Das mit dem „cloud act“ ist doch nicht so einfach…

Immer wieder hört man, dass die Lagerung von Daten in der Cloud nicht zu verantworten ist, weil die USA via „cloud act“ Zugriff auf diese Daten hätten.

Danny Frischknecht

Diese Betrachtung ist aber insofern stark vereinfacht, da es doch einige Barrieren gibt, bevor das geschieht.

Rechtliche Grundlage

Grundsätzlich gibt es eine Verpflichtung für amerikanische Unternehmen, auch Kundendaten herauszugeben (Stored Communications Act (SCA). Die diese Verpflichtung noch vor Cloud-Zeiten entstand, wurde er 2018 durch den Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ergänzt.
Wichtig dabei ist; dass alle US-Unternehmen bei Vorlage eines Strafbefehls die Daten aus den USA vorlegen müssen, dass aber bei Daten in anderen Ländern die dort geltenden Datenschutzrichtlinien respektiert werden müssen, allerdings nur unter bestimmten Voraussetzungen. 
Keine US-Behörde, auch nicht das FBI, kann also nach Lust und Laune auf Daten ausserhalb der USA zugreifen.

Verhältnismässigkeit und Wahrscheinlichkeit

Selbstverständlich müssen Schulen darauf achten, wo sie Daten lagern, insbesondere Personendaten oder gar vertrauliche Personendaten. Das sagen auch die Schweizer Datenschutzgesetze.
Daraus abzuleiten, dass solche Daten unter keinen Umständen in der Cloud gelagert werden dürfen, greift aber eindeutig zu kurz. Man kann sich mit Fug und Recht fragen, inwiefern ein Strafbefehl vorgelegt werden könnte, der sinnvoll begründet, warum auf die Daten einer Schule in der Schweiz zugegriffen werden müsste (Dokumente, eMails).
Kommt dazu, dass sich das amerikanische Unternehmen dagegen wehren, also Einspruch erheben kann. Das hat dann eine gerichtliche Beurteilung zur Folge, im Übrigen auch gegen den Zugriff auf amerikanische Server.
Kommt nun dazu, dass die Daten auf Schweizer Servern liegen, sind die Hürden noch einmal höher, da ja auf die in anderen Ländern geltenden Datenschutzrichtlinien Rücksicht genommen werden muss. Es dürfte also eine gute Begründung brauchen, was zum Beispiel im Falle des Verstosses gegen Steuergesetze, bei Kapitalverbrechen, Spionage oder bei Terrorismusverdacht der Fall sein dürfte. Ob da der eMailverkehr des Schulpräsidenten X mit dem Schulleiter Y in Gefahr ist – wohl kaum.

Was ist also zu tun?

Selbstverständlich müssen Schulen die geltenden Datenschutzgesetze einhalten. Gleichzeitig braucht es aber auch etwas gesunden Menschenverstand und Augenmass bei der Umsetzung.
So etwa zum Aufbau einer eigenen Serverinfrastruktur; seien wir ehrlich, woran kommt man leichter; an Daten auf einem durchschnittlichen Schulserver oder an die Daten auf einer Serverfarm etwa von GOOGLE, APPLE oder MICROSOFT?
Viel wichtiger ist es, Schulbehörden, Schulleitungen und Lehrpersonen zu sensibilisieren und sie nach Bedarf zu schulen. Dabei darf nicht vergessen werden, dass sensible Daten nicht nur in der Cloud, auf dem eigenen Server oder den Arbeitsgeräten der Lehrpersonen potenziell gefährdet sind, sondern auch in analoger Form auf dem Lehrerpult, im Lehrerzimmer oder auf dem Vorlagenglas des Fotokopierers. Immer wieder einmal hört man auch davon, dass Protokolle von Elterngesprächen per Couvert durch die Schülerinnen u Schüler nachhause gebracht werden.
Bei der Planung der Datenablage gibt es zwei Grundvoraussetzungen:
– eine Datenklassifizierung, damit alle Betroffenen wissen, welche Daten nun wie sensibel sind
– eine sinnvolle Struktur und Policy (Rechtevergabe) in der Datenablage (Server und Cloud).

Wenn alle beteiligten Personen dann vernünftig und verantwortlich handeln, dürfte die Sicherheit der Daten deutlich höher sein, als vielerorts die Sicherheit auf Pausen- und Spielplätzen oder dem Schulweg.

Einige spannenden Links mit vertiefenden Informationen:

https://www.srf.ch/news/international/apple-wehrt-sich-gegen-fbi

https://datenrecht.ch/microsoft-ist-nicht-verpflichtet-der-us-regierung-ausserhalb-der-usa-liegende-daten-herauszugeben/

https://de.wikipedia.org/wiki/United_States_Court_of_Appeals

https://datenrecht.ch/erste-reaktion-von-microsoft-auf-schrems-ii-und-die-edsa-empfehlungen/