Am 21.1.2021 hat das Schulministerium per Schulmail die Erweiterung des Logineo Messenger um ein Videokonferenztool mitgeteilt. Dies stellt eine sinnvolle Erweiterung der Angebote für digitales Arbeiten dar und war lange angekündigt und erwartet worden. Nach Auskunft von Staatssekretär Richter im Schulausschuss am 11.01.2021 war das Tool schon seit Monaten technisch ausgereift. Eine Genehmigung sei aber wegen datenschutzrechtlicher Fragen von Seiten der Personalräte verzögert worden.
In der Schulmail heißt es: „Bei der digitalen Kommunikation sind der Datenschutz und die Datensicherheit von Kindern und Jugendlichen sowie von Lehrkräften besonders wichtig. Die Kommunikation bei Videokonferenzen im LOGINEO NRW Messenger erfolgt verschlüsselt.“ Es irritiert, dass auch das Videokonferenztool bei Amazon Web Services gehostet wird und damit Datenschutzbedenken verstärkt.
Schon beim Mustervertrag zu Logineo Messenger wird am Ende angegeben, dass die Auftragsverarbeitung durch SVA Systems Vertrieb Alexander GmbH geschieht, verbunden mit dem Hinweis, dass diese Firma ein Subunternehmen beschäftigt, die Firma AWS EMEA SARL in Luxemburg. Recherchen zu diesem Subunternehmen ergeben, dass dahinter die Firma Amazon Web Services in Seattle USA steckt.
Auch wenn es sich bei der Adresse in Luxembourg um eine Tochterfirma in Europa handelt, unterliegt AWS EMEA SARL gleichwohl dem US CLOUD ACT. („Clarifying Lawful Overseas Use of Data Act“ Mit dem sogenannten CLOUD ACT gilt seit Ende März 2018 ein US-Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern.)
Datenschutz-Experten sehen einen klaren Konflikt mit der DSGVO, auch wenn AWS die Daten trotz CLOUD ACT für sicher erklärt.
Die Landesregierung wurde bereits durch zwei Kleine Anfragen auf die Problematik hingewiesen. Die Antworten der Landesregierung (Landtagsdrucksachen 17/11271 und 17/11713) bleiben unbefriedigend, weil sie keine veränderte Rechtslage durch den US Cloud Act zu erkennen vermag. Auch die jüngste Rechtsprechung des EU-GH ignoriert die Landesregierung, da sie behauptet, dass das sogenannte Schrems-II-Urteil (EuGH, Urteil vom 16.07.2020 – C-311/18 – Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems) keine Anwendung fände, weil der Server in Europa stehe. Das wird dem Inhalt des Urteils nicht gerecht.
Vor diesem Hintergrund fragen wir die Landesregierung:
- Wann wurden die Hauptpersonalräte um Zustimmung für das Videokonferenztool von Logineo Messenger gebeten?
- Welche Bedenken und Fragen haben die Hauptpersonalräte vorgebracht?
- Wann wurde den Hauptpersonalräten auf ihre Fragen wie geantwortet?
- Warum wurde erneut eine Konstruktion gewählt, die ein Hosting auf einem Server einer US-amerikanischen (Tochter) Firma vorsieht, die dem US Cloud Act unterliegt?
- Wie lange hat sich das Schulministerium an AWS vertraglich gebunden?