Ja, die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat der Freien Universität im Oktober 2023 mitgeteilt, dass sie das Verfahren zum Einsatz von Cisco Webex an der Freien Universität Berlin abschließt. Grund hierfür sei, dass die Freie Universität die, nach Auffassung der BlnBDI, wesentliche datenschutzrechtliche und technische Defizite behoben habe.

Unter anderem wurden aufgrund von Hinweisen der BlnBDI im Vertrag über die Auftragsdatenverarbeitung zwischen der Freien Universität und Cisco einzelne Passagen angepasst, um die eventuelle Überführung personenbezogener Daten der Nutzenden in die Verantwortung von Cisco sicher auszuschließen. Hinzu kommt, dass auch seitens Cisco in Zusammenarbeit mit der FU Berlin eine weitergehende Anpassung von Webex an die datenschutzrechtlichen Anforderungen erfolgte. Ganz konkret hat Cisco z.B. die vollständige Datenhaltung für europäische Kunden in eigene Rechenzentren in der EU überführt. Darüber hinaus und auf expliziten Wunsch der Freien Universität Berlin, hat Cisco den weltweiten Lookup-Service für europäische Kunden in die EU verlagert.

Im Rahmen eines Vor-Ort-Termins wurde im Beisein von Expert*innen der Universität exemplarisch der Datenverkehr von und zu einem Endgerät geprüft, das für den Videokonferenzdienst genutzt wird. Hierbei konnte nicht festgestellt werden, dass personenbezogene Daten an Unternehmen offengelegt werden, die nicht als Auftragsverarbeiter*in genehmigt sind.

Die Freie Universität Berlin musste zu Beginn der Corona-Pandemie im März 2020 binnen sehr kurzer Zeit von der Präsenzlehre in die digitale Lehre umsteigen. Dies gelang durch den engagierten Einsatz von Mitarbeitenden nach Durchführung einer Marktsondierung in sehr kurzer Zeit. Das Programm musste und konnte schnell eingesetzt werden, um eine qualitativ adäquate Online-Lehre und deren Kontinuität insgesamt überhaupt zu gewährleisten, denn die Fortführung der Präsenzlehre schied im Frühjahr 2020 aus Gründen des Gesundheitsschutzes aus.

Wie viele Hochschulen und öffentliche Institutionen stand und steht auch die Freie Universität Berlin vor der Herausforderung, einen reibungsfreien Online-Lehrbetrieb mit hoher Ton- und Bildqualität für eine große Zahl an Nutzer*innen zu ermöglichen – unter den gegebenen Bestimmungen des Datenschutzes. So mussten in den digitalen Semestern 2020/2021 rund eine halbe Million Veranstaltungen mit insgesamt 30.000.000 Besprechungsminuten und insgesamt 3.700.000 Veranstaltungsteilnehmer*innen versorgt werden. Der Peak pro Tag lag bei 20.000 – 30.000 gleichzeitigen Teilnehmer*innen von Videokonferenzen.

In den Semestern 2021/2022 hat zudem eine starke Verlagerung auf sogenannte hybride Lehr-/Lernszenarien, also die Kombination von Räumlichkeiten für die Präsenzlehre mit Übertragung in den digitalen Raum, stattgefunden. Diese Szenarien stellen besonders hohe Anforderungen an die verwendete Plattform und die technische Raumausstattung. Nur hochintegrierte Plattformen kommen dafür in Frage. Die Freie Universität Hat inzwischen über 100 Räumlichkeiten für hybride Lehr/Lernszenarien mit standardkonformer Technik erschlossen, weitere Räume sind bereits in Planung.

Ja: Der behördliche Datenschutzbeauftragte der Freien Universität Berlin gelangte nach einer umfassenden Bewertung und Risikoevaluation zu Beginn der Pandemie zu dem Ergebnis, dass es unter Berücksichtigung der Notwendigkeit der Online-Lehre in der Pandemie kein Tool gebe, welches die datenschutzrechtlichen Anforderungen vollumfänglich erfülle und datenschutzrechtlich weniger einschneidend sei. Auch weitere Abwägungen hinsichtlich von Wirtschaftlichkeit, Schnelligkeit und Skalierbarkeit fielen seitens der Hochschule zugunsten des Tools Cisco Webex aus. Nicht zuletzt aus diesen Gründen wird der Dienst Cisco Webex auch von anderen Behörden im Land Berlin genutzt. Die Einführung von Cisco Webex wird seit Beginn an im Rahmen eines intensiven datenschutzrechtlichen Prüfungs- sowie Verbesserungsprozesses begleitet.

An der Freien Universität erstellte der behördliche Datenschutzbeauftragte in Zusammenarbeit mit der Hochschule die notwendigen datenschutzrechtlichen Dokumentationen sowie umfassende Datenschutzinformationen und führte Maßnahmen zur Datenminimierung ein. Daneben wurden mit Cisco individuelle datenschutzrechtliche Vereinbarungen ausgehandelt, und es wurde auf Grundlage einer angepassten Konfiguration von Webex eine umfangreiche Datenschutzfolgenabschätzung durchgeführt, die eine detaillierte Bewertung von Risiken umfasst, für Personen, die von der Datenverarbeitung betroffen sind. Dokumentation und Konfiguration des Dienstes werden laufend angepasst und einer regelmäßigen Evaluierung zugeführt; auf diese Weise wird gewährleistet, dass die personenbezogenen Daten im Rahmen der Nutzung der Video- und Kommunikationsdienste von Cisco Webex bestmöglich geschützt werden können. Von Beginn an wurde ein konstantes Monitoring der geänderten Situation, eine ständige Anpassung der technischen Sicherheit und eine Berücksichtigung der sich ändernden Pandemiebedingungen bei der fortschreitenden Abwägung vorgesehen.

Die Freie Universität Berlin nimmt den Datenschutz und die Besorgnis um den Einsatz von Webex an der Hochschule sehr ernst. Die sorgfältige Prüfung von Webex durch den behördlichen Datenschutzbeauftragten der Freien Universität hat einen vertretbaren Einsatz in der aktuellen Situation ergeben.

Es wurden alle notwendigen Dokumentationen, Vereinbarungen sowie technische und organisatorische Maßnahmen getroffen, um unter Berücksichtigung der aktuell umstrittenen Rechtslage bei Datentransfers in Drittstaaten wie die USA die Anforderungen der Datenschutz-Grundverordnung (DSGVO) bestmöglich einzuhalten. Der Tatsache, dass die rechtspolitische Lage, Gesetzgebung und Rechtsprechung zum Thema Datentransfers in Drittstaaten im Fluss ist, trägt die FU Berlin dadurch Rechnung, dass Sie bei notwendigen Anpassungen der datenschutzrechtlichen Vorkehrungen laufend mit Cisco in Kontakt steht.

Der Freien Universität sind die Bedenken der Aufsichtsbehörde zu namhaften Anbietern von Videokonferenzen bekannt. Auch aus diesem Grund wird Webex an der Freien Universität Berlin nicht als ein standardisiertes Setup eingesetzt, sondern es wurden und werden weiterhin stetige Anpassungen der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten evaluiert und implementiert.

Es liegt keine Datenschutzlücke vor, also kein ungewollter Abfluss von Daten. Vielmehr gab es Kritik an der Rechtskonformität der Datenverarbeitung, die beim Betrieb der Videokonferenzplattform stattfindet. Die Hochschule hat für den Austausch hierzu den Kontakt mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) aufgenommen.

Bisher gibt es keine einheitliche Rechtsauffassung der Datenschutzbehörden oder der Rechtsprechung beim Einsatz von Videokonferenzsystemen wie Cisco Webex, deren Anbieter eine Niederlassung in den Vereinigten Staaten haben. Dies betrifft genauso Anbieter wie Zoom oder Microsoft mit MS Teams, bei denen die Berliner Beauftragte für Datenschutz und Informationsfreiheit ebenfalls Mängel festgestellt hat, die eine rechtskonforme Nutzung des Dienstes ausschließen.

Zuständig für die datenschutzrechtliche Beurteilung des Einsatzes von Videokonferenzdiensten an Universitäten sind die Datenschutzaufsichtsbehörden der Länder. Bei diesen können die Rechtauffassungen zur Thematik auseinandergehen.

Eine Plattform zu betreiben, die zuverlässig in der Größenordnung 30.000 gleichzeitige Teilnehmende in Räumen auf dem System bedienen kann und den Anforderungen an die IT-Sicherheit genügt, ist praktisch und wirtschaftlich nicht durch eigene Infrastruktur herzustellen. Hier müssen auch Aspekte der Nachhaltigkeit und des Ressourceneinsatzes berücksichtigt werden. Auch mit dem Blick auf hybride Lehr-/Lernszenarien gibt es aktuell wenig Plattformen, die die notwendigen Funktionalitäten für digitale Lehre mit Raumausstattungen für die Präsenzlehre entsprechend der Bedürfnisse der Lehrenden und Lernenden kombinieren können.

Ja. Es gibt entsprechend der datenschutzrechtlichen Anforderungen fortlaufend Anpassungen der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten beim Einsatz von Cisco Webex, die sich positiv auf das Datenschutzniveau auswirken. Cisco war von Beginn an gesprächs- und hilfsbereit; zugesichert wurden verschiedene Schritte, mit denen es Verbesserungen mit Blick auf Datenschutzkonformität gibt: Aus technischer Sicht war die letzte größere Anpassung beispielsweise die Verlagerung der Cloudserver Mitte 2021 durch den Anbieter Cisco Systems in ein Rechenzentrum in Frankfurt am Main. Aber auch aus juristischer Sicht finden fortlaufend Anpassungen statt. Die Freie Universität Berlin prüft und bearbeitet die Anforderungen des Datenschutzes beim Einsatz von Cisco Webex fortlaufend sehr sorgfältig.

Die Hochschulleitung wird sich mit ihren Mitgliedern auch weiterhin über die Verwendung von Videokonferenztechniken und möglichen Alternativen austauschen. So werden beispielsweise diese Fragen und Antworten aktualisiert, sobald es etwas relevantes Neues gibt, beispielsweise hinsichtlich von Datenschutz-Anpassungen.