Das Thema Datenschutz und Cloud Computing sorgt wieder einmal für Schlagzeilen. Das Bundesland Hessen hat Anfang Juli die Nutzung von Office 365 an Schulen verboten. Wieder einmal geht es darum, wo die Daten, die mit der Cloud-Lösung bearbeitet werden, gespeichert werden und was sich daraus für das Einhalten der derzeit geltenden datenschutzrechtlichen Vorgaben ergibt.
In einer Stellungnahme am 9. Juli 2019 erklärt der hessische Landesdatenschutzbeauftragte Michael Ronellenfitsch: “Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern..”
Die Nutzung von Cloud-Anwendungen durch Schulen, so Ronellenfitsch, ist generell kein datenschutzrechtliches Problem. In der Microsoft Deutschland-Cloud sei auch die Verwendung von Office 365 in Ordnung gewesen, soweit die von Microsoft zur Verfügung gestellten Werkzeuge (z.B. Rollen- und Berechtigungskonzept, Protokollierung etc.) durch die Schulen sachgerecht Anwendung gefunden hätten.
Im August 2018 hat Microsoft dann aber der Öffentlichkeit mitgeteilt, dass für die Deutschland-Cloud keine Verträge mehr angeboten werden und der Vertrieb dieses Produkts eingestellt wird.
Die Schule als öffentliche Einrichtung dürfe die personenbezogenen Daten der Schüler jedoch nicht “in einer (europäischen) Cloud speichern, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist”
Das gleiche gilt laut hessischer Datenschutzbehörde auch für die Cloud Anwendungen von Google und Apple.
DSGVO vs. Cloud Act
Mit seiner Stellungnahme spricht der hessische Datenschutzbeauftragte einen Themenbereich an, der schon seit mehreren Jahren die Gerichte, Experten und Fachöffentlichkeit beschäftigt und mit der Einführung der DSGVO in der EU sowie der Verabschiedung des Cloud Act in den USA so etwas wie einen Höhepunkt der Unsicherheit erreicht hat.
Cloud Computing Report Podcast: Bleiben Sie auf dem Laufenden!
Sie möchten regelmäßig über neue Folgen im Cloud Computing Report-Podcast informiert werden, dann abonnieren Sie am besten Cloud Computing Report Podcast bei Apple Podcasts, Spotify oder Google Podcasts.
Literaturtipp: Cloud Computing in Deutschland – vom ASP-Hype bis heute
Und zum Abschluss wieder der Hinweis auf das Buch “Cloud Computing in Deutschland – vom ASP-Hype bis heute“. Das Fachbuch von Cloud Computing Report-Herausgeber Werner Grohmann ist als Hardcover/Paperback oder als E-Book erhältlich.
7 Gedanken zu „Folge 32: Cloud Computing und Datenschutz – DSGVO vs. Cloud Act“