Mangelhafter Datenschutz an Uni: Videokonferenz als Datenkrake

Berlin taz | Zu den wenigen positiven Seiten der Coronapandemie gehört, dass Videokonferenzen Teil des (Berufs-)Alltags vieler Menschen geworden sind. Zwar ruckelt manchmal noch das Bild, und ab und an vergisst man, die Stummschaltung beim Sprechen zu deaktivieren. Aber im Großen und Ganzen funk­tioniert diese Art von Online­zusammenkunft, zumindest oberflächlich betrachtet.

Im Hintergrund bleiben zahlreiche Probleme: Das bekommt jetzt die Freie Universität (FU) Berlin zu spüren. Ihre Nutzung des unter anderem für Vorlesungen und Seminare umfassend eingesetzten Videokonferenzdiensts Cisco Webex ist rechtswidrig. Das hat die Berliner Datenschutzbeauftragte nach einer mehrere Monate dauernden Prüfung entschieden. Anlass war eine Beschwerde des Allgemeinen Studierendenausschusses (AStA) der Hochschule. Die FU steht damit vor einem Riesenproblem.

Dabei kommt die Entscheidung von Berlins oberster Datenschützerin nicht einmal besonders überraschend. Bereits im ersten Jahr der Pandemie hatte sie den meisten großen Anbietern von Videokonferenzsystemen bescheinigt, nicht datenschutzfreundlich zu arbeiten – etwa weil die Unternehmen häufig personenbezogene Daten auch für eigene Zwecke verwenden dürfen.

Auch die überarbeitete Liste aus dem Jahr 2021 stellt unter anderem den Anwendungen Cisco Webex, Google Meet, Microsoft Teams, Skype und Zoom durchweg schlechte Noten in dieser Hinsicht aus. Dennoch sind sie in vielen Universitäten und Unternehmen weit verbreitet – weil sie oft stabiler laufen als andere Systeme.

An der FU dürfte es damit zumindest auf mittlere Sicht vorbei sein. Bereits im November hatte die Datenschutzbeauftragte die Hochschule darüber informiert, dass „die von der FU Berlin unter https:\\fu-berlin.webex.com genutzte Lösung sich derzeit nicht datenschutzkonform einsetzen lässt“, wie es in einem Schreiben der Datenschützerin an den AStA vom 8. Dezember heißt. Die Uni solle nun klären, so der Brief weiter, ob durch organisatorische und technische Maßnahmen „die Verletzung der Grundrechte der betroffenen Personen entscheidend“ verringert werden könne. Gelinge dies, könnte der weitere Einsatz von Webex zumindest über einen gewissen Zeitraum „tolerierbar“ werden.

Das Schreiben der Datenschutzbeauftragten veröffentlichte der AStA am Mittwoch, weil die FU – anders als von der Datenschutzgrundverordnung (DSGVO) vorgeschrieben – bisher weder die Gremien der Hochschule noch die Mitglieder der Uni über die Entscheidung informiert habe. „Dieses Versäumnis muss umgehend nachgeholt werden“, fordert Janik Besendorf, AStA-Referent für Datenschutz und Kommunikation. Auch Tobias Schulze, Linken-Abgeordneter und Experte seiner Fraktion für Digitalisierung und Hochschulen, kritisiert die fehlende Information der Betroffenen durch die Hochschulen und behält sich eine Vorladung der Hochschulleitung in den zuständigen Ausschuss des Berliner Abgeordnetenhauses vor.

Der AStA der FU stellt der Hochschule im Hinblick auf Datenschutz generell kein gutes Zeugnis aus und nennt als Beispiel die fehlerhafte Konfiguration des Notensystems Campus-Management vor einem Jahr, wodurch die Noten von Studierenden öffentlich einsehbar wurden. „Die Entscheidung der Berliner Datenschutzbeauftragten ist ein Korrektiv für das Versagen der FU“, kommentiert Janik Besendorf. Statt Webex sollte die FU laut dem AStA eine „datensparsame Lösung“ einsetzen, „idealerweise auf eigenen Servern“. Andere Hochschulen, darunter die Humboldt-Universität (HU), sowie einige FU-Fachbereiche zeigten, dass dies möglich sei.

Tatsächlich sind die Schwierigkeiten bei der von der FU konfigurierten Version von Webex umfassend, wie Simon Rebiger, Sprecher der Datenschutzbeauftragen, auf taz-Anfrage erläutert. Problematisch an der Verwendung sei unter anderem, „dass Cisco die rechtswidrigen Übermittlungen personenbezogener Daten in die USA bisher nicht beendet hat“.

Ebenso bestehe das Problem der nach europäischem Recht unzulässigen Zugriffsbefugnisse US-amerikanischer Behörden: Danach muss Cisco Nutzungsdaten auf Anfrage etwa an US-Geheimdienste liefern, auch wenn diese auf Servern in Deutschland liegen. Schließlich, so Rebiger weiter, würden „zur Leistungserbringung nicht vertraglich zugelassene Subunternehmer eingesetzt“. Die FU soll nun einen Zeitplan erstellen, wann mögliche Änderungen umgesetzt werden könnten. Ansonsten drohten Sanktionen.

FU weist Vorwürfe zurück

Die FU reagierte erst am Donnerstag mit einer Stellungnahme. Darin weist sie die Vorwürfe zurück. Ein abschließendes Ergebnis der datenschutzrechtlichen Prüfung durch die Berliner Datenschutzbeauftrage zum konkreten Einsatz von Webex liege bisher nicht vor. „Folglich kann auch nicht von einem rechtswidrigen Einsatz gesprochen werden“, teilte ein Sprecher auf taz-Anfrage mit. Die FU prüfe und bearbeite die Anforderungen des Datenschutzes beim Einsatz von Cisco Webex „sehr sorgfältig“.

Zugleich wies der FU-Sprecher auf die technische Herausforderung hin, die für ein Videokonferenzsystem besteht, das in Hochzeiten pro Tag bis zu 30.000 Nut­ze­r*in­nen gleichzeitig verbinden muss. Eine eigene Plattform zu betreiben, die dies leisten könne, „und den Anforderungen an die IT-Sicherheit genügt, ist praktisch und wirtschaftlich nicht durch eigene Infrastruktur herzustellen“.

Bei der Berliner Datenschutzbeauftragten stieß die Arumentation der FU auf Irritation. Ihr Sprecher Rebiger bestätigte zwar, dass das Prüfungsverfahren rein formal erst abgeschlossen sei, wenn die FU auf die Hinweise der Datenschutzbeauftragen eingegangen ist. Rebiger betonte aber zugleich: „Der Befund steht.“