# taz.de -- Datenschutz bei Videokonferenzen: Da wird lieber weggeschaut
> Die FU Berlin ignoriert ihr Datenschutzproblem mit dem Konferenztool
> Cisco Webex. Das wird übrigens auch vom Bundestag genutzt. Ein
> Wochenkommentar.
IMG Bild: Was sieht sie – und wer kriegt die Daten?
Der Anspruch, den die Freie Universität Berlin (FU) vor sich herträgt, ist
gewaltig: Bereits seit 2007 gehöre die Hochschule zu den
Exzellenzuniversitäten in Deutschland, lobt man sich auf der Startseite der
eigenen Homepage; die FU sei „führend in Wissenschaft und Lehre, in der
Region vielfältig vernetzt und international aufgestellt“.
Wer genauer hinschaut, hat eher den Eindruck, die Uni würde sich gerne im
kuscheligen Villenviertel Berlin-Dahlem einmümmeln und von der weiten Welt
nichts mitkriegen. So wie vor dem Mauerfall, als die FU ein
Universitätstanker der größten Kategorie und meist mit sich selbst
beschäftigt war. Das betrifft etwa den Datenschutz, ein – man könnte sagen
– leidiges Thema, das viele öffentliche Institutionen und Unternehmen
umtreibt. Wenn sie es denn ernst nehmen. Bei der FU darf man daran
zweifeln.
Dabei besteht akuter Handlungsbedarf. Am Mittwoch wurde durch eine
Mitteilung des Allgemeinen Studierendenausschusses (AStA) der FU bekannt,
dass die Berliner Datenschutzbeauftragte nach einer Prüfung festgestellt
hat, dass die derzeitige Verwendung des Videokonferenzsystems Cisco Webex
[1][an der Uni nicht datenschutzkonform und damit rechtswidrig sei]. Der FU
war das bereits Mitte November mitgeteilt worden. Reagiert hat sie darauf
bisher nicht, zumindest nicht öffentlich, und sie hat auch nicht die
Mitarbeitenden und rund 40.000 Studierenden darüber informiert, wie [2][es
die Datenschutzgrundverordnung (DSGVO) vorsieht].
Offenbar hofft man bei der FU darauf, dass der Sturm vorüberzieht, ohne
Schäden zu hinterlassen. Aber muss eine „international aufgestellte“
Exzellenzuni nicht den größten Anspruch an Datensicherheit haben, gerade
beim Austausch mit Wissenschaftler*innen und Studierenden in aller
Welt?
Dabei sind die von der Datenschutzbeauftragten beanstandeten Aspekte bei
der aktuellen Konfiguration von Webex bei der FU schwerwiegend und
umfassend, wie Simon Rebiger, Sprecher der Datenschutzbeauftragen, auf
taz-Anfrage erläuterte. Problematisch sei unter anderem, „dass Cisco die
rechtswidrigen Übermittlungen personenbezogener Daten in die USA bisher
nicht beendet hat“.
Ebenso bestehe das Problem der nach europäischem Recht unzulässigen
Zugriffsbefugnisse US-amerikanischer Behörden: Danach muss Cisco
Nutzungsdaten auf Anfrage etwa an US-Geheimdienste liefern, auch wenn diese
auf Servern in Deutschland liegen. Schließlich, so Rebiger weiter, würden
„zur Leistungserbringung nicht vertraglich zugelassene Subunternehmer
eingesetzt“. Die FU wurde daher von der Datenschutzbeauftragten
aufgefordert, einen Zeitplan zu erstellen, wann mögliche Änderungen
umgesetzt werden könnten, um „die Verletzung der Grundrechte der
betroffenen Personen entscheidend“ zu verringern. Ansonsten drohten
Sanktionen.
Doch die FU mauert sich ein, wie die Antwort der Pressestelle erkennen
lässt. Darin wird das Ergebnis der Untersuchung schlicht abgestritten: Da
die Prüfung formal nicht abschlossen sei, könne „auch nicht von einem
rechtswidrigen Einsatz gesprochen werden“. Hier wird offenbar frei nach
Morgenstern verfahren, dass „nicht sein kann, was nicht sein darf“. Und es
stimmt zwar, dass die Prüfung formal erst beendet ist, wenn die Uni auf die
Aufforderungen der Datenschutzbeauftragen reagiert hat, wie Rebiger
bestätigt. Doch das ändere nichts an dem Befund der Rechtswidrigkeit.
Natürlich ist die aktuelle Situation der FU undankbar, weil es ihr ja so
geht wie vielen Institutionen und Firmen, die die Stabilität ihrer
Videokonferenzprogramme von Microsoft, Zoom oder Google mit mehr oder
weniger großen Zugeständnissen in Sachen Datenschutz erkaufen. Und man darf
der FU durchaus abnehmen, wenn sie erklärt, dass sie die Anforderungen des
Datenschutzes beim Einsatz von Cisco Webex „sehr sorgfältig“ prüfe.
Doch das Argument, dass sich praktisch und wirtschaftlich keine Plattform
durch eigene Infrastruktur betreiben ließe, „die zuverlässig in der
Größenordnung 30.000 gleichzeitige Teilnehmende bedienen kann und den
Anforderungen an die IT-Sicherheit genügt“, ist nicht weniger als ein
Armutszeugnis einer Exzellenzuni. Wer, wenn nicht diese, sollte dazu in der
Lage sein? Zumal an einzelnen FU-Fachbereichen bereits erste Schritte dahin
gehend erarbeitet wurden, und etwa die Berliner Humboldt-Universität
relativ gut aufgestellt ist und das Open-Source-Programm BigBlueButton
nutzt. Vertraut die FU zu wenig auf ihre eigenen Mitarbeiter*innen?
## Institutionen unter Druck der Datenschützer*innen
Das Datenschutzproblem – übrigens nicht nur bei Videokonferenztools – wird
sich nicht mehr lange ignorieren oder wegreden lassen, weil auch andere
Institutionen unter Druck der Datenschützer*innen und entsprechender
NGOs geraten werden. Denn wie ein Sprecher des Bundesbeauftragen für
Datenschutz erklärt: „Grundsätzlich gilt, dass viele populäre
Videokonferenzsysteme eine Menge an Metadaten produzieren, die nicht
datenschutzkonform verarbeitet werden können.“
Nicht einmal der Deutsche Bundestag ist vor dieser Frage gefeit: Seit 2020
setzt dessen Verwaltung ebenfalls Webex ein, allerdings mit gleich
zweifacher Einschränkung. Auf taz-Anfrage erklärt eine Sprecherin dazu: „Es
gibt eine vorläufige datenschutzrechtliche Bewertung dieser
Videokonferenz-Software, die unter Auflagen eine Nutzung in einem fest
umrissenen Bereich zulässt.“
Die Debatte, wie die Politik die von ihr selbst in der
Datenschutzgrundverordnung verfassten Auflagen erfüllen kann, hat gerade
erst begonnen.
8 Jan 2022
## LINKS
DIR [1] /Mangelhafter-Datenschutz-an-Uni/!5823593
DIR [2] /Datenschutz-im-oeffentlichen-Dienst/!5823701
## AUTOREN
DIR Bert Schulz
## TAGS
DIR Wochenkommentar
DIR DSGVO
DIR Datenschutz
DIR Datenschutzbeauftragte
DIR Freie Universität Berlin
DIR Videokonferenz
DIR Videokonferenz
DIR Freie Universität Berlin
DIR Datenschutzbeauftragte
DIR Schwerpunkt Überwachung
DIR DSGVO
## ARTIKEL ZUM THEMA
DIR Streit um Datenschutz an der FU Berlin: Letzte Frist für Webex
Berlins Datenschutzbeauftragter setzt die Freie Universität unter Druck:
Die Hochschule müsse noch diesen Monat den Einsatz des Videotools beenden.
DIR Datenschutz im öffentlichen Dienst: „Es braucht eine kleine Revolution“
Die FU Berlin nutzt ein Videokonferenzsystem, das nicht datenschutzkonform
ist. Das Problem betrifft nicht nur die Uni, sagt Tobias Schulze (Linke).
DIR Mangelhafter Datenschutz an Uni: Videokonferenz als Datenkrake
Die Freie Universität Berlin arbeitet mit einem Videokonferenzsystem,
dessen Nutzung rechtswidrig ist. Die Uni weiß das, informiert darüber ab
nicht.
DIR Massenüberwachung mit Gesichtserkennung: Wen die Kamera erkennt
Von der Gesichtserkennung bis zum Fingerabdruck – die biometrische
Überwachung nimmt zu, so der Report einer Bürgerrechts-NGO.
DIR Ein Jahr DSGVO: Vorbild trotz Mängeln
Am Samstag wird sie ein Jahr alt, die Datenschutz-Grundverordnung. Vor
einem Jahr war der Aufschrei groß. Und nun? Eine Bilanz.