Vielleicht erinnert man sich noch, dass an die Datenschutz-Folgenabschätzung von 2021 durch Privacy Company zur an Schulen in den Niederlanden genutzten Plattform Google Workspace for Education. Diese war zu dem Ergebnis gekommen, dass sich bei der Nutzung sowohl von der kostenlosen wie der kostenpflichtigen Plus Version für Nutzer hohe Datenschutzrisiken ergaben. In Folge gab es Gespräche zwischen SVION und SURF, zwei niederländischen, genossenschaftlich organisierten Bildungsdienstleistern, mit Google unter Beteiligung von SLM-Rijk, der staatlichen Beschaffungsbehörde, um die Vorgabe der niederländischen Datenschutzaufsicht „alle hohen Datenschutzrisiken bis zum Beginn des Schuljahres 2021/2022 ausreichend“ zu mindern, umzusetzen. Aus den Gesprächen ging eine Vereinbarung zwischen Google und den Niederländern hervor, mit welcher Google sich verpflichtete, durch technische Anpassungen von Google Workspace for Education seinen Teil dazu beizutragen, die von der niederländischen Datenschutzbehörde festgestellten hohen Datenschutzrisiken ausreichend zu mindern. Schulen sollten durch geeignete technische und organisatorische Maßnahmen ihren Teil dazu beitragen.
Da Schulen, die Google Workspace for Education in den Niederlanden nutzen, dieses überwiegend mit Chromebooks tun, welche ChromeOS nutzen, und den Chrome Brower nutzen, der sich über die Google Admin Console im schulischen Kontext verwalten lässt, wurde auch eine Datenschutz-Folgenabschätzung zu diesen in Auftrag gegeben.
Etwas später wurde über ein Dokument, welches das Parlament über die Vereinbarungen zum Datenschutz Google Workspace for Education informiert, bekannt, dass es von Google nicht nur die Verpflichtung zur Anpassung von Google Workspace for Education gab, sondern auch Zusagen bezüglich ChromeOS und Chrome Browser. Demnach hatte Google auch„angedeutet, bis August 2023 eine neue Version von Chrome OS und Chrome-Browser fertig zu haben.“ Diese Version sollte dann im Einklang mit den Vereinbarungen stehen, die 2021 mit Google über Google Workspace for Education getroffen wurden.
Während die vereinbarten Anpassungen an Google Workspace for Education weiter auf sich warten lassen, gab Google jetzt auf seiner Website die Verfügbarkeit einer neuen Version von ChromeOS speziell für den Bildungs- und den Business Bereich bekannt. Diese neue Version, die vorerst nur in den Niederlanden genutzt werden kann, steht Schulen zur Verfügung, sobald sie die neuen Nutzungsbedingungen für den Datenverarbeitungsmodus (Auftragsverarbeiter Modus) für sich angenommen haben. Dadurch wird Google dann bei der Nutzung von ChromeOS zum Auftragsverarbeiter, verarbeitet die anfallenden Daten also nicht länger als Verantwortlicher für eigene Zwecke. Es sollte dabei beachtet werden, dass die neue Funktion, welche Google zum Auftragsverarbeiter macht, nur für verwaltete ChromeOS Konten und ChromeOS Geräte wie Chromebooks verfügbar ist, welche die neueste Versionen von ChromeOS und Chromebrowser nutzen. Auf anderen Geräten (ChromeOS Flex, womit Macbooks und Windows PCs zu Chromebooks gemacht werden können, und nicht ChromeOS Geräte wie Macbooks, PCs oder Linux Geräte) ist die neue Funktion nicht verfügbar. Wichtig ist auch noch, dass Google nach Umstellung nur für die Essential Services von ChromeOS und Chrome Browser, also die wesentlichen Dienste, Auftragsverarbeiter ist. Für Optionale Dienste bleibt Google weiterhin Verantwortlicher bei der Verarbeitung von personenbezogenen Daten. Diese können damit von Schulen nicht genutzt und müssen deaktiviert werden. Dies lässt sich mit einer Einstellung für alle Nutzer der Schule umsetzen. Welche Dienste wozu gehören, zeigt die Übersicht über Essentielle und Optionale Dienste.
Zusätzlich zum neuen Datenverarbeitungsmodus gibt es zusätzliche Funktionen im Admin Bereich. Sobald eine Schule mit Annahme der neuen Nutzungsbedingungen Verantwortlicher ist, kann sie über die Google Admin Konsole im Rahmen von Anträgen auf Auskunft gem. Art. 15 DS-GVO Datenkopien Dienste Daten (Service Data)1„Servicedaten beziehen sich auf personenbezogene Daten, die Google bei der Bereitstellung von Essential Services für Kunden erhebt oder generiert.“ selbst sowie der mit den Essentiellen Diensten verarbeiteten Nutzerdaten und von Nutzern herunterladen und Löschanträgen durch Nutzer nachkommen.
Bewertung
Die vorgenommenen Anpassungen für ChromeOS und Chrome Browser für von Schulen verwaltete Geräte ist ein großer und wichtige Schritt, der Schulen eine DS-GVO konforme Nutzung von Chromebooks ermöglichen soll. Google gibt in seinen FAQ zu den neuen Nutzungsbedingungen zwar an, dass eine Nutzung von ChromeOS auch ohne Annahme derselben, in Einklang mit der DS-GVO möglich sei, doch das sehen die Aufsichtsbehörden anders. Inwieweit der neue Modus den Anforderungen der niederländischen Aufsichtsbehörde genügt, wird spätestens die nächste Datenschutz-Folgenabschätzung von Privacy Company zeigen. Es ist ziemlich sicher davon auszugehen, dass diese sich die neue, angepasste Edu Version von ChromeOS und Chrome Browser genauer ansehen wird. Bei der Entwicklung von ChromeOS und dem zugehörigen Chrome Browser war man bei Google von der vollen Kontrolle über die dabei anfallenden Dienstdaten ausgegangen. Man hatte dabei zwar schon zwischen den Wesentlichen und den Optionalen Diensten unterschieden, hatte sich bezüglich der Dienstdaten, also anfallenden Nutzungsdaten, jedoch auch bei den Wesentlichen Diensten als Verantwortlicher gesehen. Das erlaubte es Google, diese Daten für eigene Zwecke auszuwerten, etwa zur Weiterentwicklung der Plattform. Hier sehen Aufsichtsbehörden ein Problem, da dies über die Zwecke der Schulen hinausgeht. Die Anpassung bezüglich der Verantwortlichkeit für verarbeitete personenbezogene Daten bei der Nutzung der Wesentlichen Dienste ließ sich nicht durch eine bloße Änderung der Nutzungsbedingungen erreichen. Es waren auch technische Änderungen innerhalb der Plattform erforderlich. Dabei waren von Seiten Googles Entscheidungen erforderlich, wo und wie diese Änderungen vorgenommen werden sollten. So fallen beispielsweise die Application Platform Metrics (Messwerten aus der Anwendungsplattform), der Taschenrechner von ChromeOS und die Kamera App nicht unter die neuen Nutzungsbedingungen, da nach Angaben Googles „die von diesem Dienst verarbeiteten personenbezogenen Daten […] pseudonymisiert und nicht mit einer identifizierbaren Person oder einem Gerät verbunden“ sind. Genau an solchen Stellen werden die Spezialisten von Privacy Company genauer hinsehen.
Schulen in den Niederlanden, die als eine Maßnahme zur Minderung der Datenschutzprobleme mit Chromebooks diese nur noch im Gastmodus nutzten, so dass die anfallenden Nutzungsdaten keinem identifizierbaren Nutzer zugeordnet werden können, werden Chromebooks nun wieder mit der personalisierten Nutzeranmeldung verwenden können.
Auch wenn die neuen Nutzungsbedingungen und damit einhergehenden technischen Änderungen in ChromeOS und neuen Einstellmöglichkeiten für verwaltete Geräte in der Admin Konsole vorerst nur für Schulen in den Niederlanden verfügbar sind, so kann man davon ausgehen, dass auch andere EU Länder in absehbarer Zeit davon profitieren werden können. Für die Anpassung hat Google deutlich mehr Zeit gebraucht als geplant. Aus dem ursprünglich anvisierten August 2023 wurde April 2023. Mit der Anpassung wurde deutlich, Google ist Willens und in der Lage, sich auf die Anforderungen der DS-GVO einzustellen. Wie die (technischen) Anpassungen an ChromeOS und Chrome Browser für verwaltetet Geräte zeigen, braucht dieses jedoch Zeit.
Auch bei Google Workspace for Education gab es bereits Anpassungen, durch welche von Privacy Company festgestellte hohe Risiken gemindert oder komplett abgestellt werden konnten, wie eine Überprüfung ergab. Schulen müssen auch hier entsprechende Einstellungen vornehmen. Unter diesen Voraussetzungen können Schulen Google Workspace for Education vorerst weiter nutzen.