# taz.de -- Datenschutz im öffentlichen Dienst: „Es braucht eine kleine Revo… | |
> Die FU Berlin nutzt ein Videokonferenzsystem, das nicht | |
> datenschutzkonform ist. Das Problem betrifft nicht nur die Uni, sagt | |
> Tobias Schulze (Linke). | |
Bild: Boomen seit Corona: Videokonferenztools, hier in Japan | |
taz: Herr Schulze, am Mittwoch wurde bekannt, dass die Freie Universität | |
Berlin (FU) ein Videokonferenzsystem einsetzt, das nicht datenschutzkonform | |
und daher rechtswidrig ist. Das hat [1][die Berliner Datenschutzbeauftragte | |
festgestellt]. Überrascht Sie der Befund? | |
Tobias Schulze: Nein. Es gibt seit längerem [2][eine Liste mit | |
Einschätzungen der Datenschutzbeauftragten] zu den verschiedenen | |
Videokonferenztools. Darauf werden einige Anwendungen insbesondere aus dem | |
Open-Source-Bereich als datenschutzkonform dargestellt. Andere – | |
insbesondere aus dem proprietären, also herstellerspezifischen Bereich – | |
als nicht-datenschutzkonform. Zu letzteren gehört auch Cisco Webex, das die | |
FU verwendet. Seit dieser Prüfung wusste die Uni, worauf sie sich einlässt. | |
Allerdings gibt es [3][Zoom, Microsoft Teams oder auch Webex in sehr | |
unterschiedlichen Varianten]; in manchen sind sie datenschutzkonformer. | |
Das stimmt. Es kommt auf die spezifische Konfiguration an. Und natürlich | |
hatten alle – also öffentliche Stellen wie private Unternehmen – zu Beginn | |
der Pandemie große Probleme, von den üblichen Präsenzabläufen auf Video | |
umzustellen. Große Anbieter, die die entsprechenden Serverkapazitäten im | |
Hintergrund haben, waren im Vorteil und konnten schnell Lösungen | |
präsentieren. | |
Inzwischen dauert die Pandemie fast zwei Jahre… | |
Wir müssen uns deshalb jetzt genau anschauen, was mit den Daten passieren | |
kann, die über die entsprechenden Cloudserver laufen. Inzwischen kann man | |
bei der Auswahl der vielen Konferenztools die Abwägung treffen: Das | |
funktioniert – auch mit Blick auf den Datenschutz. Bei den anderen muss man | |
umsteuern und andere Lösungen finden. | |
Die FU hat bereits Mitte November die Einschätzung der | |
Datenschutzbeauftragten bekommen. Was muss die Uni jetzt tun? | |
Die Hochschule sollte sich anschauen, mit welcher Konfiguration sie Webex | |
betreibt und wo genau die Schwachpunkte sind. Es muss geklärt werden, ob | |
beispielsweise die Server in Europa stehen und so abgesichert sind, dass | |
die Daten dort nicht von ausländischen Geheimdiensten abgegriffen werden | |
können. Das wird in der Regel nicht der Fall sein, weil ausländische | |
Dienste auch auf europäische Server der Unternehmen Zugriff haben. | |
Was schlagen Sie vor? | |
Die beste Variante dürfte eine Umstellung auf eigene Server in einem | |
eigenen Rechenzentrum sein. Die FU muss jetzt in den Austausch mit der | |
Datenschutzbeauftragten gehen, um gemeinsam nach Lösungen zu suchen. | |
Was bedeutet die Einschätzung der Datenschutzbeauftragen für die rund | |
40.000 Studierenden und für die Wissenschaftler? | |
Zunächst ist es die Pflicht der Universität, die Studierenden, Lehrenden | |
und Beschäftigten darauf aufmerksam zu machen, dass sie ein | |
Videokonferenztool benutzen, bei dem Daten über Server im Ausland fließen. | |
Die Beschäftigten und Studierenden müssen selbst einschätzen können, ob sie | |
dieses Risiko eingehen wollen oder nicht. Das sieht [4][die | |
Datenschutzgrundverordnung (DSGVO)] so vor. | |
Studierende haben diese Wahl doch gar nicht: Es werden ja viele Seminare | |
oder Vorlesungen angeboten über dieses Tool. Wer da sagt, ich mache nicht | |
mit, kann de facto nicht studieren. | |
Das ist genau das Problem. Trotzdem ist die Information der Betroffenen | |
erst mal wichtig. Die Datenschutzgrundverordnung sieht klare | |
Transparenzregeln vor und die sind auch von der FU einzuhalten. Offenbar | |
hat sie nicht einmal eine Einverständniserklärung bezüglich der Risiken von | |
allen eingeholt, die die Konferenztools nutzen. Insofern hat die | |
Universität noch viel nachzuholen. | |
Rot-Grün-Rot hat im neuen Koalitionsvertrag festgelegt, dass die | |
Möglichkeiten und Rechte der Berliner Datenschutzbeauftragten gestärkt | |
werden sollen. Hat sie denn in diesem Fall genügend Durchgriffsrechte? | |
Ja. Das Problem sind eher die Ressourcen. Das Aufkommen an Anfragen und | |
Bitten um Überprüfung ist massiv gestiegen. Wir haben in der Koalition | |
vereinbart, dass die Datenschutzbeauftragte deshalb neue Stellen bekommt, | |
zumal sie zukünftig nicht mehr nur auf den Datenschutz achten muss, sondern | |
auch auf das Thema Informationsfreiheit und Transparenz. | |
Zum anderen ist im Koalitionsvertrag vereinbart worden, künftig primär | |
selbst entwickelte Open-Source-Lösungen für die Verwaltung einzusetzen. | |
Warum? | |
Gerade die öffentliche Verwaltung, über die sehr sensible Daten laufen, | |
braucht Lösungen, bei denen sich die Bürgerinnen und Bürger sicher sein | |
können, dass ihre Daten in guten Händen sind und nicht von unbefugten | |
Stellen abgegriffen werden können. Doch die Strategien fast aller großer | |
Software-Konzerne zielt darauf, ihre Leistungen aus der Cloud anzubieten. | |
Das betrifft zum Beispiel auch Microsoft. Damit sind im Prinzip diese | |
Softwarelösungen und Betriebssysteme nicht mehr entsprechend der | |
Datenschutzgrundverordnung (DSGVO) einsetzbar. | |
Neue Software müsste sehr schnell kommen, oder? | |
Ja, wir haben Handlungsdruck. | |
Sind staatliche Entwickler überhaupt in der Lage, mit den großen Techfirmen | |
mitzuhalten? | |
Das ist je nach Einsatzzweck der Software unterschiedlich. Die größten | |
Probleme haben wir im Bereich der Betriebssysteme. Bei Anwendungen und | |
Office-Lösungen ist es deutlich einfacher. Das Entscheidende ist, dass wir | |
uns als öffentliche Hand unabhängiger machen von den | |
Unternehmensstrategien. Und zwar nicht nur aus Sicherheitsgründen, sondern | |
auch aus Gründen der Demokratie und der Transparenz. | |
Über welchen Zeithorizont reden wir gerade? | |
Was die Betriebssysteme der Rechner angeht, sicherlich längere Zeiträume. | |
Also fünf bis zehn Jahre? | |
Nein, zehn Jahre darf es nicht dauern. Wir haben vor kurzem in der | |
Verwaltung Windows 10 eingeführt. Ich denke, danach werden wir kein neues | |
Microsoft-Betriebssystem mehr bekommen. Also müssen wir schon in den | |
nächsten Jahren die Umstellung auf andere Betriebssysteme hinbekommen. | |
Das wäre eine kleine Revolution. | |
Ja. Wir sind aber auch Getriebene. | |
Drohen Klagen, etwa von Mitarbeitenden der Verwaltung? | |
Es werden weniger die Mitarbeiter sein, auch wenn sie das könnten, als | |
vielmehr die entsprechenden Organisationen aus dem Datenschutzbereich. Sie | |
haben schon Rügen gegen verschiedene öffentliche Träger in Deutschland | |
ausgesprochen. | |
Die Länder und der Bund arbeiten bei der Entwicklung von Software zusammen. | |
Ist diese Kooperation eher förder- oder hinderlich, etwa weil es viele | |
Abstimmungsfragen gibt? | |
Die Zusammenarbeit ist unabdingbar. Kein Land mit IT-Dienstleister ist | |
allein so stark, dass es für sich alleine Lösungen entwickeln kann. Es gilt | |
das Prinzip: Ein Träger entwickelt für alle die entsprechende Lösung, | |
darauf können dann alle zugreifen. Wir haben beispielsweise einen | |
öffentlichen Dienstleister wie Dataport in Norddeutschland, der von | |
mehreren Bundesländern betrieben wird und Lösungen ausrollt, die auch in | |
anderen Bundesländern nutzbar sind. | |
6 Jan 2022 | |
## LINKS | |
[1] /Mangelhafter-Datenschutz-an-Uni/!5823593 | |
[2] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshi… | |
[3] /Volkssport-Zoom-Konferenzen/!5823282 | |
[4] /Ein-Jahr-DSGVO/!5597437 | |
## AUTOREN | |
Bert Schulz | |
## TAGS | |
Freie Universität Berlin | |
DSGVO | |
Datenschutz | |
Berlin | |
Digitalisierung | |
Verwaltung | |
Datenschutzbeauftragte | |
Videokonferenz | |
Wochenkommentar | |
Datenschutzbeauftragte | |
Ampel-Koalition | |
Gesichtserkennung | |
DSGVO | |
## ARTIKEL ZUM THEMA | |
Streit um Datenschutz an der FU Berlin: Letzte Frist für Webex | |
Berlins Datenschutzbeauftragter setzt die Freie Universität unter Druck: | |
Die Hochschule müsse noch diesen Monat den Einsatz des Videotools beenden. | |
Datenschutz bei Videokonferenzen: Da wird lieber weggeschaut | |
Die FU Berlin ignoriert ihr Datenschutzproblem mit dem Konferenztool Cisco | |
Webex. Das wird übrigens auch vom Bundestag genutzt. Ein Wochenkommentar. | |
Mangelhafter Datenschutz an Uni: Videokonferenz als Datenkrake | |
Die Freie Universität Berlin arbeitet mit einem Videokonferenzsystem, | |
dessen Nutzung rechtswidrig ist. Die Uni weiß das, informiert darüber ab | |
nicht. | |
Pläne der Ampelkoalition: Die neue Digital-Begeisterung | |
Für die neue Ampelkoalition ist es einfach, mit Digitalthemen zu punkten. | |
Aber in manchen Stellen im Koalitionsvertrag steckt Gruseliges. | |
Verstöße gegen DSGVO: Rekordstrafe für WhatsApp Irland | |
Wegen Verstößen gegen die Europäische Datenschutz-Grundverordnung muss | |
WhatsApp Irland 225 Millionen Euro zahlen. Ein finanzieller Klacks für das | |
Unternehmen. | |
Biometrische Gesichtserkennung: Berliner Zoo rudert zurück | |
Der Zoo will die biometrischen Daten von Dauerkartenbesitzer*innen | |
erfassen. Nach massiver Kritik wird der Plan aufgeschoben – vorerst. | |
Ein Jahr DSGVO: Vorbild trotz Mängeln | |
Am Samstag wird sie ein Jahr alt, die Datenschutz-Grundverordnung. Vor | |
einem Jahr war der Aufschrei groß. Und nun? Eine Bilanz. |