Am 21.8.2020 verkündet der Staatssekretär im Schulministerium, dass der lange angekündigte Messengerdienst an den Start geht. Versprochen wird eine „einfache, schnelle und sichere digitale Kommunikation an Schulen“.
Auf der Internetseite von LOGINEO NRW ist auch die „MUSTER Vereinbarung zur Auftragsverarbeitung (AVV) nach Art. 28 Abs. 3 DSGVO / Stand: 04.07.2020“ zu finden.
https://manage.logineonrw-messenger.de/ Wer sich die Mühe macht, die Datei ganz bis zum Schluss zu lesen, der stößt am Ende auf den Absatz zur Haftung. Während am Anfang als Auftragsverarbeiter die SVA System Vertrieb Alexander GmbH angegeben wird, findet nun eine interessante Ausführung zum beschäftigten Subunternehmer:
„Haftung des Auftragsverarbeiters
Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragsverarbeiter im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.
Aktuell beschäftigte Subunternehmer
Zurzeit sind für den Auftragsverarbeiter folgende Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit derenBeauftragung erklärt sich der Verantwortliche einverstanden.
AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg“
Wer AWS EMEA SARL im Internet aufruft, findet folgende Auskunft:
„Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109 United States.
Amazon Web Services, Inc. ist eine nach dem Recht des Staates Delaware gegründete und registrierte Gesellschaft. Registernummer: 4152954, Secretary of State, State of Delaware. Steuernr.: 204938068
Vertretungsberechtigter: Associate General Counsel, EMEA“
Auch wenn es sich bei der Adresse in Luxembourg um eine Tochterfirma in Europa handelt, unterliegt AWS EMEA SARL gleichwohl dem US CLOUD ACT.
Ausführlich ist darüber bereits im Jahr 2018 berichtet worden.
https://www.heise.de/select/ix/2018/7/1530927567503187 „Mit dem sogenannten CLOUD Act gilt seit Ende März 2018 ein US-Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern. Entgegen dem Titel des Gesetzes hat es nicht zwingend etwas mit Cloud-Diensten zu tun. CLOUD steht in diesem Fall für „Clarifying Lawful Overseas Use of Data Act“, auf Deutsch etwa „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland“. Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland.“
Datenschutz-Experten sehen allerdings einen klaren Konflikt mit der DSGVO, auch wenn AWS die Daten trotz CLOUD Act für sicher erklärt.
Vor diesem Hintergrund frage ich die Landesregierung:
1. Hält die Landesregierung AWS EMEA SARL für einen geeigneten Subunternehmer für den Messengerdienst des Landes, der von Schülerinnen und Schülern sowie den Lehrkräften genutzt werden soll?
2. Wer hat den Subunternehmer ausgewählt, das Schulministerium oder der Auftragnehmer?
3. Welche Alternativen als Subunternehmen, die nicht dem Cloud Act unterliegen, hat das Schulministerium geprüft?
4. Wie schätzt das Schulministerium den bezeichneten Subunternehmer für den Messengerdienst datenschutzrechtlich ein im Vergleich mit von Schulträgern und Schulen vielfach genutzten Microsoft 365?
5. Wie informiert die Landesregierung gegenüber den Schülerinnen und Schülern, Eltern und Lehrkräften über mögliche Datenschutzbedenken bei der Nutzung des Logineo-Messengers?