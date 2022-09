Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat der Kanzlerin der Freien Universität Berlin (FU) ein Ultimatum gestellt: Wenn die FU den Einsatz von Cisco Webex nicht bis zum 30. September 2022 vollständig beendet, wird die Aufsichtsbehörde ein förmliches Verfahren zur Untersagung der Nutzung prüfen. Das geht aus einer Mitteilung des Allgemeinen Studierendenausschuss der FU Berlin hervor. Alternativ muss die Universität die Rechtmäßigkeit der mit der Nutzung der Cisco-Webex-Dienste verbundenen Verarbeitungen personenbezogener Daten gemäß Artikel 5, Absatz 2 der DSGVO "vollumfänglich" nachweisen.

Die Datenschutzbeauftragte bleibt damit bei ihrer bereits im November 2021 in einem Brief an die FU zum Ausdruck gebrachten Ansicht, dass der Einsatz von Webex an der Universität rechtswidrig ist. Die Kritik beschränkt sich nicht auf die FU: Auch dem Berliner Senat, ebenfalls Cisco-Webex-Nutzer, hatte sie im vergangenen Jahr schon mehrfach ins Gewissen geredet. Der hatte sich jedoch unter Verweis auf die "aktuelle Notsituation" geweigert, sein Nutzungsverhalten bei Videokonferenzen zu ändern.

Webex nicht alleine in der Kritik

Bereits im Juli 2020 hatte Maja Smoltczyk, die Berliner Datenschutzbeauftragte, nach einem Kurztest von Videkonferenzdiensten erklärt: "Leider erfüllen einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht".

In dem Bericht erhielten Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting, Blizz und Cisco Webex eine rote Markierung, die signalisieren sollte, dass Mängel vorliegen, "die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern". Mit einer "grünen Ampel" als datenschutzrechtlich unbedenklich wurden mehrere kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi Meet bewertet, sowie die Tixeo Cloud, BigBlueButton von Werk21 sowie Wire.

In der Folge hatte sich die öffentlich wahrgenommene Kritik der Berliner Datenschutzbeauftragten vor allem gegen die Verwendung von Microsoft Teams an Schulen gerichtet. Microsoft hatte diese Kritik scharf zurückgewiesen. Allerdings steht die Berliner Datenschutzbeauftragte nicht alleine: Auch ihre Amtskollegen in Hessen und in Baden-Württemberg hatten sich kritisch zu dem Videokonferenzangebot aus Redmond geäußert - und es ebenfalls als rechtlich unzulässig bezeichnet.

Im April 2022 hatte dann schon Stefan Brink, Baden-Württembergs oberster Datenschützer, gefordert, dass Schulen den datenschutzkonformen Betrieb von Microsoft 365 eindeutig nachweisen - oder zu Beginn des neuen Schuljahres darauf verzichten. Das nun bekannt gewordene Schreiben aus Berlin folgt derselben Logik.

In Berlin begrüßt Janik Besendorf, Referent für Datenschutz und Kommunikation des ASTA, das Ultimatum: "Die Landesdatenschutzbeauftragte macht endlich ernst. Die FU hat jahrelang, trotz wiederholter Kritik nicht eingesehen, dass sie die Nutzung von Webex beenden muss. Es ist jetzt wichtig, schnell auf datensparsame Alternativen wie Jitsi oder BigBlueButton zu setzen um den Lehrbetrieb im Wintersemester aufrecht erhalten zu können."

Cisco weist Kritik zurück

"Datenschutz und Datensicherheit unserer Kunden haben für Cisco die höchste Priorität", erklärt das Unternehmen auf Anfrage von ChannelPartner. "Cisco hält sich streng an die EU-Datenschutzgesetze und internationale Cybersicherheitsstandards. Mit allem Respekt vor der Institution widersprechen wir daher den Auslegungen und Ausführungen der Berliner Datenschutzbehörde. Webex bietet branchenführende Transparenz, Sicherheit und Prozesse, die es unseren Kunden im öffentlichen und privaten Sektor ermöglichen, ihre GDPR-Verpflichtungen und Datenschutzanforderungen zu erfüllen."

Cisco verweist zudem darauf, dass Webex die erste Kollaborationsplattform war, die dem EU Cloud Code of Conduct beigetreten ist. Der soll Cloud-Service-Anbietern eine nachprüfbare Sicherheit bieten, um die Einhaltung der GDPR-Anforderungen zu belegen. Außerdem ermögliche es das "Data Residency"-Programm, dass "Webex alle von Webex-Benutzern erstellten Inhalte, Benutzerprofile sowie Abrechnungs- und Analysedaten in der EU speichert.

In einem Blog-Post weist Klaus Lenssen, Chief Security Officer und Head of Security & Trust Office Germany bei Cisco, zudem darauf hin, dass der Europäische Datenschutzausschuss (European Data Protection Board, EDPB), dem alle Datenschutzbehörden der EU-Mitgliedstaaten angehören, den EU Cloud Code of Conduct geprüft und als anerkannte Verhaltensregel nach der Datenschutzgrundverordnung genehmigt hat. SCOPE Europe, eine unabhängige Kontrollinstanz, hat zudem bestätigt, dass Webex alle Anforderungen des EU Cloud Code of Conduct erfüllt.

Hoffnung auf einheitliche Linie und Regelungen

Damit sind eigentlich alle Argumente ausgetauscht. Die Bemühungen der Anbieter - sowohl von Microsoft als auch Cisco Webex - sind nicht zu leugnen. Den Datenschutzbeauftragten genügen die jedoch nicht. Zusätzliche Bewegung in die Diskussion könnte Ende September kommen: Aus einem Protokoll der Datenschutzkonferenz - dem regelmäßige Treffen der Datenschutzbeauftragten der Länder -, geht hervor, dass dann der "Arbeitskreis Medien" ein Prüfschema für Videokonferenzdienste vorlegen soll, aus dem sich auch ergibt, wer für Videokonferenzdienste aufsichtsrechtlich zuständig ist. Das hätte seit dem Beschluss des TTSDG (Telekommunikation-Telemedien-Datenschutz-Gesetz) vor rund einem Jahr längst schon geschehen sollen.

Ob die ausgewählte Aufsichtsbehörde dann die Nutzung von Cisco Webex und Microsoft Teams als bedenkenlos einstuft, darf aufgrund der bisherigen Äußerungen der Datenschutzbeauftragten bezweifelt werden. Immerhin besteht damit jedoch die Hoffnung auf eine klare und einheitliche Linie. Dann könnten sich Nutzer und Vertriebspartner der Anbieter endlich darauf einstellen und gegebenenfalls die Maßnahmen ergreifen, die eine rechtskonforme Nutzung ermöglichen.

Mehr zum Thema

Rückschlag für Microsoft 365 an Schulen

Datenschutzbeauftragter gegen Microsoft 365 an Schulen

Datenschutzbeauftragte warnt vor gängigen Videokonferenzsystemen