Am 21.08.2020 verkündete der Staatssekretär im Schulministerium Matthias Richter, dass der lange angekündigte Messengerdienst an den Start geht. Versprochen wird eine „einfache, schnelle und sichere digitale Kommunikation an Schulen“.
Im Mustervertrag wird am Ende angegeben, dass die Auftragsverarbeitung durch SVA Systems Vertrieb Alexander GmbH geschieht. Allerdings gibt es weiter einen Hinweis, dass diese Firma ein Subunternehmen beschäftigt, die Firma AWS EMEA SARL in Luxemburg. Recherchen zu diesem Subunternehmen ergeben, dass dahinter die Firma Amazon Web Services in Seattle USA steckt.
Auch wenn es sich bei der Adresse in Luxembourg um eine Tochterfirma in Europa handelt, unterliegt AWS EMEA SARL gleichwohl dem US CLOUD ACT. („Clarifying Lawful Overseas Use of Data Act“ Mit dem sogenannten CLOUD Act gilt seit Ende März 2018 ein US-Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern.)
Datenschutz-Experten sehen allerdings einen klaren Konflikt mit der DSGVO, auch wenn AWS die Daten trotz CLOUD Act für sicher erklärt.
In einem WDR-Beitrag bei Westpol am 20.09.2020 heißt es, dass der Staatssekretär darauf verweist, dass die Schulleitungen die datenschutzrechtliche Verantwortung haben, da sie die Verträge mit LOGINEO NRW Messenger unterzeichneten.
Ministerin Yvonne Gebauer hat im Rahmen einer von BÜNDNIS 90/DIE GRÜNEN beantragten Aktuellen Viertelstunde im Schulausschuss des Landtags am 30.09.2020 erklärt, dass der Datenschutz gewährleistet sei, da die Daten auf Servern in Deutschland gespeichert werden und eine Herausgabe von Daten nur im Falle eines Ermittlungsverfahrens einer US-Behörde geschehe.
Es stellt sich die Frage, wie belastbar diese Einschätzung ist und in wie weit sie im Vorfeld mit den zuständigen Stellen erörtert worden ist. Die Behörde der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI) hat laut des Beitrags für Westpol erklärt, nicht eingebunden worden zu sein.
Ministerin Gebauer hat in der o.g. Ausschusssitzung mitgeteilt, dass es am 18.05. ein Telefonat, am 02.06. ein Gespräch und am 16.06. einen Mailkontakt mit dem LDI gegeben habe.
Vor diesem Hintergrund fragen wir die Landesregierung:
1. Welche Kontakte hat es zwischen dem Ministerium und der LDI in Bezug auf LOGINEO NRW Messenger gegeben (bitte aufschlüsseln nach Kontaktart und beteiligten Personen)?
2. In welchen Kontakten wurde die Auftragsbearbeitung und die Frage beteiligter Subunternehmen besprochen?
3. Wann wurde Einvernehmen zwischen dem MSB und der LDI hinsichtlich der Einschätzung erzielt, dass die Beteiligung US-amerikanischer Firmen bzw. von deren Tochterfirmen unbedenklich ist auch unter Berücksichtigung des Cloud Act und der aktuellen EU-Rechtsprechung?
4. Falls nicht, wie begründet das MSB die Unbedenklichkeit?
5. Wo und wie sollen sich Schulleitungen, die die Musterverträge mit LOGINEO NRW Messenger unterzeichnet haben oder unterzeichnen wollen, datenschutzrechtlich informieren, um ihre datenschutzrechtlicher Verantwortung, gerecht zu werden, die laut MSB auch in Bezug auf den LOGINEO NRW Messenger gegeben ist?