Szenarien: Bewertung von Angeboten
Szenario 1: Ein Bildungsangebot wird bei AWS gehostet
Ein Anbieter hostet sein digitales Bildungsangebot bei AWS (ein US-Cloudanbieter) und folgende Kriterien werden erfüllt:
NUTZUNGSVERTRAG
- Der Diensteanbieter (hier: AWS) hat einen europäischen Sitz (hier: Luxemburg).
- Keine der Klauseln widersprechen den Teilnahmekriterien. Beispielsweise „Wenn es rechtlich notwendig in Staaten außerhalb der EU ist, behält sich der Dienstleister vor Daten an diese Drittstaaten weiterzugeben.“ oder der Vertrag darf keinen direkten Datentransfer in Drittstaaten enthalten.
- Der Vertrag enthält nur eine Datenverarbeitung innerhalb von Europa. Ggf. nur für einzelne eingesetzte AWS-Komponenten wie S3, AI, etc.
KONFIGURATION
- Der Bildungsanbieter erhält nur Pseudonyme von Schüler:innen und nur diese werden verarbeitet.
- Natürliche Personen dürfen mit vertretbarem Aufwand nicht identifizierbar sein.
- Die Daten dürfen nur in Europa verarbeitet werden.
- Es darf kein Fernwartungszugang ermöglicht werden. Unsere Empfehlung wäre zusätzlich das Confidential Computing.
Bewertung in der Pilotphase
Wird das Angebot bei AWS gehostet, aber die oben genannten Bedingungen sind erfüllt, wird das Angebot folgendermaßen eingestuft:
Die Teilnahmekriterien von VIDIS werden ausreichend erfüllt.*
*Voraussichtlich geringes Risiko. Außerdem ist die Rechtslage derzeit unklar; nach Abwägung wird die Praxis bis auf Weiteres geduldet.
*Diese Bewertung kann sich allerdings in der Betriebsphase oder nach gerichtlichen Entscheidungen noch ändern.
Szenario 2: Push-Nachrichten werden über mobile Betriebssysteme verschickt
Ein digitales Bildungsangebot bietet den Zusatzservice an, Push-Nachrichten an Nutzer:innen mobiler Endgeräte zu verschicken, um beispielsweise auf neue Aufgaben hinzuweisen. Das digitale Bildungsangebot ist auch problemlos ohne Push-Nachrichten verwendbar. Wenn Push-Nachrichten über mobile Betriebssystem wie Android oder iOS verschickt werden, kann es zu einem Datentransfer in ein Drittland (z.B. in die USA) kommen. Dies soll ausgeschlossen werden.
FREIWILLIGE EINWILLIGUNG
Die freiwillige Einwilligung dürfte derzeit der einzige halbwegs rechtssichere Weg sein, einen Datentransfer in die USA zu bekommen, und die Einwilligung könnte auch freiwillig sein, wenn es sich um arbeitserleichternde Tools handelt. Problematisch ist, dass die Einwilligung in den Drittstaatentransfer nach Auffassung der deutschen Aufsichtsbehörden für einen dauerhaften und regelmäßigen Datentransfer nicht möglich ist.
Mobile Betriebssysteme (Android, iOS) haben bereits sehr granulare Möglichkeiten Push-Nachrichten zu konfigurieren bzw. man muss als Nutzer:in bereits immer zunächst einwilligen. Allerdings müsste im Rahmen von VIDIS der Diensteanbieter wahrscheinlich ein eigenes Einwilligungsmanagement implementieren (bzgl. dauerhaftem & regelmäßigem Datentransfer). Des Weiteren dürften keine Klardaten direkt über die Infrastruktur verschickt werden.
Bewertung in der Pilotphase
Werden über mobile Betriebssysteme wie Android oder iOS Push-Nachrichten verschickt, und findet die Einwilligung über das Endgerät statt bzw. wird ein Einwilligungsmanagement von Seiten des Anbieters implementiert, wird das Angebot folgendermaßen eingestuft:
Die Teilnahmekriterien von VIDIS werden ausreichend erfüllt.*
*Voraussichtlich geringes Risiko. Außerdem ist die Rechtslage derzeit unklar; nach Abwägung wird die Praxis bis auf Weiteres geduldet.
*Diese Bewertung kann sich allerdings in der Betriebsphase oder nach gerichtlichen Entscheidungen noch ändern.
Änderung der „Rechtslage“
Änderung der „Rechtslage“ wäre beispielsweise:
- Änderung der Gesetzeslage
- Neue Rechtsprechung
- Beschluss der DSK (Datenschutzkonferenz)