Übersicht
Überreichung des Briefes
Die Liste an Unterzeichner*innen wurde am 01.03.2021 dem Rektorat in einer E-Mail überreicht. Zum Zeitpunkt der Überreichung gab es Unterzeichnungen von 16 Gruppen und 161 Einzelpersonen.
Neuigkeiten
Offener Brief
Offener Brief aus der Studierendenschaft an das Rektorat der Universität Stuttgart zur Nutzung von zukunftsfähigen Tools für Videokonferenzen.
Die COVID-19-Pandemie hat den Universitätsbetrieb, wie vieles andere, auf den Kopf gestellt. Eine Lehre in Präsenz war zu Beginn des Sommersemesters 2020 plötzlich nicht mehr möglich. In relativ kurzer Zeit musste auf eine reine Online-Lehre umgestellt werden, was die Einrichtung einer Videokonferenz-Lösung erforderlich gemacht hat. Die Universität Stuttgart hat sich für die alleinige Nutzung von "Cisco Webex Meetings" als Tool für Videokonferenzen entschieden [1], welches möglicherweise auch in den nächsten Semestern weiterhin zum Einsatz kommen könnte. Diese Entscheidung betrifft nahezu alle Studierenden an der Uni Stuttgart. Für viele Studierende ist die Nutzung nicht wirklich freiwillig. Die Teilnahme an Lehrveranstaltungen ist derzeit fast ausschließlich über Webex möglich. Wir sehen den Einsatz von Webex aufgrund mehrerer Aspekte kritisch und fordern deshalb die Universitätsleitung auf, den Einsatz von Webex zu überdenken und alternative Lösungen bereit zu stellen.
Datenschutzprobleme bei Webex
Die datenschutzfreundliche Nutzung von Tools an der Universität ist für uns ein wichtiges Anliegen, was derzeit mit Webex nicht gegeben ist. Wie in der Mitteilung vom 16. April 2020 [1] auch von Universitätsseite kommuniziert wurde, gebe es "von datenschutzrechtlicher Seite noch Bedenken" und "Prüfungen unter den Gesichtspunkten Informationssicherheit und Datenschutz" müssten noch abgeschlossen werden. Wir sehen nicht, inwiefern sich die Bedenken geklärt hätten – ganz im Gegenteil.
Webex Meetings wird als Cloud-Service von dem amerikanischen IT-Konzern Cisco betrieben, bei dem eine umfangreiche Speicherung personenbezogener Informationen stattfindet. Zur Veranschaulichung: Die Erstellenden eines Webex-Meetings können im Nachhinein (3 Jahre lang) minutengenau nachvollziehen, wer (vollständiger Name, u. U. mit E-Mail-Adresse) von wann bis wann mit welchem Gerätetyp an dem Meeting teilgenommen hat. Darüber, dass diese Daten im Nachhinein für die Erstellenden (und für Cisco) einsehbar sind, werden die Teilnehmenden nicht informiert. Übertragen auf eine Vorlesung im Hörsaal wäre das in etwas so, als würden die Vortragenden (und eventuell weitere Personen) im Nachhinein minutengenau einsehen können, wer von wann bis wann im Hörsaal war und ob ein Kuli oder ein Bleistift zum Mitschreiben benutzt wurde. Die automatische Speicherung dieser Daten ist nicht notwendig!
Zusätzlich haben wir Bedenken hinsichtlich der Vertrauenswürdigkeit von Cisco und der rechtlichen Situation. Der Datenverkehr für unistuttgart.webex.com wird derzeit über niederländische Server geleitet. In der Cisco Online-Datenschutzrichtlinie [2] – die Datenschutz-Grundverordnung (DSGVO) wird dort überhaupt nicht erwähnt – behält sich Cisco ausdrücklich vor, personenbezogene Daten auch auf Servern in anderen Ländern zu übertragen: "wir [übertragen] Ihre personenbezogenen Daten möglicherweise an Cisco in den USA, an eine der weltweit verteilten Cisco Tochtergesellschaften oder an vorstehend beschriebene Dritte und Geschäftspartner". In der Datenschutzrichtlinie verweist Cisco auf das EU-US Privacy-Shield, das allerdings vom EuGH am 16.07.2020 für ungültig erklärt wurde [3]. Cisco unterliegt als amerikanisches Unternehmen dem Cloud Act und ist als solches dazu verpflichtet, auf Anfrage der US-Behörden Daten herauszugeben, selbst wenn diese sich auf Servern in der EU befinden. Viele Datenschutzbeauftragte kritisieren unter anderem deshalb die Nutzung von Webex sowie anderer Dienste insbesondere von amerikanischen Unternehmen. An dieser Stelle möchten wir exemplarisch auf die "Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen" [4] von den Berliner Beauftragten für Datenschutz und Informationsfreiheit sowie die "Orientierungshilfe Videokonferenzsysteme" [5] der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder verweisen.
Die Zentrale Datenschutzstelle der baden-württembergischen Universitäten (ZENDAS), hat bereits am 31.03.2020 einen entsprechenden Artikel veröffentlicht, in dem das bereits beschrieben wird[6]:
"[Es] sind sehr umfangreiche Metadaten für Cisco einsehbar und auch direkt Personen zuordenbar. Dies ist auch dann der Fall, wenn die Authentifizierung außerhalb der Cisco-Cloud erfolgt, da mindestens die E-Mailadressen der authentifizierten Nutzer bei Cisco gespeichert werden. Insofern ist für Cisco einsichtig, wer, wann, mit wem, für wie lange kommuniziert und ggfs. auch noch den Inhalt der Kommunikation."
Plattformunabhängigkeit
Einige WebEx-Tools oder -Funktionalitäten sind nicht mit allen Betriebssystemen kompatibel. So ist es zum Beispiel für Linux User eine Erstellung von Umfragen nicht möglich und eine Beteiligung mit Problemen behaftet. Weiterhin können Linux Nutzende an Webex Events und Teams-Veranstaltungen nur teilnehmen, diese aber selbst nicht ausrichten. Zudem ist eine Übernahme der Chatbetreuung bei einem Event nicht möglich. Diesen Personen wird empfohlen/vorgeschrieben proprietäre Betriebssysteme wie Windows oder MacOS zu verwenden. Gerade bei naturwissenschaftlichen/technischen Studiengängen wird häufig mit Linux gearbeitet.
Nachhaltige Digitalisierung
Neben dem Datenschutz sehen wir bei der Nutzung von Webex zusätzlich Probleme hinsichtlich der Nachhaltigkeit. Hochschulen sind Orte der Transformation, an denen wichtige Impulse für eine zukunftsfähige Gesellschaft entstehen. Aus unserer Sicht sollte sich deshalb die Universität Stuttgart ihrer besonderen Verantwortung bewusst werden und in ihrer Digitalisierungsstrategie die Leitprinzipien "digitale Suffizienz, konsequenter Datenschutz und Gemeinwohlorientierung" [7] als Rahmen setzen. Für Kommunikationstools bedeutet dies insbesondere, dass die Universität sich nicht von kommerziellen Tools abhängig macht und "zur Wahrung der sozialen Fairness, Datenschutz und Chancengleichheit [...] digitale Lösungen genutzt werden, die von der Universität bereitgestellt und verwaltet werden" [8]. Bei der exklusiven Nutzung von Webex ist dies nicht gegeben. Webex ist eine proprietäre Software, d.h. die Universität macht sich abhängig von den Entscheidungen eines Unternehmens und finanziert zugleich mit öffentlichen Geldern die Entwicklung einer Closed Source-Software, die nicht der Allgemeinheit bereitsteht ("Public Money? Public Code!" [9]). Des Weiteren steht die Nutzung einer einzigen proprietären Software für Videokonferenzen den Interessen einer nachhaltigen Beschaffung entgegen. Im Sinne einer zukunftsfähigen Universität sind wir der Ansicht, dass auch der Bereich der Informations- und Kommunikationstechnik (IKT) in den nachhaltigen Beschaffungsrichtlinien berücksichtigt werden sollte.
Nicht nur die Universität Stuttgart ist mit der Herausforderung konfrontiert, ein geeignetes System für Videokonferenzen bereitzustellen. Alle anderen Hochschulen und auch Schulen sind auf entsprechende Videokonferenzsysteme angewiesen. Wir sehen es deshalb als sinnvoll an, mehr auf Kooperation zu setzen und gemeinsam datenschutzfreundliche und nachhaltige IT-Dienste für Mitarbeitende, Studierende und Schüler*innen bereitzustellen. Bei Kooperationsstudiengängen würde dies außerdem die Nutzung einheitlicher IT-Systeme begünstigen. In Baden-Württemberg haben wir mit der bwCloud bereits eine Cloud, die von Lehr- und Forschungseinrichtungen des Landes genutzt werden kann. Es wäre wünschenswert, wenn diese auch für Videokonferenzsysteme genutzt wird.
Die Festlegung auf ein einziges Tool für Videokonferenzen sollte ebenfalls kritisch hinterfragt werden. Bei technischen Problemen seitens Cisco gibt es für die Mitarbeitenden und Studierenden keine Möglichkeit auf eine Alternative auszuweichen. Dies war in den vergangenen Monaten mehrfach der Fall und es ist damit zu rechnen, dass es zu weiteren Ausfällen kommen kann. Des Weiteren bietet die Verfügbarkeit von 2-3 unterschiedlichen Systemen den Vorteil, je nach Anwendungsfall und Anforderungen das passende Tool auszuwählen. Außerdem halten wir es für problematisch, wenn Studierende nur ein einziges (proprietäres) System kennenlernen. Im Sinne des Erwerbs digitaler Kompetenzen während des Studiums ist es essentiell, Erfahrungen mit datenschutzfreundlichen und nachhaltigen Tools zu sammeln. Dies gilt insbesondere für Lehramtsstudierende, da sie als zukünftige Lehrer*innen eine besondere Verantwortung gegenüber ihren Schüler*innen tragen und digitale Kompetenzen vermitteln werden.
Unsere Forderungen
- Kurzfristige Einrichtung einer DSGVO-konformen Videokonferenz-Lösung, die nach Privacy by Design implementiert ist, Datensparsamkeit beachtet und Datensouveränität ermöglicht, bis spätestens Anfang April 2021 (Beginn Sommersemester 2021)
- Beendigung des Einsatzes von Cisco Webex bis spätestens Oktober 2021 (Anfang Wintersemester 2021/22)
- Bereitstellung von mindestens zwei unterschiedlichen Videokonferenzsystemen, um verschiedenen Anwendungsszenarien gerecht zu werden. Bei Problemen muss kurzfristig auf andere Systeme ausgewichen werden können. Hilfreich wäre dazu möglicherweise die Kooperation mit anderen Hochschulen.
- Förderung von Open Source-Software auch bei Videokonferenzsystemen, wie es bereits der offenen Lernplattform ILIAS und dem Medienplugin Opencast der Fall ist ("Public Money? Public Code!").
- Aktive Einbindung der gesellschaftlichen und ökologischen Implikationen von Informations- und Kommunikationstechnologien (IKT) in die Lehre
- Berücksichtigung von IKT in nachhaltigen Beschaffungsrichtlinien
- Bereitstellung plattformunabhängiger Videokonferenzlösungen
- Einrichtung einer dauerhaften Lösung, die auch nach der COVID-19-Pandemie genutzt werden kann
Positivbeispiele
Zahlreiche Universitäten zeigen, dass es möglich ist, datenschutzfreundliche und nachhaltige Videokonferenzlösungen anzubieten. Als Beispiel möchten wir an dieser Stelle auf die Universität Heidelberg verweisen, welche über die selbstbetriebene universitäre Cloud-Infrastruktur heiCLOUD den Mitarbeitenden und Studierenden diverse IT-Dienste anbietet, die datenschutzfreundlich sind und Nachhaltigkeitsaspekte berücksichtigen: Für Videokonferenzen wird heiCONF [10] bereitgestellt, welches auf BigBlueButton basiert und in zwei Ausführungen für interaktive Veranstaltungsformate (bis zu 50 Personen) sowie frontale Veranstaltungsformate (bis zu 200 Personen) angeboten wird, als Chat-Plattform gibt es heiCHAT [11] basierend auf Matrix und zum Teilen von Dateien heiBOX [12] basierend auf Seafile. Zudem kommt als datenschutzfreundliche und nachhaltige Lösung für Videokonferenzen BigBlueButton unter anderem an folgenden Universitäten zum Einsatz (Stand 10.02.2021): Universität Bremen, TU Dresden, Universität Duisburg, Universität Freiburg, Universität Greifswald, Universität Göttingen, Universität Hildesheim, Universität Koblenz-Landau, Universität Leipzig, Universität Mainz, Universität Marburg, Universität Osnabrück, Universität Paderborn, Universität Rostock, Universität Trier, Universität Ulm.
Wir erwarten von der Universitätsleitung, dass sie ihrer Verantwortung den Mitarbeitenden und Studierenden gegenüber gerecht wird und eine zukunftsfähige Lösung für Videokonferenzen bereitstellt.
Quellenverweise:
[1] https://www.tik.uni-stuttgart.de/das-tik/aktuelles/news/Webex-an-der-Universitaet-Stuttgart/
[2] https://www.cisco.com/c/de_de/about/legal/privacy-full.html
[3] https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf
[5] https://www.tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/oh-videokonferenzsysteme_final.pdf
[6] https://www.zendas.de/themen/videokonferenzen/produkt_webex.html (über Uni-VPN erreichbar)
[7] https://www.oekom.de/buch/smarte-gruene-welt-9783962380205
[10] https://www.urz.uni-heidelberg.de/de/heiconf
[11] https://www.urz.uni-heidelberg.de/de/heichat
[12] https://www.urz.uni-heidelberg.de/de/heibox
Unterzeichnen
Das Unterzeichnen des Briefes ist nicht mehr möglich. Die gespeicherten Daten wurden gemäß unserer Datenschutzhinweise am 28.09.2021 gelöscht.
Unterzeichner*innen
Die Liste an Unterzeichner*innen wurde am 01.03.2021 dem Rektorat in einer E-Mail überreicht. Zum Zeitpunkt der Überreichung gab es Unterzeichnungen von 16 Gruppen und 161 Einzelpersonen.
5 Comments
David Kopp
Die Berliner Datenschutzbeauftragte hat gestern (18.02.) ihre Hinweise zu den Videokonferenzdiensten aktualisiert und kommt zu einem vernichtenden Urteil: Zoom, TeamViewer, die Microsoft-Dienste Skype und Teams, GoToMeeting, Google Meet, Cisco Webex und auch frei verfügbare Jitsi-Angebote fallen in dem Test durch, da "Mängel vorliegen, die eine rechtskonforme Nutzung des Dienstes ausschließen".
Zu Webex Meetings heißt es in dem Test u.a.: "Die Standardvertragsklauseln genügen für sich nicht, um Übermittlungen personenbezogener Daten in die USA zu rechtfertigen, da keine ausreichenden ergänzenden Maßnahmen bestehen, um nach europäischem Recht unzulässige Zugriffe von US-Behörden zu verhindern. [...] Die rechtswidrigen Datenexporte lassen sich nur teilweise vermeiden."
Artikel bei Heise: https://www.heise.de/news/Viel-Rot-Berliner-Datenschutzbeauftragte-aktualisiert-Videokonferenz-Liste-5060322.html (abgerufen am 19.02.2021)
Test der Berliner Datenschutzbeauftragten vom 18. Februar 2021: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf (abgerufen am 19.02.2021)
Lina Weber
Ich würde gerne noch Punkte einbringen, die bei der Wahl eines Tools bezüglich der Barrierefreiheit beachtet werden sollten. Folgende Kriterien wurden vom Deutschen Blinden- und Sehbehindertenverband kurz und deutlich formuliert:
Ich fände es sehr wichtig, dass die Uni diese Punkte bei der Wahl zumindest mit berücksichtigt!
Liebe Grüße
Lina
(Referentin für Gleichstellung, Diversity und Soziales)
David Kopp
Vernetzungstreffen zu Datenschutz und Digitalisierung an Hochschulen in BaWü
Vielen Dank an alle, die bereits den offenen Brief unterzeichnet haben! 😀
Den offenen Brief haben wir, die Initiator*innen, am 01.03.2021 der Hochschulleitung übergeben und ein Gesprächsangebot erhalten. Wann das Gespräch stattfinden wird, ist noch unklar.
Wir möchten nun gerne auch hochschulübergreifend auf BaWü-Ebene aktiv werden und haben uns deshalb dazu entschlossen, ein BaWü-Vernetzungstreffen zum Thema Datenschutz an Hochschulen zu organisieren:
Wann: 18. März 2021, 18:30 - 20:00 Uhr
Wo: https://nsl.stupa-stuttgart.de/vernetzungstreffen-datenschutz (BigBlueButton)
Was den Termin anbelangt ist uns erst zu spät aufgefallen, dass es eine Terminkollision mit der stuvus-Sitzung geben wird. Falls das für euch ein Problem darstellt, tut uns das Leid.
Das Vernetzungstreffen soll vor allem einen Raum für Austausch mit Studierenden von anderen Hochschulen bieten. Unser Ziel ist es, sich hochschulübergreifend zu unterstützen und gemeinsam für mehr Datenschutz und einer nachhaltigen Digitalisierung an den Hochschulen in Baden-Württemberg zu sorgen.
Wenn ihr Interesse an der Teilnahme habt, meldet euch gerne bei kurz bei uns, damit wir besser planen können. Natürlich könnt ihr auch spontan vorbeischauen.
Über die E-Mail-Adresse info@nsl.stupa-stuttgart.de könnt uns erreichen.
Des weiteren findet am 20.03.2021 vom AK Klima und Umwelt der Landesstudierendenvertretung ebenfalls ein Vernetzungstreffen statt, bei dem es um "Nachhaltige Digitalisierung" gehen wird. Hier möchten wir gerne die Ergebnisse unseres Treffens zu Datenschutz präsentieren und die Datenschutzthematik in den größeren Kontext der nachhaltigen Digitalisierung setzen.
Wann: 20. März 2021, 16:00 - 18:00 Uhr
Wo: https://lak-bawue.de (BigBlueButton)
Kontakt: Johanna Ehlers johanna.ehlers@lastuve-bawue.de
Beide Treffen sind super Möglichkeiten, sich zu Datenschutz und nachhaltiger Digitalisierung an Hochschulen in BaWü zu vernetzen!
Wir freuen uns auf euch 😀
Anonymous
Gibt es eigentlich hierzu Neuigkeiten? Auf den Uni Seiten heißt es nur ominös https://www.uni-stuttgart.de/universitaet/aktuelles/meldungen/Webex-Client-fuer-Linux-00001/
In 2 Monaten läuft meines Wissens der Vertrag mit Webex ab aber die Uni hält sich anscheinend noch bedeckt wie es weiter geht.
Anonymous
→ hab das mal auf die Seite Neuigkeiten gepostet