Der Messenger, den das Land NRW seinen Schulen kostenlos zur Verfügung stellt, basiert auf dem open source Matrix Protokoll und folgt damit der Landesstrategie, quelloffene Plattformen für Schulen bereitzustellen. Als Dienstleister für den Betrieb der Plattform gewann man die SVA System Vertrieb Alexander GmbH aus Wiesbaden, die dann ihrerseits Amazon Web Services1AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg (AWS), eine EU Tochter des US Konzerns Amazon, als Unterauftragnehmer beauftragte.
Letzteres blieb nicht lange unbemerkt, da es selbstredend im Vertrag zur Auftragsverarbeitung, den Schulen bei der Beauftragung des Messengers mit SVA GmbH abschließen, nachzulesen ist. Und so kam es dann zu einer kleinen Anfrage im Landtag NRW2Es waren genau genommen zwei kleine Anfragen zum Thema, Drucksache 17/10918 und 17/11265 und einem daraus folgenden Bericht bei Westpol. Bei Schulen, die den Messenger schon beauftragt hatten oder dieses planten, führte alles dieses zu großer Verunsicherung. Die Beunruhigung ist verständlich, denn als US Anbieter unterliegt auch AWS mit seinen Serverstandorten in Europa dem US amerikanischem CLOUD-Act. US Ermittlungsbehörden können von US Unternehmen, die Server in der EU betreiben, die Herausgabe von personenbezogenen Daten verlangen. Zwar können diese sich vor Gericht dagegen zur Wehr setzen, wenn das Ansinnen der US Ermittler lokalem Datenschutzrecht widerspricht, doch nicht immer sind US Firmen dabei erfolgreich, und es gibt auch Anfragen, die geheim sind3sogenannte GAG Orders und deshalb nicht gerichtlich abgewehrt werden können.
Die kleine(n) Anfrage(n) wurden Anfang Oktober 2020 von der Landesregierung beantwortet und die Antwort ist als Drucksache MMD17-11271 über das Dokumentenarchiv des Landtags einsehbar. Sie lautet kurz gefasst:
Datenschutzbedenken bestehen […] nicht.
Aus der Antwort erfährt man, dass das Land “einen öffentlich bestellten und vereidigten IT-Sachverständigen einbezogen” hat, um bei der Erstellung einer Leistungsbeschreibung wie auch der Ausschreibung für den Messenger Unterstützung zu erhalten. Da man zu dem Schluss kam, dass der Messenger nur als Cloud Lösung umsetzbar ist, wurde vom Land NRW bereits im Vergabeverfahren die Nutzung von AWS als Cloud-Anbieter vorgesehen. Man hat sich hier von den projektbetreuenden Fachleuten leiten lassen.
Die projektbetreuenden IT Sachverständigen hatten eine besondere Expertise für die Umsetzung eines Projekts dieser Größenordnung in der AWS-Umgebung. Die Umsetzung mit AWS ermöglicht eine den qualitativen Anforderungen entsprechende Durchführung eines so großen Projekts.
Den CLOUD-Act, dem AWS als US Unternehmen unterliegt, schätzt das Land nicht als Risiko ein und führt dafür drei Gründe an:
- Eine Übermittlung von personenbezogenen Daten des Messengers aus der AWS Datenregion nach außerhalb der EU, etwa in die USA ist nur zulässig, wenn der Verantwortliche, hier die Schule, diesem zuvor zustimmt.
- Wenn es durch US Ermittlungsbehörden ein Verlangen auf Zugriff auf Daten von Nutzern des Messengers gäbe, dann nur, wenn gegen einen Nutzer des Messengers “ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet werden würde.” Dieses wäre dann ein Rechtsvorgang wie auch in Deutschland, da einem solchen Ermittlungsverfahren “eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts” vorausgehe.4 Diese Einschätzung des CLOUD-Acts dürfte ihresgleichen in der Fachwelt suchen. Die Problematik des CLOUD-Act besteht nicht darin, dass US Ermittler möglicherweise außerhalb von geltendem US Recht handeln. Vielmehr erfolgen Zugriffe von US Ermittlungsbehörden auf der Basis des CLOUD-Act außerhalb von internationalem Recht, wie etwa bei einem Ermittlungshilfeabkommen. Das heißt, es gibt keinen Vertrag zwischen der EU und den USA, durch welchen Zugriffe von US Ermittlungsbehörden auf personenbezogene Daten innerhalb der EU auf der Grundlage des CLOUD-Act legitimiert werden. Dadurch stellen diese Zugriffe einen Verstoß gegen die DS-GVO dar.
Der Fachjurist Carlo Pilz setzt sich in dem Beitrag Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW mit der Einschätzung des CLOUD-Acts durch die Landesregierung auseinander. - Sollte es zu einem Zugriffsbegehren auf personenbezogene Daten von Nutzern des Messengers kommen, wären die von AWS an US Ermittlungsbehörden herausgegebenen Daten für diese wertlos, da sie einmal durch die Ende-zu-Ende-Verschlüsselung während Übermittlung und Speicherung und zusätzlich durch die vom Dienstleister
SVA eingerichtete Verschlüsselung der in AWS abgelegten Daten geschützt sind.
Der Kern des Sicherheitskonzeptes von Logineo NRW Messenger ist demnach die Sicherheit des Messengers selbst und darüber hinaus Sicherheitsmaßnahmen des Dienstleisters zum Schutz von Daten, die nicht durch die Funktionalitäten des Messengers selbst geschützt werden. Das Matrix Protokoll gilt als sehr sicher und der Messenger verschlüsselt die Kommunikation der Nutzer automatisch.5In den Unterstützungsmaterialien des MSB wie auch den FAQ wird auf die Bedeutung der Ende-zu-Ende Verschlüsselung hingewiesen und die Sicherung der Schlüssel erklärt. Die Nutzung von AWS lässt sich im Fall des Messengers aus datenschutzrechtlicher Sicht dadurch vertreten, dass die Daten der Nutzer vor Zugriffen durch US Ermittlungsbehörden durch ihre Verschlüsselung ausreichend geschützt sind.
Solange das Matrix Protokoll keine Sicherheitslücken aufweist und die Maßnahmen des Dienstleisters ausreichend sicher sind, sollten aus der Nutzung des Logineo NRW Messengers für Schüler und Lehrkräfte auch mit sensiblen Inhalten keine Risiken entstehen.
Ich teile das Fazit der Gefährdungsbeurteilung auf gar keinen Fall. Die Argumente a) rechtsstaatliche Verfahren in den USA hingegen anderer Staatsbürger UND b) eine intakte Verschlüsselung sind wertlos: Das DSGVO Argument “Geeignete technische und organisatorische Maßnahmen” schlägt hierbei alles.
Es sollten sich jedem die Nackenhaare aufstellen, der hört, dass die Schülerkommunikation freiwillig(!) und unnötig einem amerikanischen Tochterunternehmen ausgeliefert wird (auch wenn es vorerst verschlüsselt ist).
Im Detail: Das Brechen einer Verschlüsselung ist effektiv nur eine Zeitfrage. Der Stand der Technik ist keine buglose Verschlüsselung. Zu oft musste gesehen werden, dass schon einfachste Implementierungsfehler alles offengelegt haben. Daher ist eine “geeignete technische und organisatorische Maßnahmen” einem rein europäischen Anbieter diese Aufgabe zu übertragen, um organisatorisch dem Datenabfluss eine weitere Hürde entgegenzustellen. Unabhängig davon würde dies den Standort DSGVO-Europa stärken und damit auch den Datenschutz langfristig dienen.
Es ist ein Politikum, dass hier sicher das Scheinargument “Implementierungskosten” angeführt wird. Mit Datenschutz hat diese Entscheidung offenbar nichts zu tun.
Ich kann nur jedem (Schüler) abraten, diesen Messanger in dieser Konfiguration zu nutzen. – Nicht weil das System an sich sicher sein könnte (oder in diesem Augenblick noch ist), sondern weil die Entscheidungsträger hier offenbar eben nicht die Sicherheit der Heranwachsenden und deren noch nicht vollständig gereifte Einsichtsfähigkeit für eine Folgenabschätzung ihrer Taten, im Blick hatten. – Unsere Schutzbefohlenen “verlassen sich” darauf, dass eben alles getan wurde, dass sie in der “gesicherten” Institution Schule, sorglos heranreifen können – mit all den Fehlern, die eine Jugend so machen kann.
Unsere Schüler sind effektiv nicht einsichtsfähig, was den Bereich IT-Sicherheit betrifft. Sie sind NICHT in der Lage in diesem Fall eine Folgenabschätzung zu betreiben. Hier ist also ein ganz besonderes Augenmerk auf Datenschutz zu legen.
Was haben diese Entscheidungsträger dann noch alles “übersehen” (bei so einem groben Fehler), bzw. was haben die IT-Berater noch an der DSGVO vorbei beraten? – Haben die IT-Berater überhaupt Kenntnis oder Kompetenzen im Bereich der Schule? Wissen sie, für wen sie das System entwerfen / beraten / datenschutzsicher gestalten sollen?
Solange aus dem Ministerium die Antwort kommt: Die Schulleitungen sind am Ende für die Einhaltung des Datenschutzes bei dem Messanger verantwortlich, ist das für mich ein klares Eingeständnis. Wäre der Messanger wirklich sicher, würde das Ministerium die Verantwortung bzgl. des Datenschutzes dafür übernehmen.
Guten Tag zusammen,
ein sehr interessanter Artikel. Ich lese aus der Anfrage allerdings nicht heraus, ob es sich bei den beschriebenen Systemen nur um den LMS Messenge handelt, oder ob auch die gesamte Moodle LMS von Logineo auf diesen Servern läuft? Läuft die Logineo Moodle Plattform also auch über die AWS Server? Oder hat man hier andere Wege gewählt.
Vielen Dank und alles Gute
Es geht bei dem Beitrag tatsächlich nur um den Logineo NRW Messenger, da dieser auf vom beauftragten Anbieter auf AWS betrieben wird. Das Landes Moodle, Logineo NRW LMS, wird von einem anderen Anbieter betrieben. Es handelt sich dabei um eLeDia – eLearning im Dialog GmbH, Mahlower Straße 23/24. Mit eLedia schließt jede Schule einen Vertrag zur Auftragsverarbeitung ab, aus dem hervorgeht, dass eLedia selbst Hetzner Online GmbH
Industriestr. 25 D, D- 91710 Gunzenhausen für die Bereitstellung von Serverkapazitäten im Rechenzentrum beauftragt. Den Vertrag zur Auftragsverarbeitung zu Logineo NRW LMS kann man hier direkt als PDF herunterladen – Vereinbarung zur Auftragsverarbeitung LOGINEO NRW LMS.pdf