Dänische Aufsichtsbehörde erlässt Verfügung gegen Schulen bezüglich genutzter Google Produkte

   4. Februar 2024  Leave a Comment on Dänische Aufsichtsbehörde erlässt Verfügung gegen Schulen bezüglich genutzter Google Produkte  Posted in Europa, Google

Der Fall, in dem die dänische Datenschutzaufsicht jetzt eine Verfügung erlassen hat, ist schon fast in Vergessenheit geraten. Man erinnere sich. Im Juli 2022 hatte die Aufsichtsbehörde den Schulen der Verbandsgemeinde Helsingør die Verarbeitung von personenbezogenen Daten bei der Nutzung von Google Workspace for Education und Chromebooks untersagt und dieses Verbot im August noch einmal bestätigt. Die Entscheidung hatte weitreichende Konsequenzen, denn sie betraf letztlich auch die anderen dänischen Gemeinden, deren Schulen die Google Produkte einsetzen. Das sind immerhin etwa die Hälfte von 98 Gemeinden. Die Gemeinde Helsingør hatte sich dann im September an einem runden Tisch mit der Aufsichtsbehörde auf eine vorübergehende Lösung geeinigt, welche es den Schulen erlaubte, Chromebooks und Google Workspace for Education unter Auflagen weiterhin einzusetzen. Die Aussetzung des Verbots durch die Aufsichtsbehörde war zunächst auf zwei Monate bis zum 2. November 2022 festgelegt. Im Fortgang des Verfahrens wurde diese Frist aus verschiedenen Gründen mehrfach verlängert. In dieser Frist reichten Helsingør und die anderen 52 betroffenen Gemeinde bzw. deren kommunaler IT-Dienstleister KL, wiederholt Unterlagen in größerem Umfang bei der Aufsichtsbehörde ein, welche diese dann prüfen und bewerten musste.

Jetzt, etwa eineinhalb Jahre später, nachdem des Verfahren in Folge einer Beschwerde durch Eltern eröffnet worden war, hat die Aufsichtsbehörde die eingereichten Unterlagen abschließend bewertet und eine einstweilige Verfügung erlassen, worüber sie in ihrem Internetauftritt unter Die dänische Datenschutzbehörde erlässt eine einstweilige Verfügung in der Chromebook-Sache1„Datatilsynet giver påbud i Chromebook-sag“ mit Datum vom 30.01.2024 berichtet. Der Volltext der einstweiligen Verfügung ist ebenfalls abrufbar. Dort lässt sich auch entnehmen, dass das Verfahren in der Zwischenzeit auf alle dänischen Kommunen, deren Schulen Chromebooks und Google Workspace for Education einsetzen, ausgeweitet wurde. Entsprechend erhielten auch diese 52 Gemeinden die vier Anweisungen, welche der Gemeinde Helsingør erteilt wurden.

Ausgesprochen hat die dänische Aufsichtsbehörde ihre einstweilige Verfügung, da sie zu dem Schluss gekommen ist, dass für die Offenlegung eines Teils der personenbezogenen Daten bei der Nutzung von Chrome und Google Workspace for Education gegenüber Google bzw. die Zwecke, zu welchen Google diese Daten verarbeitet, keine ausreichende Rechtsgrundlage im dänischen Schulgesetz – Folkeskoleoven – vorliegt. Schon in ihrer vorherigen Entscheidung gegenüber den 53 Kommunen hatte die Aufsichtsbehörde bemängelt, dass die Kommunen sich vorab nicht ausreichend mit den Datenverarbeitungsprozessen bei der Nutzung der Plattformen an den Schulen auseinandergesetzt hatten.2Gemeint ist hier eine Datenschutz-Folgenabschätzung. Das sei vor allem vor dem Hintergrund, dass Betroffene bei der Verarbeitung von personenbezogenen Daten durch öffentliche Stellen keine Möglichkeit haben, dieser Verarbeitung zu widersprechen, von Bedeutung. Mit den im Verfahren eingereichten Unterlagen konnte hier mittlerweile Klarheit geschaffen werden. Deutlich wurde dabei, dass es eine Offenlegung von personenbezogenen Daten gegenüber Google gibt, welche der Anbieter für eigene Zwecke nutzt. Die Aufsichtsbehörde bewertete die Rechtmäßigkeit dieser Offenlegung und kam zu dem Schluss, dass hier eine rechtliche Klärung erforderlich ist, welche dann den Rahmen für eine Lösung setzt, welche es erlaubt, die personenbezogene Daten von Schülerinnen und Schülern künftig zu verarbeiten.

Insgesamt kam die Aufsichtsbehörde bei der Bewertung des Falls zu dem Schluss, dass es eine Rechtsgrundlage gibt, die personenbezogenen Daten von Schülerinnen und Schülern gegenüber Google offenzulegen, um

  • die Dienste im Zusammenhang mit der Nutzung von ChromeOS, Google Workspace for Education und Chrome Browser zu erbringen,
  • die Sicherheit und Zuverlässigkeit der Dienste zu verbessern,
  • mit den Kommunen zu kommunizieren und
  • rechtlichen Verpflichtungen nachkommen zu können.

Aus dem dänischen Schulgesetz lässt sich aktuell jedoch keine ausreichende Rechtsgrundlage herleiten, die es den Kommunen erlaubt, die personenbezogenen Daten von Schülerinnen und Schülern gegenüber Google offenzulegen, für

  • die Wartung und Verbesserung des Dienstes Google Workspace for Education, ChromeOS und des Chrome Browsers oder
  • zur Messung der Leistung und Entwicklung neuer Funktionen und Dienste in ChromeOS und dem Chrome-Browser.

Als Konsequenz aus den Befunden fordert die Aufsichtsbehörde die Kommunen per Verfügung auf, die Datenverarbeitung – d.h. hier vor allem die Offenlegung gegenüber Google – in Übereinstimmung mit den Rechtsvorgaben zu bringen, um sicherzustellen, dass es für alle stattfindenden Verarbeitungsvorgänge eine Rechtsgrundlage gibt. Dazu sieht die Aufsichtsbehörde drei Möglichkeiten:

  • Die Kommunen legen gegenüber Google keine der betreffenden personenbezogenen Daten mehr Google offen, was höchstwahrscheinlich technische Lösung auf Seiten Googles erfordert, welche es ermöglicht, die entsprechenden Datenflüsse zu unterbinden.
  • Google verzichtet von sich aus auf die Verarbeitung von personenbezogenen Daten für die betreffenden Zwecke.
  • Das dänische Parlament schafft eine Rechtsgrundlage für die Offenlegung der betreffenden personenbezogenen Daten.

Für die Umsetzung der Verfügung setzt die Aufsichtsbehörde den Kommunen einen Frist bis zum 01.08.2024. Sie müssen jedoch bereits bis zum 01.03.2024 angeben, wie sie beabsichtigen die Vorgaben der Verfügung umzusetzen. Die Aufsichtsbehörde wird dann Fall für Fall anhand der bis zum 01.03.2024 eingereichten Unterlagen und unter Berücksichtigung bereits von den Kommunen getroffener und in den Unterlagen dokumentierten Maßnahmen entscheiden, welche konkreten Maßnahmen die einzelne Kommune weiterhin bis zum Stichtag 01.08.2024 umsetzen muss und diese darüber informieren. Der weitere Verlauf des Verfahrens hängt bei jeder Kommune davon ab, wie sie die ihnen auferlegten Vorgaben umsetzen. Im Volltext der einstweiligen Verfügung weist die Aufsichtsbehörde darauf hin, dass ein Nichtbefolgen der Verfügung mit einer Geldstrafe oder Gefängnisstrafe bis zu 6 Monaten geahndet werden kann.

Der Volltext lohnt durchaus eine Lektüre, da er den gesamten Fall von Anfang bis Ende dokumentiert, die Argumentation des Kommunalen Dienstleisters KL gegenüber der Aufsichtsbehörde nachvollzieht und die Entscheidung der Aufsichtsbehörde ausführlich darstellt.

Bewertung

Der Fall in Dänemark ist auch für Schulen in Deutschland von Bedeutung, da man davon ausgehen kann, dass die von der dänischen Aufsichtsbehörde bemängelte Verarbeitung der personenbezogenen Daten der Nutzer von Chromebooks, Chrome-Browser und Google Workspace for Education auch von deutschen Aufsichtsbehörden gleichermaßen kritisch gesehen wird. Schaut man auf Dänemark, so ist wohl klar, dass von den von der Aufsichtsbehörde beschriebenen möglichen Abhilfemaßnahmen letztlich nur eine in Betracht kommt. Der Gesetzgeber wird keine Rechtsgrundlage schaffen, die es Google erlaubt personenbezogenen Daten der Nutzer für eigene Zwecke zu verarbeiten. Würden diese Daten ausschließlich für die Wartung und Verbesserung des Dienstes Google Workspace for Education, ChromeOS und des Chrome Browsers und zur Messung der Leistung und Entwicklung neuer Funktionen und Dienste in den Instanzen der Kommunen verarbeitet, so wäre dieses rechtlich unproblematisch, da Google dann ausschließlich als Verarbeiter handeln würde, wie die Aufsichtsbehörde im Volltext anmerkt. Dem ist jedoch nicht so. Google geht es um die Plattformen insgesamt und damit erfolgt die Verarbeitung zu eigenen Zwecken. Google ist somit Verantwortlicher. Die zweite Möglichkeit, welche die Aufsichtsbehörde anführt, ist die Kontrolle der abfließenden Daten durch die Kommunen. Unter bestimmten Bedingungen könnte das eventuell durch Blockierung von Diensten mittels Firewalls erfolgen, ist aber im Setting wie an den dänischen Schulen, wo eine Nutzung der Google Dienste auch außerhalb der Schule erfolgt, nicht umsetzbar ohne Hilfe von Google. Und das wäre die dritte mögliche Lösung. Google muss sich bewegen und entweder auf die Nutzung der beschriebenen Daten zu eigenen Zwecken vertraglich verzichten und dieses dann auch technisch umsetzen oder Google muss den Administratoren der Kommunen Werkzeuge in die Hand geben, welche es diesen erlauben, die Datenflüsse zu kontrollieren. 3Man kennt vergleichbare Kontrollen aus Microsoft 365 und Windows, wo es für Administratoren mittlerweile sehr differenzierte Möglichkeiten gibt, die Abflüsse von Telemetriedaten zu kontrollieren. Trotzdem gibt es bei MS365 noch immer Daten, welche laut Dokumentation Microsofts für eigene Zwecke verarbeitet werden. Google ist schon länger dabei, für den europäischen Bildungsbereich größere Veränderungen an Chromebooks, ChromeOS und Chrome-Browser vorzunehmen. Der Prozess wurde durch Vereinbarungen, welche Google mit den Niederlanden infolge dort aufgezeigter Datenschutzprobleme traf, angestoßen. Diese Änderungen sollen nun auch für Edu Kunden auf dem deutschen Markt und damit ziemlich sicher auch in Dänemark zur Verfügung gestellt werden. Ob die von Google getroffenen Maßnahmen den dänischen Schulen ausreichend werden, um die Vorgaben der Verfügung der Aufsichtsbehörde zu erfüllen, wird man sehen.

Schulen in Deutschland sollte der Fall in Dänemark eine Warnung sein. Es gibt vergleichbare Fälle übrigens auch in Island, wo die Aufsichtsbehörde nach einem längeren Verfahren sogar Strafen verhängte.4Der Bericht hierzu kommt noch. Für Schulen in Deutschland, welche die Produkte von Google für den Unterricht nutzen, empfiehlt es sich dringend, sich die für sie datenschutzfreundlichste Lösung zu erarbeiten. Es sollte:

  • eine zumindest minimale Datenschutz-Folgenabschätzung angefertigt werden, um einen Überblick über Verarbeitungsvorgänge, d.h. verarbeitete Daten, betroffene Personen und Verarbeitungszwecke sowie mögliche Risiken und Eintrittswahrscheinlichkeiten zu erhalten,
  • alle nicht erforderlichen Verarbeitungen unterbleiben und über eine Nutzungsordnung /Dienstanweisung festgelegt werden, welche Daten in den Google Diensten verarbeitet werden dürfen und welche nicht,
  • im Tenant alle Maßnahmen getroffen werden, um die Verarbeitung so datenschutzfreundlich wie möglich zu gestalten,
  • im Tenant dazu alle Dienste deaktiviert werden, welche nicht unter die strengen Datenschutzzusagen Googles für den Edu Bereich fallen, also alle nicht Core Services,
  • ein Löschkonzept erstellt und umgesetzt werden, welches regelt, wie lange Daten in den Google Diensten gespeichert werden. Sollen Daten länger als ein Schuljahr gespeichert werden, muss es dafür einen nachvollziehbaren Grund geben! Die Daten von Schülern, welche die Schule verlassen haben, sollten nicht länger in den Google Diensten gespeichert bleiben. Schüler, welche die Schule verlassen, können ihre Daten über Takeout auch außerhalb der Google Dienste für sich sichern. Hinweis: Es geht beim Löschen nicht länger benötigter Daten nicht um die persönlichen Verzeichnisse von Schülern und Lehrkräften, sondern um Daten etwa in Classrooms. Classrooms werden in der Regel nur ein Schuljahr lang genutzt. Danach werden sie häufig archiviert samt den Schülerdaten, die damit verknüpft sind und den Interaktionen innerhalb des Classrooms. Aus datenschutzrechtlicher Sicht ist dies in der Regel nicht begründbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert