Die Berliner Beauftragte für Datenschutz und Informationsfreiheit nimmt in einem uns vorliegenden Schreiben "Bezug auf die bisher geführte Kommunikation über die Nutzung des Videokonferenz- und Kommunikationsdienstes Cisco Webex in der Cloud-Version durch die Freie Universität Berlin" und betont (offensichtlich nicht zum ersten Mal das Vorliegen eines rechtswidrigen Zustandes.
Trotz "erheblicher Anstrengungen" sei es in den letzten Monaten nicht gelungen "eine Lösung zu finden, die Cloud-Lösung von Cisco Webex Meetings rechtskonform einsetzen zu können. All diese Versuche sind leider gescheitert. Die von Cisco zugesagten Änderungen in Richtung einer Verringerung der Datenschutzverstöße sind bis heute im Wesentlichen nicht umgesetzt und wir haben nicht einmal die seitens Cisco zugesagten Informationen zum Stand der Umsetzung erhalten."
Die Datenschutzbeauftragte weist auf mehrere Aspekte hin, die für eine rechtskonforme Nutzung zu gewährleisten wären:

  • Die Inhalte der Kommunikation müssen Ende-zu-Ende verschlüsselt sein (n.b.: dann funktioniert Webex nur noch über die App – nicht über Web-Browser oder Telefoneinwahl)
  • die anfallenden technischen Daten müssen vor Offenlegung an Cisco anonymisiert werden
  • Auch die Daten der Teilnehmenden müssen unauflösbar pseudonymisiert werden. "Die Nutzung von Klardaten wie bisher (..) erscheint nicht tolerierbar".


Dass die monierten Probleme nicht Webex alleine betreffen, sondern generell (zumindest) auf grundlegende Inkompatibilitäten US-amerikanischer Regelungen mit dem europäischen Datenschutz zurückzuführen sind, zeigen anhängige Beschwerden und Diskussionen zu anderen Konferenzsystemen.
Der Europäische Gerichtshof hatte im Juli 2020 Probleme in Bezug auf nach europäischem Recht unzulässige Zugriffsbefugnisse US-amerikanischer Behörden erkannt, welche es Behörden erlaubten, "in unverhältnismäßiger Weise auf personenbezogene Daten aus der EU zuzugreifen, ohne dass sich die Betroffenen juristisch dagegen wehren könnten".
Der Abfluss personenbezogener Daten von Studierenden (wie auch Lehrenden) in die USA und der Zugriff auf diese Daten aus den USA sei zu verhindern.
In Zusammenhang mit der Konferenz-Software Zoom hat die Universität Kassel auf Druck des Landesdatenschutzbeauftragten aktuell ein Modell entwickelt, das die Nutzung von Zoom in einer datenschutzkonformen Weise ermöglicht und nun auf die Universitäten des ganzen Bundeslandes Hessen nutzbar ist.
Aufgrund der durch die Pandemie überstürzt etablierten Einführung von Zoom hatte der Datenschutzbeauftragte die Nutzung des Programms in seiner nicht datenschutzkonformen Form nur zeitlich befristet geduldet (Auslaufen der Frist mit 31. Juli 2021).
Gemäß der nun gefundenen Nutzungsregelung müssen die Hochschulen einen von Zoom unabhängigen EU-verorteten Auftragsverarbeiter beauftragen, das Konferenzsystem auf Servern in der EU zu betreiben und dabei eine Ende-zu-Ende-Verschlüsselung aller Inhalte zu gewährleisten. Allerdings darf Zoom ausschließlich für Lehrveranstaltungen genutzt werden – Lehrenden, welche die Nutzung von Zoom verweigern, muss von der Universität ein alternatives System angeboten werden.