# taz.de -- Datenschutz bei Videokonferenzen: Da wird lieber weggeschaut | |
> Die FU Berlin ignoriert ihr Datenschutzproblem mit dem Konferenztool | |
> Cisco Webex. Das wird übrigens auch vom Bundestag genutzt. Ein | |
> Wochenkommentar. | |
Bild: Was sieht sie – und wer kriegt die Daten? | |
Der Anspruch, den die Freie Universität Berlin (FU) vor sich herträgt, ist | |
gewaltig: Bereits seit 2007 gehöre die Hochschule zu den | |
Exzellenzuniversitäten in Deutschland, lobt man sich auf der Startseite der | |
eigenen Homepage; die FU sei „führend in Wissenschaft und Lehre, in der | |
Region vielfältig vernetzt und international aufgestellt“. | |
Wer genauer hinschaut, hat eher den Eindruck, die Uni würde sich gerne im | |
kuscheligen Villenviertel Berlin-Dahlem einmümmeln und von der weiten Welt | |
nichts mitkriegen. So wie vor dem Mauerfall, als die FU ein | |
Universitätstanker der größten Kategorie und meist mit sich selbst | |
beschäftigt war. Das betrifft etwa den Datenschutz, ein – man könnte sagen | |
– leidiges Thema, das viele öffentliche Institutionen und Unternehmen | |
umtreibt. Wenn sie es denn ernst nehmen. Bei der FU darf man daran | |
zweifeln. | |
Dabei besteht akuter Handlungsbedarf. Am Mittwoch wurde durch eine | |
Mitteilung des Allgemeinen Studierendenausschusses (AStA) der FU bekannt, | |
dass die Berliner Datenschutzbeauftragte nach einer Prüfung festgestellt | |
hat, dass die derzeitige Verwendung des Videokonferenzsystems Cisco Webex | |
[1][an der Uni nicht datenschutzkonform und damit rechtswidrig sei]. Der FU | |
war das bereits Mitte November mitgeteilt worden. Reagiert hat sie darauf | |
bisher nicht, zumindest nicht öffentlich, und sie hat auch nicht die | |
Mitarbeitenden und rund 40.000 Studierenden darüber informiert, wie [2][es | |
die Datenschutzgrundverordnung (DSGVO) vorsieht]. | |
Offenbar hofft man bei der FU darauf, dass der Sturm vorüberzieht, ohne | |
Schäden zu hinterlassen. Aber muss eine „international aufgestellte“ | |
Exzellenzuni nicht den größten Anspruch an Datensicherheit haben, gerade | |
beim Austausch mit Wissenschaftler*innen und Studierenden in aller | |
Welt? | |
Dabei sind die von der Datenschutzbeauftragten beanstandeten Aspekte bei | |
der aktuellen Konfiguration von Webex bei der FU schwerwiegend und | |
umfassend, wie Simon Rebiger, Sprecher der Datenschutzbeauftragen, auf | |
taz-Anfrage erläuterte. Problematisch sei unter anderem, „dass Cisco die | |
rechtswidrigen Übermittlungen personenbezogener Daten in die USA bisher | |
nicht beendet hat“. | |
Ebenso bestehe das Problem der nach europäischem Recht unzulässigen | |
Zugriffsbefugnisse US-amerikanischer Behörden: Danach muss Cisco | |
Nutzungsdaten auf Anfrage etwa an US-Geheimdienste liefern, auch wenn diese | |
auf Servern in Deutschland liegen. Schließlich, so Rebiger weiter, würden | |
„zur Leistungserbringung nicht vertraglich zugelassene Subunternehmer | |
eingesetzt“. Die FU wurde daher von der Datenschutzbeauftragten | |
aufgefordert, einen Zeitplan zu erstellen, wann mögliche Änderungen | |
umgesetzt werden könnten, um „die Verletzung der Grundrechte der | |
betroffenen Personen entscheidend“ zu verringern. Ansonsten drohten | |
Sanktionen. | |
Doch die FU mauert sich ein, wie die Antwort der Pressestelle erkennen | |
lässt. Darin wird das Ergebnis der Untersuchung schlicht abgestritten: Da | |
die Prüfung formal nicht abschlossen sei, könne „auch nicht von einem | |
rechtswidrigen Einsatz gesprochen werden“. Hier wird offenbar frei nach | |
Morgenstern verfahren, dass „nicht sein kann, was nicht sein darf“. Und es | |
stimmt zwar, dass die Prüfung formal erst beendet ist, wenn die Uni auf die | |
Aufforderungen der Datenschutzbeauftragen reagiert hat, wie Rebiger | |
bestätigt. Doch das ändere nichts an dem Befund der Rechtswidrigkeit. | |
Natürlich ist die aktuelle Situation der FU undankbar, weil es ihr ja so | |
geht wie vielen Institutionen und Firmen, die die Stabilität ihrer | |
Videokonferenzprogramme von Microsoft, Zoom oder Google mit mehr oder | |
weniger großen Zugeständnissen in Sachen Datenschutz erkaufen. Und man darf | |
der FU durchaus abnehmen, wenn sie erklärt, dass sie die Anforderungen des | |
Datenschutzes beim Einsatz von Cisco Webex „sehr sorgfältig“ prüfe. | |
Doch das Argument, dass sich praktisch und wirtschaftlich keine Plattform | |
durch eigene Infrastruktur betreiben ließe, „die zuverlässig in der | |
Größenordnung 30.000 gleichzeitige Teilnehmende bedienen kann und den | |
Anforderungen an die IT-Sicherheit genügt“, ist nicht weniger als ein | |
Armutszeugnis einer Exzellenzuni. Wer, wenn nicht diese, sollte dazu in der | |
Lage sein? Zumal an einzelnen FU-Fachbereichen bereits erste Schritte dahin | |
gehend erarbeitet wurden, und etwa die Berliner Humboldt-Universität | |
relativ gut aufgestellt ist und das Open-Source-Programm BigBlueButton | |
nutzt. Vertraut die FU zu wenig auf ihre eigenen Mitarbeiter*innen? | |
## Institutionen unter Druck der Datenschützer*innen | |
Das Datenschutzproblem – übrigens nicht nur bei Videokonferenztools – wird | |
sich nicht mehr lange ignorieren oder wegreden lassen, weil auch andere | |
Institutionen unter Druck der Datenschützer*innen und entsprechender | |
NGOs geraten werden. Denn wie ein Sprecher des Bundesbeauftragen für | |
Datenschutz erklärt: „Grundsätzlich gilt, dass viele populäre | |
Videokonferenzsysteme eine Menge an Metadaten produzieren, die nicht | |
datenschutzkonform verarbeitet werden können.“ | |
Nicht einmal der Deutsche Bundestag ist vor dieser Frage gefeit: Seit 2020 | |
setzt dessen Verwaltung ebenfalls Webex ein, allerdings mit gleich | |
zweifacher Einschränkung. Auf taz-Anfrage erklärt eine Sprecherin dazu: „Es | |
gibt eine vorläufige datenschutzrechtliche Bewertung dieser | |
Videokonferenz-Software, die unter Auflagen eine Nutzung in einem fest | |
umrissenen Bereich zulässt.“ | |
Die Debatte, wie die Politik die von ihr selbst in der | |
Datenschutzgrundverordnung verfassten Auflagen erfüllen kann, hat gerade | |
erst begonnen. | |
8 Jan 2022 | |
## LINKS | |
[1] /Mangelhafter-Datenschutz-an-Uni/!5823593 | |
[2] /Datenschutz-im-oeffentlichen-Dienst/!5823701 | |
## AUTOREN | |
Bert Schulz | |
## TAGS | |
Wochenkommentar | |
DSGVO | |
Datenschutz | |
Datenschutzbeauftragte | |
Freie Universität Berlin | |
Videokonferenz | |
Videokonferenz | |
Freie Universität Berlin | |
Datenschutzbeauftragte | |
Schwerpunkt Überwachung | |
DSGVO | |
## ARTIKEL ZUM THEMA | |
Streit um Datenschutz an der FU Berlin: Letzte Frist für Webex | |
Berlins Datenschutzbeauftragter setzt die Freie Universität unter Druck: | |
Die Hochschule müsse noch diesen Monat den Einsatz des Videotools beenden. | |
Datenschutz im öffentlichen Dienst: „Es braucht eine kleine Revolution“ | |
Die FU Berlin nutzt ein Videokonferenzsystem, das nicht datenschutzkonform | |
ist. Das Problem betrifft nicht nur die Uni, sagt Tobias Schulze (Linke). | |
Mangelhafter Datenschutz an Uni: Videokonferenz als Datenkrake | |
Die Freie Universität Berlin arbeitet mit einem Videokonferenzsystem, | |
dessen Nutzung rechtswidrig ist. Die Uni weiß das, informiert darüber ab | |
nicht. | |
Massenüberwachung mit Gesichtserkennung: Wen die Kamera erkennt | |
Von der Gesichtserkennung bis zum Fingerabdruck – die biometrische | |
Überwachung nimmt zu, so der Report einer Bürgerrechts-NGO. | |
Ein Jahr DSGVO: Vorbild trotz Mängeln | |
Am Samstag wird sie ein Jahr alt, die Datenschutz-Grundverordnung. Vor | |
einem Jahr war der Aufschrei groß. Und nun? Eine Bilanz. |