# taz.de -- Datenschutz im öffentlichen Dienst: „Es braucht eine kleine Revolution“
> Die FU Berlin nutzt ein Videokonferenzsystem, das nicht
> datenschutzkonform ist. Das Problem betrifft nicht nur die Uni, sagt
> Tobias Schulze (Linke).
IMG Bild: Boomen seit Corona: Videokonferenztools, hier in Japan
taz: Herr Schulze, am Mittwoch wurde bekannt, dass die Freie Universität
Berlin (FU) ein Videokonferenzsystem einsetzt, das nicht datenschutzkonform
und daher rechtswidrig ist. Das hat [1][die Berliner Datenschutzbeauftragte
festgestellt]. Überrascht Sie der Befund?
Tobias Schulze: Nein. Es gibt seit längerem [2][eine Liste mit
Einschätzungen der Datenschutzbeauftragten] zu den verschiedenen
Videokonferenztools. Darauf werden einige Anwendungen insbesondere aus dem
Open-Source-Bereich als datenschutzkonform dargestellt. Andere –
insbesondere aus dem proprietären, also herstellerspezifischen Bereich –
als nicht-datenschutzkonform. Zu letzteren gehört auch Cisco Webex, das die
FU verwendet. Seit dieser Prüfung wusste die Uni, worauf sie sich einlässt.
Allerdings gibt es [3][Zoom, Microsoft Teams oder auch Webex in sehr
unterschiedlichen Varianten]; in manchen sind sie datenschutzkonformer.
Das stimmt. Es kommt auf die spezifische Konfiguration an. Und natürlich
hatten alle – also öffentliche Stellen wie private Unternehmen – zu Beginn
der Pandemie große Probleme, von den üblichen Präsenzabläufen auf Video
umzustellen. Große Anbieter, die die entsprechenden Serverkapazitäten im
Hintergrund haben, waren im Vorteil und konnten schnell Lösungen
präsentieren.
Inzwischen dauert die Pandemie fast zwei Jahre…
Wir müssen uns deshalb jetzt genau anschauen, was mit den Daten passieren
kann, die über die entsprechenden Cloudserver laufen. Inzwischen kann man
bei der Auswahl der vielen Konferenztools die Abwägung treffen: Das
funktioniert – auch mit Blick auf den Datenschutz. Bei den anderen muss man
umsteuern und andere Lösungen finden.
Die FU hat bereits Mitte November die Einschätzung der
Datenschutzbeauftragten bekommen. Was muss die Uni jetzt tun?
Die Hochschule sollte sich anschauen, mit welcher Konfiguration sie Webex
betreibt und wo genau die Schwachpunkte sind. Es muss geklärt werden, ob
beispielsweise die Server in Europa stehen und so abgesichert sind, dass
die Daten dort nicht von ausländischen Geheimdiensten abgegriffen werden
können. Das wird in der Regel nicht der Fall sein, weil ausländische
Dienste auch auf europäische Server der Unternehmen Zugriff haben.
Was schlagen Sie vor?
Die beste Variante dürfte eine Umstellung auf eigene Server in einem
eigenen Rechenzentrum sein. Die FU muss jetzt in den Austausch mit der
Datenschutzbeauftragten gehen, um gemeinsam nach Lösungen zu suchen.
Was bedeutet die Einschätzung der Datenschutzbeauftragen für die rund
40.000 Studierenden und für die Wissenschaftler?
Zunächst ist es die Pflicht der Universität, die Studierenden, Lehrenden
und Beschäftigten darauf aufmerksam zu machen, dass sie ein
Videokonferenztool benutzen, bei dem Daten über Server im Ausland fließen.
Die Beschäftigten und Studierenden müssen selbst einschätzen können, ob sie
dieses Risiko eingehen wollen oder nicht. Das sieht [4][die
Datenschutzgrundverordnung (DSGVO)] so vor.
Studierende haben diese Wahl doch gar nicht: Es werden ja viele Seminare
oder Vorlesungen angeboten über dieses Tool. Wer da sagt, ich mache nicht
mit, kann de facto nicht studieren.
Das ist genau das Problem. Trotzdem ist die Information der Betroffenen
erst mal wichtig. Die Datenschutzgrundverordnung sieht klare
Transparenzregeln vor und die sind auch von der FU einzuhalten. Offenbar
hat sie nicht einmal eine Einverständniserklärung bezüglich der Risiken von
allen eingeholt, die die Konferenztools nutzen. Insofern hat die
Universität noch viel nachzuholen.
Rot-Grün-Rot hat im neuen Koalitionsvertrag festgelegt, dass die
Möglichkeiten und Rechte der Berliner Datenschutzbeauftragten gestärkt
werden sollen. Hat sie denn in diesem Fall genügend Durchgriffsrechte?
Ja. Das Problem sind eher die Ressourcen. Das Aufkommen an Anfragen und
Bitten um Überprüfung ist massiv gestiegen. Wir haben in der Koalition
vereinbart, dass die Datenschutzbeauftragte deshalb neue Stellen bekommt,
zumal sie zukünftig nicht mehr nur auf den Datenschutz achten muss, sondern
auch auf das Thema Informationsfreiheit und Transparenz.
Zum anderen ist im Koalitionsvertrag vereinbart worden, künftig primär
selbst entwickelte Open-Source-Lösungen für die Verwaltung einzusetzen.
Warum?
Gerade die öffentliche Verwaltung, über die sehr sensible Daten laufen,
braucht Lösungen, bei denen sich die Bürgerinnen und Bürger sicher sein
können, dass ihre Daten in guten Händen sind und nicht von unbefugten
Stellen abgegriffen werden können. Doch die Strategien fast aller großer
Software-Konzerne zielt darauf, ihre Leistungen aus der Cloud anzubieten.
Das betrifft zum Beispiel auch Microsoft. Damit sind im Prinzip diese
Softwarelösungen und Betriebssysteme nicht mehr entsprechend der
Datenschutzgrundverordnung (DSGVO) einsetzbar.
Neue Software müsste sehr schnell kommen, oder?
Ja, wir haben Handlungsdruck.
Sind staatliche Entwickler überhaupt in der Lage, mit den großen Techfirmen
mitzuhalten?
Das ist je nach Einsatzzweck der Software unterschiedlich. Die größten
Probleme haben wir im Bereich der Betriebssysteme. Bei Anwendungen und
Office-Lösungen ist es deutlich einfacher. Das Entscheidende ist, dass wir
uns als öffentliche Hand unabhängiger machen von den
Unternehmensstrategien. Und zwar nicht nur aus Sicherheitsgründen, sondern
auch aus Gründen der Demokratie und der Transparenz.
Über welchen Zeithorizont reden wir gerade?
Was die Betriebssysteme der Rechner angeht, sicherlich längere Zeiträume.
Also fünf bis zehn Jahre?
Nein, zehn Jahre darf es nicht dauern. Wir haben vor kurzem in der
Verwaltung Windows 10 eingeführt. Ich denke, danach werden wir kein neues
Microsoft-Betriebssystem mehr bekommen. Also müssen wir schon in den
nächsten Jahren die Umstellung auf andere Betriebssysteme hinbekommen.
Das wäre eine kleine Revolution.
Ja. Wir sind aber auch Getriebene.
Drohen Klagen, etwa von Mitarbeitenden der Verwaltung?
Es werden weniger die Mitarbeiter sein, auch wenn sie das könnten, als
vielmehr die entsprechenden Organisationen aus dem Datenschutzbereich. Sie
haben schon Rügen gegen verschiedene öffentliche Träger in Deutschland
ausgesprochen.
Die Länder und der Bund arbeiten bei der Entwicklung von Software zusammen.
Ist diese Kooperation eher förder- oder hinderlich, etwa weil es viele
Abstimmungsfragen gibt?
Die Zusammenarbeit ist unabdingbar. Kein Land mit IT-Dienstleister ist
allein so stark, dass es für sich alleine Lösungen entwickeln kann. Es gilt
das Prinzip: Ein Träger entwickelt für alle die entsprechende Lösung,
darauf können dann alle zugreifen. Wir haben beispielsweise einen
öffentlichen Dienstleister wie Dataport in Norddeutschland, der von
mehreren Bundesländern betrieben wird und Lösungen ausrollt, die auch in
anderen Bundesländern nutzbar sind.
6 Jan 2022
## LINKS
DIR [1] /Mangelhafter-Datenschutz-an-Uni/!5823593
DIR [2] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf
DIR [3] /Volkssport-Zoom-Konferenzen/!5823282
DIR [4] /Ein-Jahr-DSGVO/!5597437
## AUTOREN
DIR Bert Schulz
## TAGS
DIR Freie Universität Berlin
DIR DSGVO
DIR Datenschutz
DIR Berlin
DIR Digitalisierung
DIR Verwaltung
DIR Datenschutzbeauftragte
DIR Videokonferenz
DIR Wochenkommentar
DIR Datenschutzbeauftragte
DIR Ampel-Koalition
DIR WhatsApp
DIR Gesichtserkennung
DIR DSGVO
## ARTIKEL ZUM THEMA
DIR Streit um Datenschutz an der FU Berlin: Letzte Frist für Webex
Berlins Datenschutzbeauftragter setzt die Freie Universität unter Druck:
Die Hochschule müsse noch diesen Monat den Einsatz des Videotools beenden.
DIR Datenschutz bei Videokonferenzen: Da wird lieber weggeschaut
Die FU Berlin ignoriert ihr Datenschutzproblem mit dem Konferenztool Cisco
Webex. Das wird übrigens auch vom Bundestag genutzt. Ein Wochenkommentar.
DIR Mangelhafter Datenschutz an Uni: Videokonferenz als Datenkrake
Die Freie Universität Berlin arbeitet mit einem Videokonferenzsystem,
dessen Nutzung rechtswidrig ist. Die Uni weiß das, informiert darüber ab
nicht.
DIR Pläne der Ampelkoalition: Die neue Digital-Begeisterung
Für die neue Ampelkoalition ist es einfach, mit Digitalthemen zu punkten.
Aber in manchen Stellen im Koalitionsvertrag steckt Gruseliges.
DIR Verstöße gegen DSGVO: Rekordstrafe für WhatsApp Irland
Wegen Verstößen gegen die Europäische Datenschutz-Grundverordnung muss
WhatsApp Irland 225 Millionen Euro zahlen. Ein finanzieller Klacks für das
Unternehmen.
DIR Biometrische Gesichtserkennung: Berliner Zoo rudert zurück
Der Zoo will die biometrischen Daten von Dauerkartenbesitzer*innen
erfassen. Nach massiver Kritik wird der Plan aufgeschoben – vorerst.
DIR Ein Jahr DSGVO: Vorbild trotz Mängeln
Am Samstag wird sie ein Jahr alt, die Datenschutz-Grundverordnung. Vor
einem Jahr war der Aufschrei groß. Und nun? Eine Bilanz.