Nach einer Meldung von DS-GVO Portal vom 02.12.2023 stellte die schwedische Datenschutzaufsicht (IMY) bei einer routinemäßigen Kontrolle fest, dass das Amt für Kinder und Bildung der Gemeinde Östersund vor der Einführung von Google Workspace for Education an 24 Schulen der Gemeinde vorab keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt hatte. Gegen den Schulträger wurde deshalb ein Bußgeld in Höhe von umgerechnet 26.381 EUR verhängt. Google Workspace for Education war in den 24 kommunalen Schulen in Östersund im Herbst 2020 eingeführt worden und wurde seither von fast 6.000 Schülern und 1.300 Mitarbeitern genutzt. Laut den Ausführungen der Aufsichtsbehörde zum Beschluss eines Bußgeldes wird Google Workspace for Education an den Schulen für Unterricht und Kommunikation genutzt. „Das Personal verteilt Planungen und Aufgaben an und die Schüler haben die Möglichkeit, Schulaufgaben einzureichen. Während der Pandemie wurde die wurde die Meet-Funktion auch in gewissem Umfang genutzt, um Fernunterricht zu ermöglichen. Der Dienst wird auch für die Kommunikation zwischen Lehrern und Schülern genutzt, um um Rückmeldungen zu Schulaufgaben geben zu können, wenn z. B. etwas fehlt, weiterentwickelt, ergänzt oder verbessert werden muss. Es werden keine summativen Beurteilungen oder Noten über den Dienst bereitgestellt. Der Dienst wird auch für die Kommunikation zwischen Schülern über schulische Aufgaben. Ein Teil der Kommunikation kann auch aus allgemeineren Informationen an die Schüler über den Unterricht.“
Um die Entscheidung der Aufsichtsbehörde zu verstehen, muss man wissen, die Aufsichtsbehörde schon im Juni 2019 eine Liste mit Kriterien gemäß Artikel 35 Abs. 4 DS-GVO veröffentlicht hatte, wann eine DSFA durchzuführen ist. Dazu gehörte auch „Verarbeitung personenbezogener Daten von Kindern im Rahmen von Schulaktivitäten, wenn es sich um eine große Anzahl von betroffenen Personen.“ Das Fehlen der DSFA vor Einführung der GWE an den Schulen der Kommune stellt nach Einschätzung der schwedischen Aufsichtsbehörde einen Verstoß gegen die DS-GVO dar, und da es hier um die Daten von einer großen Zahl von Minderjährigen geht und um ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, fällt das Bußgelt entsprechend hoch aus.
„Eine Folgenabschätzung ist erforderlich, wenn im Zusammenhang mit der Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, um geeignete Schutzmaßnahmen ergreifen zu können“, so Nina Hellgren, Juristin bei IMY. Die Identifizierung von Risiken und deren anschließende Bewältigung ist ein wichtiger Bestandteil einer kontinuierlichen und systematischen Datenschutzarbeit.„1Quelle: https://www.imy.se/nyheter/sanktionsavgift-mot-kommun-som-inte-bedomt-konsekvenser-innan-google-workspace-infordes/
Bewertung
Der Fall aus Schweden ist in interessant in verschiedener Hinsicht. Zum Einen geht es erst einmal nicht direkt um Google Workspace for Education, sondern um eine nicht angefertigte Datenschutz-Folgenabschätzung. Während in NRW den Schulen die Entscheidung überlassen bleibt, ob es sinnvoll ist, eine DSFA anzufertigen, müssen sich Verantwortliche in Schweden an einer von der Aufsichtsbehörde des Landes erstellten Kriterienliste orientieren. Das hatten die Verantwortlichen des Schulträgers wohl versäumt. In Deutschland ist Niedersachsen ein Beispiel für ein Bundesland, in welchem es engere Vorgaben gibt. Hier hat die Aufsichtsbehörde Kriterien vorgegeben, die – wenn eine Verarbeitung zwei davon erfüllt – eine DSFA erforderlich machen. Es gibt ergänzend eine sogenannte Blacklist, in welcher dann auch gelistet ist „Verarbeitung von personenbezogenen Schülerdaten durch Lernplattformen, bei denen die Verarbeitung durch einen zentralen Auftragsverarbeiter erfolgt.“ Zwei Kriterien, die auch andere in Schulen genutzte Plattformen erfüllen dürften sind:
- „Daten zu schutzbedürftigen Betroffenen (“Data concerning vulnerable data subjects”)
- Datenverarbeitung in großem Umfang (“Data processed on a large scale”)“
Das Bildungsportal Niedersachsen erklärt die Hintergründe einer Datenschutz-Folgenabschätzung und liefert auch gleich zwei Vorlagen für Verfahren, bei denen man die Kriterien erfüllt sieht, Videoüberwachung und elektronisches Klassenbuch.
Interessant ist an dem Fall auch, dass man einen Einblick in die datenschutzrechtlichen Strukturen erhält. Wie auch in Dänemark und Island sind in Schweden nicht die Schulleitungen Verantwortliche im Sinne der DS-GVO, sondern die Schulträger. Anders als in Deutschland müssen Schulleitungen sich dort nicht auch noch mit dieser Verantwortung herumschlagen. Dass auch Schulträger mit dieser Verantwortung überfordert sein können, zeigt dieser Fall wie auch der schon länger andauernde Fall in Dänemark zur Nutzung von Google Workspace for Education an Schulen.