Auch in den Lern- und Bildungseinrichtungen gewinnt die Digitalisierung, nicht zuletzt auch aufgrund der coronabedingten Schulschließung und dem Wechsel auf Fernunterricht, fortlaufend an Bedeutung, sodass immer mehr private aber auch öffentliche Schulträger im Rahmen ihres Bildungsauftrags unterstützend auf digitale Dienste setzen. Folglich drängen immer mehr Anbieter von digitalen Bildungsangeboten, aber auch Anbieter von Hardware auf den (weltweiten) Bildungsmarkt. Zu den Anbietern gehören die üblich verdächtigen Tech-Giganten, welche den durchaus lukrativen Bildungsmarkt für sich ins Auge gefasst haben. Darunter auch der amerikanische Internetriese Google LLC, welcher mit seinem Angebot aus Chromebooks und den sich darauf befindenden cloudbasierten Anwendungen, welche gebündelt auch unter dem Deckmantel „Workspace for Education“ (vormals G-Suite genannt) weltweit an Schulen zu digitalen Bildungszwecken eingesetzt werden und durchaus – auch an deutschen Schulen –Beliebtheit genießt. Fraglich nur wie lange noch. Denn genau dieses Bildungsangebot und die damit einhergehende Datenverarbeitung von Schülern war Gegenstand eines aufsichtsbehördlichen Verfahrens in Dänemark. Das von der Dänischen Datenschutz-Aufsichtsbehörde „Datatilsynet“ geführte Verfahren gegen eine Gemeinde endete mit einem weitreichenden Nutzungsverbot des digitalen Bildungsangebots von Google an dänischen Schulen. Die dazu veröffentlichte Pressemitteilung der Aufsichtsbehörde vom 14. Juli 2022 ist hier abrufbar. Doch der Reihe nach!

Elternbeschwerde brachte Stein ins Rollen

Ausgangspunkt der Ermittlungen und dem abschließend erteilten Verarbeitungsverbot durch die Aufsichtsbehörde war eine Beschwerde seitens eines betroffenen Elternteils über die Datenverarbeitung im Rahmen der Nutzung der Google-Dienste im schulischen Kontext. Die Beschwerde seitens des Elternteils richtete sich zunächst gegen die Gemeinde Helsingør, welche für den Einsatz der Google-Dienste an den örtlichen Schulen verantwortlich war. Im weiteren Verlauf wandte sich das Elternteil auch direkt an die zuständige Aufsichtsbehörde, woraufhin die Gemeinde die Beschwerde zum Anlass nahm, um gegenüber der Behörde eine Datenschutzverletzung zu melden. Vorliegend wurde dem betroffenen Schulkind – ohne dieses davon in Kenntnis zu setzen – im Rahmen der schulischen Nutzung der Google-Dienste auch ein YouTube-Konto eingerichtet, wodurch der Kindesname auf der Videoplattform veröffentlicht wurde. Diese Meldung nahm die Aufsichtsbehörde wiederrum zum Anlass weitere Untersuchungen gegen die Gemeinde vorzunehmen und erließ in diesem Zuge eine Anordnung, welche die Gemeinde dazu verpflichtete, den Einsatz der Google-Dienste und die Verarbeitung der Schülerdaten in Einklang mit den geltenden Datenschutzregelungen zu bringen. Konkret forderte die Aufsichtsbehörde die Gemeinde auf, eine entsprechende Risikobewertung – auch unter Schwellenwertanalyse bekannt –hinsichtlich der Verarbeitung personenbezogener Daten durch die Gemeinde in Grund- und Sekundarschulen unter Verwendung der von Google bereitgestellten Dienste durchzuführen. Sofern die geforderte Risikobewertung zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Schüler führen sollte, umfasste die Anordnung auch die Durchführung einer Datenschutz-Folgenabschätzung.

Kein signifikantes Risiko durch Chromebookeinsatz

Auf Anordnung führte die Gemeinde die geforderte Risikobewertung durch und stellte im Ergebnis kein signifikantes Risiko für die Rechte und Freiheiten der betroffenen Schüler durch die Nutzung der Google-Dienste fest. Schwerpunkt der Risikobewertung waren u. a. die Kriterien, ob die Nutzerdaten auch zu anderen nicht schulischen Zwecken, insbesondere Marketingzwecken, verarbeitet werden und die Datenverarbeitung ausschließlich auf EU-Servern erfolgt oder es im Zuge der Verarbeitung auch zu einer Drittlandübermittlung kommt. Hinsichtlich des Kriteriums der strengen Zweckbindung sah die Gemeinde ein niedriges Risiko und begründete dieses zum einen mit der geschlossenen Vereinbarung zur Auftragsverarbeitung und zum anderen mit dem Einwand, dass anderweitige Google-Dienste, die eine Datenverarbeitung zu anderen Zwecken voraussetzen würden, für die Schüler deaktiviert wurden.

Auch hinsichtlich des Bewertungskriteriums einer möglichen Übermittlung der Nutzerdaten in einen – aus datenschutzrechtlicher Sicht – Drittstatt sah die Gemeinde ein niedriges Risiko für die Rechte und Freiheiten der Schüler. Das angenommene Risiko begründete die Gemeinde damit, dass der Vertragspartner die europäische Google-Gesellschaft (Google Cloud EMEA Ltd.) ist und die Schülerdaten ausschließlich in Rechenzentren innerhalb der EU verarbeitet werden. Besonders interessant an dieser Stelle ist der Verweis darauf, dass die Gemeinde im Rahmen ihrer Risikobewertung auch eine sog. Datentransfer-Folgenabschätzung – auch unter dem Synonym „Transfer Impact Assessment“ bekannt – durchgeführt hat. Zwar wurde die eigentliche Verarbeitung und Speicherung der Schülerdaten im Rahmen der Nutzung der digitalen Dienste vertraglich auf europäische Serverstandorte festgelegt, jedoch konnte seitens der Gemeinde nicht ausgeschlossen werden, dass dennoch personenbezogene Daten zu Supportzwecken und im Rahmen eines Fernzugriffes – ungeachtet des ausschließlichen Speicherorts – an die Google LLC, mit Sitz in den Vereinigten Staaten übermittelt werden. Hierzu führt die Gemeinde aus, dass auch diese Übertragung auf Grundlage der sog. Standarddatenschutzklauseln der EU-Kommission und damit im Einklang mit den gesetzlichen Anforderungen des Kapitels V der DSGVO erfolgt.

Unter Annahme des attestierten niedrigen Risikos hinsichtlich der Rechte und Freiheiten für die betroffenen Schüler durch die Nutzung der Google-Dienste, sah sich die Gemeinde entsprechend nicht in der Verantwortung, eine weiterführende Datenschutz-Folgenabschätzung im Sinne des Art. 35 Abs. 1 DSGVO durchzuführen.

Aufsichtsbehörde erlässt weitreichendes Nutzungsverbot

Eine weitgehende Überprüfung der verlangten Risikobewertung führte seitens der Aufsichtsbehörde zu dem weitreichenden Ergebnis, dass die Verarbeitung von Schülerdaten im Rahmen des Einsatzes von Google-Diensten in einer unrechtmäßigen Weise erfolgt, sodass die Aufsichtsbehörde sich gezwungen sah, ein generelles Nutzungsverbot gegenüber der Gemeinde auszusprechen. Dieses Nutzungsverbot gilt solange, bis die Gemeinde nachweisen kann, dass die vorgesehene Verarbeitungstätigkeit in Einklang mit den gesetzlichen Bestimmungen der DSGVO gebracht und diese in einer angemessenen Weise dokumentiert wurde. So muss die Gemeinde insbesondere Nachweise erbringen, dass die Datenübertragung an Drittstaaten, vorliegend in die Vereinigten Staaten auf einer rechtlichen Grundlage erfolgt. Neben dem Verbot ordnete die Aufsichtsbehörde weitere Maßnahmen gegenüber der Gemeinde an. So müssen nach Behördensicht jegliche Übermittlungen von Personendaten in die Vereinigten Staaten unmittelbar eingestellt werden und bereits erhobene Nutzerdaten und Rechte innerhalb der Google-Dienste deaktiviert bzw. innerhalb einer festgelegten Umsetzungsfrist gelöscht werden.

Die Auferlegung des weitreichenden Verbots der Verarbeitungstätigkeit begründet die Aufsichtsbehörde unter anderem damit, dass die Gemeinde es versäumte, nicht alle bestehenden Risiken weitestgehend in der Risikobewertung zu beleuchten3 und sich hierbei ausschließlich auf den geschlossenen Auftragsverarbeitungsvertrag berufen zu haben. Auch die unterlassene Datenschutz-Folgenabschätzung durch die Gemeinde begründete das schließlich angeordnete Nutzungsverbot.

Einordnung & Ausblick

Der Sachverhalt und die abschließende Entscheidung über die Verhängung eines generellen Nutzungsverbots der digitalen Dienste von Google hat nicht nur für die betroffene Gemeinde Helsingør und die dortigen Schulen einschneidende Konsequenzen, sondern entfaltet seine Wirkung unmittelbar auf alle landesweiten Bildungsträger, welche sich in der Vergangenheit für die digitalen Dienste und Chromebooks von Google entschieden haben und diese in den Schulunterricht integriert haben. Auch wenn die Anordnung zunächst einmal lediglich gegenüber der betroffenen Gemeinde ausgesprochen wurde, gilt diese Anordnung zumindest für all die Gemeinden, welche im Zuge des Bekanntwerdens der eingangs erwähnten Datenschutzverletzung im Zusammenhang mit der Videoplattform „YouTube“ gleich gelagerte Meldungen an die Aufsichtsbehörden vorgenommen haben oder die digitalen Dienste in einer vergleichbaren unrechtmäßigen Weise nutzen.

Die Strahlkraft der Entscheidung der dänischen Aufsichtsbehörde reicht mit an Sicherheit grenzender Wahrscheinlichkeit auch über die dänische Landesgrenze hinaus, sodass auch hierzulande zumindest die Schulträger ihre Verarbeitungstätigkeiten vorsorglich prüfen sollten. So könnte die hiesige Anordnung durchaus auch als Präzedenzfall für deutsche Aufsichtsbehörden herangezogen werden, um ähnliche behördliche Prüfungen von deutschen Bildungsträgern bzw. Privatschulen, welche bereits jetzt auf digitale Dienste von Google setzten, zu veranlassen. Bereits jetzt gibt es ähnliche Fälle auch in Deutschland, in denen sich erste Aufsichtsbehörden positionierten und einzelne Tools und Dienstleister aus den Schulen verbannen.

Erst kürzlich kündigte die Aufsichtsbehörde in Baden-Württemberg im Rahmen einer Pressemitteilung an, dass baden-württembergische Schulträger nach den Sommerferien eine datenschutzkonforme Alternative zum Kollaborationstool Microsoft Teams anbieten müssen. Andernfalls sind Schulträger dazu verpflichtet den datenschutzkonformen Betrieb eindeutig nachzuweisen. Ob ein datenschutzkonformer Betrieb aufgrund der aktuellen rechtlichen Unsicherheiten hinsichtlich der Erfassung und Verarbeitung von Telemetrie- und Diagnosedaten durch Microsoft oder der bestehenden Problematik rund um eine mögliche Übermittlung der Daten in Drittstaaten überhaupt möglich ist, kann an dieser Stelle berechtigt in Frage gestellt werden. Zumindest deutet der erkennbare Nullrisikoansatz seitens der Datenschutzbehörden stark darauf hin, hier besonders Obacht walten zu lassen.

Auch in einem aktuellen Fall aus den Niederlanden wurden einem Bericht zur Folge bereits die Nutzung einzelner Google-Dienste, wie ChromeOS sowie der Chrome-Webbrowser, an den dortigen Schulen durch das Bildungsministerium aufgrund von datenschutzrechtlichen Bedenken eingeschränkt. Ein allgemeines Verbot konnte durch Google selber durch die Ergreifung weiterer Schutzmaßnahmen zum Schutz der personenbezogenen Daten abgewendet werden. Bemerkenswert ist, dass sowohl der Browser als auch die Suchmaschine von Google hier ein Dorn im Auge sind, da diese personalisierte Werbung gegenüber dem Nutzer ausspielen würden.

Das Nutzungsverbot mag im ersten Augenblick objektiv betrachtet als sehr restriktiv bezeichnet werden, wird aber in seiner Konsequenz mit aufgesetzter Datenschutzbrille durchaus als absolut vertretbar gewertet werden. Absolut vertretbar deshalb, da sich die in der Regel minderjährigen Schüler im Rahmen der Nutzung von digitalen Bildungsangeboten an öffentlichen bzw. privaten Schulen nicht oder nur mit erheblichem Aufwand gegen die Datenverarbeitung wehren können, da diese teils verpflichtend im Unterricht zum Einsatz kommen.

Abschließend will an dieser Stelle gesagt sein, dass insbesondere Schulträger, aber auch Schulen, sofern diese die datenschutzrechtliche Verantwortung hinsichtlich der Datenverarbeitung innehaben, gut beraten sind, vor der eigentlichen Anschaffung digitaler Bildungsangebote erst einmal maßgebliche Anforderungskriterien festzulegen, wonach die anschließende Auswahl der infrage kommenden Anbieter erfolgt. Ein durchdachter Auswahlprozess sowie bei Notwendigkeit die Durchführung einer Datenschutzfolgeabschätzung unter Berücksichtigung der definierten Anforderungskriterien kann maßgeblich dazu beitragen, dass auf allen Ebenen, ob Anwender oder Verantwortlicher, Vertrauen geschaffen wird und nach erfolgter Einführung keine unangenehmen Überraschungen zum Vorschein kommen.

| | , | , , , , , , ,