1.) Warum wird durch die Universität weiterhin ein Dienst genutzt, welcher nach den Einschätzungen CERT, ZENDAS und anderer eher kritisch zu bewerten ist?

Im Frühjahr 2020 mussten wir rasch handeln, um den Weiterbetrieb der Universität und v.a. auch die Studierbarkeit in Pandemiezeiten, wie von der Politik gefordert, sicherzustellen. Ob und wie wir den Webex-Dienst weiterhin nutzen werden, hängt vom Ergebnis der Befassung (s.o.) und dem Weiterbestehen der Pandemiesituation ab.

2.) Welche Daten werden an Cisco übertragen? Werden Daten auch in USA übertragen? Wenn ja, dann zu welchem Zwecke?

Das ist aktuell genau Gegenstand der Gespräche, die wir mit CISCO führen. Nach Aussage von CISCO werden nach USA aktuell nur Abrechnungsinformationen übertragen, bestehend aus userbezogenen Informationen, den Gastgeber betreffend, wie UUID, Name, Meeting Site URL und Meeting Start/End Time. Diese Informationen dienen laut CISCO u.a. der Lizenz-Überprüfung und statistischen Zwecken.

3.) Wie lange werden die Daten bei Cisco gespeichert? Hier die Bitte um eine vollständige Auflistung, welche Datenpunkte durch Cisco erfasst werden und wie lange diese gespeichert werden. (IP-Adressen, Sitzungsdaten etc.). 

Sie finden unter diesem Link dazu detaillierte Angaben von CISCO: https://trustportal.cisco.com/c/dam/r/ctp/docs/privacydatasheet/collaboration/cisco-webex-meetings-privacy-data-sheet.pdf

4.) Wie erhalte ich als Student Zugriff auf diese Daten und kann meinem Recht auf Löschung nachkommen? Inwieweit kann die Universität gewährleisten, dass diese Daten auch nachweislich gelöscht werden?

Sie können Ihr Löschbegehren an die Universität Stuttgart, insb. an den DSB der Universität Stuttgart adressieren. Welche Daten dann gelöscht werden können, hängt von der Vereinbarung ab, die wir mit CISCO abschließen.

5.) Gibt es Maßnahmen von Seiten der Universität, um den Abfluss von Daten an Cisco zu minimieren?

Wir halten uns in der Ausgestaltung der Vereinbarung an die Grundsätze von Art. 5 DS-GVO. Wir sorgen dafür, dass nur Personen, die die Gastgeberrolle nutzen, einen Account bei Webex benötigen. Bei der Registrierung als Gastgeber werden nur folgende Daten verarbeitet: E-Mail, Vorname, Nachname.

6.) Warum wird zugelassen, dass Prüfungen in denen sensible Daten wie Stimme, eventuell auch Noten etc. über WebEx übertragen werden, obwohl das CERT dies kritisch einschätzt?

Die Universität Stuttgart ermöglicht derzeit nur bei mündlichen Prüfungen, dass diese auch per Videokonferenz durchgeführt werden dürfen. Schriftliche Prüfungen werden ausschließlich in Präsenz durchgeführt. Soweit mündliche Prüfungen per Videokonferenz zulässig sind, darf der einzelne Studierende nach der Corona-Satzung der Universität Stuttgart zur Ergänzung der Prüfungsordnungen in diesem Format nur geprüft werden, wenn er hierzu seine schriftliche Zustimmung erteilt hat. Damit ist kein Studierender zum Ablegen einer mündlichen Prüfung per Videokonferenz verpflichtet, vielmehr handelt es sich hierbei um ein freiwilliges Angebot an die Studierenden. Sofern ein Studierender dieses Angebot nicht annimmt, soll ihm die Durchführung der Prüfung in Präsenz ermöglicht werden, wobei hinsichtlich des Zeitpunktes das aktuelle Infektionsgeschehen und die geltenden Regelungen zum Infektionsschutz zu beachten sind.

7.) Warum werden keine datenschutzkonformeren Dienste verwendet (zum Beispiel durch eigene Infrastruktur oder, wenn dies nicht möglich ist, durch europäische Anbieter, welche die europäischen Datenschutzrechte vollständig umsetzen)?

Wir haben uns dagegen entschieden, eine „on premises“-Lösung wie BigBlueButton aufzubauen. Dafür fehlen uns zum einen die personellen Ressourcen. Zum anderen sind für Hardwareanschaffungen weder die finanziellen Mittel vorhanden, noch haben wir Platz zum Aufstellen dieser Hardware. Im Fj. 2020 sind wir davon ausgegangen, dass CISCO die Anforderungen der europäischen Datenschutz-Grundverordnung vollständig umsetzen kann. Der EU-GH hat mit dem Schrems II-Urteil im Juni 2020 eine Situation geschaffen, der sich jetzt alle – Anbieter aus dem transatlantischen Wirtschaftsraum wie auch europäische Kunden – stellen müssen.

8.) Wo finden sich die in Art. 13 DSGVO vorgeschriebenen Informationen für die Nutzung von WebEx an der Universität?

Diese Informationen werden wir bereit stellen, sobald wir den Vertrag zur Auftragsverarbeitung mit CISCO abgeschlossen haben.

9.) Manche Lehrveranstaltungen werden nur über WebEx, synchron, ohne Aufzeichnung angeboten. Hier besteht in meinen Augen ein Zwang bzw. Nötigung einer Weitergabe meiner Daten zustimmen um den Studienerfolg nicht zu gefährden. Plant die Universität einen Nachteilsausgleich o.Ä. für Studierende, die dieser Weitergabe aus Datenschutzaspekten nicht zustimmen / zugestimmt haben?

Nein. Da Sie als Studierende/r an einer Webex-Session teilnehmen können, ohne Ihren Namen anzugeben und ohne Ihre Kamera und Ihr Mikrofon anzustellen, sehen wir keine Gefährdung Ihrer Persönlichkeitsrechte.