taz.de/1/!5823593 - Gopher HTTP proxy

# taz.de -- Mangelhafter Datenschutz an Uni: Videokonferenz als Datenkrake

> Die Freie Universität Berlin arbeitet mit einem Videokonferenzsystem,
> dessen Nutzung rechtswidrig ist. Die Uni weiß das, informiert darüber ab
> nicht.

IMG Bild: Auch Despoten nutzen Videokonferenzen – sicher mit besserem Datenschutz als an der FU

Berlin taz | Zu den wenigen positiven Seiten der Coronapandemie gehört,
dass Videokonferenzen [1][Teil des (Berufs-)Alltags vieler Menschen
geworden sind]. Zwar ruckelt manchmal noch das Bild, und ab und an vergisst
man, die Stummschaltung beim Sprechen zu deaktivieren. Aber im Großen und
Ganzen funktioniert diese Art von Onlinezusammenkunft, zumindest
oberflächlich betrachtet.

Im Hintergrund bleiben zahlreiche Probleme: Das bekommt jetzt die Freie
Universität (FU) Berlin zu spüren. Ihre Nutzung des unter anderem für
Vorlesungen und Seminare umfassend eingesetzten Videokonferenzdiensts Cisco
Webex ist rechtswidrig. Das hat die Berliner Datenschutzbeauftragte nach
einer mehrere Monate dauernden Prüfung entschieden. Anlass war eine
Beschwerde des Allgemeinen Studierendenausschusses (AStA) der Hochschule.
Die FU steht damit vor einem Riesenproblem.

Dabei kommt die Entscheidung von Berlins oberster Datenschützerin nicht
einmal besonders überraschend. Bereits im ersten Jahr der Pandemie hatte
sie den meisten großen Anbietern von Videokonferenzsystemen bescheinigt,
nicht datenschutzfreundlich zu arbeiten – etwa weil die Unternehmen häufig
personenbezogene Daten auch für eigene Zwecke verwenden dürfen.

Auch [2][die überarbeitete Liste aus dem Jahr 2021] stellt unter anderem
den Anwendungen Cisco Webex, Google Meet, Microsoft Teams, Skype und Zoom
durchweg schlechte Noten in dieser Hinsicht aus. Dennoch sind sie in vielen
Universitäten und Unternehmen weit verbreitet – weil sie oft stabiler
laufen als andere Systeme.

An der FU dürfte es damit zumindest auf mittlere Sicht vorbei sein. Bereits
im November hatte die Datenschutzbeauftragte die Hochschule darüber
informiert, dass „die von der FU Berlin unter https:\\fu-berlin.webex.com
genutzte Lösung sich derzeit nicht datenschutzkonform einsetzen lässt“, wie
es in einem Schreiben der Datenschützerin an den AStA vom 8. Dezember
heißt. Die Uni solle nun klären, so der Brief weiter, ob durch
organisatorische und technische Maßnahmen „die Verletzung der Grundrechte
der betroffenen Personen entscheidend“ verringert werden könne. Gelinge
dies, könnte der weitere Einsatz von Webex zumindest über einen gewissen
Zeitraum „tolerierbar“ werden.

Das Schreiben der Datenschutzbeauftragten veröffentlichte der AStA am
Mittwoch, weil die FU – [3][anders als von der Datenschutzgrundverordnung
(DSGVO]) vorgeschrieben – bisher weder die Gremien der Hochschule noch die
Mitglieder der Uni über die Entscheidung informiert habe. „Dieses
Versäumnis muss umgehend nachgeholt werden“, fordert Janik Besendorf,
AStA-Referent für Datenschutz und Kommunikation. Auch Tobias Schulze,
Linken-Abgeordneter und Experte seiner Fraktion für Digitalisierung und
Hochschulen, kritisiert die fehlende Information der Betroffenen durch die
Hochschulen und behält sich eine Vorladung der Hochschulleitung in den
zuständigen Ausschuss des Berliner Abgeordnetenhauses vor.

Der AStA der FU stellt der Hochschule im Hinblick auf Datenschutz generell
kein gutes Zeugnis aus und nennt als Beispiel die fehlerhafte Konfiguration
des Notensystems Campus-Management vor einem Jahr, wodurch die Noten von
Studierenden öffentlich einsehbar wurden. „Die Entscheidung der Berliner
Datenschutzbeauftragten ist ein Korrektiv für das Versagen der FU“,
kommentiert Janik Besendorf. Statt Webex sollte die FU laut dem AStA eine
„datensparsame Lösung“ einsetzen, „idealerweise auf eigenen Servern“.
Andere Hochschulen, darunter die Humboldt-Universität (HU), sowie einige
FU-Fachbereiche zeigten, dass dies möglich sei.

Tatsächlich sind die Schwierigkeiten bei der von der FU konfigurierten
Version von Webex umfassend, wie Simon Rebiger, Sprecher der
Datenschutzbeauftragen, auf taz-Anfrage erläutert. Problematisch an der
Verwendung sei unter anderem, „dass Cisco die rechtswidrigen Übermittlungen
personenbezogener Daten in die USA bisher nicht beendet hat“.

Ebenso bestehe das Problem der nach europäischem Recht unzulässigen
Zugriffsbefugnisse US-amerikanischer Behörden: Danach muss Cisco
Nutzungsdaten auf Anfrage etwa an US-Geheimdienste liefern, auch wenn diese
auf Servern in Deutschland liegen. Schließlich, so Rebiger weiter, würden
„zur Leistungserbringung nicht vertraglich zugelassene Subunternehmer
eingesetzt“. Die FU soll nun einen Zeitplan erstellen, wann mögliche
Änderungen umgesetzt werden könnten. Ansonsten drohten Sanktionen.

## FU weist Vorwürfe zurück

Die FU reagierte erst am Donnerstag mit einer Stellungnahme. Darin weist
sie die Vorwürfe zurück. Ein abschließendes Ergebnis der
datenschutzrechtlichen Prüfung durch die Berliner Datenschutzbeauftrage zum
konkreten Einsatz von Webex liege bisher nicht vor. „Folglich kann auch
nicht von einem rechtswidrigen Einsatz gesprochen werden“, teilte ein
Sprecher auf taz-Anfrage mit. Die FU prüfe und bearbeite die Anforderungen
des Datenschutzes beim Einsatz von Cisco Webex „sehr sorgfältig“.

Zugleich wies der FU-Sprecher auf die technische Herausforderung hin, die
für ein Videokonferenzsystem besteht, das in Hochzeiten pro Tag bis zu
30.000 Nutzer*innen gleichzeitig verbinden muss. Eine eigene Plattform
zu betreiben, die dies leisten könne, „und den Anforderungen an die
IT-Sicherheit genügt, ist praktisch und wirtschaftlich nicht durch eigene
Infrastruktur herzustellen“.

Bei der Berliner Datenschutzbeauftragten stieß die Arumentation der FU auf
Irritation. Ihr Sprecher Rebiger bestätigte zwar, dass das
Prüfungsverfahren rein formal erst abgeschlossen sei, wenn die FU auf die
Hinweise der Datenschutzbeauftragen eingegangen ist. Rebiger betonte aber
zugleich: „Der Befund steht.“

5 Jan 2022

## LINKS

DIR [1] /Volkssport-Zoom-Konferenzen/!5823282
DIR [2] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf
DIR [3] /Datenschutz-Grundverordnung/!5572748

## AUTOREN

DIR Bert Schulz

## TAGS

DIR Datenschutzbeauftragte
DIR DSGVO
DIR Freie Universität Berlin
DIR Videokonferenz
DIR Datenschutz
DIR Videokonferenz
DIR Wochenkommentar
DIR Freie Universität Berlin
DIR Gesichtserkennung
DIR Gesichtserkennung
DIR DSGVO
DIR DSGVO

## ARTIKEL ZUM THEMA

DIR Neue Datenschutzbeauftragte für Berlin: Späte Kür

Rot-Grün-Rot will den über ein Jahr lang vakanten Posten der
Datenschutzbeauftragen Anfang Oktober besetzen – mit einer Ex-Mitarbeiterin
der Behörde.

DIR Streit um Datenschutz an der FU Berlin: Letzte Frist für Webex

Berlins Datenschutzbeauftragter setzt die Freie Universität unter Druck:
Die Hochschule müsse noch diesen Monat den Einsatz des Videotools beenden.

DIR Datenschutz bei Videokonferenzen: Da wird lieber weggeschaut

Die FU Berlin ignoriert ihr Datenschutzproblem mit dem Konferenztool Cisco
Webex. Das wird übrigens auch vom Bundestag genutzt. Ein Wochenkommentar.

DIR Datenschutz im öffentlichen Dienst: „Es braucht eine kleine Revolution“

Die FU Berlin nutzt ein Videokonferenzsystem, das nicht datenschutzkonform
ist. Das Problem betrifft nicht nur die Uni, sagt Tobias Schulze (Linke).

DIR Biometrische Gesichtserkennung: Berliner Zoo rudert zurück

Der Zoo will die biometrischen Daten von Dauerkartenbesitzer*innen
erfassen. Nach massiver Kritik wird der Plan aufgeschoben – vorerst.

DIR Berlins Zoo plant Gesichtserkennung: „Das geht gar nicht“

Die Pläne des Zoos, biometrische Daten der Besucher zur Gesichtserkennung
zu nutzen, werden von der Koalition klar abgelehnt.

DIR Ein Jahr DSGVO: Vorbild trotz Mängeln

Am Samstag wird sie ein Jahr alt, die Datenschutz-Grundverordnung. Vor
einem Jahr war der Aufschrei groß. Und nun? Eine Bilanz.

DIR Datenschutz-Grundverordnung: DSGVO ist in Kraft – und nun?

Vor zehn Monaten trat die Datenschutz-Grundverordnung in Kraft. Doch
VerbraucherInnen fühlen sich wenig informiert.