Die Universität Greifswald hat seit diesem Wintersemester Zoom-Lizenzen, um nun auch Lehrveranstaltung mit Hilfe dieses Tools abzuhalten. Doch es gibt immer wieder Kritik am Unternehmen. Wir zoomen einmal auf Datenschutz und Sicherheitsaspekte.

Datenschutz ist wichtig. In einer digitalen Zeit, welche zusätzlich noch von einer Pandemie geprägt wird, in der Digitalisierung den Schlüssel darstellt, kann man dies nicht oft genug sagen. Datenschutz ist aber auch ein sehr großes Thema, bei dem man schnell den Überblick verliert. Die Problematik um soziale Medien, Cloud-Dienste und eben auch Videokonferenz-Tools ist die folgende: Die Firmen sind größtenteils in den USA (oder anderen Drittländern außerhalb der EU) angesiedelt, inklusive ihrer Server, was bedeutet, dass die dortigen Datenschutzrichtlinien gelten. Häufig handelt es sich dabei um Firmen, die im Cloud-Bereich oder der Telekommunikation unterwegs sind: Microsoft, Google, Facebook und auch Zoom. Diese Unternehmen und Dienste sind vor allem deswegen interessant, weil Geheimdienste aber auch Facebook und andere Unternehmen mit Hilfe dieser Firmen sehr leicht an äußerst private Daten für Werbezwecke und Profiling kommen können.

Von 2016 bis 2020 galt das sogenannte Privacy-Shield-Abkommen. Ein Abkommen zwischen der EU und den USA, das die Weitergabe von personenbezogenen Daten von Menschen der Mitgliedsstaaten der EU regelte. Problematisch war hierbei jedoch, dass die Datenschutzrichtlinien der USA als ausreichend für die EU festgehalten wurden, was sie jedoch gar nicht sind. Für US-Firmen heißt das konkret, dass kaum Datenschutzrichtlinien gelten, während die Bundesrepublik Deutschland dagegen sehr harte Datenschutzrichtlinien hat – auch durch die im Jahr 2018 europaweit in Kraft getretene Datenschutz-Grundverordnung (DSGVO). Kurz: Trotz Privacy-Shield-Abkommen waren europäische Daten kaum geschützt. 2020 wurde dieses Abkommen vom Europäischen Gerichtshof außer Kraft gesetzt, aufgrund einer Klage des Datenschützers Max Schrems. Zuvor wurde bereits das Safe-Harbor-Abkommen durch den EuGH gekippt. Datenschutzrichtlinien wurden anschließend durch sogenannte Standarddatenschutzklauseln (SCCs) festgelegt, wobei darauf geachtet werden muss, ob der Datenschutz des „Operationslandes“ eingehalten wird.

Stellt eine Person freiwillig ihre Daten zur Verfügung, beispielsweise durch die Nutzung von Google Drive, so dürfen diese Daten durchaus genutzt werden, weil beispielsweise die Server, auf denen diese Daten liegen, in den USA stehen. Die Firmen dürfen die Daten lediglich nicht von einem Land in das nächste übertragen, ohne dass die Nutzer*innen davon wissen. Bleibt jedoch die Frage, wie so etwas kontrolliert wird. In der nicht allzu weit entfernten Vergangenheit, halfen vor allem Whistleblower*innen, einen Blick auf diese Geschehnisse zu werfen.

Open Source vs. Kapitalismus vs. Datenschutz

Auch Zoom ist eine amerikanische Firma. Nutze ich Zoom, stimme ich auch den US-Nutzungsbedingungen zu, die eben eine Nutzung der Daten durch Geheimdienste ermöglichen. Doch nicht nur das: Zoom besitzt eigene Server, welche nur mit einem zahlungspflichtigen Konto ausgewählt werden können. Nutzer*innen mit Basic-Account können so nicht entscheiden, in welchem Land der Server steht, der ihr Meeting hostet. Mit den kostenpflichtigen Accounts ist immerhin schon einmal das Hosten regulierbar. So mussten sich zum Beispiel deutsche Universitäten um europäische Server bemühen, um Zoom nutzen zu können. Doch selbst, wenn die Server in Deutschland stehen: Zoom Video Communications Inc. ist eine US-Firma, und die Server gehören nicht dem universitären Rechenzentrum an.

Zum Vergleich: Jitsi lässt sich auf eigene Netzwerke installieren und dadurch selbst hosten, genauso wie BigBlueButton – was die Uni auch macht. Damit ist sichergestellt, dass die empfangenen Daten, wenn sie schon irgendwohin übermittelt werden, auf einem universitätseigenen Server landen. Darüber hinaus handelt es sich bei Jitsi und bei BigBlueButton um linuxbasierte Open Source Software, was als besonders sicher gilt, vor allem, weil keine an Umsatz orientierten Firmen dahinterstehen. Jitsi ist äußerst datensparend und einfach in der Bedienung. BigBlueButton ist vor allem für den Bildungssektor sehr praktisch mit den vielen Funktionen, die wir in den letzten Semestern kennenlernen durften.

Bei Zoom ist das logischerweise nicht der Fall. Bevor man nun freudig Zoom nutzt, sollte man sich eventuell einmal die Seite des Rechenzentrums ansehen: Bei allen Clients wird zu Beginn die Funktionsweise erklärt, bei Zoom folgt anschließend jedoch eine lange Passage zum Datenschutz. Deutsche Universitäten haben sich in den letzten Monaten für ein Custom Data Processing Agreement eingesetzt und dieses abgeschlossen, doch eins bleibt: Zoom ist vor allem an einer Sache interessiert ist: Gewinn. Was wir bereits von solchen Firmen, aber auch speziell von Zoom, wissen: Datenschutz ist zweitrangig. Sicherheitslücken werden akzeptiert, weggelächelt und im besten Fall sogar verkauft.

Kritik von Datenschützer*innen … und Elon Musk

Auch bei Zoom war und ist das Alltag. Während der Pandemie kamen vermehrt Aufrufe zur Verbesserung der Datensicherheit und dem Schließen von Sicherheitslücken. Datenschutzbeauftragte rieten von der Nutzung der Software ab, da diese nicht DSGVO-konform sei. So kam es wohl vor, dass nicht nur die Metadaten von Nutzer*innen der Software im Darknet landeten, sondern auch die Gesprächsinhalte über einen langen Zeitraum von Dritten mitgehört wurden. Nicht einmal Elon Musk und das Federal Bureau of Investigation (FBI) trauen dem Dienst Zoom und haben die Nutzung unterbunden. Auch der MacOS bzw. iOS-Client der Firma soll enorme Sicherheitslücken aufweisen, die eine Datenweitergabe an Facebook beinhaltete, aber auch angezapfte Webcams und lokale Webserver, die installiert wurden ohne das Einverständnis oder Wissen des*der Nutzer*innen.

Zurück zur Website des Rechenzentrums: Hier finden sich ein paar schöne Zitate aus den Datenschutzhinweisen, welche uns alle einen Denkanstoß geben sollten. Nicht nur steht dort ausführlich, dass es eine Firma mit Sitz in den USA ist, sondern auch, dass für die Zoom-Website die Firma Zoom zuständig ist – auch und vor allem für die Datenverarbeitung. Dann folgt ein Hinweis, dass man die App laden könnte. Hier sei noch einmal an die Sicherheitslücken der MacOS- und iOS-App erinnert. Möchte man die App nicht nutzen, kann man im Browser bleiben – Stichwort Datenverarbeitung – außerdem gibt es dort dann nur die Basisfunktionen.

Anschließend verarbeitet Zoom alles, was es zu greifen bekommt. Viele Menschen präferieren Zoom, da man hier die Sitzungen aufnehmen und weiterverwenden kann. Abgesehen davon, dass Aufnahmen von Sitzungen immer unangenehm für die teilnehmenden Personen sind, zumal Chat-, Video- und Tonverläufe aufgenommen werden (Stichwort Privatsphäre), würde die Aufnahme auch mit Änderung der Einstellungen durch den Admin in BigBlueButton funktionieren. Selbiges gilt auch für die maximale Nutzer*innen-Anzahl, die auch für BigBlueButton bis zu 300 Personen beträgt, wenn die Host-Server das schaffen (würden).

Was die Verarbeitung und Speicherung betrifft, ist Zoom auch ganz vorn dabei. Von registrierten Nutzer*innen kann Zoom die gewonnen Daten bis zu einem Monat abspeichern, macht das aber auch gern mal etwas länger. Zusätzlich stehen die Server vielleicht nun in Deutschland (oder einem anderen EU-Land), doch Zoom verarbeitet weiterhin Daten in den USA.

Datenverarbeitung ohne Datenschutz

Kommen wir zu einer der mitunter interessantesten Passagen der Zoom-Seite des Rechenzentrums:

Personenbezogene Daten, die im Zusammenhang mit der Teilnahme an ‚Online-Meetings‘ verarbeitet werden, werden grundsätzlich nicht an Dritte weitergegeben, sofern sie nicht gerade zur Weitergabe bestimmt sind. Beachten Sie bitte, dass Inhalte aus ‚Online-Meetings‘ wie auch bei persönlichen Besprechungstreffen häufig gerade dazu dienen, um Informationen mit Kunden, Interessenten oder Dritten zu kommunizieren und damit zur Weitergabe bestimmt sind.

Website des Universitätsrechenzentrum zur Weitergabe von Daten

Kurz: Eure Daten sollen nicht weitergegeben werden, aber eigentlich sollen sie das schon. Was ist denn schon Datenschutz?! Klar, wenn ich mich mit Menschen persönlich treffe und etwas sage, weiß ich auch nicht, wer die geteilten Informationen noch erhält, aber ich kann zumindest den Kreis der „Maulwürfe“ einschränken. Bei Zoom kann sich, wie bereits oben beschrieben, einfach eine dritte Person unbemerkt hinzuschalten und mithören. Sneaky!

In der E-Mail an die Studierenden von Prorektor Prof. Dr. Lars Kaderali zur Einführung von Zoom wird die Entscheidung für die Plattform näher ausgeführt.

Selbstverständlich liegt für die Zoom-Nutzung die Zustimmung des Personalrates sowie ein positives Votum des Datenschützers der Universität Greifswald vor. Wir haben mit Zoom ein Custom Data Processing Agreement geschlossen, das über die Datenschutz-Standard-Vereinbarungen von Zoom deutlich hinausgeht und die DSGVO-Konforme Nutzung von Zoom ermöglicht. Zoom kann damit ohne Einschränkungen in Forschung und Lehre verwendet werden.

Prof. Dr. Lars Kaderali, Prorektor für Forschung, Transfer und Digitalisierung

Die Universität nutzt dementsprechend keinen allgemeinen Zugang, trotzdem ist technisch nicht völlig ausgeschlossen, dass US-amerikanische Firmen Zugriff auf die Daten haben.

Worauf die Universität Greifswald auf ihrer Website auch hinweist: „Darüber hinaus ist keine Lehrperson und kein*e Studierende*r gezwungen, mit Zoom zu arbeiten.“ Theoretisch kann man einfach sagen, man möchte nicht mit der Software arbeiten, aber dann ist man im Normalfall einfach vom Seminar oder der Vorlesung ausgeschlossen. Entscheidet sich also eine Lehrperson, Zoom zu nutzen, ist man als Studierende*r folglich schon gezwungen, dem nachzugehen, denn andernfalls verzögert sich das Studium weiter.

In Anbetracht der Entwicklungen von Zoom und den immer wieder aufkommenden Datenschutzbedenken sollte, vor allem von staatlicher Seite, einer Nutzung dieses Dienstes abgeraten werden. Zumal die Kosten für die Lizenzen nicht gerade gering sind – einer Anfrage und der anschließenden Berechnung zufolge liegen diese Kosten für deutsche Hochschulen für das Jahr 2020 sogar bei über 6 Millionen Euro. 6 Millionen Euro für Sicherheitslücken und fragwürdigen Datenschutz. Für das Jahr 2021 wird die Summe sehr wahrscheinlich noch höher ausfallen.

Beitragsbild: Laura Schirrmeister