IT-Sicherheit im Homeoffice: Datenschützerin kritisiert WhatsApp und Zoom in Berliner Verwaltung

Die Kritik kam plötzlich, und sie war ungewöhnlich heftig, erst recht für die öffentlich sonst eher zurückhaltend auftretende Berliner Datenschutzbeauftragte Maja Smoltczyk. Ihr Kern: Weil sichere Angebote zur digitalen Kommunikation innerhalb und zwischen Verwaltungseinheiten der Hauptstadt fehlen, macht sich dort Wildwuchs breit – und gefährdet die Sicherheit von Bürgerdaten.

Von krisenbedingt genutzten Diensten und Software, die „unsicher und datenschutzrechtlich nicht akzeptabel sind“, ist in dem Schreiben Smoltczyks die Rede. Sie warnt davor, dass die aktuelle Ausnahmesituation die Nutzung „derart bedenklicher Dienste“ verstetigt und so zu einer „Reduzierung datenschutzrechtlicher Standards“ führen könne.

Im Fokus: Der Kurznachrichtendienst WhatsApp und Zoom, eine Software für Videokonferenzen. Beide Anwendungen gelten unter Datenschützern als unsicher. Von ihrer Nutzung wird, erst recht bei der Verarbeitung personenbezogener Daten, dringend abgeraten. Die für die IT-Sicherheit zuständige Innenverwaltung hatte WhatsApp als „sicherheitskritisch“ eingestuft und die Verwendung „explizit verboten“.

In der Corona-Realität wiederum werden diese Maßnahmen oft genug ausgeblendet – aus der blanken Not heraus oder aus Unwissenheit. Gesundheitssenatorin Dilek Kalayci (SPD) erklärte Ende März öffentlich und ungefragt, im „Krisenmanagement“ via WhatsApp mit dem Ärztekammerpräsidenten zu kommunizieren. Experten reagierten entsetzt.

Auf Zoom wiederum griffen Tagesspiegel-Informationen zufolge unter anderem die Mitglieder des Bezirksamtes Marzahn-Hellersdorf für Konferenzen zurück – trotz Warnung der Behörde Smoltczyks. Mario Czaja, CDU-Kreisvorsitzender im Bezirk, lud sämtliche Schulleitungen zu einer Zoom-Konferenz ein. Die Bildungsverwaltung intervenierte, die Konferenz fand nicht statt. Der Vorfall liegt knapp zwei Wochen zurück.

Smoltczyk lässt auf Nachfrage offen, welchen Verwaltungsteil sie besonders im Auge hat und kritisiert stattdessen die unzureichende Vorbereitung „vieler Branchen und Teile der öffentlichen Verwaltung“ auf die Krise.

WhatsApp für Schulklassen: Sichere Alternativen fehlen

Doch es ist kein Geheimnis, dass vor allem im Bildungsbereich bei der Wahl der IT-Lösungen der Datenschutz zu kurz kommt: Nach der kurzfristig angeordneten Schließung der Schulen am 17. März mussten Hunderttausende Schüler weiter mit Inhalten versorgt werden. Binnen Tagen entstand eine „Riesen-Palette“ verschiedener Kommunikationskanäle, berichten Insider.

Im besten Willen und oft auf sich allein gestellt, richteten Lehrer bei WhatsApp Chat-Gruppen ein, um Unterrichtsmaterialien zu verteilen. Eine echte Wahlfreiheit, sich diesen Gruppen anzuschließen, hatten die Schüler nicht. Einige der Gruppen existieren bis heute – auch weil sichere Alternativen fehlen oder nicht benutzerfreundlich genug sind.

© Bernd von Jutrczenka/dpa

[Behalten Sie den Überblick: Jeden Morgen ab 6 Uhr berichten Chefredakteur Lorenz Maroldt und sein Team im Tagesspiegel-Newsletter Checkpoint über die aktuellsten Entwicklungen rund um das Coronavirus. Jetzt kostenlos anmelden: checkpoint.tagesspiegel.de]

Moniert wird dieses Vakuum seit Jahren. Viele Lehrer warten bis heute auf dienstliche Mailadressen, nachdem ein 2011 gestarteter Vorstoß dafür ergebnislos versandete. Wo engagierte Schulleitungen nicht selbst für Abhilfe sorgten, kommunizieren sie unter Nutzung ihrer privaten Mailadressen mit Schülern und Kollegen.

Innenverwaltung: Messenger „auf eigenes Risiko“

Hinzu kommt: Sämtliche nun aus der Not heraus ergriffenen Maßnahmen wie die Kommunikation über Mailverteiler oder andere Programme erfolgen auf „absoluter Freiwilligkeit“ der Lehrkräfte. Darauf verwies der Vorstand der Lehrergewerkschaft GEW in einer Stellungnahme an die Senatsverwaltung für Bildung vom 21. April.

Kritisiert wird darin unter anderem das Versäumnis, „eine moderne und den Bedingungen unserer Zeit angepasste IT-Infrastruktur zu implementieren“. Stattdessen würde Lehrern von Schulleitungen vorgeschlagen, sich PrePaid-Karten für die Kommunikation mit ihren Schülern zu besorgen. Für die GEW „absolut indiskutabel“.

[In unseren Leute-Newslettern berichten wir wöchentlich aus den zwölf Berliner Bezirken. Die Newsletter können Sie hier kostenlos bestellen: leute.tagesspiegel.de]

Unklar bleibt, wann die Forderung Smoltczyks nach Anschaffung von datenschutzgerechten, anwendungsfreundlichen und sicheren Kommunikationsmitteln für die Verwaltung insgesamt Gehör finden wird. Anfang April erklärte die Innenverwaltung auf Nachfrage, die Behörden könnten „auf eigenes Risiko und unter Berücksichtigung von Datenschutz, IKT-Sicherheit, Barrierefreiheit sowie Wirtschaftlichkeit“ Messenger einsetzen.

Am Montag stellte das IT-Dienstleistungszentrum eine bis Oktober befristete „Sonderlösung“ zur Verfügung. Mithilfe des Kollaborationswerkzeugs „NextCloud“ können unter anderem verschlüsselte Audio- und Videokonferenzen abgehalten werden. Zur Verfügung steht das Programm zunächst aber nur dem von der Innenverwaltung definierten „Schlüsselpersonal im Einsatz zur Bewältigung der Corona-Krise“. In Summe können 750 sogenannte „Konferenzräume“ genutzt werden. Eine Lösung für alle, wie sie Smoltczyk fordert, ist das lange nicht.