Warum Cloud-basierte Lösungen ein rechtliches Problem sind und bleiben

von: Dr. jur. Florian Schröder, Leitender Städtischer Direktor, www.SchiLFs.de, Einbeck

Quelle: SchulVerwaltung Niedersachsen 6/2022, S. 188f.
Wolters Kluwer Deutschland, Hürth. www.wolterskluwer-online.de
mit freundlicher Genehmigung des Verlages

Konsequenzen für Schulen und Schulträger

Der endemische Streit über die rechtmäßige Nutzbarkeit von Cloud-basierter Software wie Microsoft 365 (ehemals Office 365) schwelt. Nach wie vor gibt es unterschiedliche rechtliche Einschätzungen über die Zulässigkeit entsprechender Anwendungen, auch die Datenschutzbehörden der Länder sind sich nicht einig. Was dahinter steckt und welche Konsequenzen Schulen und Schulträger daraus ziehen können, erläutert der vorliegende Beitrag.

Die Europäische Datenschutzgrundverordnung (EU-DSGVO) stellt seit ihrem Inkrafttreten im Mai 2018 relativ strenge Anforderungen an die Erhebung, Speicherung und Verarbeitung personenbezogener Daten, also aller Daten, die mit einer »natürlichen Person« (= Mensch) in Zusammenhang stehen. Der Anwendungsbereich der DSGVO umfasst dabei die Mitgliedstaaten der Europäischen Union sowie die Staaten des Europäischen Wirtschaftsraums (EWR).


Sollen Daten an Akteure außerhalb dieser geografischen Abgrenzung übermittelt werden, so ist dies nur möglich, wenn die Betroffenen natürlichen Personen dem freiwillig und frei von äußerem Druck zugestimmt haben oder eine Rechtsnorm die Übermittlung erlaubt. Ersteres scheidet im schulischen Kontext grundsätzlich aus, da Schülerinnen und Schüler bzw. deren Erziehungsberechtigte im Kontext verp…ichtender Schulbesuche keine völlig freie Entscheidung zur Nutzung der unterrichtlichen Mittel treffen können. Letzteres ist nur möglich, wenn sichergestellt wird, dass in dem Land, in das die Daten fl…ießen, mindestens der DSGVO gleichwertige Datenschutzstandards  sichergestellt sind. Für die meisten Staaten der Welt, insb. der USA und ihrer einzelnen Bundesstatten, ist dies derzeit nicht der Fall.

Die wichtigsten Anbieter von Cloud-basierten Softwareangeboten (SaaS/»Software as a Service« sowie lokal installierten Programmen, die Cloud-gebundene Speichermedien nutzen oder Nutzungsdaten an den Hersteller übermitteln) und Cloud-Speicher-Angeboten haben ihre Firmensitze in den USA, so Microsoft (Microsoft 365 und Azure), Amazon (AWS/»Amazon Web Services«), Apple (»iCloud«), Google/Alphabet (Google Cloud Platform) etc.

Lösungsmöglichkeiten
Das vorgenannte Dilemma der rechtlichen Nicht-Nutzbarkeit der populärsten und performantesten Software-Lösungen wurde durch verschiedene Alternativ-Konstrukte aufzulösen versucht: Zweimal wurden zwischen der EU und den USA Abkommen geschlossen, mittels derer sich die USA verp…ichteten, ausreichend hohe Datenschutz-Niveaus zu garantieren, um Datenübermittlungen in die USA nicht per se rechtswidrig zu machen. Indes: In beiden Fällen kam der Europäische Gerichtshof (EuGH) auf Klagen der Organisation des österreichischen Datenschutz-Aktivisten Max Schrems zu dem Ergebnis, dass die Vereinbarungen inhaltlich unzureichend und damit aufzuheben waren. Die »Schrems I«-Entscheidung zum »Safe-Harbour«-Abkommen datiert von 2015, die »Schrems II«-Entscheidung zum »Privacy-Shield«-Abkommen von 2020. Aktuell existieren daher nur sog. Standard-Vertragsklauseln (= Allgemeine Geschäftsbedingungen/AGB ́s), welche die EU erarbeitet hat und die – im Falle der individuellen Vereinbarung im Zuge eines Softwarenutzungsvertrages – datenschutzrechtliche Mindeststandards gewährleisten sollen.


Problem: CLOUD Act
Jedoch sind entsprechende AGB’s nicht geeignet, Staaten zu binden, denn sie gelten nur zwischen den Vertragsparteien (z.B. Microsoft und beschaffendem Bundesland, Schulträger oder einzelner Schule).
Das eigentliche Kern-Problem des transatlantischen Daten…flusses kann damit nicht gelöst werden: Der US-CLOUD Act (»Clarifying Lawful Overseas Use of Data Act«), ein US-Bundesgesetz. Dieses, als Nachfolger des im Kontext der 9/11-Anschläge entstandenen »Patriot Act« bestehende Regelwerk gibt US-amerikanischen Ermittlungsbehörden und Geheimdiensten eine bemerkenswerte Fülle von Zugriffsrechten auf Daten, die Firmen innehaben. Möglich sind gem. CLOUD Act Zugriffe von US-Behörden aufƒ

  • von jeglichem Unternehmen in den USA gespeicherte Datenƒ
  • von US-Unternehmen an jedem Ort der Welt gespeicherte Datenƒ
  • von ausländischen Tochterfirmen von US-Unternehmen an jedem Ort der Welt gespeicherte Datenƒ
  • von ausländischen Unternehmen mit Dependance oder Tochterfirmen in den USA an jedem Ort der Welt gespeicherte Daten.

Aus datenschutzrechtlicher Perspektive ist der CLOUD Act ein veritables worst case-Szenario, der bis in die individuelle Nutzer/-innen-Ebene des einzelnen Computerarbeitsplatzes bzw. Schüler/-innen-Arbeitsplatzes hineinwirkt.

Fazit
Es ist weniger die schon fast sprichwörtliche Strenge der EU-DSGVO und der sie konkretisierenden nationalen Regelungen (z.B. § 31 NSchG und Runderlass »Verarbeitung personenbezogener Daten auf privaten Informationstechnischen Systemen (IT-Systemen) von Lehrkräften«), als vielmehr die technische wie rechtliche Pluripotenz jenseits des Atlantiks, die die Nutzung von Microsoft 365 und globalen Cloud-Diensten auf absehbare Zeit rechtlich verunmöglicht. Einziger derzeit rechtssicher gangbarer Ausweg aus diesem Dilemma ist die Nutzung europäischer Software und Speicher-Infrastruktur.

von: Dr. jur. Florian Schröder, Leitender Städtischer Direktor, www.SchiLFs.de, Einbeck
Quelle: SchulVerwaltung Niedersachsen 6/2022, S. 188f.
Wolters Kluwer Deutschland, Hürth. www.wolterskluwer-online.de
mit freundlicher Genehmigung des Verlages