von: Dr. jur. Florian Schröder, Leitender Städtischer Direktor, www.SchiLFs.de, Einbeck
Quelle: SchulVerwaltung Niedersachsen 6/2022, S. 188f.
Wolters Kluwer Deutschland, Hürth. www.wolterskluwer-online.de
mit freundlicher Genehmigung des Verlages
Konsequenzen für Schulen und Schulträger
Der endemische Streit über die rechtmäßige Nutzbarkeit von Cloud-basierter Software wie Microsoft 365 (ehemals Office 365) schwelt. Nach wie vor gibt es unterschiedliche rechtliche Einschätzungen über die Zulässigkeit entsprechender Anwendungen, auch die Datenschutzbehörden der Länder sind sich nicht einig. Was dahinter steckt und welche Konsequenzen Schulen und Schulträger daraus ziehen können, erläutert der vorliegende Beitrag.
Die Europäische Datenschutzgrundverordnung (EU-DSGVO) stellt seit ihrem Inkrafttreten im Mai 2018 relativ strenge Anforderungen an die Erhebung, Speicherung und Verarbeitung personenbezogener Daten, also aller Daten, die mit einer »natürlichen Person« (= Mensch) in Zusammenhang stehen. Der Anwendungsbereich der DSGVO umfasst dabei die Mitgliedstaaten der Europäischen Union sowie die Staaten des Europäischen Wirtschaftsraums (EWR).
Sollen Daten an Akteure außerhalb dieser geografischen Abgrenzung übermittelt werden, so ist dies nur möglich, wenn die Betroffenen natürlichen Personen dem freiwillig und frei von äußerem Druck zugestimmt haben oder eine Rechtsnorm die Übermittlung erlaubt. Ersteres scheidet im schulischen Kontext grundsätzlich aus, da Schülerinnen und Schüler bzw. deren Erziehungsberechtigte im Kontext verp
ichtender Schulbesuche keine völlig freie Entscheidung zur Nutzung der unterrichtlichen Mittel treffen können. Letzteres ist nur möglich, wenn sichergestellt wird, dass in dem Land, in das die Daten fl
ießen, mindestens der DSGVO gleichwertige Datenschutzstandards sichergestellt sind. Für die meisten Staaten der Welt, insb. der USA und ihrer einzelnen Bundesstatten, ist dies derzeit nicht der Fall.
Die wichtigsten Anbieter von Cloud-basierten Softwareangeboten (SaaS/»Software as a Service« sowie lokal installierten Programmen, die Cloud-gebundene Speichermedien nutzen oder Nutzungsdaten an den Hersteller übermitteln) und Cloud-Speicher-Angeboten haben ihre Firmensitze in den USA, so Microsoft (Microsoft 365 und Azure), Amazon (AWS/»Amazon Web Services«), Apple (»iCloud«), Google/Alphabet (Google Cloud Platform) etc.
Lösungsmöglichkeiten
Das vorgenannte Dilemma der rechtlichen Nicht-Nutzbarkeit der populärsten und performantesten Software-Lösungen wurde durch verschiedene Alternativ-Konstrukte aufzulösen versucht: Zweimal wurden zwischen der EU und den USA Abkommen geschlossen, mittels derer sich die USA verp
ichteten, ausreichend hohe Datenschutz-Niveaus zu garantieren, um Datenübermittlungen in die USA nicht per se rechtswidrig zu machen. Indes: In beiden Fällen kam der Europäische Gerichtshof (EuGH) auf Klagen der Organisation des österreichischen Datenschutz-Aktivisten Max Schrems zu dem Ergebnis, dass die Vereinbarungen inhaltlich unzureichend und damit aufzuheben waren. Die »Schrems I«-Entscheidung zum »Safe-Harbour«-Abkommen datiert von 2015, die »Schrems II«-Entscheidung zum »Privacy-Shield«-Abkommen von 2020. Aktuell existieren daher nur sog. Standard-Vertragsklauseln (= Allgemeine Geschäftsbedingungen/AGB ́s), welche die EU erarbeitet hat und die – im Falle der individuellen Vereinbarung im Zuge eines Softwarenutzungsvertrages – datenschutzrechtliche Mindeststandards gewährleisten sollen.
Problem: CLOUD Act
Jedoch sind entsprechende AGB’s nicht geeignet, Staaten zu binden, denn sie gelten nur zwischen den Vertragsparteien (z.B. Microsoft und beschaffendem Bundesland, Schulträger oder einzelner Schule).
Das eigentliche Kern-Problem des transatlantischen Daten
flusses kann damit nicht gelöst werden: Der US-CLOUD Act (»Clarifying Lawful Overseas Use of Data Act«), ein US-Bundesgesetz. Dieses, als Nachfolger des im Kontext der 9/11-Anschläge entstandenen »Patriot Act« bestehende Regelwerk gibt US-amerikanischen Ermittlungsbehörden und Geheimdiensten eine bemerkenswerte Fülle von Zugriffsrechten auf Daten, die Firmen innehaben. Möglich sind gem. CLOUD Act Zugriffe von US-Behörden auf
- von jeglichem Unternehmen in den USA gespeicherte Daten
- von US-Unternehmen an jedem Ort der Welt gespeicherte Daten
- von ausländischen Tochterfirmen von US-Unternehmen an jedem Ort der Welt gespeicherte Daten
- von ausländischen Unternehmen mit Dependance oder Tochterfirmen in den USA an jedem Ort der Welt gespeicherte Daten.
Aus datenschutzrechtlicher Perspektive ist der CLOUD Act ein veritables worst case-Szenario, der bis in die individuelle Nutzer/-innen-Ebene des einzelnen Computerarbeitsplatzes bzw. Schüler/-innen-Arbeitsplatzes hineinwirkt.
Fazit
Es ist weniger die schon fast sprichwörtliche Strenge der EU-DSGVO und der sie konkretisierenden nationalen Regelungen (z.B. § 31 NSchG und Runderlass »Verarbeitung personenbezogener Daten auf privaten Informationstechnischen Systemen (IT-Systemen) von Lehrkräften«), als vielmehr die technische wie rechtliche Pluripotenz jenseits des Atlantiks, die die Nutzung von Microsoft 365 und globalen Cloud-Diensten auf absehbare Zeit rechtlich verunmöglicht. Einziger derzeit rechtssicher gangbarer Ausweg aus diesem Dilemma ist die Nutzung europäischer Software und Speicher-Infrastruktur.
von: Dr. jur. Florian Schröder, Leitender Städtischer Direktor, www.SchiLFs.de, Einbeck
Quelle: SchulVerwaltung Niedersachsen 6/2022, S. 188f.
Wolters Kluwer Deutschland, Hürth. www.wolterskluwer-online.de
mit freundlicher Genehmigung des Verlages