Im Juli 2022 hatte die dänische Aufsichtsbehörde im Rahmen eines länger andauernden Verfahrens den Schulen der Gemeinde Helsingør die Verarbeitung von personenbezogenen Daten untersagt, wenn dabei Informationen ohne das erforderliche Schutzniveau an Drittländer übermittelt werden. Da die Gemeinde zuvor in einer Risikoanalyse zu dem Ergebnis gekommen war, dass bei der unterrichtlichen Nutzung von Chromebooks dieses Schutzniveau nicht besteht, müssten die Schulen die Nutzung dieser Geräte vorerst aussetzen. Außerdem sprach die Aufsichtsbehörde ein „generelles Verbot der Verarbeitung mit Google Workspace, bis eine angemessene Dokumentation und Auswirkungsanalyse durchgeführt wurde und bis die Verarbeitung in Übereinstimmung mit der Verordnung gebracht wurde.“ Darauf hat Google am 22.07.2022 mit einer Veröffentlichung mit dem Titel Providing our EU Education customers’ with data transfer protections to support privacy assessments1„Schutz der Datenübermittlung für unsere Kunden aus dem EU-Bildungswesen zur Unterstützung von Datenschutzbewertungen“ reagiert. Wichtig ist es Google, direkt am Anfang herauszustellen, dass die Anordnung der Aufsichtsbehörde nicht direkt Google oder andere Kunden (mein hier Schulen) betreffe und auch nicht die Nutzung von Google Workspace for Education und Chromebooks in Dänemark generell untersage, Kunden sollten ihre Systeme jedoch trotzdem gewissenhaft überprüfen.
Danach stellt Google seine Verpflichtung vor, Bildungskunden bei der Erfüllung ihrer Datenschutzverpflichtungen zu helfen, insbesondere der Einhaltung der Vorgaben der DS-GVO. Dies tue man, indem man den Kunden Werkzeuge für eine datenschutzrechtliche Bewertung zur Verfügung stellt, ihnen die Möglichkeit gibt, die eigenen Daten zu verwalten und man selbst durch zusätzliche Maßnahmen die Übermittlung von personenbezogenen Daten absichere. Es werden dann Ressourcen vorgestellt, die Bildungskunden bei der Abschätzung von Risiken bei der Nutzung von Cloud Diensten und der sicheren Implementierung von Vorgaben in Google Workspace for Education unterstützen.
Unter der Überschrift „Processing customer data only under customers’ instructions“2Verarbeitung von Kundendaten nur auf Anweisung des Kunden wird dann noch einmal die Datensouveränität des Bildungskunden betont und dass Google an Schulen der Primar- und Sekundarstufe keine personenbezogenen Daten innerhalb von Google Workspace for Education zur Anzeige von gezielter Werbung nutze. Diese Selbstverpflichtung gelte jedoch nur für die Core Services und nicht für zusätzliche Dienste wie z.B. YouTube3Hinweis: YouTube kann, wenn Videos in Core Services wie Google Slides eingebunden werden, auch genutzt werden, ohne dass Google dabei personenbezogene Daten zur gezielten Anzeige von Werbung erhebt. und Blogger, welche Administratoren für schulische Nutzer im Sekundarbereich freischalten können.
Im letzten Abschnitt geht es um zusätzliche Maßnahmen, die Übermittlung von personenbezogenen Daten abzusichern. Hingewiesen wird auf die Zeichnung der Standardvertragsklauseln (Standard Contractual Clauses, SCC) als Rechtsgrundlage für die Übermittlung von personenbezogenen Daten nach außerhalb der EU/ EWR. Erwähnt wird auch die Verhandlungen zwischen EU und US Handelsministerium zur Vereinbarung eines Nachfolgers des EU-US Privacy Shield. Abschließend beschreibt Google die Verschlüsselung von Daten als weitere, sogar von der EU selbst empfohlene Maßnahme zum Schutz der Daten, sowohl wenn sie gespeichert sind (at rest) und in Bewegung (in transit). Hinzu kommt nun noch die (recht neue) Möglichkeit der Client-seitigen Verschlüsselung. Diese erlaubt es Kunden, die Daten in Google Workspace for Education mit Schlüsseln zu verschlüsseln, deren Speicherort sie selbst bestimmen können4„… Verschlüsselungsschlüssel, die sie vor Ort, innerhalb der Grenzen eines Landes oder innerhalb jeder anderen von ihnen festgelegten Grenze aufbewahren können.„ Auch bei Chromebooks gibt es eine Möglichkeit, die Daten zu schützen, indem Nutzer eine eigene Passphrase wählen, welche die in die Google Cloud synchronisierten Daten des Gerätes verschlüsseln. Sie sind dann nur noch für den Nutzer selbst einsehbar, nicht jedoch für Google.
Bewertung
Natürlich muss Google auf Maßnahmen wie die der dänischen Aufsichtsbehörde reagieren, da diese unter Nutzern, Schulen und Schulträgern über die Grenzen von Dänemark hinaus für Verunsicherung sorgen. Google unternimmt in der Tat große Anstrengungen zum Schutz der personenbezogenen Daten, welche Bildungs- und andere Kunden in Google Workspace for Education und mittels Chromebooks verarbeiten. Die Client-seitige Verschlüsselung eröffnet dabei neue Möglichkeiten, Daten zu schützen. Grundlegende Probleme sind mit den im Beitrag von Google vorgestellten Maßnahmen zum Schutz der personenbezogenen Daten der Bildungskunden jedoch nicht behoben. Daten at rest sind zwar verschlüsselt, doch die Schlüssel liegen bei Google und im Falle eines Ermittlungsersuchens einer US Behörde, könnte und müsste Google die Daten der betroffenen Person entschlüsseln und ausliefern. Das wäre nur dann nicht möglich, wenn die Daten Client-seitig verschlüsselt gespeichert sind und die Schlüssel ausschließlich im Zugriff des Betroffenen liegen. Google sichert zu, die personenbezogenen Daten von Betroffenen an Schulen in den Core Services von Google Workspace for Education nicht zur gezielten Anzeige von Werbung zu nutzen. Das bedeutet jedoch einmal, dass die Daten, die für eine gezielte Anzeige von Werbung erforderlich sind, auf jeden Fall erhoben, nicht jedoch dafür genutzt werden. Damit wird eine anderweitige Nutzung genau dieser Daten durch Google nicht ausgeschlossen und ist damit sogar sehr wahrscheinlich. In welcher Art und Weise Google diese Daten verwertet, ist nicht bekannt.
Auch auf die Datenschutzprobleme, die man in Dänemark bei der schulischen Nutzung von Chromebooks sieht, geht man nicht direkt ein. Hier geht es um Datenabflüsse, deren DS-GVO Konformität umstritten ist. Aus den Niederlanden ist bekannt, dass Google hier an einer speziellen Version von Chrome OS arbeitet. Die Fertigstellung war für August 2023 geplant. Auch eine spezielle Version für Google Workspace for Education wurde zugesagt. Aus Dänemark hört man mittlerweile, dass sich die Fertigstellung des speziellen Chrome OS für den Bildungsbereich um ein Jahr auf 2024 verschieben soll5Siehe Kommentar von Pia T. auf LinkedIn: „Yes Google promised change in 2023, now postponed to 2024. Tracking and collection of data continues.“ Die Autorin des Kommentars stellte in einer Untersuchung zu Datenflüssen bei der Einrichtung von Chromebooks für Schüler in Dänemark fest, dass es Datenflüsse zu 77 Endpoints gab von denen nur 18 innerhalb der EU/EWR lokalisiert waren und 59 außerhalb des Raumes. In den Niederlanden, wo man sich dieser Probleme durchaus bewusst ist, setzt man vorerst auf die Nutzung von Chromebooks in der Schule im Gast Modus. Dadurch entfallen viele Datenflüsse, bzw. können keinem individuellen Gerätenutzer zugeordnet werden.6Inwieweit die dann erfolgende Anmeldung an Google Workspace for Education doch eine Identifizierung im Zusammenhang mit der Nutzung eines Chromebooks ermöglicht, wäre zu ermitteln. In den Niederlanden scheint man jedoch davon auszugehen, dass daraus keine essentiellen Risiken für Nutzer entstehen.