LANDTAG NORDRHEIN-WESTFALEN 17. Wahlperiode Drucksache 17/11713 06.11.2020 Datum des Originals: 04.11.2020/Ausgegeben: 12.11.2020 Antwort der Landesregierung auf die Kleine Anfrage 4497 vom 2. Oktober 2020 der Abgeordneten Sigrid Beer und Matthi Bolte-Richter BÜNDNIS 90/DIE GRÜNEN Drucksache 17/11265 Datenschutz beim LOGINEO Messenger – wie war der Landesdatenschutz eingebunden? Vorbemerkung der Kleinen Anfrage Am 21.08.2020 verkündete der Staatssekretär im Schulministerium Matthias Richter, dass der lange angekündigte Messengerdienst an den Start geht. Versprochen wird eine „einfache, schnelle und sichere digitale Kommunikation an Schulen“. Im Mustervertrag wird am Ende angegeben, dass die Auftragsverarbeitung durch SVA Systems Vertrieb Alexander GmbH geschieht. Allerdings gibt es weiter einen Hinweis, dass diese Firma ein Subunternehmen beschäftigt, die Firma AWS EMEA SARL in Luxemburg. Recherchen zu diesem Subunternehmen ergeben, dass dahinter die Firma Amazon Web Services in Seattle USA steckt. Auch wenn es sich bei der Adresse in Luxembourg um eine Tochterfirma in Europa handelt, unterliegt AWS EMEA SARL gleichwohl dem US CLOUD ACT.1 Datenschutz-Experten sehen allerdings einen klaren Konflikt mit der DSGVO, auch wenn AWS die Daten trotz CLOUD Act für sicher erklärt. In einem WDR-Beitrag bei Westpol am 20.09.2020 heißt es, dass der Staatssekretär darauf verweist, dass die Schulleitungen die datenschutzrechtliche Verantwortung haben, da sie die Verträge mit LOGINEO NRW Messenger unterzeichneten. Ministerin Yvonne Gebauer hat im Rahmen einer von BÜNDNIS 90/DIE GRÜNEN beantragten Aktuellen Viertelstunde im Schulausschuss des Landtags am 30.09.2020 erklärt, dass der Datenschutz gewährleistet sei, da die Daten auf Servern in Deutschland gespeichert werden und eine Herausgabe von Daten nur im Falle eines Ermittlungsverfahrens einer US-Behörde geschehe. 1 „Clarifying Lawful Overseas Use of Data Act“ Mit dem sogenannten CLOUD Act gilt seit Ende März 2018 ein US-Gesetz, das US-Behörden den Zugriff auch auf Daten gestattet, die US-amerikanische IT- Dienstleister oder Internetfirmen im Ausland speichern. LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode Drucksache 17/11713 2 Es stellt sich die Frage, wie belastbar diese Einschätzung ist und in wie weit sie im Vorfeld mit den zuständigen Stellen erörtert worden ist. Die Behörde der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI) hat laut des Beitrags für Westpol erklärt, nicht eingebunden worden zu sein. Ministerin Gebauer hat in der o.g. Ausschusssitzung mitgeteilt, dass es am 18.05. ein Telefonat, am 02.06. ein Gespräch und am 16.06. einen Mailkontakt mit dem LDI gegeben habe. Die Ministerin für Schule und Bildung hat die Kleine Anfrage 4497 mit Schreiben vom 4. November 2020 namens der Landesregierung beantwortet. Vorbemerkung der Landesregierung Die Kleine Anfrage gibt Anlass, auf die Aufgaben- und Rollenverteilung beim Datenschutz zwischen dem Ministerium für Schule und Bildung und der Landesbeauftragten für Datenschutz und Informationsfreiheit einzugehen. Nach § 2 des Datenschutzgesetzes (DSG) NRW trägt das Ministerium für Schule und Bildung als oberste Landesbehörde für den Schulbereich die Verantwortung für den Datenschutz, also insbesondere die Einhaltung der rechtlichen Vorgaben (sogenannte Ressortverantwortung). Daraus folgt, dass allein das Ministerium das Gesamtkonzept sowie die Koordination der Projektfamilie LOGINEO NRW datenschutzrechtlich verantwortet. Dazu gehört auch der mit der Kleinen Anfrage thematisierte LOGINEO Messengerdienst. Für die einzelne Schule stellt die jeweilige Schulleiterin oder der Schulleiter durch technische und organisatorische Maßnahmen sicher, dass der Schutz der verarbeiteten Daten gewährleistet ist (§ 1 Abs. 3 Satz 1 der Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern – VO-DV I, § 1 Abs. 5 der Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer – VO-DV II). Zu ihrer eigenen Rolle hat die Landesbeauftragte für Datenschutz und Informationsfreiheit in ihrer Handreichung „Pandemie und Schule – Datenschutz mit Augenmaß“ (Stand: 20. Oktober 2020) ausgeführt: „Die LDI NRW ist keine Einrichtung, die etwa der „Stiftung Warentest“ vergleichbar wäre. Sie selbst kann – schon aus kapazitativen Gründen – grundsätzlich keine Prüfung einzelner Softwareprodukte vornehmen. Sie ist regelmäßig keine Genehmigungsbehörde für Datenverarbeitungsprozesse oder Softwareprodukte. Sie ist auch keine Zertifizierungsstelle und spricht grundsätzlich keine ausdrücklichen Empfehlungen für einzelne Produkte aus. Vielmehr überwacht sie als Aufsichtsbehörde die Einhaltung datenschutzrechtlicher Vorschriften bzw. berät und informiert die öffentlichen Stellen in Belangen des Datenschutzes und der Datensicherheit (vgl. Art. 57 Datenschutz-Grundverordnung – DS-GVO, §§ 26, 27 DSG NRW). Darüber hinaus nimmt sie sich insbesondere auch der Beschwerden und Anfragen von Bürgerinnen, Bürgern sowie behördlichen Datenschutzbeauftragten an. Aus gutem Grund ist die LDI NRW eine von der Landesregierung unabhängige Landesbehörde, die bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse unabhängig ist (vgl. Art. 77a Abs. 2 Satz 1Verfassung für das Land Nordrhein-Westfalen, Art. 52 Abs. 1 DS- GVO, § 25 Abs. 2 Satz 1 DSG NRW). In Bezug auf das Thema „digitales Lernen“ ist die LDI NRW im Schulbereich zum einen mit Einzeleingaben befasst; zum anderen ist sie im Rahmen des Möglichen bestrebt, Verantwortliche in allgemeiner Hinsicht zu beraten und zu informieren.“ LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode Drucksache 17/11713 3 Um ihren gesetzlichen Aufgaben nachzukommen, ist die Landesbeauftragte für Datenschutz und Informationssicherheit schließlich nach § 27 Abs. 5 Satz 1 DSG NRW frühzeitig u.a. über Planungen zur Entwicklung und zum Aufbau von IT-Projekten, bei denen personenbezogene Daten verarbeitet werden, zu unterrichten. Dies ist bezogen auf die Einführung des LOGINEO Messengerdienstes geschehen. 1. Welche Kontakte hat es zwischen dem Ministerium und der LDI in Bezug auf LOGINEO NRW Messenger gegeben (bitte aufschlüsseln nach Kontaktart und beteiligten Personen)? Am 18. Mai 2020 fand ein Telefonat des zuständigen Abteilungsleiters im Ministerium für Schule und Bildung mit der Behördenleitung der Landesbeauftragten für Datenschutz und Informationsfreiheit statt, in dem allgemein auch über die weitere Planung in Bezug auf die neuen Produkte im Rahmen von LOGINEO NRW informiert wurde. Auf Initiative des Ministeriums für Schule und Bildung fand sodann am 2. Juni 2020 ein längeres Gespräch der Abteilungsleitung mit der stellvertretenden Behördenleitung der Landesbeauftragten für Datenschutz und Informationsfreiheit und einer weiteren Mitarbeiterin statt. Gegenstand des Gesprächs war auch die beabsichtigte Einführung des LOGINEO NRW Messengers. Mit einer Mail vom 22. August 2020 informierte das Ministerium für Schule und Bildung darüber hinaus die Landesbeauftragte für Datenschutz und Informationsfreiheit über den Start des LOGINEO NRW Messengers. Mit Schreiben vom 25. August 2020 bedankte sich die Landesbeauftragte für Datenschutz und Informationsfreiheit für die Information zum Start des LOGINEO NRW Messengers. 2. In welchen Kontakten wurde die Auftragsbearbeitung und die Frage beteiligter Subunternehmen besprochen? 3. Wann wurde Einvernehmen zwischen dem MSB und der LDI hinsichtlich der Einschätzung erzielt, dass die Beteiligung US-amerikanischer Firmen bzw. von deren Tochterfirmen unbedenklich ist auch unter Berücksichtigung des Cloud Act und der aktuellen EU-Rechtsprechung? Die Fragen 2 und 3 werden im Zusammenhang beantwortet: Die angesprochenen Punkte waren nicht Gegenstand der Gespräche mit der Landesbeauftragten für Datenschutz und Informationsfreiheit; vgl. die Ausführungen zur Aufgabenverteilung in der Vorbemerkung 4. Falls nicht, wie begründet das MSB die Unbedenklichkeit? Die Prüfung des LOGINEO NRW Messenger hat unter Einbeziehung von Rechtsanwälten und eines IT-Sachverständigen beim Datenschutz zu folgendem Ergebnis geführt: Der Einsatz von Unterauftragnehmern ist nach den Vorgaben des Art. 26 Abs. 2 DSGVO zulässig und üblich. Die Vorgaben für die Beauftragung von Unterauftragnehmern durch den LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode Drucksache 17/11713 4 sog. Auftragsverarbeiter sind in der Vereinbarung zur Auftragsverarbeitung LOGINEO NRW Messenger schriftlich fixiert worden und waren von Anfang an transparent. Darüber hinaus bestehen bei Amazon Web Services als Unterauftragnehmer datenschutzrechtlich keine Bedenken. Hierbei ist zunächst darauf hinzuweisen, dass der Server des Unternehmens mit Sitz in Luxembourg in Frankfurt a.M. steht. Zum einen handelt Amazon Web Services ausschließlich als (Unter-)Auftragsverarbeiter und damit auf Anweisung der jeweiligen Schule und des technischen Dienstleisters. Zum anderen berechtigt der CLOUD Act amerikanische Behörden nicht dazu, beliebig auf die bei amerikanischen Unternehmen im Ausland gespeicherte Daten zuzugreifen. Der Zugriff auf diese Daten setzt vielmehr die rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts voraus.2 Auch vor dem CLOUD Act war es in den Vereinigten Staaten allgemein anerkannt, dass US-Unternehmen die Daten von verdächtigen Personen auf eine solche Verfügung hin herausgeben müssen, unabhängig davon, in welchem Land die Daten gespeichert sind.3 Insofern unterscheidet sich die Rechtslage vor und nach dem CLOUD Act in den USA auch nicht von der Rechtslage in anderen Staaten, einschließlich Deutschlands.4 Das Risiko einer Herausgabe von Daten nach dem CLOUD Act würde überhaupt nur dann bestehen, wenn gegen Nutzende des LOGINEO NRW Messenger ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet worden ist. Dazu müsste die amerikanische Strafverfolgungsbehörde Kenntnis davon haben, dass die oder der Verdächtige den LOGINEO NRW Messenger nutzt und die Ermittlungsbehörde in den USA müsste ferner ermitteln, dass Amazon Web Services im Rahmen des LOGINEO NRW Messenger als Unterauftragnehmer des technischen Dienstleisters tätig geworden ist. Schließlich müsste die amerikanische Ermittlungsbehörde ein rechtmäßiges Herausgabeverlangen an die Muttergesellschaft von AWS EMEA SARL richten. Unabhängig von den hohen Hürden, die an eine Datenherausgabe – auch unter Anwendung des CLOUD Act – gestellt werden, ist der Messenger zusätzlich durch eine Ende-zu-Ende- Verschlüsselung geschützt. Die Daten der Kommunikation sind sowohl bei der Übertragung zwischen den Endgeräten der Nutzer und Amazon Web Services als auch während der Speicherung bei Amazon Web Services verschlüsselt und können von an der Kommunikation Unbeteiligten nicht gelesen werden. Selbst bei einer Herausgabe der Daten an amerikanische Ermittlungsbehörden wäre der übermittelte Datensatz aufgrund der Verschlüsselung nicht verwertbar. Schließlich sei darauf hingewiesen, dass sich Amazon Webservice auch auf namhafte Referenzprojekte berufen kann: u.a. Deutsche Bahn, Europol, European Space Agency (ESA), Technische Universität München. Hinsichtlich des Verweises auf die „EU-Rechtsprechung“ wird davon ausgegangen, dass hiermit das sog. Schrems II-Urteil des Europäischen Gerichtshofs gemeint ist.5 Das Urteil betrifft die Übertragung von personenbezogenen Daten auf der Grundlage der Angemessenheitsbeschlüsse der EU-Kommission nach Art. 45 f. DSGVO hinsichtlich der EU- 2 Vgl. Determann/Nebel „U.S. CLOUD Act – Wolken über der Datenschutz-Grundverordnung?” Computer und Recht, Jahrgang 2018, S. 408 ff. 3 Ebd. 4 Ebd. 5 EuGH, Urteil vom 16.07.2020 – C-311/18 – Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems. LANDTAG NORDRHEIN-WESTFALEN - 17. Wahlperiode Drucksache 17/11713 5 Standardvertragsklauseln6 und hinsichtlich des EU-US Privacy Shield7. Da im Rahmen von LOGINEO NRW Messenger ausschließlich Server mit dem Standort in Deutschland eingesetzt und gerade keine Daten in die USA übertragen werden, hat das Urteil auf den LOGINEO NRW Messenger keine Auswirkungen. 5. Wo und wie sollen sich Schulleitungen, die die Musterverträge mit LOGINEO NRW Messenger unterzeichnet haben oder unterzeichnen wollen, datenschutzrechtlich informieren, um ihrer datenschutzrechtlichen Verantwortung gerecht zu werden, die laut MSB auch in Bezug auf den LOGINEO NRW Messenger gegeben ist? Zur Unterstützung und Entlastung der Schulleitungen bzw. Leitungen der Zentren für schulpraktische Lehrerausbildung sind vom Ministerium für Schule und Bildung u. a. die folgenden Aufgaben im Rahmen der Projektverantwortung übernommen worden: 1. Gewährleistung und Sicherstellung der in der Auftragsverarbeitungsvereinbarung genannten Pflichten des Auftragsverarbeiters zur Mitwirkung an der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz- Folgeabschätzungen, 2. die Abstimmung und Begutachtung der vom Auftragsverarbeiter ergriffenen technischorganisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO, 3. Sicherstellung des Beschäftigtendatenschutzes im Rahmen der Mitbestimmung gem. LPVG, 4. Unterstützung der Schulen durch Informations- und Qualifizierungsangebote, 5. Bereitstellung und Abstimmung von Dokumenten, u. a. Administratorenverpflichtung, Verzeichnis der Verarbeitungstätigkeiten, Vereinbarung zur Auftragsverarbeitung, Datenschutzerklärung, 6. Konzeption und Abstimmung von Prozessen, u. a. zur Beantragung, Administration und Nutzung der Produkte, 7. Bereitstellung eines Produkt-Supports, 8. Weiterentwicklung des Systems. Weitere umfassende Beratung und Unterstützung erhalten die Schulleiterinnen und Schulleiter durch die zuständigen behördlichen Datenschutzbeauftragten für die öffentlichen Schulen in NRW. 6 Beschluss 2010/87/EU der Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46 (ABl. 2010, L 39, S. 5) in der durch den Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. Dezember 2016 (ABl. 2016, L 344, S. 100) geänderten Fassung. 7 Durchführungsbeschlusses (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46 über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes (ABl. 2016, L 207, S. 1).