Mit Treuhand Clouds wider die politischen Gezeiten
Ein Punkt, welcher bei der Diskussion um die datenschutzrechtliche Zulässigkeit einer Nutzung von US amerikanischen Plattformen oft vernachlässigt wird, ist die Unwägbarkeit politischen Handelns, egal ob es um Nationalstaaten oder Staatenverbünde wie die EU geht. Das möchte ich hier noch einmal deutlicher herausarbeiten.
Gäbe es zwischen der EU und den USA ein verlässlich stabiles Vertragswerk, in welchem DS-GVO konforme Lösungen zur Datenübermittlung zwischen beiden Seiten dauerhaft verankert wären, hätten wir nicht die datenschutzrechtlichen Probleme, welche sich gegenwärtig aus einer Nutzung von US amerikanischen Cloud Plattformen ergeben, wenn personenbezogene Daten von Europäern im Spiel sind.
Aktuell gründet die datenschutzrechtliche Zulässigkeit des mit einer Nutzung von Office 365, G Suite for Education und Apple iCloud verbundenen Flusses von personenbezogenen Daten in die USA in den überwiegend auf dem EU-US Privacy Shield und den EU Standard Vertragsklauseln. Der EU-US Privacy Shield ersetzte das Safe Harbour Abkommen, nachdem dieses im Oktober 2015 von der EU für ungültig erklärt worden war. Doch auch mit dem EU-US Privacy Shield gibt es Probleme. Zwar wurde der EU-US Privacy Shield zu Beginn diesen Jahres um ein weiteres Jahr „verlängert“, doch das Abkommen steht weiterhin auf wackeligen Beinen, da seine Rechtmäßigkeit in einer Klage vor dem Europäischen Gerichtshof in Frage gestellt wurde. Gleiches gilt für die EU Standard Vertragsklauseln, die dort zur Zeit verhandelt werden. Hinzu kommt der Cloud Act. Dieser ignoriert bestehende Abkommen und ermöglicht US Ermittlungsbehörden den Zugriff auf Daten von EU Bürgern auf Servern von US Unternehmen, egal wo in der Welt diese stehen. Das ist, wie der Europäische Datenschutzausschuss jetzt feststellte, nur in wenigen Fällen mit der DS-GVO vereinbar. Es braucht deshalb ein neues datenschutzkonformes internationales Abkommen. Ob man ein solches mit den US aushandeln kann, bleibt bei der Unberechenbarkeit der gegenwärtigen US Regierung abzuwarten. Und wird diese Regierung 2020 um weiter vier Jahre im Amt bestätigt, … außerdem weiß niemand, was danach kommt …
Ich habe die verschiedenen rechtlichen Zusammenhänge und Veränderungen jetzt nur kurz skizziert. Damit ist jedoch hoffentlich deutlich geworden, dass in den letzten Jahren viel in Bewegung war im internationalen Datenrecht. Die Übermittlung von personenbezogenen Daten aus Deutschland bzw. seit Umsetzung der DS-GVO aus der EU in Drittstaaten war schon immer kritisch. Hinzu kommt, es hängt sehr viel vom politischen Geschehen ab. Ein Akt des Terrorismus wie 9/11, ein Wechsel der Regierung, eine Änderung der Politik oder auch Gerichtsurteile, welche bestehende Regelungen für ungültig erklären, können massive Auswirkungen auf die Rechtmäßigkeit der Übermittlung von personenbezogenen Daten in Drittstaaten haben. Eine solche Übermittlung ist, selbst wenn US Unternehmen optional die Speicherung von personenbezogenen Daten in EU Serverzentren anbieten, durch die Vernetzung mit Servern außerhalb der EU, erforderliche Zugriffe für Wartung und Support sowie Abflüsse von Telemetriedaten, immer anzunehmen.
Schulen brauchen verlässliche Lösungen, die unabhängig von den Unwägbarkeiten der politischen Gezeiten sind, sowohl innerhalb wie außerhalb der EU. Sie arbeiten im Hier und Jetzt. Man stelle sich vor, eine vergleichbare Unberechenbarkeit herrsche bei den Lehrplänen der Fächer. Wenn Schulen die Angebote von Microsoft, Google, Apple und anderen US Anbietern nutzen wollen, dann brauchen sie eine Lösung, welche nicht vom nationalen und internationalen Politikgeschehen und dem Ausgang von internationale Abkommen in Frage stellenden Gerichtsprozessen, abhängig ist, und dafür sehe ich nur eine praktikable Lösung – Treuhand Clouds, Clouds, die rechtlich von den US Anbietern abgekoppelt sind. Nur wenn die im Zusammenhang mit Office 365, G Suite for Education und Apple iCloud genutzten Server durch eine Treuhand Lösung dem rechtlichen Zugriff von Staaten außerhalb der EU entzogen werden, ist eine Nutzung mit personenbezogenen Daten von Schülern und Lehrkräften auf einer datenschutzrechtlich verlässlichen Basis dauerhaft möglich.
Das wirtschaftliche „Scheitern“ der Microsoft Cloud Deutschland, der einzigen Lösung bisher, welche eine unterrichtliche Nutzung von Office 365 im Einklang mit bestehendem Datenschutzrecht zuließ (bzw. weiterhin zulässt für Bestandskunden), ist kein Grund, warum es vergleichbare Lösungen nicht für den Bildungsbereich geben sollte. Anbieter wie Microsoft, Google und Apple verstehen eine Sprache recht deutlich und die heißt Geld. Also zahlen wir. Das sollte es uns Wert sein, wenn Schulen diese Plattformen nutzen wollen. Und immerhin können wir uns auch tolle Länder Bildungs-Clouds leisten.
Datenschutz und Schule – wo ansetzen?
Meinen letzten Beitrag “Zu Hülfe, der Datenschutz …” hatte ich mit dem Fazit geschlossen “Es müssen nur alle wollen, endlich Stellung beziehen und Schulen und Lehrkräften unterstützend zur Seite stehen.” Bei Twitter stellte später Matthias Förtsch die Frage, wer denn “alle” seien und wo man hier ansetzen müsse.
Im Beitrag hatte ich die Verantwortlichen zwar genannt, möchte hier aber noch einmal konkreter werden.
Das grundlegende Problem für Schulen besteht aktuell darin, dass Lehrkräfte bestimmte Softwareprodukte und Plattformen im Unterricht nutzen möchten, es jedoch in den wenigsten Fällen rechtsverbindliche Aussagen von vorgesetzten Dienststellen gibt, ob und wie die Nutzung in Bezug auf datenschutzrechtliche Vorgaben möglich ist. Die daraus resultierende Unsicherheit bei Lehrern, Schulleitungen und Schulträgern führt dazu, dass viele Lösungen in Schule nie oder nur unbefriedigend realisiert werden können, was zu einer zusätzlichen Erschwernis bei der Entwicklung des Unterrichts mit digitalen Medien führt.
Ein Beispiel aus NRW – keine Hilfe ist wenig hilfreich
Symptomatisch hierfür ist für mich ein Beispiel aus NRW. Hier ging es um ein Berufskolleg, welches Office 365 im Unterricht einsetzen möchte. Man war sich nicht sicher, ob bzw. Wie dieses datenschutzrechtlich möglich ist. Eine Anfrage im Dezember 2016 bei der Landesdatenschutzbehörde erbrachte als Ergebnis lediglich, dass ein Bundesländer übergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 noch nicht abgeschlossen sei, da Microsoft nicht alle Fragen verbindlich beantwortet habe, und außerdem sei es ohnehin das Ministerium für Schule und Bildung, welches die “datenschutzrechtliche Ressortverantwortung” trage. Eine Empfehlung könne man von Seiten der LDI für die Nutzung von Office 365 wegen der ungeklärten Fragen nicht aussprechen. In einer Antwort bestätigt das Ministerium für Schule und Bildung seine Verantwortung, “der Hinweis der LDI auf die Verantwortung des MSW für die Einhaltung des Datenschutzes im Schulbereich ist ohne jeden Zweifel zutreffend” und verweist dann auf den zuständigen schulischen Datenschutzbeauftragten und ergänzt, dass man “als oberste Landesbehörde die Bearbeitung aller Einzelfälle zu Fragen des schulischen Datenschutzes” nicht übernehmen könne. Dass es hierbei eigentlich nicht um einen Einzelfall, sondern um eine grundsätzliche Frage geht, scheint man nicht zu sehen, will man vielleicht auch nicht sehen. Das Ende vom Lied, es hat sich bis heute nichts getan. Die Schule kommt nicht weiter, wie so viele andere.
Beispiele aus anderen Bundesländern – wo etwas geht
Dass es auch völlig anders gehen kann, zeigt das Beispiel Hessen, wo der dortige Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) sich im August 2017 ganz klar positionierte in Bezug auf die Nutzung von Office 365 unter Einhaltung datenschutzrechtlicher Vorgaben. Er kommt zu dem Schluss, dass eine Nutzung im pädagogischen Bereich möglich ist und erklärt, was dabei zu beachten ist.
Vergleichbar ist eine offizielle Stellungnahme der LDI von Rheinland Pfalz zu den Anforderungen für den schulischen Einsatz von Google-Classroom und Cloud Angeboten wie Office 365 und Google generell.
Auch in Niedersachsen äußerte sich in einem Tätigkeitsbericht die Landesbeauftragte für Datenschutz zur Nutzung der Cloud Version von Office 365. Sie kam in ihrem Tätigkeitsbericht für 2013/14 zu dem Schluss, dass eine Nutzung nicht zulässig wäre (Anmerkung: das Cloud Angebot entsprach zu der Zeit noch nicht der aktuellen Variante).
In Baden-Württemberg nimmt das Kultusministerium ganz aktuell in der FAQ Datenschutz an Schulen EUDSGVO (03/2018) Stellung zum Thema Cloud Computing und sagt, unter welchen Bedingungen die Nutzung möglich ist und was getan werden muss. Genannt werden als Beispiele Beispiele für Cloud-Computing “Dropbox, Microsoft Cloud Services (z.B. Office365, Azure), Google Drive, iCloud sowie weitere Web 2.0 Anwendungen.” Abschließend gibt sie sogar eine Empfehlung ab. Das ginge sicher noch besser, etwa über einen Rahmenvertrag (siehe unten Beispiel Kanton Zürich) doch hiermit haben Schulen schon einmal eine klare Handlungsmöglichkeit.
Die Zuständigen: Schulministerien und Landesdatenschutzbehörden
Die Zuständigkeiten sind, was Schule und Datenschutz in grundsätzlichen Fragen angeht, eigentlich klar. Das jeweilige Schulministerium eines jeden Bundeslandes trägt die datenschutzrechtliche Ressortverantwortung. Damit liegt es auch an diesen Ministerien, die Schulen zu unterstützen und rechtlich abzusichern, vor allem wenn es um grundlegende Fragen geht. Office 365, G-Suite for Education und Apple und seine Bildungsangebote gehören heute zu den Produkten, welche Schulen vorrangig einsetzen möchten. Oft tun sie dieses auch schon, dann aber entweder mit Einschränkungen und Behelfslösungen oder ohne datenschutzrechtliche Absicherung in einer rechtlichen Grauzone. Und das ist kein haltbarer Zustand.
Neben den Schulministerien spielen jedoch auch die Landesdatenschutzbehörden eine Rolle, wie die Beispiele aus Hessen, Rheinland Pfalz und Niedersachsen deutlich zeigen.
Wie es gehen könnte
Das Beispiel der jetzt kurz vor Inkrafttreten stehenden Datenschutz Grundverordnung zeigt sehr gut, wie Organisationen mit dem Thema Datenschutz umgehen. Man beauftragt in der Regel Juristen damit, die Prozesse innerhalb der Organisation auf die Konformität mit den rechtlichen Vorgaben zu überprüfen und bei Bedarf entsprechende Anpassungen auszuarbeiten. Die Juristen stammen bei großen Organisationen aus der eigenen Rechtsabteilung, bei kleineren Organisationen bedient man sich externer Fachleute. Dieses Vorgehen findet man in der Wirtschaft bei Einzelunternehmen und Verbänden wie auch in Behörden.
Entsprechend dieser Strukturen gibt es auch Mechanismen, die in Gang gesetzt werden, wenn in laufenden Prozessen datenschutzrechtliche Fragestellungen oder Probleme auftreten.
Will eine Organisation die Dienste eines großen Anbieters wie Microsoft, Google, Apple, SAP oder ähnlich nutzen, dann werden hier Verträge abgeschlossen. Und auch hier greifen wieder die Strukturen der Organisation. Es wird geprüft, rechtlich geprüft, ob Dienste des Anbieters den eigenen Ansprüchen in Bezug auf Vertraulichkeit wie aber auch den Vorgaben in Bezug auf den Datenschutz, so zutreffend, entsprechen. Die großen Anbieter digitaler Dienstleistungen verfügen in der Regel über fertige Vertragswerke. Außerdem lassen sich die großen Anbieter von verschiedenen Organisationen zertifizieren. Über die Zertifizierung kann leicht nachgewiesen werden, ob bestimmte rechtliche Vorgaben und Standards eingehalten werden. Wenn dieses nicht ausreichend ist oder den Vorstellungen der Organisation entspricht, wird mit dem Anbieter verhandelt. In der Folge werden Vertragswerke angepasst und bei Bedarf auch Anpassungen an den Diensten des Anbieters entsprechend der Vorgaben der Organisation vorgenommen.
Geht es um die Nutzung von Software oder Cloud-Diensten in Behörden, Universitäten und Schulen werden in der Regel sogenannte Rahmenverträge abgeschlossen. Es kommt dabei jedoch auch darauf an, wer den Rahmenvertrag aushandelt und abschließt. Wie ein solcher Rahmenvertrag für Schulen aussehen könnte, zeigt das Beispiel des Kantons Zürich in der Schweiz. Hier wurde zur datenschutzkonformen Bearbeitung von Personendaten über das Schweizer Medieninstitut für Bildung und Kultur (educa.ch) mit Microsoft ein Rahmenvertrag für den Einsatz von Office 365 in den Primar- und Sekundarschulen geschlossen. Eine Übersicht auf den Seiten des Datenschutzbeauftragten des Kanton Zürich zeigt an, welche Office 365 Komponenten innerhalb des Rahmenvertrages datenschutzkonform genutzt werden können. Bevor dieser Rahmenvertrag möglich wurde, sorgte man in der Schweiz durch eine Vertragsanpassung mit Microsoft dafür, dass die Office 365 Cloud-Dienste von Schulen datenschutzrechtlich unbedenklich eingesetzt werden können.
Auch in Österreich hat man eine Lösung für Schulen geschaffen. Das Bundesministerium für Bildung, Wissenschaft und Forschung hat einen Rahmenvertrag mit Microsoft abgeschlossen. Schulen können die Cloud Lösung von MS Office 365 datenschutzrechtlich sicher nutzen. Welche Bedingungen erfüllt werden müssen, ist klar genannt, eine Einwilligung der Schüler und eine Weiterleitung der Schülerdaten an Microsoft durch die Schule selbst.
Einen Rahmenvertrag gibt es in Deutschland schon
Rahmenverträge mit Microsoft gibt es in Deutschland bereits, für Schulen den mit FWU. Dieser „FWU-Vertrag“ 3.0 wurde Ende 2016 abgeschlossen mit dem Ziel „viele Möglichkeiten der Nutzung von Cloud-Diensten, um für Schulen, Lehrende und Schüler/innen gemeinsam eine moderne und zukunftssichere Lehr- und Lernumgebung zu gestalten.“ Das Problem bei diesem Rahmenvertrag ist jedoch, wie das Beispiel aus NRW zeigt, dass er ohne verbindliche Aussagen des Schulministeriums oder der Landesdatenschutzbehörde für Schulen wertlos ist. Die Aussagen gibt es nicht, da die beiden Behörden mit größter Wahrscheinlichkeit nicht an den Verhandlungen beteiligt waren.
Wie man in Deutschland handeln sollte
Es muss also Klarheit geschaffen werden durch Schulministerien und Landesdatenschutzbehörden. Es reicht nicht, wenn ein Unternehmen wie FWU einen Vertrag mit Microsoft aushandelt, wenn dieses nicht die rechtliche Autorität hat, den Rahmen im Sinne des Datenschutzes für Schulen verbindlich auszuhandeln. Wenn die Datenschutzbehörden weiter auf Antworten von Microsoft waren wollen, wie oben beschrieben, werden sie ewig warten, vermute ich. Man muss verhandeln. Mit der Peitsche der DS-GVO drohen braucht man wohl nicht mehr. Vielleicht hilft es aber, mit der Möhre zu locken.
Ehrlich gesagt sehe ich wenig Sinn darin, wenn jedes Bundesland für sich in Verhandlungen mit den großen Anbietern wie Microsoft, Apple und Google tritt. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und ihre Arbeitskreise arbeiten ohnehin regelmäßig gemeinsame Positionen zu datenschutzrechtlichen Themen aus, wie Beispiele zu Lernplattformen und Cloud Computing zeigen. Wenn der Bund mit einer Grundgesetzänderung nun ohnehin mehr Verantwortung in der Bildung übernimmt, sollte doch nichts dagegen sprechen, wenn entsprechende Rahmenverträge durch den Bund ausgehandelt würden, einschließlich der dazu notwendigen Vertragsänderungen. Immerhin würde der Bund mehr als 30.000 allgemeinbildende Schulen vertreten mit ungefähr 8,37 Millionen Schülern (statista), eine große Möhre, auch für Microsoft, Apple und Google. Für die Konzerne ginge es um ein größeres Finanzvolumen bzw. im Falle von Google um mehr Nutzer, die sich mit der Marke anfreunden. Damit hätte der Bund wesentlich mehr Gewicht in den Verhandlungen und könnte leichter nationale Datenschutzvorgaben, soweit sie von der DS-GVO abweichen, und Vertragskonditionen durchsetzen. Dass solches Sinn macht und möglich ist, zeigen das Beispiel Österreich.
Die letzte Frage
Die Frage, welche nun am Schluss bleibt, nachdem benannt ist, wer alles wollen muss, ist letztlich, wo genau man nun die Hebel ansetzen muss, um die Schulministerien und Landesdatenschutzbehörden bzw. den Bund zum Handeln zu bewegen.
Meine Recherchen zum Thema lassen vermuten, dass es zwar bei den Schulministerien und Landesdatenschutzbehörden immer wieder vereinzelte Anfragen von Schulen gibt, die dann jedoch, wenn überhaupt, nur einzeln beantwortet werden, und oft mit einer Antwort, die nicht weiterhilft. Einzelne Bundesländer zeigen zumindest, dass sie in die richtige Richtung denken. Es bräuchte aber wohl eine konzertierte Aktion, um alle diese trägen Kolosse von übergeordneten Behörden der Länder (die Schulministerien und Landesdatenschutzbehörden) bzw. des Bundes (das Bundesministerium für Bildung und Forschung und die Bundesdatenschutzbeauftragte) zum Handeln zu bewegen. Vielleicht ist dort nicht einmal klar, dass hier Handeln dringend erforderlich ist, vor allem jetzt,wo Geld kein Problem sein soll, wo Schulen und Schulträger Weichen stellen müssen.
Damian Duchamps' Blog 
1 comment