Mangelhafter Datenschutz an Uni: Videokonferenz als Datenkrake
Die Freie Universität Berlin arbeitet mit einem Videokonferenzsystem, dessen Nutzung rechtswidrig ist. Die Uni weiß das, informiert darüber ab nicht.
Berlin taz | Zu den wenigen positiven Seiten der Coronapandemie gehört, dass Videokonferenzen Teil des (Berufs-)Alltags vieler Menschen geworden sind. Zwar ruckelt manchmal noch das Bild, und ab und an vergisst man, die Stummschaltung beim Sprechen zu deaktivieren. Aber im Großen und Ganzen funktioniert diese Art von Onlinezusammenkunft, zumindest oberflächlich betrachtet.
Im Hintergrund bleiben zahlreiche Probleme: Das bekommt jetzt die Freie Universität (FU) Berlin zu spüren. Ihre Nutzung des unter anderem für Vorlesungen und Seminare umfassend eingesetzten Videokonferenzdiensts Cisco Webex ist rechtswidrig. Das hat die Berliner Datenschutzbeauftragte nach einer mehrere Monate dauernden Prüfung entschieden. Anlass war eine Beschwerde des Allgemeinen Studierendenausschusses (AStA) der Hochschule. Die FU steht damit vor einem Riesenproblem.
Dabei kommt die Entscheidung von Berlins oberster Datenschützerin nicht einmal besonders überraschend. Bereits im ersten Jahr der Pandemie hatte sie den meisten großen Anbietern von Videokonferenzsystemen bescheinigt, nicht datenschutzfreundlich zu arbeiten – etwa weil die Unternehmen häufig personenbezogene Daten auch für eigene Zwecke verwenden dürfen.
Auch die überarbeitete Liste aus dem Jahr 2021 stellt unter anderem den Anwendungen Cisco Webex, Google Meet, Microsoft Teams, Skype und Zoom durchweg schlechte Noten in dieser Hinsicht aus. Dennoch sind sie in vielen Universitäten und Unternehmen weit verbreitet – weil sie oft stabiler laufen als andere Systeme.
Die FU soll nun einen Zeitplan erstellen, wann Änderungen möglich sind
An der FU dürfte es damit zumindest auf mittlere Sicht vorbei sein. Bereits im November hatte die Datenschutzbeauftragte die Hochschule darüber informiert, dass „die von der FU Berlin unter https:\\fu-berlin.webex.com genutzte Lösung sich derzeit nicht datenschutzkonform einsetzen lässt“, wie es in einem Schreiben der Datenschützerin an den AStA vom 8. Dezember heißt. Die Uni solle nun klären, so der Brief weiter, ob durch organisatorische und technische Maßnahmen „die Verletzung der Grundrechte der betroffenen Personen entscheidend“ verringert werden könne. Gelinge dies, könnte der weitere Einsatz von Webex zumindest über einen gewissen Zeitraum „tolerierbar“ werden.
Das Schreiben der Datenschutzbeauftragten veröffentlichte der AStA am Mittwoch, weil die FU – anders als von der Datenschutzgrundverordnung (DSGVO) vorgeschrieben – bisher weder die Gremien der Hochschule noch die Mitglieder der Uni über die Entscheidung informiert habe. „Dieses Versäumnis muss umgehend nachgeholt werden“, fordert Janik Besendorf, AStA-Referent für Datenschutz und Kommunikation. Auch Tobias Schulze, Linken-Abgeordneter und Experte seiner Fraktion für Digitalisierung und Hochschulen, kritisiert die fehlende Information der Betroffenen durch die Hochschulen und behält sich eine Vorladung der Hochschulleitung in den zuständigen Ausschuss des Berliner Abgeordnetenhauses vor.
Der AStA der FU stellt der Hochschule im Hinblick auf Datenschutz generell kein gutes Zeugnis aus und nennt als Beispiel die fehlerhafte Konfiguration des Notensystems Campus-Management vor einem Jahr, wodurch die Noten von Studierenden öffentlich einsehbar wurden. „Die Entscheidung der Berliner Datenschutzbeauftragten ist ein Korrektiv für das Versagen der FU“, kommentiert Janik Besendorf. Statt Webex sollte die FU laut dem AStA eine „datensparsame Lösung“ einsetzen, „idealerweise auf eigenen Servern“. Andere Hochschulen, darunter die Humboldt-Universität (HU), sowie einige FU-Fachbereiche zeigten, dass dies möglich sei.
Tatsächlich sind die Schwierigkeiten bei der von der FU konfigurierten Version von Webex umfassend, wie Simon Rebiger, Sprecher der Datenschutzbeauftragen, auf taz-Anfrage erläutert. Problematisch an der Verwendung sei unter anderem, „dass Cisco die rechtswidrigen Übermittlungen personenbezogener Daten in die USA bisher nicht beendet hat“.
Ebenso bestehe das Problem der nach europäischem Recht unzulässigen Zugriffsbefugnisse US-amerikanischer Behörden: Danach muss Cisco Nutzungsdaten auf Anfrage etwa an US-Geheimdienste liefern, auch wenn diese auf Servern in Deutschland liegen. Schließlich, so Rebiger weiter, würden „zur Leistungserbringung nicht vertraglich zugelassene Subunternehmer eingesetzt“. Die FU soll nun einen Zeitplan erstellen, wann mögliche Änderungen umgesetzt werden könnten. Ansonsten drohten Sanktionen.
FU weist Vorwürfe zurück
Die FU reagierte erst am Donnerstag mit einer Stellungnahme. Darin weist sie die Vorwürfe zurück. Ein abschließendes Ergebnis der datenschutzrechtlichen Prüfung durch die Berliner Datenschutzbeauftrage zum konkreten Einsatz von Webex liege bisher nicht vor. „Folglich kann auch nicht von einem rechtswidrigen Einsatz gesprochen werden“, teilte ein Sprecher auf taz-Anfrage mit. Die FU prüfe und bearbeite die Anforderungen des Datenschutzes beim Einsatz von Cisco Webex „sehr sorgfältig“.
Zugleich wies der FU-Sprecher auf die technische Herausforderung hin, die für ein Videokonferenzsystem besteht, das in Hochzeiten pro Tag bis zu 30.000 Nutzer*innen gleichzeitig verbinden muss. Eine eigene Plattform zu betreiben, die dies leisten könne, „und den Anforderungen an die IT-Sicherheit genügt, ist praktisch und wirtschaftlich nicht durch eigene Infrastruktur herzustellen“.
Bei der Berliner Datenschutzbeauftragten stieß die Arumentation der FU auf Irritation. Ihr Sprecher Rebiger bestätigte zwar, dass das Prüfungsverfahren rein formal erst abgeschlossen sei, wenn die FU auf die Hinweise der Datenschutzbeauftragen eingegangen ist. Rebiger betonte aber zugleich: „Der Befund steht.“
Leser*innenkommentare
Kriebs
Die Berliner Datenschutzbeauftragte ist eine ideologie-getriebene Behörde scheinbar ohne jede Kompetenz.
Zuerst das breitbeinig verhängte "bisher höchste DSGVO-Bußgeld" gegen die Deutsche Wohnen zu einer Zeit, als das draufhauen auf die DW höchst opportune war. Davon blieben im Rechtsweg exakt 0 Euro übrig und der Beschluss des Landgerichts ist ein dermaßen harter Schlag ins Gesicht, dass ich sie gut verstehen kann, dass sie vor dem Urteil der 2. Instanz aufhört.
Die berühmte Prüfung der verschiedenen Videokonferenzanbieter, die der Bericht anspricht, ist ebenso eine Lachnummer. Es sollte schon aufhorchen lassen, dass von den weiteren Landes- und dem Bundesdatenschutzbeauftragten keine einzige Behörde der Berliner Würdigung angeschlossen hat und 7 Behörden zumindest zu Microsoft einen ausdrücklichen Dissens erklärt haben.
Der Witz ist aber die ausdrückliche Empfehlung der Behörde für einen (europäischen) Anbieter (Big Blue Button), der in seiner Grundeinstellung nicht nur bloß rechtswidrig, sondern tatsächlich hart strafbar ist. Zum Prüfungszeitpunkt zeichnete ie Software nämlich einfach jede Konferenz auf ohne das mitzuteilen.
So geht datenschutz in Berlin: Um keine formalen Fehler zu produzieren, sollte man sich einfach strafbar machen.
Rufus
Tja „Freie Universität“ - mit der Freiheit von Datenschmutz ist es ja nicht weit her …
Bolzkopf
Ich lach mich kaputt!
Hat schonmal jemand geschaut, was da so an unseren Schulen abgeht ?
Dort ist es nämlich tendentiell noch viel, viel schlimmer !
Da werden nicht nur illegale Videokonferenzsysteme verwendet sondern auch diverse Softwäreprodukte die nach dem geplatzten "Save-Habour" Abkommen in keinster Weise dem Datenschutz entsprechen.
Und das Ganze wird dann auchnoch mit dem Kopiergeld finanziert ...
Andi S
Und was ist nun das konkrete und signifikante Problem beim System? Ich frage hier bewusst provokant, da ich manchmal das Gefühl habe, dass der Datenschutz mit sehr abstrakten und theoretischen „Herausforderungen“ kämpft. Haben die Schweden und andere Länder der EU gleiche Problem?
Ich habe je gelernt, dass der Schulunterricht meiner 8-jährigen Tochter ja hochsensible ist und ich deswegen mit so non-performanten Webapplikstionen arbeiten darf…
Axel Berger
Diese absurde Pseudodiskussion ist doch vollkommen irre. Man kann nur Daten mißbrauchen, die man hat. Ich bin als Student Besucher von Vorlesungen und Seminaren und als Tutor auch Anbieter. Der Teilnehmer eines Seminars bekommt vom Leiter einen URL -- ale denselben -- und den klickt er. Das ist alles. Zoom und andere bekommen keinerlei, gar keine persönlichen Daten.
Das perfide an Facebook und anderen ist doch, daß sie als kleine, unschuldig wirkende Buttons auf zahlreichen *anderen* Seiten eingebunden sind und alle diese Daten zu einem großen Gesamtprofil der Person zusammenfügen können. Zoom erfährt, auch mit einem Fingerprint, an dem sie mich und meinen Rechner jederzeit wiedererkennen, nur welche Veranstaltungen ich außer dem Hebräischkurs noch besuche. Big Deal.
Meine Beschwerde über den AStA, der seine Wahlinformation zum Studentenparlament hier in Köln nur und ausschließlich über den wirklichen Datenkraken Youttube anbietet, wurde von der Hochschulleitung bis heute ignoriert.
Bolzkopf
@Axel Berger Hmm... blos weil alle den selben Link klicken heisst das noch lange nicht dass der Datenschutz eingehalten wird.
Denn was liegt hinter dem Link ?
Wohlmöglich eine Anmeldeseite auf der man sich erstmal mit einem Wust von Daten registrieren muss ...
Und in der anderen Sache:
Wenn der AStA bzw. die Hochschulleitung nicht reagiert tut es vllt das Verwaltungsgericht ...
Axel Berger
@Bolzkopf Wollen Sie wild spekulieren, oder einfach die Erfahrung ernst nehmen, die ich seit jetzt vier Semerstern jede Woche mehrfach gemacht habe? Wenn da eine Anmeldeseite käme und Daten abgefragt würden, hätte ich nicht behauptet, dem sei nicht so. Oder ich bin ein schamloser Lügner. Lohnt es, offensichtlichen Unsinn über etwas zu verbreiten, das Dutzende oder Hunderte hier Mitlesende gut kennen?