Aus für Chromebooks und Google Workspace for Education in Schulen in Dänemark?

In etwa der Hälfte aller 98 dänischen Kommunen setzten Grundschulen bisher recht erfolgreich auf Chromebooks und Google Workspace for Education. Mit Beginn des neuen Schuljahres am 1. August 2022 wird sich dieses nun wohl ändern, wie DerNordschleswiger in einem Beitrag mit dem Titel „Datenschutz: Behörde verbietet Google-Computer an Schulen in Dänemark“ am 16.07.2022 berichtet. Sehr ausführlich ist der Fall auf der Seite der dänischen Aufsichtsbehörde nachzulesen unter „Die Datenschutzbehörde verhängt ein Verarbeitungsverbot für Chromebook-Fälle„. vom 14.07.2022. Der Fall, um den es geht, betrifft die Kommune Helsingør. Dort hatte man an alle Schülerinnen und Schülern der Grundschulen Chromebooks ausgegeben und Nutzerprofile mit dem kompletten Klarnamen eingerichtet. Ende 2019 beschwerte sich ein Elternteil, dass „sein Kind – ohne sein Wissen – ein YouTube-Konto eingerichtet hatte, wodurch der Name des Kindes auf YouTube veröffentlicht werden konnte.“ Auf Seiten der Gemeinde, die anders als in Deutschland, Verantwortlicher ist für die Verarbeitung von personenbezogenen Daten an den Schulen der Kommune, hielt man es im Antwortschreiben vom 06. Januar 2020 für unwahrscheinlich, dass dadurch ein Risiko für die Rechte und Freiheiten der betroffenen Personen, hier des Kindes, entstünde. Entsprechend sah man keinen Anlass, Meldung bei der Aufsichtsbehörde zu machen. Was die Gemeinde dann einige Wochen später (29.01.2020) dazu bewegte, doch eine Meldung an die Datenschutzbehörde zu machen, geht aus dem Bericht nicht hervor. Vermerkt wird dort allerdings, dass zur gleichen Zeit ähnliche Meldungen aus anderen Gemeinden eingingen. Mit Schreiben vom 11.03.2020 wurden die betreffenden Gemeinden zur Stellungnahme aufgefordert. Mit Datum vom 10.09.2021 stellte die Aufsichtsbehörde fest, „dass die Verarbeitung personenbezogener Daten durch die Gemeinde Helsingør unter Verwendung von Google Chromebooks nicht gemäß Artikel 5 Absatz 1 der Datenschutzverordnung erfolgt sei.“ Der Gemeinde gegenüber wurde gem. Art. 58 Abs 1, Abs. 2 lit. d. DS-GVO angeordnet, die Verarbeitung von personenbezogenen Daten unter Verwendung von Google Chromebooks in Übereinstimmung mit der DS-GVO zu bringen. Dazu sollte die Gemeinde eine Risikoanalyse durchführen mit Blick auf die mit der Verarbeitung verbundenen Ströme personenbezogener Daten und die notwendigen Möglichkeiten zur Konfiguration von Chromebooks. Außerdem sollte die Bewertung „Fragen zum Umfang der Befugnisse im Grund- und Hauptschulgesetz für die Nutzung von Chromebooks beantworten.“ Für den Fall, dass im Ergebnis der Analyse die Risiken für die Rechte und Freiheiten der betroffenen Personen als hoch eingeschätzt würden, müsste die Gemeinde zusätzlich eine Datenschutz Folgenabschätzung (DSFA) anfertigen. Die Aufsichtsbehörde verwarnte die Gemeinde zusätzlich, dass eine Nutzung von Google Workspace for Education ohne ein DSFA wahrscheinlich gegen die DS-GVO verstoßen würde. Die Aufsichtsbehörde teilte außerdem mit, dass die Verarbeitungstätigkeiten der Gemeinde Helsingør vorübgehend eingeschränkt werden müssten, „wenn die von der Gemeinde durchzuführenden Risikobewertungen ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen aufzeigten und die Gemeinde diese Risiken nicht vor Ablauf der Frist für die einstweilige Verfügung auf ein niedrigeres Niveau als hoch reduziert hatte. Die Einschränkung bedeutet, dass die Verarbeitung personenbezogener Daten, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, nicht erfolgen darf, solange das Risiko nicht auf ein niedrigeres Niveau als hoch reduziert wurde.“

Am 10.11.2021 reichte die Gemeinde Helsingør ihre Risikobewertung sowie eine Dokumentation zum Nachweis der Rechtmäßigkeit der Verarbeitungstätigkeit bei der Aufsichtsbehörde ein. Nach Durchsicht der eingereichten Unterlagen kam die Datenschutzbehörde Dänemarks zum Ergebnis, „dass es Gründe gibt, der Gemeinde Helsingør ein Verbot der Verarbeitung personenbezogener Daten mit Google Chromebooks und Workspace for Education mitzuteilen.“ Dieses gelte solange „bis die Gemeinde die Verarbeitungstätigkeit in Übereinstimmung mit der DS-GVO gebracht hat“, wie in der Entscheidung der Aufsichtsbehörde angegeben, „sowie eine angemessene Dokumentation dafür erstellt hat.“ Bis dieser Nachweis erbracht ist, muss jegliche „Übermittlung personenbezogener Daten in die Vereinigten Staaten, mit deren Durchführung die Gemeinde Helsingør Google Cloud EMEA Limited als Datenverarbeiter für die Gemeinde beauftragt hat, ausgesetzt„, bis die Gemeinde Helsingør nachweisen kann, dass die Vorgaben in Art. 5 DS-GVO eingehalten werden. Verbot und Aussetzung traten mit der Übermittlung der Entscheidung sofort in Kraft. Der Gemeinde Helsingør wurde jedoch eine Frist bis zum 03.08.2022 eingeräumt, um „Nutzer und Rechte zu entziehen und zu deaktivieren sowie bereits übertragene Daten zu löschen.“ Gleichzeitig wies man die Gemeinde darauf hin, dass ein Verstoß gegen das Verbot durch die Aufsichtsbehörde gem. des dänischen Datenschutzgesetzes mit Geldstrafe oder Freiheitsstrafe bis zu 6 Monaten belegt werden können.

Helsingør war nur eine von mehreren Gemeinden in Dänemark in welchen es Beschwerden gegeben hatte und Helsingør war die erste Gemeinde, in welcher das laufende Verfahren zum Abschluss kam. Die dänische Aufsichtsbehörde geht davon aus, dass die Verfahren in anderen Gemeinden zum gleichen Ergebnis kommen werden und auch in Gemeinden, deren Schulen Chromebooks und Google Workspace for Education nutzen und bei denen es bisher keine Beschwerden gab, die DS-GVO konforme Verarbeitung von personenbezogenen Daten ebenfalls nicht garantieren können. Deshalb weist man darauf hin „dass viele der Schlussfolgerungen in dieser Entscheidung wahrscheinlich auch für andere Gemeinden gelten werden, die dieselbe Behandlungsstruktur verwenden. Die dänische Datenschutzbehörde erwartet daher, dass diese Kommunen auf der Grundlage der Entscheidung entsprechende Schritte unternehmen – auch wenn die Behörde derzeit eine Reihe von Fällen abschließt, die andere Kommunen betreffen.“ Es wird also von allen Gemeinden, deren Schulen Chromebooks und Google Workspace for Education nutzen erwartet, dass die Nutzung eingestellt, Nutzerkonten gelöscht und Daten gelöscht werden, außer die Gemeinde sollte in der Lage sein eine DS-GVO konforme Datenverarbeitung nachzuweisen.

In dem oben verlinkten Dokument der dänischen Datenschutzbehörde lässt sich die Risikobewertung durch die Gemeinde Helsingør nachlesen (Artikel 3). Man kommt dort zu dem Schluss, dass die Risiken für Nutzer gering sind und dass man, da eine Nutzung der zusätzlichen Dienste von Google Workspace nicht erfolgt, auch keine DSFA erforderlich sei. Die Aufsichtsbehörde begründet ihre Entscheidung im Anschluss daran ausführlich und geht dabei auf die Risikobewertung ein (Artikel 4). Sie kommt dort zu dem Schluss, dass die Risikobewertung nicht vollständig ist und mehrere der von der Aufsichtsbehörde beschriebenen „Nichteinhaltungen der Datenschutzvorschriften hätten vermieden werden können, wenn die Gemeinde Helsingør die Risiken der Verarbeitung bewertet und angesichts dieser Risiken geeignete Maßnahmen ergriffen hätte.“ Sehr viel von der Kritik der Aufsichtsbehörde hängt sich an der Übermittlung von personenbezogenen Daten in Drittländer und vor allem in die USA auf und die unzureichenden Garantien und Schutzmaßnahmen wie etwa die Verschlüsselung der Daten im ruhenden Zustand und in Bewegung. Es geht darüber hinaus um die Verwendung von personenbezogenen Daten für andere Zwecke.

Bewertung

Wer den Bericht der dänischen Aufsichtsbehörde liest, fühlt sich vermutlich an eine vergleichbare Situation in Baden Württemberg und Rheinland Pfalz erinnert. In den beiden Bundesländern lief bzw. läuft letztlich das gleiche Verfahren ab, nur dass es dort um Microsoft 365 geht anstelle von Chromebooks und Google Workspace for Education. Wie in Baden Württemberg und Rheinland Pfalz macht die dänische Datenschutzaufsicht von den ihr zur Verfügung stehenden rechtlichen Möglichkeiten Gebrauch, um auf Beschwerden von Betroffenen und vermutete Verstöße gegen die DS-GVO zu reagieren. Schulen müssen Stellung nehmen und werden zu Riskobewertungen und Datenschutz Folgenabschätzungen aufgefordert. Können sie die weder eine DS-GVO konforme Verarbeitung von personenbezogenen Daten nachweisen, noch die durch die Verarbeitung von personenbezogenen Daten der Betroffenen voraussichtlich hohen Risiken durch geeignete technische und organisatorische Maßnahmen minimieren, müssen sie die Verarbeitung einstellen.

Dabei gibt es, wie die Niederlande zeigen, durchaus auch andere Möglichkeiten, die festgestellten Probleme zu lösen. Das jedoch ist nicht Aufgabe einer Aufsichtsbehörde Doch und ähnlich wie in Deutschland scheint es in Dänemark niemanden zu geben, der vergleichbar den Niederlanden von Seiten der Regierung oder kommunaler Verwaltungen an die Anbieter herantritt, um Lösungen auszuhandeln. Welche Erfolgssaussichten die Bemühungen der Kultusminister Konferenz mit Unterstützung der Datenschutzkonferenz in Deutschland haben werden bezüglich einer Lösung für Microsoft 365 bleibt abzuwarten. Ob und wann Schulen in Dänemark in der Lage sein werden, die Vorgaben von Art. 5 DS-GVO einzuhalten, wie von der Aufsichtsbehörde angegeben, ist offen. Es wird hier vor allem von Google abhängen, ob sie die den Niederlanden zugesagten Anpassungen auch auf andere europäische Länder übertragen werden.

Auch in Deutschland nutzen Schulen Chromebooks und Google Workspace for Education. Welche Auswirkung die Entscheidung der dänischen Datenschutzaufsicht auf das Handeln deutscher Aufsichtsbehörden in den Bundesländern haben wird, bleibt abzuwarten.