Fragen des Datenschutzes bei der Nutzung von Webex und Anpassungen
Ja: Der behördliche Datenschutzbeauftragte der Freien Universität Berlin gelangte nach einer umfassenden Bewertung und Risikoevaluation zu Beginn der Pandemie zu dem Ergebnis, dass es unter Berücksichtigung der Notwendigkeit der Online-Lehre in der Pandemie kein Tool gebe, welches die datenschutzrechtlichen Anforderungen vollumfänglich erfülle und datenschutzrechtlich weniger einschneidend sei. Auch weitere Abwägungen hinsichtlich von Wirtschaftlichkeit, Schnelligkeit und Skalierbarkeit fielen seitens der Hochschule zugunsten des Tools Cisco Webex aus. Nicht zuletzt aus diesen Gründen wird der Dienst Cisco Webex auch von anderen Behörden im Land Berlin genutzt. Die Einführung von Cisco Webex wird seit Beginn an im Rahmen eines intensiven datenschutzrechtlichen Prüfungs- sowie Verbesserungsprozesses begleitet.
An der Freien Universität erstellte der behördliche Datenschutzbeauftragte in Zusammenarbeit mit der Hochschule die notwendigen datenschutzrechtlichen Dokumentationen sowie umfassende Datenschutzinformationen und führte Maßnahmen zur Datenminimierung ein. Daneben wurden mit Cisco individuelle datenschutzrechtliche Vereinbarungen ausgehandelt, und es wurde auf Grundlage einer angepassten Konfiguration von Webex eine umfangreiche Datenschutzfolgenabschätzung durchgeführt, die eine detaillierte Bewertung von Risiken umfasst, für Personen, die von der Datenverarbeitung betroffen sind. Dokumentation und Konfiguration des Dienstes werden laufend angepasst und einer regelmäßigen Evaluierung zugeführt; auf diese Weise wird gewährleistet, dass die personenbezogenen Daten im Rahmen der Nutzung der Video- und Kommunikationsdienste von Cisco Webex bestmöglich geschützt werden können. Von Beginn an wurde ein konstantes Monitoring der geänderten Situation, eine ständige Anpassung der technischen Sicherheit und eine Berücksichtigung der sich ändernden Pandemiebedingungen bei der fortschreitenden Abwägung vorgesehen.
Die Freie Universität Berlin nimmt den Datenschutz und die Besorgnis um den Einsatz von Webex an der Hochschule sehr ernst. Die sorgfältige Prüfung von Webex durch den behördlichen Datenschutzbeauftragten der Freien Universität hat einen vertretbaren Einsatz in der aktuellen Situation ergeben.
Es wurden alle notwendigen Dokumentationen, Vereinbarungen sowie technische und organisatorische Maßnahmen getroffen, um unter Berücksichtigung der aktuell umstrittenen Rechtslage bei Datentransfers in Drittstaaten wie die USA die Anforderungen der Datenschutz-Grundverordnung (DSGVO) bestmöglich einzuhalten. Der Tatsache, dass die rechtspolitische Lage, Gesetzgebung und Rechtsprechung zum Thema Datentransfers in Drittstaaten im Fluss ist, trägt die FU Berlin dadurch Rechnung, dass Sie bei notwendigen Anpassungen der datenschutzrechtlichen Vorkehrungen laufend mit Cisco in Kontakt steht.
Der Freien Universität sind die Bedenken der Aufsichtsbehörde zu namhaften Anbietern von Videokonferenzen bekannt. Auch aus diesem Grund wird Webex an der Freien Universität Berlin nicht als ein standardisiertes Setup eingesetzt, sondern es wurden und werden weiterhin stetige Anpassungen der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten evaluiert und implementiert.
Es liegt keine Datenschutzlücke vor, also kein ungewollter Abfluss von Daten. Vielmehr gab es Kritik an der Rechtskonformität der Datenverarbeitung, die beim Betrieb der Videokonferenzplattform stattfindet. Die Hochschule hat für den Austausch hierzu den Kontakt mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) aufgenommen.
Bisher gibt es keine einheitliche Rechtsauffassung der Datenschutzbehörden oder der Rechtsprechung beim Einsatz von Videokonferenzsystemen wie Cisco Webex, deren Anbieter eine Niederlassung in den Vereinigten Staaten haben. Dies betrifft genauso Anbieter wie Zoom oder Microsoft mit MS Teams, bei denen die Berliner Beauftragte für Datenschutz und Informationsfreiheit ebenfalls Mängel festgestellt hat, die eine rechtskonforme Nutzung des Dienstes ausschließen.
Zuständig für die datenschutzrechtliche Beurteilung des Einsatzes von Videokonferenzdiensten an Universitäten sind die Datenschutzaufsichtsbehörden der Länder. Bei diesen können die Rechtauffassungen zur Thematik auseinandergehen.
Eine Plattform zu betreiben, die zuverlässig in der Größenordnung 30.000 gleichzeitige Teilnehmende in Räumen auf dem System bedienen kann und den Anforderungen an die IT-Sicherheit genügt, ist praktisch und wirtschaftlich nicht durch eigene Infrastruktur herzustellen. Hier müssen auch Aspekte der Nachhaltigkeit und des Ressourceneinsatzes berücksichtigt werden. Auch mit dem Blick auf hybride Lehr-/Lernszenarien gibt es aktuell wenig Plattformen, die die notwendigen Funktionalitäten für digitale Lehre mit Raumausstattungen für die Präsenzlehre entsprechend der Bedürfnisse der Lehrenden und Lernenden kombinieren können.
Ja. Es gibt entsprechend der datenschutzrechtlichen Anforderungen fortlaufend Anpassungen der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten beim Einsatz von Cisco Webex, die sich positiv auf das Datenschutzniveau auswirken. Cisco war von Beginn an gesprächs- und hilfsbereit; zugesichert wurden verschiedene Schritte, mit denen es Verbesserungen mit Blick auf Datenschutzkonformität gibt: Aus technischer Sicht war die letzte größere Anpassung beispielsweise die Verlagerung der Cloudserver Mitte 2021 durch den Anbieter Cisco Systems in ein Rechenzentrum in Frankfurt am Main. Aber auch aus juristischer Sicht finden fortlaufend Anpassungen statt. Die Freie Universität Berlin prüft und bearbeitet die Anforderungen des Datenschutzes beim Einsatz von Cisco Webex fortlaufend sehr sorgfältig.
Die Hochschulleitung wird sich mit ihren Mitgliedern auch weiterhin über die Verwendung von Videokonferenztechniken und möglichen Alternativen austauschen. So werden beispielsweise diese Fragen und Antworten aktualisiert, sobald es etwas relevantes Neues gibt, beispielsweise hinsichtlich von Datenschutz-Anpassungen.