Datenschutzbeauftragte: Einsatz von Cisco Webex an Universität rechtswidrig

Die an der Freien Universität Berlin (FU) eingesetzte Videokonferenzsoftware Cisco Webex sei nicht datenschutzkonform und damit rechtswidrig. Das teilte die Berliner Datenschutzbehörde dem Allgemeiner Studierendenausschuss (AStA) der Universität auf Nachfrage mit.

Geprüft hatte die Datenschutzbehörde den Webex-Einsatz nach einem Antrag des AStA im Januar 2021. Über das Ergebnis habe man die Universität am 16. November unterrichtet, teilte die Datenschutzbehörde dem AStA mit. "Um zu eruieren, ob und ggf. über welchen Zeitraum eine fortgesetzte Nutzung des Dienstes tolerierbar erscheint, ist zu klären, ob seitens der FU bestimmte technische und organisatorische Maßnahmen getroffen werden können, die die Verletzung der Grundrechte der betroffenen Personen entscheidend verringern", heißt es in dem Schreiben der Behörde.

"Problematisch an der Verwendung ist unter anderem, dass Cisco die rechtswidrigen Übermittlungen personenbezogener Daten in die USA - soweit für die Datenschutzbeauftrage von außen erkennbar - bisher nicht beendet hat und ein nicht gesetzeskonformer Auftragsverarbeitungsvertrag verwendet wird. Ebenso besteht das Problem der nach europäischem Recht unzulässigen Zugriffsbefugnisse US-amerikanischer Behörden", erklärte Simon Rebiger, Pressesprecher der Datenschutzbeauftragten, auf Nachfrage von Golem.de. Für die Leistungserbringung würden zudem vertraglich nicht zugelassene Subunternehmer eingesetzt. "Die derzeitige Nutzung von Webex Events, Webex Training und Webex Teams durch die FU Berlin hat die Datenschutzbeauftragte ebenfalls als rechtswidrig bewertet", sagte Rebiger. Denn diese seien von dem durch die FU Berlin abgeschlossenen Auftragsverarbeitungsvertrag nicht umfasst. Sollte die FU die Dienste weiter nutzen wollen, habe man darauf aufmerksam gemacht, dass die Datenverarbeitungen im Zusammenhang mit der Software zu prüfen seien und ein umfassender Auftragsverarbeitungsvertrag abgeschlossen werden müsse, teilte die Datenschutzbehörde der Studentenvertretung mit.

AStA kritisiert Umgang mit Datenschutz an der FU

Der AStA begrüßt die Entscheidung. "Die FU unter Leitung von Kanzlerin Andrea Bör fiel bereits in der Vergangenheit durch Probleme im Umgang mit Datenschutzfragen auf. Das zeigte auch die Fehlkonfiguration des Notensystems Campus-Mangement vor einem Jahr. Hierbei wurden die Noten aller Studierenden öffentlich einsehbar. Die Entscheidung der Datenschutzbeauftragten ist ein notwendiges Korrektiv für das Versagen der FU in diesem Bereich", sagte Janik Besendorf, Referent für Datenschutz und Kommunikation des AStA.

"Der AStA FU fordert eine datensparsame Lösung ohne Kompromisse. Idealerweise auf Servern der FU", erklärte die Studentenvertretung in einer Pressemitteilung. Andere Hochschulen wie die Berliner HU oder einige Fachbereiche der FU zeigten durch den Betrieb von Instanzen der Open-Source-Videokonferenzsoftware Big Blue Button, dass dies möglich sei.

Bereits Mitte 2020 waren etliche etablierte Videokonferenzlösungen bei einem Kurztest der Berliner Datenschutzbeauftragten durchgefallen. Dienste wie Zoom, Teams und Skype von Microsoft sowie Google Meet, GoToMeeting, Blizz und Cisco Webex ließen sich nicht rechtskonform nutzen. Doch es gab auch Alternativen, die rechtssicher eingesetzt werden können.