Es gibt Bewegung in Dänemark. Im Januar 2024 stellte die dänische Aufsichtsbehörde Datatilsynet fest, dass Verarbeitung von personenbezogenen Daten bei der Nutzung von Chromebooks, ChromeOS und Google Workspace for Education in Schulen für eigene Zwecke nicht mit den datenschutzrechtlichen Vorgaben des Schulgesetzes vereinbar ist1Siehe z.B. hier https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jan/datatilsynet-giver-paabud-i-chromebook-sag. An die 52 Kommunen erließ sie deshalb die Anordnung, die Verarbeitung in Einklang mit den Vorschriften zu bringen, indem sie dafür sorgt, dass für die gesamte Verarbeitung eine Rechtsgrundlage vorliegt. Dafür sah die Aufsichtsbehörde drei Möglichkeiten, das Problem zu lösen:
- Die Kommunen geben keine personenbezogenen Daten mehr an Google weiter, die Google für eigene Zwecke verarbeitet. Dies wird voraussichtlich erfordern, dass Google eine technische Möglichkeit entwickelt, die betreffenden Datenströme abzufangen.
- Google verpflichtet sich selbst, die Daten nicht zu eigenen Zwecken zu verarbeiten.
- Dass das dänische Parlament schafft eine hinreichend klare Rechtsgrundlage für die Offenlegung von Daten zur Verarbeitung durch Google zu eigenen Zwecken.
Jetzt wird an verschiedenen Stellen2z.B. https://itb.dk/maerkesager/offentlig-digitalisering/er-det-offentliges-udfordringer-loest-med-chromebook-sagen/ und https://www.folkeskolen.dk/chromebook-it-skolelederforeningen/hjortdal-om-ny-chromebook-aftale-der-er-stadig-huller-der-skal-lukkes/4771594 berichtet, dass KL, der kommunale IT Dienstleister, im Namen der 52 Gemeinden mit Google eine Vereinbarung abschließen konnte, die sicherstellt, dass durch Google keine Nutzungsdaten (Servicedaten) mehr für eigene Zwecke verarbeitet werden und die Verarbeitung von personenbezogenen Daten durch Google von daher in Übereinstimmung mit den für Schulen geltenden Rechtsvorgaben erfolgt. Damit sollten die Auflagen der Aufsichtsbehörde erfüllt sein. Ob dem tatsächlich so ist, wird eine Überprüfung durch die Aufsichtsbehörde, der die Unterlagen zwischen dem 17. und 24. Juni zugehen sollen, zeigen. KL geht nach Abschluss der neuen Vereinbarung davon aus, dass die Schulen der 52 Gemeinden nach den Sommerferien weiterhin mit Chromebooks und Google Workspace for Education arbeiten können.
Bewertung
Google zeigt erneut, dass man willig ist, sich an die datenschutzrechtlichen Vorgaben, welchen Schulen unterliegen, anzupassen. In Dänemark geht es um viel. 52 Kommunen und ihre Schulen nutzen Chromebooks und Google Workspace for Education. Diese Nutzer zu verprellen, weil man nicht willens oder in der Lage ist, seine Plattformen an die Anforderungen der DS-GVO und der Schulgesetze anzupassen, wäre für Google fatal. Den Schulen kommt die Lösung, so sie durch die Aufsichtsbehörde bestätigt wird, entgegen. An Google ist aber trotz allem zu kritisieren, dass der Konzern zu langsam und umständlich agiert. Nach der Einigung mit den Niederlanden hatte Google zugesagt, spezielle Edu Versionen von ChromeOS und Chrome Browser zu erstellen. Diese gibt es mittlerweile und sie sind in den Niederlanden im Einsatz. Wie von Google zu erfahren, sollen diese Versionen auch in Deutschland bereit gestellt werden. Dummerweise nur arbeiten die jeweiligen Länderteams von Google relativ unabhängig voneinander, und so ist es schwierig, Lösungen, welche ein Länderteam in den Niederlanden erarbeitet hat, einfach auf andere Länder zu übertragen. Im Fall der speziellen angepassten Edu Versionen, die ziemlich sicher in den USA oder weltweit programmiert wurden, sollte das allerdings kein Problem sein. Google sucht das Gespräch mit Schulen und Verantwortlichen. Doch es dauert alles zu lange. In Deutschland, wo die Google Plattformen im Bildungsbereich längst nicht die Verbreitung haben wie in den Niederlanden oder in Dänemark, müssen Schulen, die beispielsweise Google Workspace for Education nutzen, beständig in Sorge vor einem plötzlichen Aus leben. Das darf so nicht sein. Es braucht von Seiten Googles Lösungen, auch für Deutschland, die es Schulen ermöglichen die Google Plattformen so einzusetzen, dass dies in Übereinstimmung mit den datenschutzrechtlichen Vorgaben, denen sie unterliegen, möglich ist.
Die Verarbeitung von Nutzungsdaten durch Anbieter von Apps und Plattformen ist eine Grundvoraussetzung für die Entwicklung, Bereitstellung, Sicherheit und den Betrieb digitaler Lösungen eines jeden IT-Anbieters. Solange ein Anbieter die Nutzungsdaten eines Kunden, etwa einer Schule, nur für die Entwicklung, Bereitstellung, Sicherheit und den Betrieb der jeweiligen Instand verarbeitet, die der Kunde nutzt, ist dieses tatsächlich unproblematisch, da es nur auf Weisung und zu Zwecken des Verantwortlichen erfolgt. So aber läuft es eben nicht. Nutzungsdaten werden bei der Entwicklung, Bereitstellung, Sicherheit und dem Betrieb digitaler Lösungen immer für die Plattform insgesamt verarbeitet. Es macht in den meisten Fällen auch mehr Sinn die Nutzung über viele Instanzen/ Mandanten einer Plattform hinweg zu erfassen und auszuwerten, um die Plattform insgesamt weiterzuentwickeln, bereitzustellen, sicherer zu gestalten und zu betreiben. Genau diese Verarbeitung von Nutzungs- oder auch Servicedaten ist auch bei Microsoft Plattformen eines der Probleme, welches Aufsichtsbehörden sehen. In Dänemark fordern nicht nur KL, sondern auch andere IT Anbieter/ Dienstleister nun, dass die Regierung gesetzgebend für Klarheit sorgt.
Durch eine gemeinsame Verantwortlichkeit gem. Art. 26 DS-GVO ließe sich eine Verarbeitung von Nutzungsdaten durch den Auftragsverarbeiter für eng definierte Zwecke vermutlich rechtlich abbilden. Diese Lösung ist allerdings recht umstritten und das letzte Wort ist hier noch nicht gesprochen. Möglich, dass es hier ebenfalls klärender rechtlicher Regelungen bedarf.
Letztlich geht es auch um Vertrauen, wenn man mit großen Anbietern wie Google, Microsoft, Apple, Samsung und Amazon, um einige der größten Anbieter, die auch auf dem Bildungsmarkt aktiv sind, zu nennen. Es gibt hier zwei Lager. Das sind einmal diejenigen, welche davon ausgehen, man könne vertrauen, wenn es vertraglich festgelegt ist, und es gibt die, welche vertraglichen Zusagen kein Vertrauen schenken und davon ausgehen, dass es aufgrund der Größe und Undurchschaubarkeit der Plattformen nicht möglich ist, alle Verarbeitungen von personenbezogenen Daten nachzuvollziehen und eine Nutzung entgegen aller Verträge von daher nicht auszuschließen und sogar sehr wahrscheinlich ist.