LANDTAG NORDRHEIN-WESTFALEN 17. Wahlperiode Drucksache 17/11271 05.10.2020 Datum des Originals: 05.10.2020/Ausgegeben: 09.10.2020 Antwort der Landesregierung auf die Kleine Anfrage 4294 vom 7. September 2020 der Abgeordneten Sigrid Beer BÜNDNIS 90/DIE GRÜNEN Drucksache 17/10918 LOGINEO Messenger gehostet beim AMAZON WEB SERVICE Vorbemerkung der Kleinen Anfrage Am 21.8.2020 verkündet der Staatssekretär im Schulministerium dass der lange angekündigte Messengerdienst an den Start geht. Versprochen wird eine „einfache, schnelle und sichere digitale Kommunikation an Schulen“. Auf der Internetseite von LOGINEO NRW ist auch die „MUSTER Vereinbarung zur Auftragsverarbeitung (AVV) nach Art. 28 Abs. 3 DSGVO / Stand: 04.07.2020“ zu finden. https://manage.logineonrw-messenger.de/ Wer sich die Mühe macht, die Datei ganz bis zum Schluss zu lesen, der stößt am Ende auf den Absatz zur Haftung. Während am Anfang als Auftragsverarbeiter die SVA System Vertrieb Alexander GmbH angegeben wird, findet nun eine interessante Ausführung zum beschäftigten Subunternehmer: „Haftung des Auftragsverarbeiters Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragsverarbeiter im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden. aktuell beschäftigte Subunternehmer Zurzeit sind für den Auftragsverarbeiter folgende Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Verantwortliche einverstanden. AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg“ Wer AWS EMEA SARL im Internet aufruft, findet folgende Auskunft: „Amazon Web Services, Inc., 410 Terry Avenue North, Seattle WA 98109 United States. LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode Drucksache 17/11271 2 Amazon Web Services, Inc. ist eine nach dem Recht des Staates Delaware gegründete und registrierte Gesellschaft. Registernummer: 4152954, Secretary of State, State of Delaware. Steuernr.: 204938068 Vertretungsberechtigter: Associate General Counsel, EMEA“ Auch wenn es sich bei der Adresse in Luxembourg um eine Tochterfirma in Europa handelt, unterliegt AWS EMEA SARL gleichwohl dem US CLOUD ACT. Ausführlich ist darüber bereits im Jahr 2018 berichtet worden. https://www.heise.de/select/ix/2018/7/1530927567503187 „Mit dem sogenannten CLOUD Act gilt seit Ende März 2018 ein US-Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern. Entgegen dem Titel des Gesetzes hat es nicht zwingend etwas mit Cloud-Diensten zu tun. CLOUD steht in diesem Fall für „Clarifying Lawful Overseas Use of Data Act“, auf Deutsch etwa „Gesetz zur Klarstellung des rechtmäßigen Umgangs mit Daten im Ausland“. Das Gesetz stellt sicher, dass es keine Rolle mehr spielt, ob Daten „in der Cloud“ oder in einem bestimmten Datenzentrum gespeichert sind – ob im In- oder Ausland.“ Datenschutz-Experten sehen allerdings einen klaren Konflikt mit der DSGVO, auch wenn AWS die Daten trotz CLOUD Act für sicher erklärt. Die Ministerin für Schule und Bildung hat die Kleine Anfrage 4294 mit Schreiben vom 5. Oktober 2020 namens der Landesregierung beantwortet. 1. Hält die Landesregierung AWS EMEA SARL für einen geeigneten Subunternehmer für den Messengerdienst des Landes, der von Schülerinnen und Schülern sowie den Lehrkräften genutzt werden soll? Ja. Die AWS EMEA SARL (AWS) verfügt über eine schnell verfügbare, hochflexible und ausgereifte IT-Infrastruktur für den LOGINEO NRW Messenger. Für AWS spricht neben diesen Gründen insbesondere die Skalierbarkeit und die bedarfsgerechte Einsatzmöglichkeit. Datenschutzrechtliche Bedenken bestehen nicht. Im Übrigen war durch die öffentlich zugängliche Auftragsverarbeitungsvereinbarung (AVV) stets transparent, dass der LOGINEO NRW Messenger in der AWS-Cloud gehostet wird. 2. Wer hat den Subunternehmer ausgewählt, das Schulministerium oder der Auftragnehmer? Zur Erstellung der Leistungsbeschreibung hat die Landesregierung einen öffentlich bestellten und vereidigten IT-Sachverständigen hinzugezogen, der das Ministerium für Schule und Bildung beraten und bei der Erstellung der Ausschreibung unterstützt hat. Technisch ist eine Cloud-Lösung für einen solchen Messengerdienst die einzig praktikable Lösung. Vor Beauftragung des Betriebs des LOGINEO NRW Messengers wurde ein Vergabeverfahren durchgeführt, das AWS als Cloud-Anbieter vorsah. Die projektbetreuenden IT- Sachverständigen hatten eine besondere Expertise für die Umsetzung eines Projekts dieser Größenordnung in der AWS-Umgebung. Die Umsetzung mit AWS ermöglicht eine den qualitativen Anforderungen entsprechende Durchführung eines so großen Projekts. Die Angebotsprüfung ist u.a. durch einen öffentlich bestellten und vereidigten IT-Sachverständigen LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode Drucksache 17/11271 3 erfolgt. Aus diesem Vergabeverfahren ist der Anbieter SVA GmbH als Bestbieter hervorgegangen. 3. Welche Alternativen als Subunternehmen, die nicht dem Cloud Act unterliegen, hat das Schulministerium geprüft? Es wurden selbstverständlich auch andere technische Lösungen durch das Ministerium für Schule und Bildung in Betracht gezogen. Auch hierbei hat das Ministerium für Schule und Bildung einen öffentlich bestellten und vereidigten IT-Sachverständigen einbezogen, um eine neutrale Bewertung zu erhalten. Bezüglich des CLOUD Act ist von Bedeutung, dass sich die Betriebsserver für den Messengerdienst allesamt in einem zertifizierten Rechenzentrum in Frankfurt am Main befinden. Damit gelten die Datenschutzgrundverordnung und das nationale Datenschutzrecht. Gemäß der in jedem Einzelfall zu schließenden Auftragsdatenverarbeitungsvereinbarung ist es AWS untersagt, Daten außerhalb der EU und des europäischen Wirtschaftsraumes zu verarbeiten. Jede Verlagerung der Dienstleistung oder von Teilen dazu in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen (der Schule) und darf nur erfolgen, wenn die besonderen Voraussetzungen des Artikel 44 ff der Datenschutzgrundverordnung (DSGVO) erfüllt sind. Darüber hinaus ist darauf hinzuweisen, dass der CLOUD Act nur dann einen Zugriff auf Daten zulässt, wenn eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts vorausgegangen ist. Insofern unterscheidet sich die Rechtslage nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands. Das Risiko des CLOUD Acts bestünde also nur, wenn gegen Nutzende (Lehrkräfte sowie Schülerinnen und Schüler) des LOGINEO NRW Messengers ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet werden würde. Beim LOGINEO NRW Messenger sind hohe Datenschutz- und Informationssicherheitsvorgaben vorgesehen. So erfolgt hinsichtlich sämtlicher Daten eine Ende-zu-Ende-Verschlüsselung. Die Daten der Kommunikation sind also sowohl bei der Übertragung zwischen den Endgeräten der Nutzer und AWS als auch während der Speicherung bei AWS verschlüsselt und können von an der Kommunikation Unbeteiligten nicht gelesen werden. Aber selbst bei einer theoretischen Herausgabe der Daten durch AWS an amerikanische Ermittlungsbehörden wäre der übermittelte Datensatz aufgrund der durch den Dienstleister SVA eingerichteten Verschlüsselung nach sehr hohem Industriestandard von in der Cloud abgelegten Daten für amerikanische Behörden nicht verwertbar. 4. Wie schätzt das Schulministerium den bezeichneten Subunternehmer für den Messengerdienst datenschutzrechtlich ein im Vergleich mit von Schulträgern und Schulen vielfach genutzten Microsoft 365? Anders als bei der Produktfamilie Microsoft Office 365 besteht beim LOGINEO NRW Messenger die Möglichkeit, durch technische und organisatorische Maßnahmen und technische Anpassungen des Messenger-Dienstes selbst Einfluss auf das Datenschutzniveau zu nehmen und das Risiko zu minimieren. Dies hat das Ministerium für Schule und Bildung bei der Konzeption des LOGINEO NRW Messengers auch getan. Dies geschieht u. a. durch die Implementierung einer Ende-zu-Ende-Verschlüsselung. Da Microsoft im Rahmen von Office 365, auch die Dienste, deren technische Ausgestaltung sowie auch die Bedingungen, unter LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode Drucksache 17/11271 4 denen das System bereitgestellt wird, kontrolliert, besteht diese Möglichkeit bei diesem Produkt nicht. Daher empfiehlt das Ministerium für Schule und Bildung auch nicht die Nutzung von Microsoft Office 365 sondern LOGINEO NRW, aufgrund des vom Land festgelegten hohen Datenschutzniveaus. Der Hauptgrund für die datenschutzrechtlichen Bedenken hinsichtlich Microsoft Office 365 liegt im Sammeln und Auswerten von Daten durch Microsoft für eigene Zwecke. Deshalb konnte die LDI NRW eine Verwendung von Microsoft Office 365 bislang nicht empfehlen. Diesem Votum folgt das Ministerium für Schule und Bildung. (https://www.schulministerium.nrw.de/themen/recht/datenschutz-im-schulbereich/fragen-undantworten /sonstige-fragen-zum-datenschutzrecht) 5. Wie informiert die Landesregierung gegenüber den Schülerinnen und Schülern, Eltern und Lehrkräften über mögliche Datenschutzbedenken bei der Nutzung des Logineo-Messengers? Die Landesregierung informiert die Betroffenen gemäß den Anforderungen aus der DSGVO weitreichend und transparent über die Umstände der Datenverarbeitungen, u.a. über die Datenschutzerklärung. Es gibt u.a. eine umfangreiche FAQ-Liste zum LOGINEO NRW Messenger im Bildungsportal. Hier wird u.a. über die Verschlüsselung in den Fragen und Antworten zum LOGINEO NRW Messenger informiert. An dieser Stelle wird auch über die Verschlüsselung informiert. https://www.logineo.schulministerium.nrw.de/LOGINEO-NRW/Neu-LOGINEO-NRW- Messenger/FAQ/ Datenschutzbedenken bestehen – wie ausgeführt – nicht.