Während dem Online-Lehrbetrieb im Corona-Lockdown führte die "F"U Cisco Webex als Videokonferenzlösung ein. Dass der Einsatz von Cisco Webex und die Datenverarbeitung durch ein US-Unternehmen rechtswidrig ist war damals schon klar. Die BlnBDI (Berliner Beauftragte für Datenschutz und Informationsfreiheit) stellte das damals in einer Übersicht über verschiedene Videokonferenzdienste dar. Deshalb reichten wir am 18.02.2021 also schon vor 2,5 Jahren eine Beschwerde bei der BlnBDI über den konkreten Einsatz von Webex an der FU ein. Wie die BlnBDI uns jetzt mitteilte ist die Überprüfung abgeschlossen und es findet nach Auffassung der BlnBDI keine rechtswidrige Datenverarbeitung mehr statt.
Nach unserer Beschwerde und einer Prüfung durch die BlnBDI bestätigte diese am 05.01.2022, dass der Einsatz von Webex an der FU rechtswidrig ist. Wir berichteten. Am 13.01.2022 veröffentlichten wir das Schreiben der BlnBDI an die Kanzlerin der FU in dem die Behörde die kritischen Punkte ausführte und die FU scharf kritisierte. Sie legte dar welche Maßnahmen die FU treffen müsste, damit die Aufsichtsbehörde den Einsatz dulden könne.
Auf dieses Schreiben reagierte die FU lange nicht. Sie vertrat beraten durch ihren Industrie-nahen Datenschutzbeauftragten und Austausch mit Cisco die Auffassung, dass der Einsatz von Webex datenschutzkonform ist. Dadurch sah sich die BlnBDI im September 2022 veranlasst, der FU eine Frist zur Abschaltung von Webex zu setzen, andernfalls würde sie ein förmlicher Verfahren zur Untersagung der Nutzung prüfen.
Nachdem der Präsident der FU, Günter Ziegler, die BlnBDI um ein Gespräch zwischen den Hausleitungen bat wurde diese Frist zunächst ausgesetzt. Wir forderten dazu, dass auch die Studierendenvertretung an diesem Gespräch beteiligt wird. Diesem Wunsch kam weder die FU noch die BlnBDI nach. Das Protokoll dieses Gesprächs konnten wir im Juli 2023 ebenfalls veröffentlichen. Es zeigte erneut, dass die FU ziemlich beratungsresistent hinsichtlich Datenschutz ist.
Nachdem also weiterhin nichts geschah und der Einsatz von Webex andauerte fragten wir im September nochmals bei der BlnBDI an. Am 31.10.2023 teilte uns die BlnBDI daraufhin das Ergebnis ihres über 2,5 Jahre andauernden Überprüfungsverfahren mit.
Die BlnBDI berichtet, dass die vertraglichen Grundlagen zwischen der FU und Cisco neu verhandelt wurden. Dabei wurde insbesondere im Auftragsdatenverarbeitungsvertrag ausgeschlossen, dass Cisco personenbezogene Daten in die Verantwortlichkeit von Cisco überführt. Außerdem seien technische Verbesserungen erreicht worden, sodass keine Datenflüsse mehr an Unternehmen festgestellt werden konnten die nicht als Auftragsdatenverarbeiter genehmigt sind.
Bezüglich der Datenweitergabe in die USA verweist die BlnBDI auf den Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 und führt aus, dass Cisco als hierfür entsprechend zertifiziert ist.
Der Angemessenheitsbeschluss wird von der Datenschutz-NGO noyb scharf kritisiert.[1] er unterscheidet sich nicht wesentlich vom für rechtswidrig erklärten Privacy Shield. Auch ist hierzu bereits eine Klage beim EuGH eingereicht worden.[2]
Wir kritisieren den Abschluss des Verfahrens durch die BlnBDI scharf. Anstatt die Aufssichtsaufgaben konsequent wahrzunehmen und rechtswidrige Nutzung von Webex an der FU zu untersagen, nachdem die FU sogar die großzügige Frist verstreichen ließ, hat die BlnBDI die FU so lange beraten bis der Vertrag mit Cisco irgendwann hinnehmbar war. Für uns steht fest, dass wir nicht darauf vertrauen können, dass die Datenschutz-Aufsichtsbehörde rechtswidriges Handeln effektiv unterbindet. In der Zukunft werden wir direkt den Rechtsweg beschreiten und eine Untersagung gerichtlich beantragen. Im Fall von Cisco werden wir rechtliche Schritte prüfen sobald der Angemessenheitsbeschluss der EU-Kommission vom EuGH gekippt wurde.
[1]https://noyb.eu/de/european-commission-gives-eu-us-data-transfers-third-round-cjeu
[2]https://www.goerg.de/de/aktuelles/veroeffentlichungen/11-09-2023/klage-gegen-den-angemessenheitsbeschluss-der-eu-kommission-fuer-datenverkehr-mit-den-usa
Hier der das Schreiben der BlnBDI an uns im Original: https://astafu.de/sites/default/files/2023-11/231031_Schr.%20BlnBDI%20an%20ASta%20FU_51.1359-1.pdf