Bremer Aufsichtsbehörde äußert sich zu iCloud

Im 6. Tätigkeitsbericht der Bremer Landesbeauftragten für Datenschutz und Informationsfreiheit geht es auch um die schulische Nutzung der iCloud. Im September 2021 hatte die Senatorin für Kinder und Bildung in einer Mitteilung die Nutzung der iCloud für pädagogische Zwecke für zulässig erklärt und dabei auch vorgegeben, dass Daten der Schülerinnen und Schüler mit normalem Schutzbedarf bei Nutzung der iCloud verarbeitet werden dürfen. Man hatte sich bei der Bewertung der datenschutzrechtlichen Risiken auf den Datenschutzbeauftragten des „Ministeriums“ verlassen, der mit Apple im Austausch gewesen war. Die Aufsichtsbehörde hatte man nicht beteiligt. Diese wurde im Nachgang jedoch aktiv, da es datenschutzrechtliche Bedenken gab, und forderte von der Senatorin eine Datenschutz-Folgenabschätzung ein, welche „aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung“ als erforderlich angesehen wurde. Unterlagen, welche die Senatorin an die Aufsichtsbehörde hatte übermitteln lassen, konnten dort die bestehenden datenschutzrechtlichen Bedenken nicht ausräumen.

Die Aufsichtsbehörde führt mehrere Kritikpunkte an.

  • Keine Erforderlichkeit: Für die Aufsichtsbehörde ergibt sich aus § 2 Absatz 1 Bremisches Schuldatenschutzgesetz (BremSchulDSG)  keine ausreichende Rechtsgrundlage für eine Nutzung der iCloud. Da an den Schulen bereits sei Jahren itslearning als Dateiablage eingeführt ist, ist die Nutzung der iCloud zur Erfüllung des Unterrichts- und Erziehungsauftrages der Schulen nicht erforderlich.
  • Zweifel an der Freiwilligkeit: Die Aufsichtsbehörde zweifelt an der Freiwilligkeit der Nutzung der iCloud, da die die Einwilligung begleitenden Informationen zur Datenverarbeitung widersprüchlich darüber informieren, dass die Verarbeitung der Daten der Schülerinnen und Schüler zur Erfüllung des Unterrichts- und Erziehungsauftrages erfolge. Außerdem fehlt laut Aufsichtsbehörde ein Konzept zur Sicherung der Daten von Schülerinnen und Schülern, welche iCloud nicht nutzen möchten.
  • Mehr als normaler Schutzbedarf: Da laut den Unterlagen der Senatorin für Kinder und Bildung in iCloud „unter anderem auch Unterrichtsdaten, Kalenderdaten, Kontaktdaten, der Verlauf in Safari, Lesezeichen, Fotos und Sprachmemos verarbeitet“ verarbeitet werden, kann nach Ansicht der Aufsichtsbehörde nicht mehr von einem normalen Schutzbedarf ausgegangen werden.
  • Absicherung von Übermittlungen in die USA: Kritisch sieht die Aufsichtsbehörde auch die mögliche Speicherung von Daten in iCloud Rechenzentren außerhalb der EU. Eine Übermittlung in die USA setzt laut Aufsichtsbehörde aber voraus, dass der Auftragsverarbeiter „zusätzliche Maßnahmen in erforderlichem Umfang im Sinne der Rechtsprechung des Europäischen Gerichtshofes (Schrems II) trifft sowie der Empfehlung des Europäischen Datenschutzausschusses 1/2020 gegen Zugriffe von US-Behörden nachkommt.“ Auf Nachfrage bei der Senatorin für Kinder und Bildung, wie die personenbezogenen Daten der schulischen Nutzer vor möglichen Offenlegungen gegenüber US Behörden geschützt werden, erhielt die Aufsichtsbehörde keine Rückmeldung.
  • Einhalten der Löschbestimmungen: Ungeklärt ist für die Aufsichtsbehörde auch, wie die Löschung der personenbezogenen Daten der Nutzer nach Beendigung des Auftragsverarbeitungsverhältnisses durch die Senatorin für Kinder und Bildung sichergestellt wird.

Da die Senatorin für Kinder und Bildung die Aufsichtsbehörde bisher nicht überzeugen konnte, dass die schulische Nutzung der iCloud im Einklang mit der DS-GVO erfolgt, sah diese sich zum Handeln gezwungen:

„Aufgrund der bestehenden Bedenken, wiesen wir die Senatorin für Kinder und Bildung darauf hin, dass die Nutzung der iCloud rechtswidrig und einzustellen ist, sofern kein ausreichender Nachweis erfolgt, dass die Anforderungen des europäischen Datenschutzrechtes eingehalten werden.“

Bewertung

Für die Senatorin für Kinder und Bildung ist die Anweisung der Aufsichtsbehörde ein schwerer Schlag. Sie reiht sich damit ein in die Riege der Schulministerien, die ohne Beteiligung und Absicherung durch die Aufsichtsbehörde eine Plattform für Schulen eingeführt hatten und sich dann von der Aufsichtsbehörde dafür haben maßregeln lassen müssen.

Ob die Nutzung von iCloud für unterrichtliche Zwecke möglich ist, beschäftigt viele Schule in allen Bundesländern, nicht zuletzt auch in NRW. Die Unsicherheit ist groß, bei den Schulen selbst wie bei den Schulträgern, welche die vielen beschafften iPads verwalten und die Nutzung der iCloud über das MDM freigeben müssen. Als im September 2021 die (vermeintlich) gute Nachricht aus Bremen kam, sahen sich viele dadurch abgesichert, vor allem da sich bis dahin keine Aufsichtsbehörde zur iCloud positioniert hatte. Sofern die Bremer jetzt nicht ein Wunder vollbringen, kann sich niemand mehr auf Bremen berufen. Vielmehr muss man in anderen Bundesländern sogar damit rechnen, dass andere Aufsichtsbehörden sich des Themas nun möglicherweise auch annehmen werden. Die iCloud ist praktisch. 200 GB freier Speicherplatz je Nutzer und eine einfache Möglichkeit, Daten zu sichern wie auch kollaborativ zusammenzuarbeiten. Bräche das jetzt weg, ginge die Welt nicht unter. Viele Schulen arbeiten ohne die iCloud, häufig da die Schulträger sie wegen Datenschutzbedenken nicht freigeben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert