linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING

Berliner Datenschutzaufsicht untersagt Einsatz von Cisco Webex an der FU Berlin

Schlagworte: Berliner Aufsichtsbehörde |  Cisco Webex |  FU Berlin |  Informationssicherheit | Datenschutz

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat mit Schreiben vom 16. November 2021 der Freien Universität Berlin („FU“) die Nutzung des Videokonferenz- und Kommunikationsdienstes Cisco Webex in der Cloud-Version wegen mangelhaften Datenschutzes untersagt. Dem vorausgegangen waren mehrere Versuche, die Cloud-Lösung von Cisco Webex Meetings rechtskonform zu gestalten. All diese Versuche scheiterten laut Aussage der Behörde. Dies geht hervor aus dem geschwärzten Schreiben der Behörde, das im Zuge einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) bei „FragDenStaat“ veröffentlicht worden ist.

Hohe Anforderungen an den Datenschutz

Danach lasse die von der FU betriebene Lösung derzeit nicht datenschutzkonform nutzen. Ob die Nutzung fortgesetzt werden könne, hänge maßgeblich von den folgenden Faktoren ab:

  • Die Inhalte der Kommunikation müssen Ende-zu-Ende-verschlüsselt werden. Cisco Webex Meetings sehe hierfür eine optional aktivierbare Funktion vor. Bei Aktivierung der Ende-zu-Ende-Verschlüsselung sei eine Teilnahme an den Videokonferenzen jedoch nur noch mittels der Cisco-App möglich. Eine Einwahl per Telefon, Web-Browser oder SIP sei nicht mehr möglich. Auch die Linux-Version der App ermögliche laut Cisco-Webseite keine Nutzung von Ende-zu-Ende-Verschlüsselung.
  • Die im Rahmen der Nutzung des Dienstes anfallenden technischen Daten müssen vor Offen-legung an Cisco anonymisiert oder so pseudonymisiert werden, dass Cisco und die US-Behörden das Pseudonym nicht auf einzelne Personen oder kleine Gruppen zurückführen können. Dies betreffe in erster Linie die IP-Adresse, die für US-Behörden nur ein äußerst schwaches Pseudonym darstellt. Hierfür könne die FU beispielsweise allen Teilnehmenden ein VPN zur Teilnahme an Webex bereitstellen oder Webex nur über eine Proxy-Lösung zugänglich machen.
  • Soweit die verwendete App auch weitere personenbezogene Daten sammelt, etwa Hardware-Adressen, und dies nicht – sei es durch Einstellungen, sei es durch Blockade des Datenverkehrs – unterbunden werden könne, seien auch diese technisch zu verbergen. Hierzu könnte die Nutzung virtueller Maschinen erforderlich werden. Alternativ könne den Teilnehmenden gesonderte Hardware ausschließlich für den Zweck der Nutzung des FU-Cisco-Webex-Dienstes bereitgestellt werden.
  • Auch die Daten der Teilnehmenden – etwa die angezeigten Namen und die Daten der einladenden Personen – müssen für Cisco und US-Behörden unauflösbar pseudonymisiert werden. Dies könne beispielsweise dadurch erfolgen, dass für die Organisation der Videokonferenzen zentrale Accounts genutzt werden oder pseudonyme Kennungen, deren Zuordnung zu den tatsächlichen Nutzer*innen nur der FU bekannt ist. Es sei im Fall der Nutzung von Pseudonymen allerdings zu beachten, dass die Zuordnung auch nicht anderweitig für die US-Behörden auflösbar sein darf, etwa durch Versendung von E-Mails, die erkennen lassen, dass eine bestimmte Person eine bestimmte Videokonferenz einberufen hat. Insofern sei die Nutzung zentraler Accounts empfohlen. Die Nutzung von Klardaten wie bisher durch Anbindung an die FU-Systeme werde nicht toleriert, so die Berliner Datenschutzaufsicht.
  • In den Datenschutzhinweisen für die Teilnehmenden müsse die FU umgehend die Erhebung der E-Mail-Adresse deaktivieren und „unübersehbar klarstellen“, dass als Name bei der Teilnahme nur ein Pseudonym angegeben werden sollte, da dieses US-Behörden zur Kenntnis gelangen und von diesen nach dem Maßstab europäischer Grundrechte unrechtmäßig genutzt werden könne.

Fazit

Das Verfahren gegen die FU zeigt, welche Hürden zu nehmen sind, wenn Dienste eingesetzt werden, bei deren Nutzung personenbezogene Daten an die USA übermittelt werden. Die Schrems II- Entscheidung des EuGHs vom 16.7.2020 hat klargestellt, dass für solche Datentransfers in (unsichere) Drittländer wie die USA vorab immer eine Prüfung der Angemessenheit des Datenschutzniveaus erforderlich ist.

Unternehmen müssen dabei folgende Grundregeln beachten:

  • Der Abschluss von Standarddatenschutzklauseln im Sinne von Art. 46 Abs 2 lit. c DSGVO (SCCs), die zwischen den Parteien vereinbart werden, bieten für sich genommen kein angemessenes Schutzniveau, da diese den Zugriff von (US-)Behörden nicht verhindern können.
  • Die Schrems II-Entscheidung stellt eindeutig klar, dass in den USA aufgrund der Zugriffsmöglichkeiten durch Behörden jedenfalls bei Anbietern von elektronischen Kommunikationsdiensten aufgrund von FISA 702 zusätzliche vertragliche, organisatorische oder technischer Maßnahmen getroffen werden müssen, um angemessenes Schutzniveau herzustellen.
  • Vertragliche Maßnahmen alleine reichen nicht aus, da diese den Staat, in dem der Datenimporteur seinen Sitz hat, nicht binden können.
  • Eine Verschlüsselung von Daten (z.B. im Ruhezustand), bei der der Datenimporteur über den Schlüssel verfügt, ist als technische Maßnahme nicht ausreichend. Dies geht aus den Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten des Europäischen Datenschutzausschusses hervor. (PDF, Rn. 95).
  • Fraglich und bisher nicht eindeutig geklärt ist die Frage, ob eine mit einem eindeutigen Risikohinweis verbundene Einwilligung im Sinne von Art. 49 Abs. 1 lit. a DSGVO den Datentransfer in ein unsicheres Drittland legitimieren kann. Dagegen spricht jedenfalls der Ausnahmecharakter dieser Regelung, dem es widersprechen würde, wenn die Übermittlung auf Basis einer Einwilligung die Regel wäre.

 

Quelle:

Schreiben der Berliner Datenschutzaufsicht vom 16. November 2021 mit dem Betreff „Einsatz von Cisco Webex an der FU Berlin“, veröffentlicht bei FragDenStaat (Anfrage #236924, zuletzt abgerufen am 17.01.2022).

Neu: procado BLOGtSicherheitswarnung: Cyclops-Blink-Botnet – Sicherheitsrelevantes Software-Update...