Datenschutz bei Videokonferenzen: Da wird lieber weggeschaut

Die FU Berlin ignoriert ihr Datenschutzproblem mit dem Konferenztool Cisco Webex. Das wird übrigens auch vom Bundestag genutzt. Ein Wochenkommentar.

Was sieht sie – und wer kriegt die Daten? Foto: dpa

Der Anspruch, den die Freie Universität Berlin (FU) vor sich herträgt, ist gewaltig: Bereits seit 2007 gehöre die Hochschule zu den Exzellenzuniversitäten in Deutschland, lobt man sich auf der Startseite der eigenen Homepage; die FU sei „führend in Wissenschaft und Lehre, in der Region vielfältig vernetzt und international aufgestellt“.

Wer genauer hinschaut, hat eher den Eindruck, die Uni würde sich gerne im kuscheligen Villenviertel Berlin-Dahlem einmümmeln und von der weiten Welt nichts mitkriegen. So wie vor dem Mauerfall, als die FU ein Universitätstanker der größten Kategorie und meist mit sich selbst beschäftigt war. Das betrifft etwa den Datenschutz, ein – man könnte sagen – leidiges Thema, das viele öffentliche Institutionen und Unternehmen umtreibt. Wenn sie es denn ernst nehmen. Bei der FU darf man daran zweifeln.

Dabei besteht akuter Handlungsbedarf. Am Mittwoch wurde durch eine Mitteilung des Allgemeinen Studierendenausschusses (AStA) der FU bekannt, dass die Berliner Datenschutzbeauftragte nach einer Prüfung festgestellt hat, dass die derzeitige Verwendung des Videokonferenzsystems Cisco Webex an der Uni nicht datenschutzkonform und damit rechtswidrig sei. Der FU war das bereits Mitte November mitgeteilt worden. Reagiert hat sie darauf bisher nicht, zumindest nicht öffentlich, und sie hat auch nicht die Mitarbeitenden und rund 40.000 Studierenden darüber informiert, wie es die Datenschutzgrundverordnung (DSGVO) vorsieht.

Offenbar hofft man bei der FU darauf, dass der Sturm vorüberzieht, ohne Schäden zu hinterlassen. Aber muss eine „international aufgestellte“ Exzellenzuni nicht den größten Anspruch an Datensicherheit haben, gerade beim Austausch mit Wis­sen­schaft­le­r*in­nen und Studierenden in aller Welt?

Dabei sind die von der Datenschutzbeauftragten beanstandeten Aspekte bei der aktuellen Konfiguration von Webex bei der FU schwerwiegend und umfassend, wie Simon Rebiger, Sprecher der Datenschutzbeauftragen, auf taz-Anfrage erläuterte. Problematisch sei unter anderem, „dass Cisco die rechtswidrigen Übermittlungen personenbezogener Daten in die USA bisher nicht beendet hat“.

Ebenso bestehe das Problem der nach europäischem Recht unzulässigen Zugriffsbefugnisse US-amerikanischer Behörden: Danach muss Cisco Nutzungsdaten auf Anfrage etwa an US-Geheimdienste liefern, auch wenn diese auf Servern in Deutschland liegen. Schließlich, so Rebiger weiter, würden „zur Leistungserbringung nicht vertraglich zugelassene Subunternehmer eingesetzt“. Die FU wurde daher von der Datenschutzbeauftragten aufgefordert, einen Zeitplan zu erstellen, wann mögliche Änderungen umgesetzt werden könnten, um „die Verletzung der Grundrechte der betroffenen Personen entscheidend“ zu verringern. Ansonsten drohten Sanktionen.

Doch die FU mauert sich ein, wie die Antwort der Pressestelle erkennen lässt. Darin wird das Ergebnis der Untersuchung schlicht abgestritten: Da die Prüfung formal nicht abschlossen sei, könne „auch nicht von einem rechtswidrigen Einsatz gesprochen werden“. Hier wird offenbar frei nach Morgenstern verfahren, dass „nicht sein kann, was nicht sein darf“. Und es stimmt zwar, dass die Prüfung formal erst beendet ist, wenn die Uni auf die Aufforderungen der Datenschutzbeauftragen reagiert hat, wie Rebiger bestätigt. Doch das ändere nichts an dem Befund der Rechtswidrigkeit.

Natürlich ist die aktuelle Situation der FU undankbar, weil es ihr ja so geht wie vielen Institutionen und Firmen, die die Stabilität ihrer Videokonferenzprogramme von Microsoft, Zoom oder Google mit mehr oder weniger großen Zugeständnissen in Sachen Datenschutz erkaufen. Und man darf der FU durchaus abnehmen, wenn sie erklärt, dass sie die Anforderungen des Datenschutzes beim Einsatz von Cisco Webex „sehr sorgfältig“ prüfe.

Doch das Argument, dass sich praktisch und wirtschaftlich keine Plattform durch eigene Infrastruktur betreiben ließe, „die zuverlässig in der Größenordnung 30.000 gleichzeitige Teilnehmende bedienen kann und den Anforderungen an die IT-Sicherheit genügt“, ist nicht weniger als ein Armutszeugnis einer Exzellenzuni. Wer, wenn nicht diese, sollte dazu in der Lage sein? Zumal an einzelnen FU-Fachbereichen bereits erste Schritte dahin gehend erarbeitet wurden, und etwa die Berliner Humboldt-Universität relativ gut aufgestellt ist und das Open-Source-Programm BigBlueButton nutzt. Vertraut die FU zu wenig auf ihre eigenen Mitarbeiter*innen?

Institutionen unter Druck der Da­ten­schüt­ze­r*in­nen

Das Datenschutzproblem – übrigens nicht nur bei Videokonferenztools – wird sich nicht mehr lange ignorieren oder wegreden lassen, weil auch andere Institutionen unter Druck der Da­ten­schüt­ze­r*in­nen und entsprechender NGOs geraten werden. Denn wie ein Sprecher des Bundesbeauftragen für Datenschutz erklärt: „Grundsätzlich gilt, dass viele populäre Videokonferenzsysteme eine Menge an Metadaten produzieren, die nicht datenschutzkonform verarbeitet werden können.“

Nicht einmal der Deutsche Bundestag ist vor dieser Frage gefeit: Seit 2020 setzt dessen Verwaltung ebenfalls Webex ein, allerdings mit gleich zweifacher Einschränkung. Auf taz-Anfrage erklärt eine Sprecherin dazu: „Es gibt eine vorläufige datenschutzrechtliche Bewertung dieser Videokonferenz-Software, die unter Auflagen eine Nutzung in einem fest umrissenen Bereich zulässt.“

Die Debatte, wie die Politik die von ihr selbst in der Datenschutzgrundverordnung verfassten Auflagen erfüllen kann, hat gerade erst begonnen.