Schulen in den Niederlanden können weiterhin Google Workspace for Education nutzen. Das gab SIVON, einer der beiden großen kommunalen IT Dienstleister der Niederlande schon im Juni 2024 unter dem Titel „Google Workspace kann im Bildungsbereich sicher verwendet werden„1niederländisch „Google Workspace kan veilig gebruikt worden in het onderwijs“ bekannt. Bis man in den Niederlanden allerdings an diesem Punkt ankam, brauchte es mehrere Jahre. Neben SIVON und SURF, dem anderen großen kommunalen IT Dienstleister, waren die niederländische Datenschutzaufsicht, die Regierung der Niederlande über SLM Rijk, Privacy Company als Dienstleister für hochspezialisierte Datenschutzuntersuchungen und Google als Anbieter von Google Workspace for Education beteiligt. Die Nutzung von Google Workspace for Education ist an Schulen und Universitäten in den Niederlanden weit verbreitet. Das dürfte ein Grund gewesen sein, dass man sich 2020 die Plattform mit Blick auf Datenschutz genauer ansah. Privacy Company wurde mit einer Datenschutz-Folgenabschätzung (DSFA) beauftragt, in welcher hohe Risiken bei der Nutzung der Plattform festgestellt wurden. Mit den Ergebnissen ging man in Beratung mit der Datenschutzaufsichtsbehörde der Niederlande, die vor einem Nutzungsverbot warnte, falls die Risiken nicht gemindert würden. SIVON, SURF und SLM Rijk konnten in den nachfolgenden Verhandlungen mit Google eine Einigung erzielen, in welcher Google sich verpflichtete, als Datenverarbeiter für den niederländischen öffentlichen Sektor für wichtige personenbezogene Daten zu fungieren. Google begann in Folge mit der Umsetzung der zugesagten technischen und organisatorischen Maßnahmen. Um diese Umsetzung zu überprüfen führte Privacy Company im Auftrag von SIVON und SURF eine erneute Untersuchung der Plattform durch. Dabei konnte bestätigt werden, dass Google die verabredeten Maßnahmen umgesetzt hatte und die zuvor ermittelten hohen Risiken ausreichend gemindert werden konnten. Dies wurde dem Parlament durch das niederländische Bildungsministerium bestätigt im Juli 2023 bestätigt. Zu den von Google umgesetzten Maßnahmen gehören neben veränderten Datenschutzverträgen und neuen Informationen zur Datenverarbeitung wie einer Auflistung aller eingesetzten Drittanbieter auch Anpassungen in der Admin Console, durch welche neue datenschutzfreundliche Einstellungen verfügbar werden. Dazu gehört unter anderem die Option, Europa als Datenstandort zu wählen. Auch in der Anzeige für Benutzer wurden Dinge verändert, etwa ein Hinweis, wenn schulische Nutzer die sogenannten Wichtigen Dienste (Essential Services) verlassen und auf Dienste zugreifen, in welchen die für die Wichtigen Dienste gemachten Zusagen zum Datenschutz nicht oder nur eingeschränkt gelten.
Damit Schulen Google Workspace for Education sicher nutzen können, sind von den Schulen selbst eine Reihe von Maßnahmen erforderlich. Einzelne davon setzen die Nutzung einer kostenpflichtigen Google Workspace for Education Lizenz voraus. Ein Support Paket der IT Dienstleister SIVON und SURF unterstützt sie dabei. Dazu gehören ein Technischer Leitfaden für Google Workspace for Education, in welchem erforderliche administrative Einstellungen in der Plattform erklärt werden, sowie ein Dokument mit Sicherheitseinstellungen für Google Workspace, Informationen für Nutzer über die Datenverarbeitung, welche Schulen nutzen können, um die erforderliche Transparenz für ihre Nutzer wie auch die Mitbestimmungsgremien der Schule herstellen zu können. Ergänzt wird das Paket durch eine Vorlage für eine schuleigene DSFA. Diese beinhaltet auch eine DTIA2Data Transfer Impact Assessment – es geht um eine Folgenabschätzung bezüglich der Übermittlung von personenbezogenen Daten in unsichere Drittstaaten. Diese lokale DSFA basiert auf der durch Privacy Company durchgeführten nationalen DSFA, der DTIA und der Überprüfungsuntersuchung zur DSFA. Schulen müssen mit diesem Instrument für sich ermitteln, für welche Datenverarbeitungen sie die Plattform Google Workspace for Education nutzen und ob sie in der Lage sind, alle erforderlichen Maßnahmen, wie sie unter anderem im technischen Leitfaden beschrieben werden, aber auch weitere, umzusetzen. Im Ergebnis sollte die Schule erkennen, ob sie die ursprünglich ermittelten hohen Risiken erfolgreich mindern kann. Ausgehend vom Ergebnis entscheidet die Schulleitung am Ende, ob die Schule Google Workspace for Education weiterhin nutzen wird oder nicht. Die Schule legt außerdem fest, wann sie die Nutzung der Plattform bezüglich der Einhaltung getroffener Maßnahmen und möglicher Datenschutzrisiken erneut überprüfen wird.
Bewertung
In den Niederlanden hat man etwas geschafft, das man sich in Deutschland zum Vorbild nehmen sollte. Die wichtigen Akteuere zogen gemeinsam an einem Strang und ermöglichen damit ihren Schulen eine datenschutzfreundliche Nutzung von Google Workspace for Education. Was aber noch viel besser ist, diese datenschutzfreundliche Nutzung von Google Workspace for Education ist jetzt auch für Schulen in Deutschland möglich, denn die technischen und organisatorischen Maßnahmen dafür (veränderte Datenschutzvereinbarungen, verbesserte Transparenz durch zusätzliche Informationen zur Datenverarbeitung, Anpassungen in den administrativen Möglichkeiten, verbesserte Möglichkeiten für Betroffene ihre Rechte wahrzunehmen), welche die niederländischen IT Dienstleister mit Google aushandelten, wurden durch Google nun europaweit zur Verfügung gestellt. Google ist so übrigens Microsoft weit voraus. Eine Zusatzvereinbarung zum Datenschutz für Schulen, welche den Empfehlungen der Aufsichtsbehörden genügt, wurde von einer Arbeitsgruppe von Aufsichtsbehörden zwar durch eine Handreichung beschrieben, doch es sieht sich in Deutschland bislang scheinbar niemand in der Verantwortung eine solche mit Microsoft auszuhandeln, weder auf Bundesland- noch auf Bundesebene.
Schulen, die Google Workspace for Education zur Erfüllung ihres Bildungs- und Erziehungsauftrages nutzen, ist dringend zu empfehlen, dass sie die niederländischen Maßnahmen für sich umsetzen, einschließlich der DSFA.3Der Technische Leitfaden für Google Workspace for Education, die Sicherheitseinstellungen und die DSFA liegen dem Verfasser des Beitrags in Übersetzung ins Deutsche vor. Damit sind sie dann in der Lage die Plattform datenschutzfreundlich zu nutzen und ihren Rechenschaftspflichten gegenüber Betroffenen nachzukommen und dieses auch gegenüber Aufsichtsbehörden nachzuweisen.