Drücke "Enter", um den Text zu überspringen.

Die AWS Cloud – der NRW Messenger LOGINEO und der Cloud Act

Du bist hier:
< zurück

Nicht nur Microsoft hat mit dem Cloud Act und den Bedenken der Datenschützer der datenschutzrechtlichen Konformität zu kämpfen. Erst hat der LDSB BW Stefan Brink in seinem Podcast aus KW 43 deutliche berichtet, dass er keine 100% konforme Möglichkeit nach dem Ende von Privacy Shield und den aufgekommenen Herausforderungen sehe.

Kleine Anfrage im Landtag NRW

In einer kleinen Anfrage der Bündnis 90/Die Grünen an die Landesregierung ging es um einige Fragen zu LOGINEO Messenger, der bei AWS (Amazon Web Services) gehostet wird. Hier verspricht die Landesregierung eine “einfache, schnellen und sichere digitale Kommunikation” und bietet eine AVV nach Art. 28 Abs. 3 DSGVO an.  Der Messenger wird als Auftragsverarbeiter von der SVA System Vertrieb Alexander GmbH betrieben, jedoch findet sich als Subauftragsverarbeiter AWS (AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg“ / -> AWS USA) 

Regierung NRW – kleine Bedenken

Die Landesregierung antwortet, dass keine datenschutzrechlichen Bedenken bei AWS bestehen würden und es würde auch auf diesen Umstand deutlich hingewiesen. 

Die AWS Cloud oder besser eine Cloud Lösung war für die Basis des Messengers als einzig praktikable Lösung dargestellt worden und das Vergabeverfahren wurde mit einem IT-Sachverständigen begleitet und der Bestbieter SVA hatte hier nachweislich die meiste Expertise in der AWS Lösung. 

Bezüglich des CLOUD Act ist von Bedeutung, dass sich die Betriebsserver für den Messengerdienst allesamt in einem zertifizierten Rechenzentrum in Frankfurt am Main befinden. Damit gelten die Datenschutzgrundverordnung und das nationale Datenschutzrecht. Gemäß der in jedem Einzelfall zu schließenden Auftragsdatenverarbeitungsvereinbarung ist es AWS untersagt, Daten außerhalb der EU und des europäischen Wirtschaftsraumes zu verarbeiten. Jede Verlagerung der Dienstleistung oder von Teilen dazu in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen (der Schule) und darf nur erfolgen, wenn die besonderen Voraussetzungen des Artikel 44 ff der Datenschutzgrundverordnung (DSGVO)  erfüllt sind.

Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands. Das Risiko des CLOUD Acts bestünde also nur, wenn gegen Nutzende (Lehrkräfte sowie Schülerinnen und Schüler) des LOGINEO NRW Messengers ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet werden würde.

Beim LOGINEO NRW Messenger sind hohe Datenschutz- und Informationssicherheitsvorgaben vorgesehen. So erfolgt hinsichtlich sämtlicher Daten eine Ende-zu-Ende-Verschlüsselung. Die Daten der Kommunikation sind also sowohl bei der Übertragung zwischen den Endgeräten der Nutzer und AWS als auch während der Speicherung bei AWS verschlüsselt und können von an der Kommunikation Unbeteiligten nicht gelesen werden.

Aber selbst bei einer theoretischen Herausgabe der Daten durch AWS an amerikanische Ermittlungsbehörden wäre der übermittelte Datensatz aufgrund der durch den Dienstleister SVA eingerichteten Verschlüsselung nach sehr hohem Industriestandard von in der Cloud abgelegten Daten für amerikanische Behörden nicht verwertbar.

Microsoft 365 wurde nicht als Alternative identifiziert, da es keine End-zu-end Verschlüsselung gab und damit ein Ausspähen möglich sei. Ebenso könnte man bei einem eigen gebauten Messenger das Datenschutzniveau selber beeinflussen.

Bedenken gegen Microsoft: https://www.schulministerium.nrw.de/themen/recht/datenschutz-im-schulbereich/fragen-und-antworten/sonstige-fragen-zum-datenschutzrecht

Bei LOGINEO wird transparent informiert:  https://www.logineo.schulministerium.nrw.de/LOGINEO-NRW/Neu-LOGINEO-NRW-Messenger/FAQ/

 

 

Links

https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMD17-11271.pdf

Schlagwörter: