EU-US Privacy Shield auf der Kippe und für Schulen wird nichts besser

Lesezeit: 2 Minuten

Der EU-US Privacy Shield, der Nachfolger des Safe Harbour Agreements, bietet US amerikanischen Anbietern wie Microsoft, Google, Apple und Amazon die Möglichkeit, europäischen Nutzern Garantien für die Sicherheit von personenbezogenen Daten anzubieten, welche auf US Servern verarbeitet werden. Bei großen weltweit agierenden Anbietern ist es normal, dass man ein über die Welt verstreutes Netzwerk (CDN) an Servern hat. Wichtige Server stehen dort, wo die Firmen ihre Zentralen haben, in den USA.

Die Übermittlung von Daten in Länder außerhalb der EU ist aus datenschutzrechtlicher Sicht ein komplexes Thema, denn es geht um Schutzniveaus und Garantien, dass die personenbezogenen Daten europäischer Bürger in diesen Drittstaaten sicher sind und auf einem der EU vergleichbaren Datenschutzniveau verarbeitet werden. Es geht um Sicherheit vor Missbrauch der Daten und unberechtigten Zugriffen. Dank des EU-US Privacy Shields ist es aktuell recht einfach, die Dienste der genannten Anbieter in Anspruch zu nehmen, wenn man den Anbietern selbst vertraut. In der Regel sind große Anbieter zusätzlich von unabhängigen Instanzen zertifiziert und man unterzeichnet darüber hinaus noch Standardvertragsklauseln.

Für Schulen ist der unterrichtliche Einsatz von Angeboten, welche die Nutzung US amerikanischer Server mit einschließen, Angeboten wie Office 365 mit der Cloud von Microsoft, G-Suite for Education von Google und iCloud von Apple auch trotz EU-US Privacy Shield nicht ohne Probleme. Bis auf Ausnahmen1z.B. LDI Hessen für Office 365 mit  der (Deutschland) Cloud und LDI RLP für G-Suite for Education (ohne personenbezogenen Daten). sprechen die Aufsichtsbehörden der Bundesländer keine Empfehlungen für Schulen aus, dass sie eines der genannten Produkte ohne Bedenken mit Nutzerkonten mit Klarnamen und weiteren personenbezogenen Daten der Schüler im Unterricht nutzen können. Für sie gibt es, trotz EU-US Privacy Shield und zusätzlichen Selbstverpflichtungen zu viele ungeklärte Fragen.

Am 11. Juni 2018 hat man in Brüssel festgestellt, dass das EU-US Privacy Shield keinen ausreichenden Schutz für die personenbezogenen Daten von EU Bürgern garantiert. Nun soll die europäische Kommission das Abkommen auf Eis legen, sollten die USA nicht bis zum 1. September Garantien bieten, welche den Vorgaben der DS-GVO entsprechen. Darüber hinaus steht wohl auch noch eine Entscheidung des europäischen Gerichtshofs (EuGH) zu den Standardvertragsklauseln an. Experten sind sich aktuell unsicher, wie das alles enden wird.

Fakt ist jedoch: sollten das EU-US Privacy Shield und/oder die Standardvertragsklauseln kippen und es gibt keine neuen vertraglichen Regelungen zwischen den USA und der EU, dann wird es für Schulen noch schwieriger, eventuell sogar unmöglich, manche Produkte der großen Anbieter zu nutzen. Und nicht nur das. Selbst nicht US Anbieter unterhalten oft in den USA Datenzentren und Niederlassungen, da dort einer ihrer größten Märkte ist. Andere Anbieter nutzen die Serverdienste von Amazon (AWS) und Google, da sie selbst keine eigenen Server haben.2Die Problematik geht eigentlich sogar noch weiter, denn auch die großen Betriebssystem, von Linux einmal abgesehen, kommen ohne Datenfluss zu und von US Servern nicht aus, wenn es um Updates geht, um anonymisierte Nutzungsdaten, die Zugriffe von Apps usw.

Fazit: Was ohnehin schon problematisch ist, wir womöglich noch problematischer werden.

Alles könnte einfacher:  Es gäbe einfache Auswege. Schulen könnten problemlos Angebote wie Collabora Office, Nextcloud und ähnlich nutzen, um vergleichbare Funktionalitäten für den Einsatz im Unterricht zu erhalten. In vielen Kommunen sieht man jedoch eine Dominanz von Microsoft Produkten, denn diese sind in den kommunalen Verwaltungen im Einsatz, werden von den kommunalen Dienstleistern unterstützt und von Wirtschaftsbetrieben vor Ort an den Schulen favorisiert. Vielleicht ist es an der Zeit, den Schalter umzulegen und auf andere Lösungen zu setzen. Die Vergangenheit zeigt, dass es für Schulen aus datenschutzrechtlicher Sicht problematisch ist, auf die großen Anbieter zu setzen.

Die Zukunft des EU-US Privacy Shields und der Standardvertragsklauseln sind zur Zeit ungewiss. Es bleibt abzuwarten, was passiert.

Apple verkauft sich mit mehr Datenschutz

Lesezeit: 1 Minute

Apple hat einen Bildungsevent in Chicago abgehalten, iOS wurde auf 11.3 aktualisiert und Mac OS auf 10.13.4. Datenschutz und das bevorstende Inkrafttreten der DS-GVO waren dabei ein Thema, das alle drei Ereignisse gemeinsam haben. Pünktlich zum Inkrafttreten sollen Datenschutz Features kommen, das Herunterladen der gespeicherten Daten wie das einfachere Deaktivieren eines Accounts beinhalten. In Mac OS wie iOS soll vom System darauf hingewiesen werden, wenn eine Apple Funktion Nutzerdaten erhebt. Gleichzeitig verpflichtet man sich Datensparsamkeit. Wo möglich will man die Verarbeitung von Daten on device durchführen und nicht in der Cloud.

Das klingt gut, ob es jedoch gerade in Schule ausreichend ist, die bestehenden Datenschutz Problematiken, welche mit der Nutzung von Apple Produkten im Unterricht verbunden sind, zu lösen, bleibt abzuwarten.

Apple iWork kann Kollaboration – Datenschutz?

Lesezeit: 2 Minuten

Kollaboration, die in Echtzeit abläuft, setzt immer einen Abgleich zwischen den verschiedenen Nutzern voraus, die an einem Produkt arbeiten. Dafür gibt es eine zentrale Instanz, die für den Abgleich und die Versionsverwaltung sorgt. Diese liegt in der Regel in einer Cloud. Sie sorgt dafür, dass jeder, der an einem gemeinsamen Produkt arbeitet, den gleichen Arbeitsstand hat.

Am 27.03.2018 hat Apple nun für sein iWork (Pages, Numbers, and Keynote) neue Funktionen vorgestellt. Dazu gehört auch eine Echtzeitkollaboration über die Apps. Diese läuft über Apples iCloud, ist jedoch auch über den Anbieter Box möglich.  Letzteres ist ein Dienst, der an US Schulen häufig genutzt wird, vermutlich da der kostenlose Speicherplatz in iCloud für Schulen bisher sehr begrenzt war, der Anbieter günstiger ist und außer Apple auch Office 365 und G-Suite unterstützt.

Die neue Kollaborationsfunktion, ist definitiv sehr nützlich und für zeitgemäßes Lernen gewinnbringend. Was aber ist mit dem Datenschutz? Die Zusammenarbeit in Pages, Numbers und Keynote setzt Apple IDs und iCloud voraus. Damit ergibt sich jedoch ein Problem. Bisher ist die Nutzung von iCloud mit personenbezogenen Daten, auch wenn Apple sogar eine Datenverarbeitung im Auftrag anbietet und die Einhaltung aller möglicher Standards anführt, in Deutschland nicht datenschutzkonform möglich (siehe FAQ RLP).

Hier könnte unter Umständen Box.com ins Spiel kommen, denn dieser Anbieter bietet anders als Apple zwei Serverstandorte in Deutschland (Frankfurt, Magdeburg) an, und ist sogar vom TÜV Rheinland zertifiziert. Entscheidend wird für Schulen neben der Einhaltung datenschutzrechtlicher Vorgaben (z.B. Treuhandmodell?) jedoch auch der Preis sein.

Was bedeutet das nun für die schulische Praxis?

Da die neue Kollaborationsfunktion von iWork nur mit iCloud (oder Box) genutzt werden kann, muss für eine datenschutzkonforme Nutzung eine der beiden folgenden Bedingungen erfüllt sein:

  • die Schule arbeitet ohne personenbezogene Daten (z.B. mit pseudonymisierten Apple IDs) und regelt über die Benutzerordnung, dass auch bei der Arbeit mit iWork keinerlei personenbezogene Daten von den Schülern genutzt werden, oder
  • die Schule arbeitet mit  personenbezogenen Daten (z.B. Klarnamen für die Apple IDs) und die Nutzer haben ihre Einwilligung dazu gegeben und es besteht mit Apple (oder eventuell Box) ein Vertrag zur Datenverarbeitung im Auftrag.

Bevor beurteilt werden kann, ob Box.com für die Nutzung der Kollaborationsfunktion von  iWork genutzt werden kann, muss zunächst geklärt werden, ob dieses tatsächlich datenschhutzkonform möglich ist.