Dänische Aufsichtsbehörde gibt grünes Licht für Google Workspace for Education

Mitte Juni hatten verschiedene Medien berichtet, dass KL, der Interessenverband dänischer Kommunen, einen Vertrag mit Google abschließen konnte, in welchem Google zusichert, keine personenbezogenen Daten schulischer Nutzer für eigene Zwecke zu verarbeiten. Damit konnte nach Einschätzung von KL der Anordnung der dänischen Aufsichtsbehörde Datatilsynet von Januar 2024 Folge geleistet werden. Diese Einschätzung wurde jedoch nicht von allen Seiten geteilt.1z.B. https://www.linkedin.com/posts/niels-bertelsen-1684b61_kl-chromebook-sagen-er-l%C3%B8st-men-regeringen-activity-7208745382514696192-IBtb/ Am 10.07.2024 veröffentlichte die dänische Aufsichtsbehörde zu dem Fall ein Statement mit dem Titel „Der Chromebook-Fall: Die Kommunen kommen der neuesten Anordnung der Datenschutzbehörde nach“2original „Chromebook-sagen: Kommunerne efterlever Datatilsynets seneste påbud“ – Der Fall wurde in der Presse als die Chromebook Saga bekannt, da es neben Google Workspace for Education auch um die Nutzung von Chromebooks an dänischen Schulen ging. In diesem Beitrag erwähnt wird ein Schreiben der Aufsichtsbehörde an KL3Übersetzung des Brief der dänischen Aufsichtsbehörde an KL – 2024-07-10, in welchem KL eine differenzierte Rückmeldung zu den eingereichten Unterlagen gegeben wird. Der Beitrag auf der Website gibt die Inhalte davon in verkürzter Form wieder.

Die dänische Aufsichtsbehörde bestätigt, dass der vorgelegte Vertragsentwurf zwischen KL und Google widerspiegelt, dass ab 1. August 2024 keine personenbezogenen Daten mehr für

  • (i) die Wartung und Verbesserung des Google Workspace for Education, Chrome OS und des Chrome-Browsers,
  • (ii) zur Messung der Leistung von Chrome OS Chrome OS und des Chrome-Browsers und
  • (iii) die Entwicklung neuer Funktionen und Dienste in Chrome OS und dem Chrome-Browser („die daraus abgeleiteten Zwecke“)

an Google weitergegeben werden. D.h. Google verarbeitet gemäß dem geänderten Vertrag keine personenbezogenen Daten der schulischen Nutzer mehr für eigene Zwecke. Außerdem stellen die vertraglichen Änderungen sicher, dass Daten nur auf Weisung der für die Datenverarbeitung verantwortlichen Kommunen verarbeitet werden (Ausnahmen sind möglich, wenn dies nach geltendem Recht im Einklang mit EU-Verordnungen oder einem Gesetz eines EU-Mitgliedstaates erforderlich ist).

Damit kommen nach Einschätzung des zuständigen Mitarbeiters der dänischen Aufsichtsbehörde, Alan Frank, die Kommunen der Anordnung der Aufsichtsbehörde nach:

Das Problem, dass einige der Informationen der Kinder ohne Rechtsgrundlage weitergegeben wurden, ist mittlerweile gelöst, und daher ist es unsere Einschätzung, dass die Kommunen der Anordnung nachkommen. Allerdings gibt es in dem Fall noch einige offene Fragen.“

KL hatte der Aufsichtsbehörde gegenüber erklärt, dass man zukünftig auf Dienste und Teile von Diensten, bei deren Nutzung personenbezogene Daten in Drittländern ohne einen der EU gleichwertigen Schutz verarbeitet werden, verzichten und diese abschalten wird. Dieses wertet die Aufsichtsbehörde positiv und weist darauf hin, dass die von KL angegebenen Voraussetzungen und Empfehungen auch von allen Kommunen umgesetzt werden muss. Außerdem gelte dies auch für Service und Wartung der Infrastruktur durch den Google, sofern dieses eine Verarbeitung von personenbezogenen Daten erfordert, welche im Auftrag der verantwortlichen Gemeinden verarbeitet werden.

Auch wenn die Aufsichtsbehörde den Kommunen grünes Licht gibt, an den Schulen weiterhin die Google Plattformen Google Workspace for Education, Chrome Browser, Chromebooks und ChromeOS zu nutzen, sieht sie noch einige Problemzonen.

  • Es ist für die Kommunen angesichts der Komplexität sowohl des Vertragswerks als auch der Verarbeitungsvorgänge schwierig, einen Überblick über die Verarbeitung und die Bedingungen der Verarbeitung zu behalten sowie alles zu verstehen und dieses gegebenenfalls auch nachweisen zu können.
  • In den allgemeinen Vertragsbedingungen von Google darf es keine Klauseln oder Bedingungen geben, welche in Konflikt mit den geänderten Vertragsbedingungen stehen und die Kontrolle des Verantwortlichen untergraben und das auch nicht mit Blick auf die Fähigkeit des für die Verarbeitung Verantwortlichen, die Rechtmäßigkeit der Verarbeitung zu dokumentieren, sicherzustellen und nachzuweisen.
  • Entsprechend muss die Darstellung bezüglich der von Google als Auftragsverarbeiter vorzunehmenden Verarbeitung in den Verträgen transparent sein, darf also weder vage noch unklar oder geheim sein.
  • Entsprechend müssen die Verantwortlichen in der Lage sein, betroffene Personen über die sie betreffende Verarbeitung transparent zu informieren.
  • Außerdem muss der Verantwortliche jederzeit in der Lage sein, die Verarbeitung innerhalb von vertraglich festgelegten Fristen, die dem Verantwortlichen eingeräumt werden, auszusetzen oder einzustellen,
    • um die Einhaltung der rechtlichen Vorgaben nachzuweisen, oder
    • wenn sich die Bedingungen, dass die Einhaltung rechtlicher Vorgaben nicht möglich ist.
  • Für die Aufsichtsbehörde ist unklar, wie umfangreich die Dokumentationspflicht des Verantwortlichen beim Einsatz von Unterauftragsverarbeitern durch Unterauftragsverarbeiter in einer sogenannten Unterauftragsverarbeitungskette ist. Dazu hat sie nun eine Stellungnahmen beim Europäischen Datenschutzausschuss erbeten. Liegt diese vor, wird die Aufsichtsbehörde die bei der Nutzung von Google Produkten durch die Kommunen vorliegende Unterauftragsverarbeitungskette abschließend bewerten.

Bewertung

Die Bewertung der dänischen Aufsichtsbehörde des zwischen KL und Google ausgehandelten Vertrags, in welchem Google zusichert, bei der Nutzung von Google Workspace for Education, Chromebooks, Chrome Browser und ChromeOS keine personenbezogenen Daten von schulischen Nutzern zu eigenen Zwecken zu verarbeiten, weder zur Wartung und Verbesserung, zur Leistungsmessung oder zur Entwicklung neuer Funktionen und Dienste, zeigt, die Dinge bewegen sich in die richtige Richtung. Google bewegt sich und geht auf die Anforderungen der Aufsichtsbehörde ein, um Schulen eine weitere Nutzung ihrer Plattformen zu ermöglichen. Die Schulen der betroffenen 53 dänischen Kommunen können nach den Sommerferien weiterarbeiten mit den Google Plattformen. Allerdings müssen sie ihre Tenants entsprechend den Empfehlungen von KL konfigurieren und einige Dienste oder Teile von Diensten deaktivieren oder aus den Plattformen entfernen. Vermutlich werden sie auch ihre Informationen zur Datenverarbeitung überarbeiten müssen, um die Nutzer transparenter zu informieren.

Leider liegen die zwischen KL und Google ausgehandelten angepassten Verträge nicht öffentlich vor. Gleiches gilt auch für die Empfehlungen, welche KL den Kommunen für die Umsetzung der technische und organisatorische Maßnahmen, welche erforderlich sind, um die vertraglichen Änderungen auf auch Seiten der Kommunen umzusetzen. Es ist darüber hinaus auch nicht bekannt, ob mit den vertraglichen Anpassungen auch die Bereitstellung der ursprünglich für die Niederlande entwickelten angepassten Versionen von Chromebooks, ChromeOS und ChromeBrowser für dänische Schulen einhergeht. Man kann dieses allerdings vermuten, da Google nur so in der Lage sein wird, seine Zusagen wie oben beschrieben einzuhalten.

Die von der Aufsichtsbehörde beschriebenen Probleme, die durch komplexe und schwierig zu verstehende und nachvollziehbare Verträge und Verarbeitungstätigkeiten bestehen, sind vergleichbar denen, welche Aufsichtsbehörden auch bei Microsoft kritisieren. Ihre Lösung wird Zeit benötigen, dürfte von Google aber in Angriff genommen werden.

Was heißt das jetzt für Schulen in Deutschland, die mit den Google Produkten arbeiten?

Da sich die Lage insgesamt sehr positiv entwickelt, kann man davon ausgehen, dass deutsche Aufsichtsbehörden Schulen bei der Nutzung unterstützen werden, sofern die Schulen proaktiv handeln und dieses auch vermitteln können. Man kann sicher davon ausgehen, dass auch Schulen in Deutschland die Vertragsbedingungen erhalten werden, die es bereits für die Niederlande und jetzt auch für Dänemark gibt. Wie von Google bekannt, sollen in Deutschland noch dieses Jahr die angepassten Versionen von Chromebooks, ChromeOS und ChromeBrowser zur Verfügung gestellt werden. Bis es soweit ist, sollten Schulen darauf abzielen, die Google Produkte so datenschutzfreundlich wie möglich einzusetzen. Das bedeutet z.B.:

  • Nutzung der Version von Google Workspace for Education, mit welcher sich die besten Datenschutzeinstellungen vornehmen lassen – Google Workspace for Education Plus (ehemals Enterprise) – bezüglich Telemetriedaten, Dienste, …
  • Nutzung von Chromebooks im Gastmodus
  • Dokumentation der Verarbeitungsvorgänge in einem Verfahrensverzeichnis, um einen Überblick über die in Google Workspace for Education verarbeiteten personenbezogenen Daten und Zwecke zu haben. Anschließend gegebenenfalls die Verarbeitung für Daten einschränken, um datenschutzfreundlicher zu arbeiten. Außerdem kann man so einer Aufsichtsbehörde gegenüber nachweisen, welche Daten wofür und auf welcher Rechtsgrundlage in Google Workspace for Education verarbeitet werden.
  • Beschränkung der Nutzung von Google Workspace for Education auf die Hauptdienste (Core Services) und Deaktivierung zusätzlicher Dienste (Additional Services), da letztere nicht den strengeren Bestimmungen/ Zusagen für den Education Bereich unterliegen.
  • Ein Löschkonzept erarbeiten, mit dem sichergestellt wird, dass die Daten der Nutzer in Google Workspace for Education nur solange liegen wie dieses zur Erfüllung des Bildungs- und Erziehungsauftrages erforderlich ist. (Classrooms sollten in der Regel nach Ende des Halb- oder Schuljahres gelöscht werden können.)
  • Transparente und gut verständliche Informationen zur Datenverarbeitung bei der Nutzung der Google Produkte
  • Eine Nutzungsanweisung/ -vereinbarung für Schülerinnen und Schüler erstellen, die klar regelt, welche Nutzung von Google Workspace for Education zulässig ist und welche nicht.
  • Für Lehrkräfte wird eine entsprechende Dienstanweisung erstellt. Dazu gehört beispielsweise die Beschränkung auf die unterrichtliche Nutzung aber das Verbot einer Nutzung für die pädagogische Dokumentation, die Erstellung und den Austausch von Notenlisten, Gutachten, Zeugnissen, …
  • Ein sauberes Rechte- und Rollenmanagement.
  • Passwortregeln und Zwei-Faktor-Authentifizierung (2FA) für Personen mit höheren Berechtigungen. Sollen Lehrkräfte Passwörter zurücksetzen können, müssen sie ihren Zugang mit 2FA absichern.
  • Eine Administratorenverpflichtung und die Vorgabe, dass Lehrkräfte, die Admin Rechte haben, das Admin Konto nicht für Unterricht nutzen dürfen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert