Im Juli 2022 hat die daenische Datenschutzbehoerde (Datatilsynet) Google-Produkte effektiv fuer die Verarbeitung personenbezogener Daten in Schulen verboten, mit moeglichen strafrechtlichen Sanktionen bei Verstoessen.

Der Fall geht auf 2019 zurueck, als ein Elternteil in der Gemeinde Helsingor eine Beschwerde einreichte, nachdem sein Kind unwissentlich ein YouTube-Konto ueber ein schulisch ausgegebenes Chromebook erstellt hatte, was dazu fuehrte, dass der Name des Kindes oeffentlich auf YouTube veroeffentlicht wurde.

Ein vorhersehbares Ergebnis

Die Entscheidung der Datenschutzbehoerde stuetzte sich auf mehrere Kernbefunde:

Gemeinden tragen die Verantwortung dafuer sicherzustellen, dass die Verarbeitung personenbezogener Daten den Standards der Rechtsmaessigkeit, Fairness und Transparenz entspricht. Googles Bilanz bei transparenter Datenverarbeitung war bestenfalls fragwuerdig.
Chromebooks dienen als Eingangstor zum breiteren Google-Oekosystem, das Informationen fuer gezieltes Marketing sammelt. Google bleibt im Kern ein Werbeunternehmen.
Die Datenschutzbehoerde stufte Google als Verantwortlichen ein, was bedeutet, dass es keinen gueltigen Rechtsmechanismus fuer Gemeinden gibt, personenbezogene Daten an Google zur Verarbeitung zu uebertragen.
Google verstoesst moeglicherweise gegen seine eigenen vertraglichen Zusagen, indem es personenbezogene Daten fuer Marketing oder andere unautorisierte Zwecke verwendet, und es wurden keine ordnungsgemaessen Auftragsverarbeitungsvertraege mit der Gemeinde geschlossen. Zahlreiche Klagen im Zusammenhang mit Googles Tracking von Kinderdaten stuetzen diese Bedenken.
Die Gemeinde verarbeitet moeglicherweise unbeabsichtigt besondere Kategorien personenbezogener Daten ueber Googles Plattformen.
Datentransfers in die Vereinigten Staaten bleiben nach dem Schrems-II-Urteil problematisch, das den EU-US Privacy Shield fuer ungueltig erklaert hat. Es gibt derzeit keinen angemessenen Rechtsmechanismus, um personenbezogene Daten aus der EU an US-Server zu uebertragen, ohne ergaenzende Massnahmen gemaess den EDPB-Empfehlungen.

Was passiert als Naechstes?

Die daenische Datenschutzbehoerde stellte fest, dass Googles Dienste die DSGVO-Anforderungen nicht erfuellen. Infolgedessen muss die Gemeinde Helsingor sofort alle Uebertragungen personenbezogener Daten in die Vereinigten Staaten einstellen. Google Workspace wurde vollstaendig verboten. Dieses Urteil geht ueber eine einzelne Gemeinde hinaus -- die Datenschutzbehoerde erwartet, dass alle daenischen Gemeinden diese Feststellungen befolgen.

Jede laufende Uebertragung personenbezogener Daten an US-basierte Server wurde ausgesetzt, bis die vollstaendige Einhaltung von Kapitel V der DSGVO nachgewiesen werden kann. Angesichts der aktuellen Rechtslage erscheint die Erreichung einer solchen Konformitaet ueber Googles Dienste als aeusserst unpraktisch.

Strafen bei Nichteinhaltung

Gemaess dem daenischen Datenschutzgesetz, Abschnitt 41, Absatz 2, Nr. 4, wird ein Verstoss gegen ein von der Datenschutzbehoerde erlassenes Verbot mit Geldstrafen oder Freiheitsstrafe von bis zu 6 Monaten bestraft.

Warum Schulen sich von Google loesen muessen

Es gibt viele Open-Source-Alternativen fuer Bildungstechnologie. Plattformen wie Moodle bieten praktikable E-Learning-Loesungen, die innerhalb der EU gehostet werden koennen. Die Frage bleibt: Warum gravitieren Schulen und Regierungen weiterhin zu Diensten, die von Werbeunternehmen betrieben werden?

Unabhaengig davon, wo man zur DSGVO und EU-Regulierung steht, ist es essenziell, Schulen fuer die Tools verantwortlich zu machen, denen sie Kinder aussetzen. Ein Werbeunternehmen mit einer dokumentierten Geschichte von Datenschutzverletzungen sollte keinen Einblick in die Online-Aktivitaeten von Kindern haben.

Digitaler Datenschutz darf kein "Nice-to-have" bleiben. Er muss als Grundrecht behandelt werden, insbesondere fuer Kinder, die kein Mitspracherecht haben, welche Tools ihre Schulen von ihnen verlangen.