Damian Duchamps' Blog

Ein Punkt, welcher bei der Diskussion um die datenschutzrechtliche Zulässigkeit einer Nutzung von US amerikanischen Plattformen oft vernachlässigt wird, ist die Unwägbarkeit politischen Handelns, egal ob es um Nationalstaaten oder Staatenverbünde wie die EU geht. Das möchte ich hier noch einmal deutlicher herausarbeiten.

Gäbe es zwischen der EU und den USA ein verlässlich stabiles Vertragswerk, in welchem DS-GVO konforme Lösungen zur Datenübermittlung zwischen beiden Seiten dauerhaft verankert wären, hätten wir nicht die datenschutzrechtlichen Probleme, welche sich gegenwärtig aus einer Nutzung von US amerikanischen Cloud Plattformen ergeben, wenn personenbezogene Daten von Europäern im Spiel sind.

Aktuell gründet die datenschutzrechtliche Zulässigkeit des mit einer Nutzung von Office 365, G Suite for Education und Apple iCloud  verbundenen Flusses von personenbezogenen Daten in die USA in den überwiegend auf dem EU-US Privacy Shield und den EU Standard Vertragsklauseln. Der EU-US Privacy Shield ersetzte das Safe Harbour Abkommen, nachdem dieses im Oktober 2015 von der EU für ungültig erklärt worden war. Doch auch mit dem EU-US Privacy Shield  gibt es Probleme. Zwar wurde der EU-US Privacy Shield zu Beginn diesen Jahres um ein weiteres Jahr „verlängert“, doch das Abkommen steht weiterhin auf wackeligen Beinen, da seine Rechtmäßigkeit in einer Klage vor dem Europäischen Gerichtshof in Frage gestellt wurde. Gleiches gilt für die EU Standard Vertragsklauseln, die dort zur Zeit verhandelt werden. Hinzu kommt der Cloud Act. Dieser ignoriert bestehende Abkommen und ermöglicht US Ermittlungsbehörden den Zugriff auf Daten von EU Bürgern auf Servern von US Unternehmen, egal wo in der Welt diese stehen. Das ist, wie der Europäische Datenschutzausschuss jetzt feststellte, nur in wenigen Fällen mit der DS-GVO vereinbar. Es braucht deshalb ein neues datenschutzkonformes internationales Abkommen. Ob man ein solches mit den US aushandeln kann, bleibt bei der Unberechenbarkeit der gegenwärtigen US Regierung abzuwarten. Und wird diese Regierung 2020 um weiter vier Jahre im Amt bestätigt,  … außerdem weiß niemand, was danach kommt …

Ich habe die verschiedenen rechtlichen Zusammenhänge und Veränderungen jetzt nur kurz skizziert. Damit ist jedoch hoffentlich deutlich geworden, dass in den letzten Jahren viel in Bewegung war im internationalen Datenrecht. Die Übermittlung von personenbezogenen Daten aus Deutschland bzw. seit Umsetzung der DS-GVO aus der EU in Drittstaaten war schon immer kritisch. Hinzu kommt, es hängt sehr viel vom politischen Geschehen ab. Ein Akt des Terrorismus wie 9/11, ein Wechsel der Regierung, eine Änderung der Politik oder auch Gerichtsurteile, welche bestehende Regelungen für ungültig erklären, können massive Auswirkungen auf die Rechtmäßigkeit der Übermittlung von personenbezogenen Daten in Drittstaaten haben. Eine solche Übermittlung ist, selbst wenn US Unternehmen optional die Speicherung von personenbezogenen Daten in EU Serverzentren anbieten, durch die Vernetzung mit Servern außerhalb der EU, erforderliche Zugriffe für Wartung und Support sowie Abflüsse von Telemetriedaten, immer anzunehmen.

Schulen brauchen verlässliche Lösungen, die unabhängig von den Unwägbarkeiten der politischen Gezeiten sind, sowohl innerhalb wie außerhalb der EU. Sie arbeiten im Hier und Jetzt. Man stelle sich vor, eine vergleichbare Unberechenbarkeit herrsche bei den Lehrplänen der Fächer. Wenn Schulen die Angebote von Microsoft, Google, Apple und anderen US Anbietern nutzen wollen, dann brauchen sie eine Lösung, welche nicht vom nationalen und internationalen Politikgeschehen und dem Ausgang von internationale Abkommen in Frage stellenden Gerichtsprozessen, abhängig ist, und dafür sehe ich nur eine praktikable Lösung – Treuhand Clouds, Clouds, die rechtlich von den US Anbietern abgekoppelt sind. Nur wenn die im Zusammenhang mit Office 365, G Suite for Education und Apple iCloud genutzten Server durch eine Treuhand Lösung dem rechtlichen Zugriff von Staaten außerhalb der EU entzogen werden, ist eine Nutzung mit personenbezogenen Daten von Schülern und Lehrkräften auf einer datenschutzrechtlich verlässlichen Basis dauerhaft möglich.

Das wirtschaftliche „Scheitern“ der Microsoft Cloud Deutschland, der einzigen Lösung bisher, welche eine unterrichtliche Nutzung von Office 365 im Einklang mit bestehendem Datenschutzrecht zuließ (bzw. weiterhin zulässt für Bestandskunden), ist kein Grund, warum es vergleichbare Lösungen nicht für den Bildungsbereich geben sollte. Anbieter wie Microsoft, Google und Apple verstehen eine Sprache recht deutlich und die heißt Geld. Also zahlen wir. Das sollte es uns Wert sein, wenn Schulen diese Plattformen nutzen wollen. Und immerhin können wir uns auch tolle Länder Bildungs-Clouds leisten.