Unter dem Titel „Cloud-Computing in der Schule“ setzt sich die Aufsichtsbehörde Sachsen im Tätigkeitsbericht Datenschutz für das Jahr 2023 mit der schulischen Nutzung von US amerikanischen Dienstleistern und anderen nicht-EU Dienstleistern auseinander, die ihre Dienste über Server bzw. die Cloud anbieten. Laut der Verwaltungsvorschrift (VwV) Schuldatenschutz sind an Schulen in Sachsen „… nur solche Cloud-Computing-Dienste zulässig, auf die das Recht der EU Anwendung findet.“ Durch diese Regelung war es in der Vergangenheit auch nicht möglich, Cloud-Anbieter aus der Schweiz (wie etwa Learning View) zu nutzen. Die Aufsichtsbehörde nahm das EU-US Data Privacy Framework zum Anlass, beim Sächsischen Kultusministerium nachzufragen. Man kam gemeinsam zu dem Verständnis, dass Schulen auch Cloud–Dienstleister aus Ländern nutzen können, für die ein Angemessenheitsbeschluss gemäß Art. 45 DS-GVO vorliegt, da dieses diesen Ländern ein der EU vergleichbares Datenschutzniveau zuspricht. Auch wenn so viele Schulen in Sachsen, nun auch Dienstleister aus der Schweiz oder den USA infrage kommen zur Verarbeitung von personenbezogenen Daten, so müssen Schulen sicherstellen, dass die Verarbeitung von personenbezogenen Daten aus der Schule durch diese Anbieter mit den Bildungsauftrag vereinbar ist. Abschließend weist die Aufsichtsbehörde darauf hin, dass für die USA die Möglichkeit nur so lange besteht, wie der Angemessenheitsbeschluss wirksam ist. Wird er wie zuvor durch den EuGH gekippt, würde die Datenverarbeitung im Auftrag der Schule automatisch rechtswidrig und könnte sanktioniert werden.
Bewertung
Es ist interessant, dass eine Aufsichtsbehörde von sich aus auf ein Schulministerium zu geht, um eine sehr restriktive schulrechtliche Vorgabe zur Nutzung von Cloud-Dienstleistern zu erörtern. In den meisten Fällen ist es genau umgekehrt. Die Aufsichtsbehörde ist der Ansicht, dass Schulrecht oder das Schulministerium lässt zu viel zu. In diesem Fall dürfte es der Aufsichtsbehörde nicht primär um die Nutzung von US Cloud-Dienstleistern gegangen sein, sondern um Anbieter aus anderen Ländern, für die ein Angemessenheitsbeschluss vorliegt, wie etwa die Schweiz.