Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat der Kanzlerin der Freien Universität Berlin (FU) ein Ultimatum gestellt: Wenn die FU den Einsatz von Cisco Webex nicht bis zum 30. September 2022 vollständig beendet, wird die Aufsichtsbehörde ein förmliches Verfahren zur Untersagung der Nutzung prüfen. Das geht aus einer Mitteilung des Allgemeinen Studierendenausschuss der FU Berlin hervor. Alternativ muss die Universität die Rechtmäßigkeit der mit der Nutzung der Cisco-Webex-Dienste verbundenen Verarbeitungen personenbezogener Daten gemäß Artikel 5, Absatz 2 der DSGVO "vollumfänglich" nachweisen.
Die Datenschutzbeauftragte bleibt damit bei ihrer bereits im November 2021 in einem Brief an die FU zum Ausdruck gebrachten Ansicht, dass der Einsatz von Webex an der Universität rechtswidrig ist. Die Kritik beschränkt sich nicht auf die FU: Auch dem Berliner Senat, ebenfalls Cisco-Webex-Nutzer, hatte sie im vergangenen Jahr schon mehrfach ins Gewissen geredet. Der hatte sich jedoch unter Verweis auf die "aktuelle Notsituation" geweigert, sein Nutzungsverhalten bei Videokonferenzen zu ändern.
Datenschutz-Maßnahmen der FU Berlin für Cisco Webex
Auch die FU Berlin will an der Nutzung von Webex festhalten. Der rechtskonforme Einsatz für das Wintersemester sei gewährleistet, erklärte das Präsidium. Die Einführung von Webex sei von Anfang an durch ein Team von juristischen Experten des behördlichen Datenschutzbeauftragten der Hochschule, das Rechtsamt der Universität und technische Expertinnen und Experten der Hochschule begleitet worden.
„Seit 2020 ist durch eine Vielzahl von Maßnahmen das datenschutzrechtliche Niveau entlang der Vorgaben der Europäischen Union kontinuierlich verbessert worden“, unterstrich die Hochschulleitung. Die Kritikpunkte des Berliner Datenschutzbeauftragten seien „sehr genau geprüft und im kontinuierlichem Austausch mit der Behörde diskutiert“ worden.
Die Universität ist sich zudem sicher, dass sie den geforderten Nachweis nach Artikel 5, Absatz 2 der DSGVO, erbringen kann. Sie hat dazu in den vergangenen Monaten mehrere Maßnahmen ergriffen. So wurden unter anderem nach dem "Schrems-II-Urteil" des Europäischen Gerichtshofs (EuGH) und dem Erlass neuer Standardvertragsklauseln durch die Europäische Kommission die Vertragsklauseln des Auftragsverarbeitungsvertrags mit Cisco laufend angepasst. Außerdem wurde sichergestellt, dass Inhaltsdaten aus Webex Meetings nicht in den USA, sondern auf Servern in Europa (Frankfurt am Main oder Amsterdam) verarbeitet werden. Außerdem wird für Videobesprechungen und den Chat seit April beziehungsweise März 2022 die Ende-zu-Ende-Verschlüsselung genutzt.
Webex nicht alleine in der Kritik
Maja Smoltczyk, die Berliner Datenschutzbeauftragte, hatte im Juli 2020 nach einem Kurztest von Videkonferenzdiensten erklärt: "Leider erfüllen einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht". In dem Bericht erhielten Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting, Blizz und Cisco Webex eine rote Markierung.
Die signalisierte, dass Mängel vorliegen, "die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern". Mit einer "grünen Ampel" als datenschutzrechtlich unbedenklich wurden mehrere kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi Meet bewertet, sowie die Tixeo Cloud, BigBlueButton von Werk21 sowie Wire.
In der Folge hatte sich die öffentlich wahrgenommene Kritik der Berliner Datenschutzbeauftragten vor allem gegen die Verwendung von Microsoft Teams an Schulen gerichtet. Microsoft hatte diese Kritik scharf zurückgewiesen. Allerdings steht die Berliner Datenschutzbeauftragte nicht alleine: Auch ihre Amtskollegen in Hessen und in Baden-Württemberg hatten sich kritisch zu dem Videokonferenzangebot aus Redmond geäußert - und es ebenfalls als rechtlich unzulässig bezeichnet.
Im April 2022 hatte dann schon Stefan Brink, Baden-Württembergs oberster Datenschützer, gefordert, dass Schulen den datenschutzkonformen Betrieb von Microsoft 365 eindeutig nachweisen - oder zu Beginn des neuen Schuljahres darauf verzichten. Das nun bekannt gewordene Schreiben aus Berlin folgt derselben Logik.
In Berlin begrüßt Janik Besendorf, Referent für Datenschutz und Kommunikation des ASTA, das Ultimatum: "Die Landesdatenschutzbeauftragte macht endlich ernst. Die FU hat jahrelang, trotz wiederholter Kritik nicht eingesehen, dass sie die Nutzung von Webex beenden muss. Es ist jetzt wichtig, schnell auf datensparsame Alternativen wie Jitsi oder BigBlueButton zu setzen um den Lehrbetrieb im Wintersemester aufrecht erhalten zu können."
Cisco weist Kritik zurück
"Datenschutz und Datensicherheit unserer Kunden haben für Cisco die höchste Priorität", erklärt das Unternehmen auf Anfrage von ChannelPartner. "Cisco hält sich streng an die EU-Datenschutzgesetze und internationale Cybersicherheitsstandards. Mit allem Respekt vor der Institution widersprechen wir daher den Auslegungen und Ausführungen der Berliner Datenschutzbehörde. Webex bietet branchenführende Transparenz, Sicherheit und Prozesse, die es unseren Kunden im öffentlichen und privaten Sektor ermöglichen, ihre GDPR-Verpflichtungen und Datenschutzanforderungen zu erfüllen."
Cisco verweist zudem darauf, dass Webex die erste Kollaborationsplattform war, die dem EU Cloud Code of Conduct beigetreten ist. Der soll Cloud-Service-Anbietern eine nachprüfbare Sicherheit bieten, um die Einhaltung der GDPR-Anforderungen zu belegen. Außerdem ermögliche es das "Data Residency"-Programm, dass "Webex alle von Webex-Benutzern erstellten Inhalte, Benutzerprofile sowie Abrechnungs- und Analysedaten in der EU speichert.
In einem Blog-Post weist Klaus Lenssen, Chief Security Officer und Head of Security & Trust Office Germany bei Cisco, zudem darauf hin, dass der Europäische Datenschutzausschuss (European Data Protection Board, EDPB), dem alle Datenschutzbehörden der EU-Mitgliedstaaten angehören, den EU Cloud Code of Conduct geprüft und als anerkannte Verhaltensregel nach der Datenschutzgrundverordnung genehmigt hat. SCOPE Europe, eine unabhängige Kontrollinstanz, hat zudem bestätigt, dass Webex alle Anforderungen des EU Cloud Code of Conduct erfüllt.
Hoffnung auf einheitliche Linie und Regelungen
Damit sind eigentlich alle Argumente ausgetauscht. Die Bemühungen der Anbieter - sowohl von Microsoft als auch Cisco Webex - sind nicht zu leugnen. Den Datenschutzbeauftragten genügen die jedoch nicht. Zusätzliche Bewegung in die Diskussion könnte Ende September kommen: Aus einem Protokoll der Datenschutzkonferenz - dem regelmäßige Treffen der Datenschutzbeauftragten der Länder -, geht hervor, dass dann der "Arbeitskreis Medien" ein Prüfschema für Videokonferenzdienste vorlegen soll, aus dem sich auch ergibt, wer für Videokonferenzdienste aufsichtsrechtlich zuständig ist. Das hätte seit dem Beschluss des TTSDG (Telekommunikation-Telemedien-Datenschutz-Gesetz) vor rund einem Jahr längst schon geschehen sollen.
Ob die ausgewählte Aufsichtsbehörde dann die Nutzung von Cisco Webex und Microsoft Teams als bedenkenlos einstuft, darf aufgrund der bisherigen Äußerungen der Datenschutzbeauftragten bezweifelt werden. Immerhin besteht damit jedoch die Hoffnung auf eine klare und einheitliche Linie. Dann könnten sich Nutzer und Vertriebspartner der Anbieter endlich darauf einstellen und gegebenenfalls die Maßnahmen ergreifen, die eine rechtskonforme Nutzung ermöglichen. Allerdings muss sich dann in der Praxis zeigen, wie groß der Aufwand für die rechtskonforme Nutzung ist und ob den auch kleine und mittelgroße Unternehmen leisten können und wollen - oder ob die sich dann nicht doch intensiver mit Alternativen beschäftigen.
Rückschlag für Microsoft 365 an Schulen
Datenschutzbeauftragter gegen Microsoft 365 an Schulen
Datenschutzbeauftragte warnt vor gängigen Videokonferenzsystemen