Das Thema Datenschutz und Cloud Computing sorgt wieder einmal für Schlagzeilen. Das Bundesland Hessen hat Anfang Juli die Nutzung von Office 365 an Schulen verboten. Wieder einmal geht es darum, wo die Daten, die mit der Cloud-Lösung bearbeitet werden, gespeichert werden und was sich daraus für das Einhalten der derzeit geltenden datenschutzrechtlichen Vorgaben ergibt.
https://traffic.libsyn.com/cloud-computing-report-podcast/cloud-computing-report--podcast-dsgvo-cloud-act.mp3
In einer Stellungnahme am 9. Juli 2019 erklärt der hessische Landesdatenschutzbeauftragte Michael Ronellenfitsch: “Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern..”
Die Nutzung von Cloud-Anwendungen durch Schulen, so Ronellenfitsch, ist generell kein datenschutzrechtliches Problem. In der Microsoft Deutschland-Cloud sei auch die Verwendung von Office 365 in Ordnung gewesen, soweit die von Microsoft zur Verfügung gestellten Werkzeuge (z.B. Rollen- und Berechtigungskonzept, Protokollierung etc.) durch die Schulen sachgerecht Anwendung gefunden hätten.
Im August 2018 hat Microsoft dann aber der Öffentlichkeit mitgeteilt, dass für die Deutschland-Cloud keine Verträge mehr angeboten werden und der Vertrieb dieses Produkts eingestellt wird.
Die Schule als öffentliche Einrichtung dürfe die personenbezogenen Daten der Schüler jedoch nicht “in einer (europäischen) Cloud speichern, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist”
Das gleiche gilt laut hessischer Datenschutzbehörde auch für die Cloud Anwendungen von Google und Apple.
DSGVO vs. Cloud Act
Mit seiner Stellungnahme spricht der hessische Datenschutzbeauftragte einen Themenbereich an, der schon seit mehreren Jahren die Gerichte, Experten und Fachöffentlichkeit beschäftigt und mit der Einführung der DSGVO in der EU sowie der Verabschiedung des Cloud Act in den USA so etwas wie einen Höhepunkt der Unsicherheit erreicht hat.
Doch lassen Sie uns ganz am Anfang beginnen.
Wie alles anfing: Microsoft vs. US-Justiz um Herausgabe von Nutzerdaten
Ausgangspunkt für die aktuelle Diskussion war ein Rechtsstreit zwischen der Firma Microsoft und US-Justiz um die Herausgabe von Daten eines europäischen Nutzers des Microsoft E-Mail Services. Die fraglichen Daten waren in einem Microsoft-Rechenzentrum in Dublin, also außerhalb der USA, gespeichert. Der US-District Court in Manhattan forderte vom Unternehmen aber die Herausgabe der Daten. “Wir glauben, dass die Mails den Nutzern gehören und nicht uns. Daher sollten dafür sie den gleichen Datenschutz bekommen, wie ein geschriebener Brief, ungeachtet vom Speicherort”, erklärte der damalige Chief Privacy Officer Brendon Lynch in einem Microsoft-Blog-Beitrag.
Unterstützung bekam Microsoft schon damals durch die EU in Person der damaligen Vizepräsidentin der EU-Kommission Viviane Reding. Sie erklärte: “Die Kommission befürchtet, dass die extraterritoriale Anwendung ausländischer Gesetze (und darauf basierende gerichtliche Anweisungen gegen Unternehmen) gegen internationales Recht verstoßen und den Schutz des Einzelnen verhindern, der in der Union garantiert ist.”
Für betroffene Firmen mit einer Niederlassung in der EU ergebe sich zudem ein rechtlicher Konflikt, da sie nicht nur an US-Recht, sondern auch an europäisches Recht gebunden seien, so Reding weiter.
