Wie Privacy Company, ein auf Datenschutz spezialisierter niederländischer Dienstleister,1Der Anbieter erstellt Datenschutz-Folgenabschätzungen, nimmt umfangreiche technische Untersuchungen zu Daten(ab)flüssen vor und schlägt Maßnahmen zum Abstellen von Problemen vor. schon im Juni 2024 mitteilte, ergeben sich aus der Nutzung der für niederländischen Bildungsbereich speziell angepassten Version von Chromebooks keine hohen Risiken mehr.
Im Auftrag von SVION und SURF, zwei großen niederländischen kommunalen IT Dienstleistern für den Bildungsbereich führte Privacy Company eine zweistufige Untersuchung zu den Datenschutzrisiken bei der Nutzung von Chromebooks an Schulen durch. Die beiden IT Dienstleister hatten im Mai 2023 mit Google neue und bessere Datenschutzvereinbarungen zu ChromeOS, dem Betriebssystem von Chromebooks, und Chrome Browser2Hier geht es vor allem um die verwaltete Version von Chrome Browser, die auf schulischen Geräten zum Einsatz kommt und zum Zugang zu Google Workspace for Education genutzt wird. aushandeln können und im August 2023 rollte Google dann die neuen speziell für niederländische Schulen und Universitäten angepassten Versionen der beiden Plattformen aus.
Im ersten Bericht vom 29. Juni 2023 bewertete Privacy Company die Auswirkung der neuen Datenschutzvereinbarungen bezüglich der Datenschutzrisiken bei der Nutzung von verwalteten Chromebooks. Man konnte feststellen, dass viele der hohen Risiken beseitigt worden waren, indem Google für viele Verarbeitungsvorgänge zum Auftragsverarbeiter geworden ist. Allerdings waren zur weiteren Reduktion von Datenschutzrisiken noch technische Anpassungen seitens Google erforderlich, etwa um Betroffenen bei Anfragen umfangreicher Auskunft zu verarbeiteten Daten gegen zu können. Dafür war die die von Google vertraglich zugesagte Entwicklung spezieller Versionen von ChromeOS und Chrome Browser erforderlich.
Der zweite Bericht, der die technischen Untersuchung der für die Niederlande entwickelten ChromeOS und Chrome Browser Versionen zum Gegenstand hatte, konnte im Februar 2024 durch Privacy Company fertig gestellt werden. Mit dem Bericht konnte Privacy Company nachweisen, dass Google seine Zusagen eingehalten hat und dass Auskunftsersuchen für Schüler, Studenten oder Mitarbeiter durch Administratoren stark vereinfacht wurden. Außerdem verbesserte Google seine Transparenz bezüglich der Art und Weise der Datenverarbeitung, indem Informationen über die Verarbeitung von Telemetriedaten bei der Nutzung von Chromebooks bereitgestellt wurden. Für Administratoren ist es zudem einfacher, datenschutzfreundliche Einstellungen über die Google Admin Console vorzunehmen.
Allerdings, so stellt der Bericht fest, hat Google nicht für alle in Frage kommenden Bereiche verbesserte Datenschutzzusagen gemacht. Dazu gehören die sogenannten Optionalen Dienste wie z.B. Google Play und Chrome Webstore. Um diesbezüglich hohe Datenschutzrisiken auszuschließen, muss der Zugang zu diesen Optionalen Dienste durch die Bildungsinstitutionen zentral blockiert werden. Die beiden IT Dienstleister SURF und SVION haben dazu wie in der Vergangenheit ausführliche Handreichungen für die Bildungseinrichtungen und Systemadministratoren erstellt.3Die Handreichung ist in niederländischer Sprache mit Screenshots. Sie sollte sich relativ einfach übersetzen lassen, etwa durch einen Import des PDF in Google Drive, Umwandlung in ein Google Doc und Übersetzung des Dokuments. Werden die dort beschriebenen Maßnahmen umgesetzt, ergeben sich für die Nutzer von Chromebooks in niederländischen Bildungseinrichtungen keine hohen Risiken mehr.
Die Maßnahmen sind in einer Tabelle auf der Seite festgehalten. Eine Übersetzung davon als PDF: Maßnahmen für Administratoren von ChromeOS.pdf.4Die Tabelle stammt aus dem Dokument Verification report Processor version Google Chrome for Education | SIVON 7 March 2024.pdf
Wie im Beitrag auch zu lesen, haben SURF und SVION auch bezüglich Google Workspace for Education mit Google neue bzw. zusätzliche strenge Datenschutzvereinbarungen ausgehandelt. Auch mit diesen konnten bekannte hohe Risiken beseitigt werden.5Mehr bei Prvacy Company unter https://www.privacycompany.eu/blog/verification-research-google-workspace-for-education-known-high-risks-resolved
Bewertung
Für die Niederlande bedeuten die von Privacy Company beschriebenen Verbesserungen im Datenschutz bei der Nutzung von ChromeOS und Chrome Browser einen echten Erfolg. Zwar müssen von den Schulen bzw. ihren System Administratoren noch immer einige Maßnahmen zentral umgesetzt werden, doch das ist ein geringer Preis. Etwas schwieriger wird es, wenn auch Endnutzer, hier Schülerinnen und Schüler, bestimmte Maßnahmen umsetzen sollen. Das Problem dürfte hier aber eher gering sein, da sich einige nur ergeben, wenn Schulen ihren Schülerinnen und Schülern die Nutzung von Chromebooks für private Zwecke erlauben. Diese Form der Kontrolle über die Datenverarbeitung auf Chromebooks kann allerdings in dem Moment an Grenzen stoßen, wenn diese Geräte privat gekaufte Geräte sind und als Teil eines BYOD Konzeptes an der Schule genutzt werden. Ein Ausweg wäre dann vermutlich die Option, für die private Nutzung einen zweiten getrennten Nutzer auf dem Gerät einzurichten.
Die neuen Vertragsbedingungen, in welchen Google bei der Nutzung von ChromeOS und Chrome Browser als Auftragsverarbeiter fungiert, wie von den Niederlanden ausgehandelt, sind bisher außer in den Niederlanden selbst nur in Belgien und Norwegen verfügbar. Weder Deutschland, wo diese Möglichkeit dringend benötigt würde, noch Dänemark, wo dieses noch dringlicher erforderlich wäre, verfügen laut Google aktuell über die Option. Wann die speziellen Education Versionen von ChromeOS und Chrome Browser auch in Deutschland verfügbar sind, dazu gibt es von Google bisher keine verlässlichen Aussagen.6Es gab einmal Aussagen, dass dieses noch 2024 der Fall sein sollte. Ob sich im letzten Quartal noch etwas tut, bleibt abzuwarten.
Die Tabelle mit Maßnahmen für die Administration von ChromeOS und Chrome Browser sollte von Schulen in Deutschland soweit technisch bereits möglich berücksichtigt werden, um die Nutzung so datenfreundlich wie möglich zu machen. Die Tabelle ist nur eine Kurzversion der ausführlichen Anleitung von SVION und SURF – Handleiding Google ChromeOS en Chrome browser, die aber leider nur in niederländischer Sprache verfügbar ist.7Eine schnelle Übersetzung ist möglich, indem man das PDF in Google Drive importiert, als Doc umwandelt und dieses automatisch übersetzen lässt. Erfahrene Google Admins sollten auch mit einer schlechten Übersetzung verstehen, was gemeint ist, zumal die Handreichung auch Screenshots enthält. Alternativ empfiehlt sich die Nutzung von schulischen Chromebooks im Gastmodus, wie es auch in den Niederlanden empfohlen und praktiziert wurde bis die angepassten Versionen verfügbar waren.