Datenschutz im öffentlichen Dienst: „Es braucht eine kleine Revolution“

Die FU Berlin nutzt ein Videokonferenzsystem, das nicht datenschutzkonform ist. Das Problem betrifft nicht nur die Uni, sagt Tobias Schulze (Linke).

Boomen seit Corona: Videokonferenztools, hier in Japan Foto: dpa

taz: Herr Schulze, am Mittwoch wurde bekannt, dass die Freie Universität Berlin (FU) ein Videokonferenzsystem einsetzt, das nicht datenschutzkonform und daher rechtswidrig ist. Das hat die Berliner Datenschutzbeauftragte festgestellt. Überrascht Sie der Befund?

Tobias Schulze: Nein. Es gibt seit längerem eine Liste mit Einschätzungen der Datenschutzbeauftragten zu den verschiedenen Videokonferenztools. Darauf werden einige Anwendungen insbesondere aus dem Open-Source-Bereich als datenschutzkonform dargestellt. Andere – insbesondere aus dem proprietären, also herstellerspezifischen Bereich – als nicht-datenschutzkonform. Zu letzteren gehört auch Cisco Webex, das die FU verwendet. Seit dieser Prüfung wusste die Uni, worauf sie sich einlässt.

Allerdings gibt es Zoom, Microsoft Teams oder auch Webex in sehr unterschiedlichen Varianten; in manchen sind sie datenschutzkonformer.

Das stimmt. Es kommt auf die spezifische Konfiguration an. Und natürlich hatten alle – also öffentliche Stellen wie private Unternehmen – zu Beginn der Pandemie große Probleme, von den üblichen Präsenzabläufen auf Video umzustellen. Große Anbieter, die die entsprechenden Serverkapazitäten im Hintergrund haben, waren im Vorteil und konnten schnell Lösungen präsentieren.

Inzwischen dauert die Pandemie fast zwei Jahre…

Wir müssen uns deshalb jetzt genau anschauen, was mit den Daten passieren kann, die über die entsprechenden Cloudserver laufen. Inzwischen kann man bei der Auswahl der vielen Konferenztools die Abwägung treffen: Das funktioniert – auch mit Blick auf den Datenschutz. Bei den anderen muss man umsteuern und andere Lösungen finden.

Die FU hat bereits Mitte November die Einschätzung der Datenschutzbeauftragten bekommen. Was muss die Uni jetzt tun?

im Interview:

Tobias Schulze

Foto: Ben Gross

Tobias Schulze ist Abgeordneter der Linkspartei im Berliner Parlament und Sprecher für Sprecher für Wissenschaft und Forschung, Netzpolitik und Digitale Verwaltung seiner Fraktion

Die Hochschule sollte sich anschauen, mit welcher Konfiguration sie Webex betreibt und wo genau die Schwachpunkte sind. Es muss geklärt werden, ob beispielsweise die Server in Europa stehen und so abgesichert sind, dass die Daten dort nicht von ausländischen Geheimdiensten abgegriffen werden können. Das wird in der Regel nicht der Fall sein, weil ausländische Dienste auch auf europäische Server der Unternehmen Zugriff haben.

Was schlagen Sie vor?

Die beste Variante dürfte eine Umstellung auf eigene Server in einem eigenen Rechenzentrum sein. Die FU muss jetzt in den Austausch mit der Datenschutzbeauftragten gehen, um gemeinsam nach Lösungen zu suchen.

Was bedeutet die Einschätzung der Datenschutzbeauftragen für die rund 40.000 Studierenden und für die Wissenschaftler?

Zunächst ist es die Pflicht der Universität, die Studierenden, Lehrenden und Beschäftigten darauf aufmerksam zu machen, dass sie ein Videokonferenztool benutzen, bei dem Daten über Server im Ausland fließen. Die Beschäftigten und Studierenden müssen selbst einschätzen können, ob sie dieses Risiko eingehen wollen oder nicht. Das sieht die Datenschutzgrundverordnung (DSGVO) so vor.

Studierende haben diese Wahl doch gar nicht: Es werden ja viele Seminare oder Vorlesungen angeboten über dieses Tool. Wer da sagt, ich mache nicht mit, kann de facto nicht studieren.

Das ist genau das Problem. Trotzdem ist die Information der Betroffenen erst mal wichtig. Die Datenschutzgrundverordnung sieht klare Transparenzregeln vor und die sind auch von der FU einzuhalten. Offenbar hat sie nicht einmal eine Einverständniserklärung bezüglich der Risiken von allen eingeholt, die die Konferenztools nutzen. Insofern hat die Universität noch viel nachzuholen.

Rot-Grün-Rot hat im neuen Koalitionsvertrag festgelegt, dass die Möglichkeiten und Rechte der Berliner Datenschutzbeauftragten gestärkt werden sollen. Hat sie denn in diesem Fall genügend Durchgriffsrechte?

Ja. Das Problem sind eher die Ressourcen. Das Aufkommen an Anfragen und Bitten um Überprüfung ist massiv gestiegen. Wir haben in der Koalition vereinbart, dass die Datenschutzbeauftragte deshalb neue Stellen bekommt, zumal sie zukünftig nicht mehr nur auf den Datenschutz achten muss, sondern auch auf das Thema Informationsfreiheit und Transparenz.

Zum anderen ist im Koalitionsvertrag vereinbart worden, künftig primär selbst entwickelte Open-Source-Lösungen für die Verwaltung einzusetzen. Warum?

Gerade die öffentliche Verwaltung, über die sehr sensible Daten laufen, braucht Lösungen, bei denen sich die Bürgerinnen und Bürger sicher sein können, dass ihre Daten in guten Händen sind und nicht von unbefugten Stellen abgegriffen werden können. Doch die Strategien fast aller großer Software-Konzerne zielt darauf, ihre Leistungen aus der Cloud anzubieten. Das betrifft zum Beispiel auch Microsoft. Damit sind im Prinzip diese Softwarelösungen und Betriebssysteme nicht mehr entsprechend der Datenschutzgrundverordnung (DSGVO) einsetzbar.

Neue Software müsste sehr schnell kommen, oder?

Ja, wir haben Handlungsdruck.

Sind staatliche Entwickler überhaupt in der Lage, mit den großen Techfirmen mitzuhalten?

Das ist je nach Einsatzzweck der Software unterschiedlich. Die größten Probleme haben wir im Bereich der Betriebssysteme. Bei Anwendungen und Office-Lösungen ist es deutlich einfacher. Das Entscheidende ist, dass wir uns als öffentliche Hand unabhängiger machen von den Unternehmensstrategien. Und zwar nicht nur aus Sicherheitsgründen, sondern auch aus Gründen der Demokratie und der Transparenz.

Über welchen Zeithorizont reden wir gerade?

Was die Betriebssysteme der Rechner angeht, sicherlich längere Zeiträume.

Also fünf bis zehn Jahre?

Liegt verträumt in Berlin-Dahlem: die Freie Universität Foto: dpa

Nein, zehn Jahre darf es nicht dauern. Wir haben vor kurzem in der Verwaltung Windows 10 eingeführt. Ich denke, danach werden wir kein neues Microsoft-Betriebssystem mehr bekommen. Also müssen wir schon in den nächsten Jahren die Umstellung auf andere Betriebssysteme hinbekommen.

Das wäre eine kleine Revolution.

Ja. Wir sind aber auch Getriebene.

Drohen Klagen, etwa von Mitarbeitenden der Verwaltung?

Es werden weniger die Mitarbeiter sein, auch wenn sie das könnten, als vielmehr die entsprechenden Organisationen aus dem Datenschutzbereich. Sie haben schon Rügen gegen verschiedene öffentliche Träger in Deutschland ausgesprochen.

Die Länder und der Bund arbeiten bei der Entwicklung von Software zusammen. Ist diese Kooperation eher förder- oder hinderlich, etwa weil es viele Abstimmungsfragen gibt?

Die Zusammenarbeit ist unabdingbar. Kein Land mit IT-Dienstleister ist allein so stark, dass es für sich alleine Lösungen entwickeln kann. Es gilt das Prinzip: Ein Träger entwickelt für alle die entsprechende Lösung, darauf können dann alle zugreifen. Wir haben beispielsweise einen öffentlichen Dienstleister wie Dataport in Norddeutschland, der von mehreren Bundesländern betrieben wird und Lösungen ausrollt, die auch in anderen Bundesländern nutzbar sind.