Mangelhafter Datenschutz an Uni: Videokonferenz als Datenkrake
Die Freie Universität Berlin arbeitet mit einem Videokonferenzsystem, dessen Nutzung rechtswidrig ist. Die Uni weiß das, informiert darüber ab nicht.
Im Hintergrund bleiben zahlreiche Probleme: Das bekommt jetzt die Freie Universität (FU) Berlin zu spüren. Ihre Nutzung des unter anderem für Vorlesungen und Seminare umfassend eingesetzten Videokonferenzdiensts Cisco Webex ist rechtswidrig. Das hat die Berliner Datenschutzbeauftragte nach einer mehrere Monate dauernden Prüfung entschieden. Anlass war eine Beschwerde des Allgemeinen Studierendenausschusses (AStA) der Hochschule. Die FU steht damit vor einem Riesenproblem.
Dabei kommt die Entscheidung von Berlins oberster Datenschützerin nicht einmal besonders überraschend. Bereits im ersten Jahr der Pandemie hatte sie den meisten großen Anbietern von Videokonferenzsystemen bescheinigt, nicht datenschutzfreundlich zu arbeiten – etwa weil die Unternehmen häufig personenbezogene Daten auch für eigene Zwecke verwenden dürfen.
Auch die überarbeitete Liste aus dem Jahr 2021 stellt unter anderem den Anwendungen Cisco Webex, Google Meet, Microsoft Teams, Skype und Zoom durchweg schlechte Noten in dieser Hinsicht aus. Dennoch sind sie in vielen Universitäten und Unternehmen weit verbreitet – weil sie oft stabiler laufen als andere Systeme.
An der FU dürfte es damit zumindest auf mittlere Sicht vorbei sein. Bereits im November hatte die Datenschutzbeauftragte die Hochschule darüber informiert, dass „die von der FU Berlin unter https:\\fu-berlin.webex.com genutzte Lösung sich derzeit nicht datenschutzkonform einsetzen lässt“, wie es in einem Schreiben der Datenschützerin an den AStA vom 8. Dezember heißt. Die Uni solle nun klären, so der Brief weiter, ob durch organisatorische und technische Maßnahmen „die Verletzung der Grundrechte der betroffenen Personen entscheidend“ verringert werden könne. Gelinge dies, könnte der weitere Einsatz von Webex zumindest über einen gewissen Zeitraum „tolerierbar“ werden.
Das Schreiben der Datenschutzbeauftragten veröffentlichte der AStA am Mittwoch, weil die FU – anders als von der Datenschutzgrundverordnung (DSGVO) vorgeschrieben – bisher weder die Gremien der Hochschule noch die Mitglieder der Uni über die Entscheidung informiert habe. „Dieses Versäumnis muss umgehend nachgeholt werden“, fordert Janik Besendorf, AStA-Referent für Datenschutz und Kommunikation. Auch Tobias Schulze, Linken-Abgeordneter und Experte seiner Fraktion für Digitalisierung und Hochschulen, kritisiert die fehlende Information der Betroffenen durch die Hochschulen und behält sich eine Vorladung der Hochschulleitung in den zuständigen Ausschuss des Berliner Abgeordnetenhauses vor.
Der AStA der FU stellt der Hochschule im Hinblick auf Datenschutz generell kein gutes Zeugnis aus und nennt als Beispiel die fehlerhafte Konfiguration des Notensystems Campus-Management vor einem Jahr, wodurch die Noten von Studierenden öffentlich einsehbar wurden. „Die Entscheidung der Berliner Datenschutzbeauftragten ist ein Korrektiv für das Versagen der FU“, kommentiert Janik Besendorf. Statt Webex sollte die FU laut dem AStA eine „datensparsame Lösung“ einsetzen, „idealerweise auf eigenen Servern“. Andere Hochschulen, darunter die Humboldt-Universität (HU), sowie einige FU-Fachbereiche zeigten, dass dies möglich sei.
Tatsächlich sind die Schwierigkeiten bei der von der FU konfigurierten Version von Webex umfassend, wie Simon Rebiger, Sprecher der Datenschutzbeauftragen, auf taz-Anfrage erläutert. Problematisch an der Verwendung sei unter anderem, „dass Cisco die rechtswidrigen Übermittlungen personenbezogener Daten in die USA bisher nicht beendet hat“.
Ebenso bestehe das Problem der nach europäischem Recht unzulässigen Zugriffsbefugnisse US-amerikanischer Behörden: Danach muss Cisco Nutzungsdaten auf Anfrage etwa an US-Geheimdienste liefern, auch wenn diese auf Servern in Deutschland liegen. Schließlich, so Rebiger weiter, würden „zur Leistungserbringung nicht vertraglich zugelassene Subunternehmer eingesetzt“. Die FU soll nun einen Zeitplan erstellen, wann mögliche Änderungen umgesetzt werden könnten. Ansonsten drohten Sanktionen.
FU weist Vorwürfe zurück
Die FU reagierte erst am Donnerstag mit einer Stellungnahme. Darin weist sie die Vorwürfe zurück. Ein abschließendes Ergebnis der datenschutzrechtlichen Prüfung durch die Berliner Datenschutzbeauftrage zum konkreten Einsatz von Webex liege bisher nicht vor. „Folglich kann auch nicht von einem rechtswidrigen Einsatz gesprochen werden“, teilte ein Sprecher auf taz-Anfrage mit. Die FU prüfe und bearbeite die Anforderungen des Datenschutzes beim Einsatz von Cisco Webex „sehr sorgfältig“.
Zugleich wies der FU-Sprecher auf die technische Herausforderung hin, die für ein Videokonferenzsystem besteht, das in Hochzeiten pro Tag bis zu 30.000 Nutzer*innen gleichzeitig verbinden muss. Eine eigene Plattform zu betreiben, die dies leisten könne, „und den Anforderungen an die IT-Sicherheit genügt, ist praktisch und wirtschaftlich nicht durch eigene Infrastruktur herzustellen“.
Bei der Berliner Datenschutzbeauftragten stieß die Arumentation der FU auf Irritation. Ihr Sprecher Rebiger bestätigte zwar, dass das Prüfungsverfahren rein formal erst abgeschlossen sei, wenn die FU auf die Hinweise der Datenschutzbeauftragen eingegangen ist. Rebiger betonte aber zugleich: „Der Befund steht.“
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Kinderbetreuung in der DDR
„Alle haben funktioniert“
Niederlage für Baschar al-Assad
Zusammenbruch in Aleppo
Hybride Kriegsführung
Angriff auf die Lebensadern
Eine Chauffeurin erzählt
„Du überholst mich nicht“
SPD im Vorwahlkampf
Warten auf Herrn Merz
Kompromiss oder Konfrontation?
Flexible Mehrheiten werden nötiger, das ist vielleicht gut