Cloud Computing beschreibt den Ansatz, allgemeine IT-Infrastrukturen, wie Daten-speicher, Rechenkapazität, Netzwerkkapazitäten oder auch Anwendungssoftware, sowie die Verarbeitung der Datenbestände des Kunden dynamisch an den Bedarf angepasst über ein Netzwerk durch einen Dienstleister zur Verfügung zu stellen.
Bei der Verwendung von Cloud-Diensten im Bereich der Schul-IT ist folgendes zu beachten:
Wenn Sie Cloud-Dienste verwenden möchten und dabei personenbezogene Daten verarbeiten, sollten Sie genau auf die Datenschutzrichtlinien des Anbieters achten. Es handelt sich auch hier, wie bei Drittanbietern bei Lernplattformen, um eine „Auf-tragsverarbeitung“ personenbezogener Daten. Der Auftrag ist schriftlich zu vergeben (Inhalt des Auftrages richtet sich nach Art. 28 EU-DSGVO) und die Schule als Kunde ist und bleibt für die ausgelagerten personenbezogenen Daten verantwortlich. In der Regel genügt die Einwilligung in AGBs bzw. Nutzungsbedingungen nicht dieser Anforderung. Vorlagen für einen solchen Vertrag finden Sie unter Datenschutz an Schulen.
Auf jeden Fall müssen vom Auftragnehmer insbesondere folgende Informationen vorliegen bzw. im Vertrag aufgeführt sein:
- Eine konkrete Benennung der eingesetzten Hardware, Software und Vernetzung.
- Eine präzise Darstellung der bereits durch den Anbieter getroffenen technischen und organisatorischen Datenschutzmaßnahmen.
- Der Vertrag darf keine Aussage darüber enthalten, dass die AGBs bzw. andere Vertragsbestandteile einseitig geändert werden können.
- Eine abschließende und vollständige Auflistung aller Stellen, Personen oder Firmen an die Daten übermittelt werden.
- Die Schule muss sich von den vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen. Wenn die Schule nicht die Mittel und Möglichkeiten hat, die ordnungsgemäße Verarbeitung ihrer Daten beim Cloud-Anbieter zu überprüfen, könnten aktuelle und aussagekräftige Nachweise, beispielsweise Zertifikate von anerkannten und unabhängigen Prüfungsorganisationen, herangezogen werden.
- Verpflichtung des Dienstleisters zur Vertraulichkeit.
- Unterstützungspflicht des Dienstleisters bei der Umsetzung der Betroffenenrechte durch den Verantwortlichen.
- Lösch- oder Rückgabepflicht der Daten nach Anschluss der Verarbeitung.
Sollten diese Information nicht vorliegen oder sollte die Schule nicht in der Lage sein, diese Punkte zu beurteilen, so ist eine Beauftragung nicht zu empfehlen.
In der Regel entspricht nur ein kleiner Anbieterkreis den Vorgaben des Landesdatenschutzgesetzes für Baden-Württemberg. Eine Verarbeitung personenbezogener Daten von Schulen außerhalb des Geltungsbereichs der EU-DSGVO sollte grundsätzlich unterbleiben und ist nur im Ausnahmefall (z.B. Auslandsschule) mit Zustimmung des Kultusministeriums zulässig.
Bei US-amerikanischen Anbietern ist noch eine Besonderheit zu beachten: Diese Anbieter sind auch bei Rechenzentren, die im europäischen Wirtschaftsraum liegen, der Gesetzeslage in ihren Heimatländern verpflichtet. Dies bedeutet im konkreten Fall, dass Daten aus diesen Rechenzentren US-Sicherheitsbehörden zugänglich gemacht werden können. Aus der Sicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfD) stellt die mögliche Datenweitergabe aus dem EU-Gebiet heraus die Inanspruchnahme derartiger Cloud-Angebote grundsätzlich in Frage (siehe 30. Tätigkeitsbericht des LfD)
Auf den nachfolgenden Seiten werden unterschiedliche cloudbasierte Dienste vorgestellt, die in unterschiedlichen, nicht scharf voneinander trennbaren Kategorien anhand von Anbieterbeispielen betrachtet werden.
Das Kultusministerium ist bemüht, immer datenschutzrechtlich zulässige Alternativen zu Anbietern oder Diensten aufzuzeigen, die rechtlich mit den europäischen, deutschen oder landeseigenen Gesetzen in Einklang zu bringen sind und somit Rechtssicherheit für unsere Lehrkräfte und Schulen bedeuten.
Nachfolgend werden folgende Kategorien genauer aufgeführt: