Dienstag, 12. Juli 2011

Und immer wieder: Datenschutz!

Im schulischen Kontext dürfen wir Daten nur in die Cloud geben, wenn sie in der EU gehostet werden oder bei Unternehmen, die sich dem "safe harbor-Abkommen" angeschlossen haben und das auch im Einzelfall bestätigen.
Dropbox scheidet aufgrund seiner neuen Datenschutzbestimmungen aus (http://news4mobiles.de/index.php/2011/05/dropbox-verschlechtert-den-datenschutz/)
Google hat neue, sehr verbesserte Datenschutzbestimmungen, hat sich auch dem "safe harbor-Abkommen" angeschlossen, ist aber weder telefonisch noch per Mail zu erreichen und hat die -von mir auf seinem Kontakt-Formular- gestellten Fragen, die ich unten auch an Apple geschickt habe, innerhalb von zwei Wochen nicht beantwortet.

Bei Apple fragte ich bzgl. des Datenschutzes von iCloud an und wurde gebeten, die Fragen per Mail einzureichen, damit sie an den oder die Zuständigen weitergeleitet werden können.
Ich schrieb:

Sehr geehrte Frau Reis,

wie in der vergangenen Woche schon telefonisch besprochen. hier noch einige Fragen zum Datenschutz:
  • Wir dürfen im schulischen Bereich personenbezogene Daten nur in Ländern speichern, in denen die Datenschutzrichtlinien der EU gelten bzw. die dem "safe harbor-Abkommen" beigetreten sind.
    • Wo wird Apple bei iCloud die Daten hosten?
    • Ist Apple dem safe harbor-Abkommen beigetreten?
    • Folgende Informationen zum safe harbor-Abkommen fand ich in Wikipedia:
    • Deutsche Aufsichtsbehörden und Safe Harbor [Bearbeiten]

      Der Düsseldorfer Kreis hat im April 2010 erklärt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe-Harbor-Zertifizierung von US-amerikanischen Unternehmen verlassen dürfen.[2] Die im Düsseldorfer Kreis vertretenen Aufsichtsbehörden verlangen, dass sich das exportierende Unternehmen die Safe-Harbor-Zertifizierung und Beachtung der Safe-Harbor-Grundsätze nachweisen lässt.

      Hierzu gehört nach Auffassung der Aufsichtsbehörden, dass die Datenexporteure jedenfalls folgende Mindestprüfungen vornehmen:

      1. Datum der Zertifizierung der Datenimporteure: Zertifizierungen, die älter als sieben Jahre sind, sind nicht mehr gültig.
      2. Einhaltung der Pflicht zur Information der Betroffenen: Gemäß dem Notice-Prinzip in den Safe-Harbor-Grundsätzen hat der Datenimporteur in den USA Privatpersonen darüber zu informieren, zu welchem Zweck personenbezogene Daten erhoben und verwendet werden, wie sich Betroffene mit Nachfragen und Beschwerden an den Datenimporteur wenden können und an welche Dritte die Daten weitergegeben werden.

      Datenexporteure in Deutschland müssen diese Mindestprüfung dokumentieren und auf Nachfrage den Aufsichtsbehörden nachweisen.

      Ich bitte um Auskunft zu den Punkten (1) und (2), um auf einer sicheren Grundlage entscheiden zu können, ob iCloud im schulischen Kontext benutzt werden darf.

      [Google hat es innerhalb von zwei Wochen nicht geschafft, mir eine entsprechende Antwort in Bezug auf den in Google-Docs implementierten Cloud-Dienst zu geben.]

      Die Antworten von Apple und ggf. auch Google werde ich hier im Blog einstellen, denn sie sind ja für viele relevant und vielleicht sogar diskussionswürdig ;-)