piwik no script img

Datenschutz bei VideokonferenzenDa wird lieber weggeschaut

Bert Schulz
Kommentar von Bert Schulz

Die FU Berlin ignoriert ihr Datenschutzproblem mit dem Konferenztool Cisco Webex. Das wird übrigens auch vom Bundestag genutzt. Ein Wochenkommentar.

Was sieht sie – und wer kriegt die Daten? Foto: dpa

D er Anspruch, den die Freie Universität Berlin (FU) vor sich herträgt, ist gewaltig: Bereits seit 2007 gehöre die Hochschule zu den Exzellenzuniversitäten in Deutschland, lobt man sich auf der Startseite der eigenen Homepage; die FU sei „führend in Wissenschaft und Lehre, in der Region vielfältig vernetzt und international aufgestellt“.

Wer genauer hinschaut, hat eher den Eindruck, die Uni würde sich gerne im kuscheligen Villenviertel Berlin-Dahlem einmümmeln und von der weiten Welt nichts mitkriegen. So wie vor dem Mauerfall, als die FU ein Universitätstanker der größten Kategorie und meist mit sich selbst beschäftigt war. Das betrifft etwa den Datenschutz, ein – man könnte sagen – leidiges Thema, das viele öffentliche Institutionen und Unternehmen umtreibt. Wenn sie es denn ernst nehmen. Bei der FU darf man daran zweifeln.

Dabei besteht akuter Handlungsbedarf. Am Mittwoch wurde durch eine Mitteilung des Allgemeinen Studierendenausschusses (AStA) der FU bekannt, dass die Berliner Datenschutzbeauftragte nach einer Prüfung festgestellt hat, dass die derzeitige Verwendung des Videokonferenzsystems Cisco Webex an der Uni nicht datenschutzkonform und damit rechtswidrig sei. Der FU war das bereits Mitte November mitgeteilt worden. Reagiert hat sie darauf bisher nicht, zumindest nicht öffentlich, und sie hat auch nicht die Mitarbeitenden und rund 40.000 Studierenden darüber informiert, wie es die Datenschutzgrundverordnung (DSGVO) vorsieht.

Offenbar hofft man bei der FU darauf, dass der Sturm vorüberzieht, ohne Schäden zu hinterlassen. Aber muss eine „international aufgestellte“ Exzellenzuni nicht den größten Anspruch an Datensicherheit haben, gerade beim Austausch mit Wis­sen­schaft­le­r*in­nen und Studierenden in aller Welt?

Die von der Datenschutzbeauftragten beanstandeten Aspekte sind schwerwiegend und umfassend

Dabei sind die von der Datenschutzbeauftragten beanstandeten Aspekte bei der aktuellen Konfiguration von Webex bei der FU schwerwiegend und umfassend, wie Simon Rebiger, Sprecher der Datenschutzbeauftragen, auf taz-Anfrage erläuterte. Problematisch sei unter anderem, „dass Cisco die rechtswidrigen Übermittlungen personenbezogener Daten in die USA bisher nicht beendet hat“.

Ebenso bestehe das Problem der nach europäischem Recht unzulässigen Zugriffsbefugnisse US-amerikanischer Behörden: Danach muss Cisco Nutzungsdaten auf Anfrage etwa an US-Geheimdienste liefern, auch wenn diese auf Servern in Deutschland liegen. Schließlich, so Rebiger weiter, würden „zur Leistungserbringung nicht vertraglich zugelassene Subunternehmer eingesetzt“. Die FU wurde daher von der Datenschutzbeauftragten aufgefordert, einen Zeitplan zu erstellen, wann mögliche Änderungen umgesetzt werden könnten, um „die Verletzung der Grundrechte der betroffenen Personen entscheidend“ zu verringern. Ansonsten drohten Sanktionen.

Doch die FU mauert sich ein, wie die Antwort der Pressestelle erkennen lässt. Darin wird das Ergebnis der Untersuchung schlicht abgestritten: Da die Prüfung formal nicht abschlossen sei, könne „auch nicht von einem rechtswidrigen Einsatz gesprochen werden“. Hier wird offenbar frei nach Morgenstern verfahren, dass „nicht sein kann, was nicht sein darf“. Und es stimmt zwar, dass die Prüfung formal erst beendet ist, wenn die Uni auf die Aufforderungen der Datenschutzbeauftragen reagiert hat, wie Rebiger bestätigt. Doch das ändere nichts an dem Befund der Rechtswidrigkeit.

Natürlich ist die aktuelle Situation der FU undankbar, weil es ihr ja so geht wie vielen Institutionen und Firmen, die die Stabilität ihrer Videokonferenzprogramme von Microsoft, Zoom oder Google mit mehr oder weniger großen Zugeständnissen in Sachen Datenschutz erkaufen. Und man darf der FU durchaus abnehmen, wenn sie erklärt, dass sie die Anforderungen des Datenschutzes beim Einsatz von Cisco Webex „sehr sorgfältig“ prüfe.

Doch das Argument, dass sich praktisch und wirtschaftlich keine Plattform durch eigene Infrastruktur betreiben ließe, „die zuverlässig in der Größenordnung 30.000 gleichzeitige Teilnehmende bedienen kann und den Anforderungen an die IT-Sicherheit genügt“, ist nicht weniger als ein Armutszeugnis einer Exzellenzuni. Wer, wenn nicht diese, sollte dazu in der Lage sein? Zumal an einzelnen FU-Fachbereichen bereits erste Schritte dahin gehend erarbeitet wurden, und etwa die Berliner Humboldt-Universität relativ gut aufgestellt ist und das Open-Source-Programm BigBlueButton nutzt. Vertraut die FU zu wenig auf ihre eigenen Mitarbeiter*innen?

Institutionen unter Druck der Da­ten­schüt­ze­r*in­nen

Das Datenschutzproblem – übrigens nicht nur bei Videokonferenztools – wird sich nicht mehr lange ignorieren oder wegreden lassen, weil auch andere Institutionen unter Druck der Da­ten­schüt­ze­r*in­nen und entsprechender NGOs geraten werden. Denn wie ein Sprecher des Bundesbeauftragen für Datenschutz erklärt: „Grundsätzlich gilt, dass viele populäre Videokonferenzsysteme eine Menge an Metadaten produzieren, die nicht datenschutzkonform verarbeitet werden können.“

Nicht einmal der Deutsche Bundestag ist vor dieser Frage gefeit: Seit 2020 setzt dessen Verwaltung ebenfalls Webex ein, allerdings mit gleich zweifacher Einschränkung. Auf taz-Anfrage erklärt eine Sprecherin dazu: „Es gibt eine vorläufige datenschutzrechtliche Bewertung dieser Videokonferenz-Software, die unter Auflagen eine Nutzung in einem fest umrissenen Bereich zulässt.“

Die Debatte, wie die Politik die von ihr selbst in der Datenschutzgrundverordnung verfassten Auflagen erfüllen kann, hat gerade erst begonnen.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Bert Schulz
Ex-Leiter taz.Berlin
Jahrgang 1974, war bis Juni 2023 Leiter der Berlin-Redaktion der taz. Zuvor war er viele Jahre Chef vom Dienst in dieser Redaktion. Er lebt seit 1998 in Berlin und hat Politikwissenschaft an der Freien Universität studiert.
Mehr zum Thema

5 Kommentare

 / 
  • @FRL ROTTENMEIER

    Wissen Sie, was Cisco (Webex) oder Zoom mit dem Bild- und Soundstream machen?

    Eben.

  • @LARASU

    "... wenn Sie eine Vorlesung mit vielen vielen Student*innen abhalten wollen, gehen halt andere Produkte nicht."

    Das stimmt nicht. Sicher, es braucht etwas mehr Einsatz, aber aus mir bekannten Hochschulen -- und noch mehr aus bekannten Events [1] aus der freien Software weiss ich, dass das mit eine*r anständigen Sysadmin*in durchaus zu machen ist.

    Verbreiten Sie also bitte kein FUD, dafür sorgt schon Microsoft.

    [1] die letzten zwei Chaos Communications Congresses, mit weit mehr Teilnehmer*innen als Ihre Normalovorlesung mögen als Referenzen mal genügen.

  • Ich verstehe, dass die amerikanischen Gesetze mit unserem Datenschutz kollidieren - aber inhaltlich sehe ich das Problem nicht. Wenn ich an einer Webex-Konferenz teilnehme, hinterlasse ich doch nichts, außer meiner IP-Adresse.

    Man muss zwar eine Mailadresse angeben, diese wird aber nicht verwendet. Also kann ich da nach Belieben "Schnuckiputz@ponyhof" eintippen, ohne, dass das irgend eine Auswirkung hat.

    Vielleicht sieht das die Uni ja genau so?

  • Es ist vermutlich richtig, dass mit Webex, Zoom etc. Datenschutzprobleme bestehen. Die Server sind häufig im EU Ausland. Und Windows sendet eh gerne nach Hause. Allerdings, wenn Sie eine Vorlesung mit vielen vielen Student*innen abhalten wollen, gehen halt andere Produkte nicht. Letztlich stellt sich dann halt wohl die Frage: Datenschutz oder Pandemieschutz?

  • "Vertraut die FU zu wenig auf ihre eigenen Mitarbeiter*innen?"

    So ist es wohl sehr oft in diesem Kontext. "Abhängigkeit" vom eigenen Personal scheint dem Management mehr Angst einzujagen als Abhängigkeit von einem externen Grossunternehmen (Cisco, Microsoft, you name it).

    Wir dürfen nicht vergessen: genannte Grossunternehmen haben ganze Abteilungen von Leuten, die darauf spezialisiert sind (und dafür üppig bezahlt werden) den Entscheidungsträger*innen einzuflüstern.

    The Wormtongue Pattern.