Datenschutz im öffentlichen Dienst: „Es braucht eine kleine Revolution“

Die FU Berlin nutzt ein Videokonferenzsystem, das nicht datenschutzkonform ist. Das Problem betrifft nicht nur die Uni, sagt Tobias Schulze (Linke).

Ein Mann steht an einem Rednerpult, hinter im ein großer Bildschirm mit zugeschalteten Teilnehmer*innen

Boomen seit Corona: Videokonferenztools, hier in Japan Foto: dpa

taz: Herr Schulze, am Mittwoch wurde bekannt, dass die Freie Universität Berlin (FU) ein Videokonferenzsystem einsetzt, das nicht datenschutzkonform und daher rechtswidrig ist. Das hat die Berliner Datenschutzbeauftragte festgestellt. Überrascht Sie der Befund?

Tobias Schulze: Nein. Es gibt seit längerem eine Liste mit Einschätzungen der Datenschutzbeauftragten zu den verschiedenen Videokonferenztools. Darauf werden einige Anwendungen insbesondere aus dem Open-Source-Bereich als datenschutzkonform dargestellt. Andere – insbesondere aus dem proprietären, also herstellerspezifischen Bereich – als nicht-datenschutzkonform. Zu letzteren gehört auch Cisco Webex, das die FU verwendet. Seit dieser Prüfung wusste die Uni, worauf sie sich einlässt.

Allerdings gibt es Zoom, Microsoft Teams oder auch Webex in sehr unterschiedlichen Varianten; in manchen sind sie datenschutzkonformer.

Das stimmt. Es kommt auf die spezifische Konfiguration an. Und natürlich hatten alle – also öffentliche Stellen wie private Unternehmen – zu Beginn der Pandemie große Probleme, von den üblichen Präsenzabläufen auf Video umzustellen. Große Anbieter, die die entsprechenden Serverkapazitäten im Hintergrund haben, waren im Vorteil und konnten schnell Lösungen präsentieren.

Inzwischen dauert die Pandemie fast zwei Jahre…

Wir müssen uns deshalb jetzt genau anschauen, was mit den Daten passieren kann, die über die entsprechenden Cloudserver laufen. Inzwischen kann man bei der Auswahl der vielen Konferenztools die Abwägung treffen: Das funktioniert – auch mit Blick auf den Datenschutz. Bei den anderen muss man umsteuern und andere Lösungen finden.

Die FU hat bereits Mitte November die Einschätzung der Datenschutzbeauftragten bekommen. Was muss die Uni jetzt tun?

Tobias Schulze ist Abgeordneter der Linkspartei im Berliner Parlament und Sprecher für Sprecher für Wissenschaft und Forschung, Netzpolitik und Digitale Verwaltung seiner Fraktion

Die Hochschule sollte sich anschauen, mit welcher Konfiguration sie Webex betreibt und wo genau die Schwachpunkte sind. Es muss geklärt werden, ob beispielsweise die Server in Europa stehen und so abgesichert sind, dass die Daten dort nicht von ausländischen Geheimdiensten abgegriffen werden können. Das wird in der Regel nicht der Fall sein, weil ausländische Dienste auch auf europäische Server der Unternehmen Zugriff haben.

Was schlagen Sie vor?

Die beste Variante dürfte eine Umstellung auf eigene Server in einem eigenen Rechenzentrum sein. Die FU muss jetzt in den Austausch mit der Datenschutzbeauftragten gehen, um gemeinsam nach Lösungen zu suchen.

Was bedeutet die Einschätzung der Datenschutzbeauftragen für die rund 40.000 Studierenden und für die Wissenschaftler?

Zunächst ist es die Pflicht der Universität, die Studierenden, Lehrenden und Beschäftigten darauf aufmerksam zu machen, dass sie ein Videokonferenztool benutzen, bei dem Daten über Server im Ausland fließen. Die Beschäftigten und Studierenden müssen selbst einschätzen können, ob sie dieses Risiko eingehen wollen oder nicht. Das sieht die Datenschutzgrundverordnung (DSGVO) so vor.

Studierende haben diese Wahl doch gar nicht: Es werden ja viele Seminare oder Vorlesungen angeboten über dieses Tool. Wer da sagt, ich mache nicht mit, kann de facto nicht studieren.

Nach Einschätzung der Berliner Datenschutzbeauftragten benutzt die Freie Universität Berlin (FU) ihr Videokonferenzsystem Cisco Webex „derzeit nicht datenschutzkonform“ und damit rechtswidrig. Die Hochschule wurde über diese Einschätzung bereits Mitte November informiert; öffentlich wurde diese erst am Mittwoch durch den AStA, der die Prüfung bei der Datenschutzbeauftragten beantragt hatte. Die Beauftragte fordert die FU nun auf zu klären, ob technische oder organisatorische Maßnahmen getroffen werden können, um „die Verletzung der Grundrechte der betroffenen Personen entscheidend zu verringern“.

Die FU wies die Vorwürfe am Donnerstag zurück. Ein abschließendes Ergebnis der datenschutzrechtlichen Prüfung liege bisher nicht vor. „Folglich kann auch nicht von einem rechtswidrigen Einsatz gesprochen werden“, teilte ein Sprecher auf taz-Anfrage mit. Die FU prüfe und bearbeite die Anforderungen des Datenschutzes beim Einsatz von Cisco Webex „sehr sorgfältig“.

Bei der Berliner Datenschutzbeauftragten stieß die Arumentation der FU auf Irritationen. Ihr Sprecher bestätigte zwar, dass das Prüfungsverfahren rein formal erst abgeschlossen sei, wenn die FU auf die Hinweise der Datenschutzbeauftragen eingegangen ist. Rebiger betonte aber zugleich: „Der Befund steht.“ (taz)

Das ist genau das Problem. Trotzdem ist die Information der Betroffenen erst mal wichtig. Die Datenschutzgrundverordnung sieht klare Transparenzregeln vor und die sind auch von der FU einzuhalten. Offenbar hat sie nicht einmal eine Einverständniserklärung bezüglich der Risiken von allen eingeholt, die die Konferenztools nutzen. Insofern hat die Universität noch viel nachzuholen.

Rot-Grün-Rot hat im neuen Koalitionsvertrag festgelegt, dass die Möglichkeiten und Rechte der Berliner Datenschutzbeauftragten gestärkt werden sollen. Hat sie denn in diesem Fall genügend Durchgriffsrechte?

Ja. Das Problem sind eher die Ressourcen. Das Aufkommen an Anfragen und Bitten um Überprüfung ist massiv gestiegen. Wir haben in der Koalition vereinbart, dass die Datenschutzbeauftragte deshalb neue Stellen bekommt, zumal sie zukünftig nicht mehr nur auf den Datenschutz achten muss, sondern auch auf das Thema Informationsfreiheit und Transparenz.

Zum anderen ist im Koalitionsvertrag vereinbart worden, künftig primär selbst entwickelte Open-Source-Lösungen für die Verwaltung einzusetzen. Warum?

Gerade die öffentliche Verwaltung, über die sehr sensible Daten laufen, braucht Lösungen, bei denen sich die Bürgerinnen und Bürger sicher sein können, dass ihre Daten in guten Händen sind und nicht von unbefugten Stellen abgegriffen werden können. Doch die Strategien fast aller großer Software-Konzerne zielt darauf, ihre Leistungen aus der Cloud anzubieten. Das betrifft zum Beispiel auch Microsoft. Damit sind im Prinzip diese Softwarelösungen und Betriebssysteme nicht mehr entsprechend der Datenschutzgrundverordnung (DSGVO) einsetzbar.

Neue Software müsste sehr schnell kommen, oder?

Ja, wir haben Handlungsdruck.

Sind staatliche Entwickler überhaupt in der Lage, mit den großen Techfirmen mitzuhalten?

Das ist je nach Einsatzzweck der Software unterschiedlich. Die größten Probleme haben wir im Bereich der Betriebssysteme. Bei Anwendungen und Office-Lösungen ist es deutlich einfacher. Das Entscheidende ist, dass wir uns als öffentliche Hand unabhängiger machen von den Unternehmensstrategien. Und zwar nicht nur aus Sicherheitsgründen, sondern auch aus Gründen der Demokratie und der Transparenz.

Über welchen Zeithorizont reden wir gerade?

Was die Betriebssysteme der Rechner angeht, sicherlich längere Zeiträume.

Also fünf bis zehn Jahre?

Holzgebäude der Freien Universität

Liegt verträumt in Berlin-Dahlem: die Freie Universität Foto: dpa

Nein, zehn Jahre darf es nicht dauern. Wir haben vor kurzem in der Verwaltung Windows 10 eingeführt. Ich denke, danach werden wir kein neues Microsoft-Betriebssystem mehr bekommen. Also müssen wir schon in den nächsten Jahren die Umstellung auf andere Betriebssysteme hinbekommen.

Das wäre eine kleine Revolution.

Ja. Wir sind aber auch Getriebene.

Drohen Klagen, etwa von Mitarbeitenden der Verwaltung?

Es werden weniger die Mitarbeiter sein, auch wenn sie das könnten, als vielmehr die entsprechenden Organisationen aus dem Datenschutzbereich. Sie haben schon Rügen gegen verschiedene öffentliche Träger in Deutschland ausgesprochen.

Die Länder und der Bund arbeiten bei der Entwicklung von Software zusammen. Ist diese Kooperation eher förder- oder hinderlich, etwa weil es viele Abstimmungsfragen gibt?

Die Zusammenarbeit ist unabdingbar. Kein Land mit IT-Dienstleister ist allein so stark, dass es für sich alleine Lösungen entwickeln kann. Es gilt das Prinzip: Ein Träger entwickelt für alle die entsprechende Lösung, darauf können dann alle zugreifen. Wir haben beispielsweise einen öffentlichen Dienstleister wie Dataport in Norddeutschland, der von mehreren Bundesländern betrieben wird und Lösungen ausrollt, die auch in anderen Bundesländern nutzbar sind.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de