mit |
|
Einschätzungen der Datenschutzbeauftragten] zu den verschiedenen |
|
Videokonferenztools. Darauf werden einige Anwendungen insbesondere aus dem |
|
Open-Source-Bereich als datenschutzkonform dargestellt. Andere – |
|
insbesondere aus dem proprietären, also herstellerspezifischen Bereich – |
|
als nicht-datenschutzkonform. Zu letzteren gehört auch Cisco Webex, das die |
|
FU verwendet. Seit dieser Prüfung wusste die Uni, worauf sie sich einlässt. |
|
|
|
Allerdings gibt es [3][Zoom, Microsoft Teams oder auch Webex in sehr |
|
unterschiedlichen Varianten]; in manchen sind sie datenschutzkonformer. |
|
|
|
Das stimmt. Es kommt auf die spezifische Konfiguration an. Und natürlich |
|
hatten alle – also öffentliche Stellen wie private Unternehmen – zu Beginn |
|
der Pandemie große Probleme, von den üblichen Präsenzabläufen auf Video |
|
umzustellen. Große Anbieter, die die entsprechenden Serverkapazitäten im |
|
Hintergrund haben, waren im Vorteil und konnten schnell Lösungen |
|
präsentieren. |
|
|
|
Inzwischen dauert die Pandemie fast zwei Jahre… |
|
|
|
Wir müssen uns deshalb jetzt genau anschauen, was mit den Daten passieren |
|
kann, die über die entsprechenden Cloudserver laufen. Inzwischen kann man |
|
bei der Auswahl der vielen Konferenztools die Abwägung treffen: Das |
|
funktioniert – auch mit Blick auf den Datenschutz. Bei den anderen muss man |
|
umsteuern und andere Lösungen finden. |
|
|
|
Die FU hat bereits Mitte November die Einschätzung der |
|
Datenschutzbeauftragten bekommen. Was muss die Uni jetzt tun? |
|
|
|
Die Hochschule sollte sich anschauen, mit welcher Konfiguration sie Webex |
|
betreibt und wo genau die Schwachpunkte sind. Es muss geklärt werden, ob |
|
beispielsweise die Server in Europa stehen und so abgesichert sind, dass |
|
die Daten dort nicht von ausländischen Geheimdiensten abgegriffen werden |
|
können. Das wird in der Regel nicht der Fall sein, weil ausländische |
|
Dienste auch auf europäische Server der Unternehmen Zugriff haben. |
|
|
|
Was schlagen Sie vor? |
|
|
|
Die beste Variante dürfte eine Umstellung auf eigene Server in einem |
|
eigenen Rechenzentrum sein. Die FU muss jetzt in den Austausch mit der |
|
Datenschutzbeauftragten gehen, um gemeinsam nach Lösungen zu suchen. |
|
|
|
Was bedeutet die Einschätzung der Datenschutzbeauftragen für die rund |
|
40.000 Studierenden und für die Wissenschaftler? |
|
|
|
Zunächst ist es die Pflicht der Universität, die Studierenden, Lehrenden |
|
und Beschäftigten darauf aufmerksam zu machen, dass sie ein |
|
Videokonferenztool benutzen, bei dem Daten über Server im Ausland fließen. |
|
Die Beschäftigten und Studierenden müssen selbst einschätzen können, ob sie |
|
dieses Risiko eingehen wollen oder nicht. Das sieht [4][die |
|
Datenschutzgrundverordnung (DSGVO)] so vor. |
|
|
|
Studierende haben diese Wahl doch gar nicht: Es werden ja viele Seminare |
|
oder Vorlesungen angeboten über dieses Tool. Wer da sagt, ich mache nicht |
|
mit, kann de facto nicht studieren. |
|
|
|
Das ist genau das Problem. Trotzdem ist die Information der Betroffenen |
|
erst mal wichtig. Die Datenschutzgrundverordnung sieht klare |
|
Transparenzregeln vor und die sind auch von der FU einzuhalten. Offenbar |
|
hat sie nicht einmal eine Einverständniserklärung bezüglich der Risiken von |
|
allen eingeholt, die die Konferenztools nutzen. Insofern hat die |
|
Universität noch viel nachzuholen. |
|
|
|
Rot-Grün-Rot hat im neuen Koalitionsvertrag festgelegt, dass die |
|
Möglichkeiten und Rechte der Berliner Datenschutzbeauftragten gestärkt |
|
werden sollen. Hat sie denn in diesem Fall genügend Durchgriffsrechte? |
|
|
|
Ja. Das Problem sind eher die Ressourcen. Das Aufkommen an Anfragen und |
|
Bitten um Überprüfung ist massiv gestiegen. Wir haben in der Koalition |
|
vereinbart, dass die Datenschutzbeauftragte deshalb neue Stellen bekommt, |
|
zumal sie zukünftig nicht mehr nur auf den Datenschutz achten muss, sondern |
|
auch auf das Thema Informationsfreiheit und Transparenz. |
|
|
|
Zum anderen ist im Koalitionsvertrag vereinbart worden, künftig primär |
|
selbst entwickelte Open-Source-Lösungen für die Verwaltung einzusetzen. |
|
Warum? |
|
|
|
Gerade die öffentliche Verwaltung, über die sehr sensible Daten laufen, |
|
braucht Lösungen, bei denen sich die Bürgerinnen und Bürger sicher sein |
|
können, dass ihre Daten in guten Händen sind und nicht von unbefugten |
|
Stellen abgegriffen werden können. Doch die Strategien fast aller großer |
|
Software-Konzerne zielt darauf, ihre Leistungen aus der Cloud anzubieten. |
|
Das betrifft zum Beispiel auch Microsoft. Damit sind im Prinzip diese |
|
Softwarelösungen und Betriebssysteme nicht mehr entsprechend der |
|
Datenschutzgrundverordnung (DSGVO) einsetzbar. |
|
|
|
Neue Software müsste sehr schnell kommen, oder? |
|
|
|
Ja, wir haben Handlungsdruck. |
|
|
|
Sind staatliche Entwickler überhaupt in der Lage, mit den großen Techfirmen |
|
mitzuhalten? |
|
|
|
Das ist je nach Einsatzzweck der Software unterschiedlich. Die größten |
|
Probleme haben wir im Bereich der Betriebssysteme. Bei Anwendungen und |
|
Office-Lösungen ist es deutlich einfacher. Das Entscheidende ist, dass wir |
|
uns als öffentliche Hand unabhängiger machen von den |
|
Unternehmensstrategien. Und zwar nicht nur aus Sicherheitsgründen, sondern |
|
auch aus Gründen der Demokratie und der Transparenz. |
|
|
|
Über welchen Zeithorizont reden wir gerade? |
|
|
|
Was die Betriebssysteme der Rechner angeht, sicherlich längere Zeiträume. |
|
|
|
Also fünf bis zehn Jahre? |
|
|
|
Nein, zehn Jahre darf es nicht dauern. Wir haben vor kurzem in der |
|
Verwaltung Windows 10 eingeführt. Ich denke, danach werden wir kein neues |
|
Microsoft-Betriebssystem mehr bekommen. Also müssen wir schon in den |
|
nächsten Jahren die Umstellung auf andere Betriebssysteme hinbekommen. |
|
|
|
Das wäre eine kleine Revolution. |
|
|
|
Ja. Wir sind aber auch Getriebene. |
|
|
|
Drohen Klagen, etwa von Mitarbeitenden der Verwaltung? |
|
|
|
Es werden weniger die Mitarbeiter sein, auch wenn sie das könnten, als |
|
vielmehr die entsprechenden Organisationen aus dem Datenschutzbereich. Sie |
|
haben schon Rügen gegen verschiedene öffentliche Träger in Deutschland |
|
ausgesprochen. |
|
|
|
Die Länder und der Bund arbeiten bei der Entwicklung von Software zusammen. |
|
Ist diese Kooperation eher förder- oder hinderlich, etwa weil es viele |
|
Abstimmungsfragen gibt? |
|
|
|
Die Zusammenarbeit ist unabdingbar. Kein Land mit IT-Dienstleister ist |
|
allein so stark, dass es für sich alleine Lösungen entwickeln kann. Es gilt |
|
das Prinzip: Ein Träger entwickelt für alle die entsprechende Lösung, |
|
darauf können dann alle zugreifen. Wir haben beispielsweise einen |
|
öffentlichen Dienstleister wie Dataport in Norddeutschland, der von |
|
mehreren Bundesländern betrieben wird und Lösungen ausrollt, die auch in |
|
anderen Bundesländern nutzbar sind. |
|
|
|
6 Jan 2022 |
|
|
|
## LINKS |
|
|
 |
[1] /Mangelhafter-Datenschutz-an-Uni/!5823593 |
|
[2] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshi… |
|
[3] /Volkssport-Zoom-Konferenzen/!5823282 |
|
[4] /Ein-Jahr-DSGVO/!5597437 |
|
|
|
## AUTOREN |
|
|
|
Bert Schulz |
|
|
|
## TAGS |
|
|
|
Freie Universität Berlin |
|
DSGVO |
|
Datenschutz |
|
Berlin |
|
Digitalisierung |
|
Verwaltung |
|
Datenschutzbeauftragte |
|
Videokonferenz |
|
Wochenkommentar |
|
Datenschutzbeauftragte |
|
Ampel-Koalition |
|
|
|
Gesichtserkennung |
|
DSGVO |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Streit um Datenschutz an der FU Berlin: Letzte Frist für Webex |
|
|
|
Berlins Datenschutzbeauftragter setzt die Freie Universität unter Druck: |
|
Die Hochschule müsse noch diesen Monat den Einsatz des Videotools beenden. |
|
|
|
Datenschutz bei Videokonferenzen: Da wird lieber weggeschaut |
|
|
|
Die FU Berlin ignoriert ihr Datenschutzproblem mit dem Konferenztool Cisco |
|
Webex. Das wird übrigens auch vom Bundestag genutzt. Ein Wochenkommentar. |
|
|
|
Mangelhafter Datenschutz an Uni: Videokonferenz als Datenkrake |
|
|
|
Die Freie Universität Berlin arbeitet mit einem Videokonferenzsystem, |
|
dessen Nutzung rechtswidrig ist. Die Uni weiß das, informiert darüber ab |
|
nicht. |
|
|
|
Pläne der Ampelkoalition: Die neue Digital-Begeisterung |
|
|
|
Für die neue Ampelkoalition ist es einfach, mit Digitalthemen zu punkten. |
|
Aber in manchen Stellen im Koalitionsvertrag steckt Gruseliges. |
|
|
|
Verstöße gegen DSGVO: Rekordstrafe für WhatsApp Irland |
|
|
|
Wegen Verstößen gegen die Europäische Datenschutz-Grundverordnung muss |
|
WhatsApp Irland 225 Millionen Euro zahlen. Ein finanzieller Klacks für das |
|
Unternehmen. |
|
|
|
Biometrische Gesichtserkennung: Berliner Zoo rudert zurück |
|
|
|
Der Zoo will die biometrischen Daten von Dauerkartenbesitzer*innen |
|
erfassen. Nach massiver Kritik wird der Plan aufgeschoben – vorerst. |
|
|
|
Ein Jahr DSGVO: Vorbild trotz Mängeln |
|
|
|
Am Samstag wird sie ein Jahr alt, die Datenschutz-Grundverordnung. Vor |
|
einem Jahr war der Aufschrei groß. Und nun? Eine Bilanz. |
