Jan Heilig

Team Coach2Talk

Clouds & Datenschutz für Träger ab 1.8.2021


Mit 31.7. 2021 enden die bisherigen Ausnahmeregelungen der Bundesagentur für Arbeit, an der sich auch die Jobcenter orientieren. Das betrifft in massiver Weise die Frage nach den verwendeten digitalen Lösungen im geförderten Coaching und der Weiterbildung - in der Regel also Cloudlösungen. 

Was sind Cloudlösungen? So ziemlich alle Online-Dienste, die Träger für ihre hybriden Maßnahmen verwenden. Digitale Dienste, sofern sie für viele Teilnehmer:innen von überall her verfügbar sind, insbesondere Dienste von externen Anbietern. Dazu zählen z.B. Teams, Whatsapp, Jitsi, Microsoft 365 & Outlook dort, Dropbox, Zoom, Gdrive, Onedrive, Gmail, tw. Wordpress usw usw.

Wer hybrid anbietet, kommt um Cloudlösungen nicht herum. Beides stellt ja auch die Zukunft bzw. inzwischen schon die Gegenwart dar. 


Die Situation ändert sich nun. Platt gesagt: Bisher hat Corona zu provisorischen digitalen Notlösungen geführt, nun aber ist Professionalisierung gefordert. Das betrifft vor allem den Datenschutz. 



Im Bildungsmarkt wünschen sich viele klare Ansagen, was dabei nun erlaubt und zertifizierungsfähig ist. Aber es gibt dazu keine Listen und kann es auch nicht wirklich geben - denn Dienste und Anbieter wandeln sich ständig.

Beispiel: Microsoft war und ist strittig, trat dann dem "safe harbour" abkommen bei und wurde DSGVO-konform (mehr oder weniger), nur um dann nach dem EU Urteil Schremps diesen Status für die Mehrheit der Datenschützer wieder zu verlieren: Die Datenschutzkonferenz (DSK aus Bund und Ländern) hat sich knapp dagegen entschieden, während einzelne Länder (z.B: BW, BY, Hessen), sich da noch nicht festelegen wollten. 



Die einzelnen Stationen dazu sind schnell erzählt:

Das SGB X misst sowieso dem Datenschutz von Sozialdaten einen besonders hohen Schutzstatus zu. Der NSA-Skandal 2014 hat die Dringlichkeit eines Europäischen Weges zum Schutz der Bürgerdaten noch verdeutlicht.

2018 wurde das durch Trumps "Cloud Act" sogar amtlich: Selbst Server in der EU müssen dem Zugriff von US-Behörden offenstehen, wenn ihre Betreiber US-amerikanische Firmen sind. Im selben Jahr erblickte dann die neue Version der DSGVO das Licht der Welt, angereichert mit reichlich drakonischen Strafen bei Nichtbeachtung - die US-Anbieter traten noch massiver dem save-harbour Abkommen bei und erhöhten ihre DSGVO-konformität deutlich. Zoom stieg dabei vom kritisch beäugten Datenhalodri zum sicheren Standart der Videochatlösungen auf.

Das EU Urteil "Schremp II" hat dem allen ein Ende bereitet: US-Anbieter sind kategorisch nicht DSGVO-konform. Safe harbour war und ist damit Geschichte, ein alternatives Abkommen für US-Firmen ist nicht in Sicht.



   



Das alles geschah noch vor Corona. Als dann die Pandemie den Weiterbildungsmarkt und die Arbeit der Jobcenter in Präsenz unmöglich machte, wurden Ausnahmeregelungen eingeführt: Auch ohne Nach-Zertifizierung konnten Maßnahmen und Weiterbildungen nun online fortgeführt werden. 

Es gab in dieser Phase keine oder kaum Kritik an der Wahl der digitalen Lösungen. Aber diese Phase ist mit dem 31.7.2021 vorbei. Inzwischen ist klar: Hybrid ist der neue Standart, jedoch sind nun für den Einsatz von Cloud-Diensten von der BA klare Regeln definiert worden: 


Ich habe versucht, diese einmal anschaulich umzusetzen. Es gibt im Grunde drei Varianten: 

US-basierte Clouds (www Clouds) - die nur durch Anonymisierung der Daten nutzbar sind.

EU-basierte Clouds - die bei Datenhoheit erlaubt sind / Coach2Talk z.B. fällt in diese Kategorie.

Eigene Clouds - also der Server im eigenen Keller, eine Lösung, die bei einigen großen Trägern gewählt wurde.

Manche Dienste fallen je nach Art des Einsatzes unter mehrere Kategorien. So ist Jitsi inzwischen ein US-amerikanisches Unternehmen, jedoch beim Einsatz in der eigenen Cloud - also auf eigenen Servern - kann sie komplett unabhängig betrieben werden - im ersten Fall wäre sie klar nicht DSGVO-konform und Daten müssten anonymisiert werden. Im zweiten ist sie ohne Einschränkungen nutzbar. 

Whatsapp als Facebook-Tochter wiederum kann rein technisch niemals anonymisiert eingesetzt werden, da es zwingend mit der Handynummer der Nutzer gekoppelt ist, die auch auf die Server der Firma übertragen wird. 

Um für unterschiedliche Träger eine grobe Entscheidungshilfe zu bieten, habe ich einmal eine Einschätzung nach Aufwand und Sicherheitsstufe der drei Varianten aufgestellt. Dabei ist Aufwand nicht nur finanziell sondern auch vom Arbeitsaufwand her zu verstehen - Sicherheit wiederum betrifft sowohl den Schutzstatus als auch die Sicherheit vor Datenverlust (kaputte Festplatten / Virenbefall usw). 


EU-Clouds sind dabei vom Sicherheitsniveau den eigenen Clouds ebenbürtig. Einfach weil selbstverwaltete Server zwar physisch nur dem Betreiber zugänglich sind, in der Regel aber nicht das Sicherheitsniveau und die Ausfallsicherheit einer EU-Serverfarm erreichen können. Auch der menschliche Faktor spielt hier eine große Rolle. EU-Clouds haben ausgefeilte Backupsysteme und sehr hochwertige Firewalls gegen Bedrohungen von Hackern oder Viren.  100% Sicher sind natürlich auch sie nicht.

Bei den Kosten und dem Verwaltungsaufwand können Sie gegen Cloud-Dienste sowieso nicht mithalten, allerdings sind sie deutlich individueller zu konfigurieren. Wenn man z.B. eine eigene spezielle Softwarelösung programmieren lässt - auch dass ein recht hohes Anfangsbudget. Dieser Weg eignet sich daher nur finanzstarke große Träger. 

Am Ende des Tages sind es die Träger, welche die Datensicherheit durch Eigenerklärungen (Datenschutzfolgeabschätzung) zu gegenüber den Auftraggebern zu verantworten haben - und damit auch die Wahl ihrer jeweiligen Cloud-Lösungen.  

Hier alle Richtlinien zur Entscheidungsfindung daher noch einmal zusammengefasst: