Nachdem wir letzte Woche veröffentlichten, dass die Berliner Datenschutzbeauftragte (BlnBDI) den Einsatz von Cisco Webex an der FU als rechtswidrig bewertet hat, können wir heute ergänzend das Schreiben der BlnBDI an die Kanzlerin der FU veröffentlichen, das wir durch eine IFG Anfrage an die Behörde erhalten haben.
https://astafu.de/sites/default/files/2022-01/BlnBDI_an_FU.pdf
Das Schreiben schlägt einen strengen Ton an und kritisiert die FU scharf. Zum Beispiel wird klar, dass die FU auf die Fragen der BlnBDI die diese zuvor an die FU stellte teilweise mit der Unwahrheit geantwortet hat. Die FU behauptete Webex würde in einer Konfiguration benutzt werden in der Kommunikation Ende-zu-Ende verschlüsselt übertragen wird. Dies ist aber nicht der Fall.
Im Schreiben zählt die BlnBDI Maßnahmen auf die die FU treffen müsste um eine Duldung von Webex zu ermöglichen. Selbst simple Maßnahmen wie das Verhindern, dass die Website https://fu-berlin.webex.com Daten von Servern aus den USA nachlädt wurde seit November nicht unternommen. Die Seite lädt weiterhin Daten von akamaicdn.webex.com nach wie zB hier ersichtlich ist: https://www.webpagetest.org/result/220112_AiDc4F_d879f18c06aeb4fde2ba45380d6f9dda/1/domains/
Besonders interessant sind aber die Maßnahmen, die erforderlich werden weil Cisco als Firma in den USA gezwungen ist, Sicherheitsbehörden Daten auch von Nicht-US-Bürger*innen weiterzuleiten. So fordert die BlnBDI das Webex nur mit Pseudonymen zu verwenden ist. Aktuell wird das gesamte Nutzer*innenverzeich der FU mit Webex synchronisiert, auch wenn Mitglieder der FU Webex gar nicht nutzen.
Weiterhin darf die IP-Adresse der Nutzenden nicht an Cisco übermittelt werden. Das ist nur möglich wenn die FU sicherstellt, dass Webex ausschließlich aus dem Netz der FU oder über VPN verwendet wird. Eine solche Lösung wird sich aus Kostengründen aber wohl nicht umsetzen lassen. Dadurch würde soviel Traffic auf den FU-Servern anfallen wie beim Betrieb einer eigenen Videokonferenzlösung.
Für uns ist daher klar, dass ein weiterer Betrieb von Webex nicht tragbar ist und wir fordern die FU auf datensparsame Lösungen im Dialog mit den Mitgliedern der Universität zu entwickeln. Bisher hat die FU weder ihre Mitglieder über den rechtswidrigen Einsatz von Webex informiert noch hat sie kommuniziert wie sie diesen Umstand beseitigen will. Wir haben für den 19.01. einen Besprechungspunkt im Akademischen Senat angemeldet um die Universitätsleitung aufzufordern die notwendigen Schritte zu unternehmen.