In den Niederlanden waren bei einer Datenschutz Folgenabschätzung zu Google Workspace for Education durch Privacy Company hohe Datenschutzrisiken festgestellt worden. Die Google Plattform wird auch in vielen Schulen in den Niederlanden eingesetzt, sowohl in der kostenpflichtigen Plus Version wie auch der kostenlosen Version. SVION und SURF, zwei niederländische, genossenschaftlich organisierte Bildungsdienstleister, hatte dann bei der niederländischen Aufsichtsbehörde nachgefragt, was zu tun sei. Diese wies in einer Stellungnahme darauf hin, „dass alle hohen Datenschutzrisiken bis zum Beginn des Schuljahres 2021/2022 ausreichend gemindert werden“ müssten. Daraufhin gab es Gespräche zwischen SVION und SURF mit Google unter Beteiligung von SLM-Rijk, der staatlichen Beschaffungsbehörde. Letztere war seinerzeit auch an den Verhandlungen mit Microsoft bezüglich Microsoft 365 (Office 365) beteiligt.
Gemeinsam kam man zu einer Vereinbarung mit welcher Google sich verpflichtet, durch technische Anpassungen seinen Teil dazu beizutragen, die von der niederländischen Datenschutzbehörde festgestellten hohen Datenschutzrisiken ausreichend zu mindern. Zum Gesamtpaket gehören jedoch auch einige technische Maßnahmen sowie organisatorische Maßnahmen, welche durch die Schulen selbst ergriffen werden müssen, um Schülern und Lehrkräften eine sichere Nutzung von Google Workspace for Education zu ermöglichen. Zu beachten ist, dass „die meisten der vereinbarten Maßnahmen […] für die Kerndienste in Workspace for Education (zB Classroom und Gmail)“ gelten.
Um Schulen ihren Teil zu erleichtern, werden SVION und SURF ihnen Unterlagen zur Verfügung stellen. Angekündigt sind ein Handbuch zur Umsetzung der Maßnahmen sowie eine Anleitung zur Anpassung der Einstellungen im Admin Bereich von Google Workspace for Education. Zu den organisatorischen Maßnahmen gehört auch eine Schulung der Nutzer, wie sie sicher in der Plattform arbeiten. Auch dazu soll es vorbereitete Unterlagen geben. Google wird seine Datenschutzbedingungen entsprechen der getroffenen Veränderungen anpassen. Schulen müssen diese neuen Datenschutzbedingungen nach dem 21. Juli im Admin Bereich annehmen. Außerdem sind Schulen gehalten, die Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen (mit einer Datenschutz Folgenabschätzung (DSFA)) zu überprüfen. SVION und SURF werden auch dafür ein Materialpaket zur Verfügung stellen.
SVION und SURF erklären, dass aktuell eine DSFA zum Chrome Browser und Chrome OS erstellt wird. Mit den Ergebnissen dieser Untersuchungen wird man ebenfalls in einen Dialog mit Google eintreten und eine Vereinbarung aushandeln, auch hier mit dem Ziel, den Schulen eine sichere Nutzung zu ermöglichen.
Mit diesen Vereinbarungen endet das Engagement von SVION und SURF nicht. Sie werden die Entwicklung weiterhin überwachen und mit Google in Kontakt, wenn es Fragen zum Datenschutz gibt.
Quellen:
- Bildungsvereinbarung mit Google zu Datenschutzrisiken (SURF – 08.07.2021)
- Alles über die DSFA zu Google Workspace (SURF – 09.07.2021)
- Bildungsvereinbarung mit Google zu Datenschutzrisiken (SVION – 08.07.2021)
Einschätzung dieser Entwicklung für Deutschland
Für deutsche Schulen, die mit Google Workspace for Education (Plus) arbeiten, sind diese Nachrichten aus den Niederlanden gute Nachrichten, ein Silberstreif am Horizont. Was in den Niederlanden passiert, hat auch Auswirkungen auf Deutschland, wie man am Beispiel der von Privacy Company durchgeführten Datenschutz Folgenabschätzungen zu Microsoft 365/ Office 365 sehen konnte. Zum Einen führten die Ergebnisse der DSFA und der nachfolgenden Verhandlungen mit Microsoft zu deutlichen Verbesserungen im Datenschutz bei der Plattform und zum Anderen flossen die Ergebnisse auch sichtbar in die Bewertungen durch deutsche Aufsichtsbehörden ein.
Es ist davon auszugehen, dass deutsche Aufsichtsbehörden sich auch hier alles genau ansehen werden, da das Thema für sie ebenfalls relevant ist.
Anders als bei der Nutzung von Microsoft 365 einschließlich von Office-Online scheint es bei den Vereinbarungen mit Google bezüglich Google Workspace for Education (Plus) nicht um gesonderte Datenschutzverträge, sogenannte Nebenabreden, zu gehen. Diese würden nur zwischen den Vertragsparteien gelten und müssten von anderen Institutionen/ Ländern/ Bundesländern separat ausgehandelt werden. Die Ergebnisse der Verhandlungen der Niederländer mit Google sollten von daher für alle Nutzer von Google Workspace for Education weltweit wirksam sein.
Der nächste wichtige Termin wird der 21. Juli 2021 sein. Dann soll es die Unterlagen von SVION und SURF geben, hoffentlich öffentlich auf der Website zum Download. Diese könnten deutsche Schulen zur Orientierung nutzen, um a) die dort empfohlenen Einstellungen im Admin Bereich vorzunehmen, b) eigene organisatorische Maßnahmen (Nutzungsvereinbarung, Sensibilsierung und Schulung der Nutzer für Datenschutz in Google Workspace for Education und eine verantwortungsvolle Nutzung) anzupassen und deren Wirksamkeit nach einer Zeit mittels einer DSFA zu evaluieren. Da die Dokumente von VION und SURF vermutlich nur auf Niederländisch zur Verfügung stehen werden, müssten diese übersetzt werden.
Wenn in den Niederlanden alles gut geht, sollte auch in Deutschland eine sichere Nutzung von Google Workspace for Education möglich sein, wenn man sich dabei an den Vorgaben und Hilfen aus den Niederlanden orientiert. Für deutsche Aufsichtsbehörden sollte es dann keinen Grund geben, die Sicherheit der Nutzung für Schüler und Lehrkräfte in Frage zu stellen.
2 thoughts on “Niederlande – Vereinbarung mit Google zur Minderung hoher Datenschutzrisiken bei Google Workspace for Education”