Cisco Webex: "Datenschutz ist weit mehr als nur eine Compliance-Frage"
In der Diskussion um rechtskonformen Einsatz von Videokonferenz-Lösungen haben sich deutsche Datenschützer auf Teams von Microsoft eingeschossen - obwohl doch auch Webex von einem US-amerikanischen Hersteller stammt. Wie kann das sein?
21. Februar 2021, Stefan Grawert, Informationssicherheitsbeauftragter Medizinischer Dienst der Krankenversicherung in Bayern veröffentlicht die 4-Seitige "Bewertung Videobegehung KH Einsatz von Cisco Webex Meetings". Dort heißt es, dass der MDK Bayern über "Betriebsdienstleister" Fujitsu eine Cisco Webex Meeting Installation für Videokonferenzen beziehe. Sie werde als hybride Lösung betrieben: Interne Videokonferenzen würden on-Premise verarbeitet, Konferenzen mit externen Kommunikationspartnern über die Internetplattform von Cisco durchgeführt. Dann steht dort der entscheidende Satz: "Zur Sicherstellung des geforderten Schutzes personenbezogener Daten wird in der Konfiguration des MDK Bayern eine sogenannte Geo-Kodierung fixiert. Mittels der Geokodierung wird die ausschließliche Nutzung von EU-Standorten des Anbieters Fa. Cisco vorgegeben. Eine weitestgehende Wahrung des EU-Rechts (hier DSGVO) wird somit sichergestellt".
Maximale Verunsicherung durch die DSK wegen Microsoft Teams
Nun gehört Grawert nicht der quasi vom Bund amtlich bestellten Mitglieder der Datenschutzkonferenz DSK an, ein Gremium der Länder. Eine recht zahnlose Institution - Rechtsanwalt Wilfried Reiners von PRW Legal Tech aus München verglich sie einmal mit einer Stammtischrunde. Die aber, wie Stammtischrunden nun einmal sind, zwar Sprüche klopfen, "aber keine Verwaltungsakte erlassen" können, so Reiners. Die DSK hatten dennoch für massive Unsicherheiten gesorgt, weil sie Microsoft vorhielt, mit Teams massiv gegen die DSGVO zu verstoßen. Ein Verbot, gegen das Microsoft hätte klagen können, erließ die DSK nie. Das Chaos war dennoch perfekt, das Vertrauen in Teams beschädigt. Mit der Folge, dass Datenschützer einzelner Länder Schulen den Einsatz verboten hatten. Maximale Verunsicherung also, die Cisco mit seiner Lösung Webex in dieser Härte nie traf.
Anton Döschl, seit 25 Jahren bei Cisco und "Director Sales Collaboration" in Deutschland, überrascht das nicht. "Datenschutz und IT-Sicherheit sind Top-Prioritäten für Cisco - beides bauen wir von Beginn an in unsere Technologie, anstatt sie nachträglich aufzusetzen."
Nun ist es nach der Pandemie deutlich ruhiger geworden um den fast schon missionarischen (Microsoft sprach von "dogmatischem") Kampf der DSK gegen den US-Konzern aus Redmond mit Deutschland-Sitz in München. Dafür legt nun Cisco um so mehr nach, den aus Ciscos Sicht schon immer rechtskonformen Einsatz von Webex hierzulande und in der gesamten EU zu betonen.
Freie Uni Berlin nutzt Webex - mit Segen der Landesdatenschützerin
"Wir freuen uns sehr, dass die Freie Universität Berlin nun auch amtlich bestätigt bekommen hat, dass sie Cisco Webex sicher und rechtskonform einsetzen kann. Das ist ein gutes Signal für alle MitarbeiterInnen und StudentInnen - und für den Digitalstandort Deutschland", sagt Cisco-Manager Döschl und legt nach: Datenschutz sei für Cisco "mehr als nur eine Compliance-Frage. Datenschutz ist ein geschäftlicher Imperativ und wir arbeiten kontinuierlich daran, die Angebote den Bedürfnissen unserer KundInnen entsprechend weiterzuentwickeln".
Webex bietet laut Hersteller "bereits seit einiger Zeit eine vollständige EU-Datenresidenz" an und ermöglicht es Webex-KundInnen, alle Anforderungen an die regionale Verarbeitung und Speicherung von Daten zu erfüllen", heißt er weiter. Bis heute sei Webex mit der höchsten Compliance-Stufe des "EU Cloud Code of Conduct" (EU Cloud CoC) die erste und derzeit einzige Collaboration-Lösung, die diese Zertifizierung trage und erfülle damit auch die EU-Datenschutz-Grundverordnung, wie vom Europäischen Datenschutzbeauftragten (EDSB) bestätigt (CRN berichete). Cisco betont damit die Einzigartigkeit von Webex, einer Videokonferenzlösung, die zwar wie Teams von Microsoft, auch von einem US-amerikanischen Anbieter weltweit vertrieben wird, aber in der EU ohne Datenschutzbedenken eingesetzt werden könne.
Und Cisco legt in Punkto Datenschutz weiter nach. Vergangenen Monat wurde gemeinsam mit der Deutschen Telekom die Einführung einer "Sovereign Cloud" für europäische Webex-Kunden beschlossen. Es sind zusätzlichen technischen Souveränitätskontrollen geplant, so genannte Encryption-Keys (Chiffrierschlüssel) für nutzergenerierte Informationen bei Webex Meetings, Messaging und Anrufen. Sie könnten von "vertrauenswürdigen europäischen Partnern gehostet und verwaltet werden", so Cisco. "Die Schlüsselverwaltung wird innerhalb der EU unabhängig von der Infrastruktur von Cisco betrieben". Ab kommendem Frühjahr sollen die neue Sovereign Controls-Funktion eingeführt werden.
Webex-Kunde Uni Berlin will dennoch "fortlaufend evaluieren"
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) Maike Kamp, hat nun nach "intensiver Prüfung", wie es heißt, die Zulässigkeit der Nutzung von Webex an der Freien Universität Berlin bestätigt. Ein Prüfverfahren wegen möglicher datenschutzrechtlicher Bedenken wurde von der Behörde abgeschlossen.
„Wir begrüßen die Entscheidung der BlnBDI. Digitale Tools haben sich an der Freien Universität Berlin zu einem festen und von Studierenden, Lehrenden, Forschenden und Mitarbeitenden geschätzten Bestandteil der universitären Lehre, Forschung und Arbeitsweise etabliert", sagt Andrea Güttner, Kanzlerin der Freien Universität Berlin. Nicht ohne anzumerken freilich, dass die Freie Universität Berlin "die Anforderungen und Möglichkeiten des Einsatzes von Videokonferenz-Systemen dennoch fortlaufend evaluieren" werde.
Maike Kamp ist übrigens Mitglieder der DSK, also jener Datenschutzkonferenz, die es sich, anders als bei Cisco Webex, mit der Einschätzung von Microsoft Teams so schwer macht.