Die Nutzung von G Suite for Education von Google in Schulen mögen die Datenschutzbeauftragten der Schulämter in Berlin nicht. Und das aus gutem Grund. Denn die Verantwortlichen können nicht gewährleisten, dass personenbezogene Daten (pbD) von Google nicht weiter verarbeitet und analysiert werden.

EU-US Privacy Shield und ISO-Zertifizierungen nützen nur bedingt

Google hat das EU-US Privacy Shield unterschrieben und verfügt über verschiedene ISO-Zertifizierungen. Trotzdem können Verantwortliche nicht gewährleisten, dass Google personenbezogene Daten nicht für eigene Zwecke weiterverarbeitet, um z. B. ihre Angebote zu verbessern.

Man stelle sich vor, dass Schüler bei Google ihre Zeugnisse, Lebensläufe, Bewerbungsschreiben etc. ablegen.

Die Verantwortlichen, also die Schulleitung, muss nun den Kopf dafür hinhalten, dass mit diesen pbD Google nichts anfängt. Auch nicht, in dem sie die Daten anonymisieren.

Weil das keine Schulleitung gewährleisten kann, sollten solche Dienste auch nur eingeschränkt genutzt werden, wenn es denn schon sein muss. Eine Nutzung sollte nur erfolgen, wenn die Verarbeitung von pbD ausgeschlossen werden kann. Weiterhin kann eine Nutzung erfolgen, wenn nur allgemeine Informationen, Lehrmaterialien etc. verarbeitet werden.

Datenschutz-Folgenabschätzung bringt Licht ins Dunkle

Nach Art. 35 DSGVO - Datenschutz-Folgenabschätzung müssen sich Verantwortliche über bestehende Risiken informieren bzw. diese evaluieren. Das ist bei der Nutzung von G Suite for Education von Google unmöglich, um dort pbD DSGVO-konform zu verarbeiten.

Hier sollten die Schulleitungen sehr eng mit den Datenschutzbeauftragten zusammenarbeiten. Weil jedes Schulamt für jeden Verwaltungsbezirk nur einen Datenschutzbeauftragten hat, der für schon mal 70 Schulen zuständig ist, kann die Zusammenarbeit etwas hakelig sein. Dran bleiben, kann ich hier nur empfehlen und immer im Dialog stehen.

Privacy by Design

Der Datenschutz muss schon bei der Technikgestaltung, also bei z. B. der Systemintegration neuer Server oder Dienste berücksichtigt werden (Art. 25 - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen).

Das bedeutet, dass die Schulleitung den Datenschutzbeauftragten schon bei der Konzeption neuer Systeme und Dienste mit ins Boot holen sollte. Oftmals werden Entscheidungen im guten Glauben getroffen, ohne die Folgen abzuschätzen. Das verstehe ich sogar teilweise, weil einfach die Fachkunde fehlt. Aber dafür ist ja der Datenschutzbeauftragte da.

Fazit

Lieber erst den Datenschutzbeauftragten beim Schulamt fragen, bevor Technik, Software und Dienste eingekauft werden. Das spart viel Zeit, Ärger und Geld.

Unterstützung

Für Schulen bieten wir DSGVO-konforme Lösungen an, die ein sicheres Arbeiten und Lernen ermöglichen. Wenn Sie mehr über das Thema wissen möchten oder Fragen dazu haben, sprechen Sie mich bitte unter 030 - 280 400 an.

Manfred Wöller
Datenschutzbeauftragter (TÜV)