Google G Suite for Education im Schulunterricht

Datum der Veröffentlichung

Die Nutzung von G Suite for Education von Google mögen die Datenschutzbeauftragten der Schulämter in Berlin gar nicht. Und das aus gutem Grund. Denn die Verantwortlichen können nicht gewährleisten, dass personenbezogene Daten von Google nicht weiter verarbeitet und analysiert werden.

EU-US Privacy Shield und ISO-Zertifizierungen nützen nur bedingt

Google hat das EU-US-Datenschutzschild unterschrieben und verfügt über verschiedene ISO-Zertifizierungen. Trotzdem können Verantwortliche nicht gewährleisten, dass Google personenbezogene Daten nicht für eigene Zwecke weiterverarbeitet, um z. B. Angebote zu verbessern.

Man stelle sich vor, dass Schüler bei Google ihre Zeugnisse, Lebensläufe, Bewerbungsschreiben etc. ablegen.

Die Verantwortlichen, also die Schulleitungen, müssen nun den Kopf dafür hinhalten, dass Google mit diesen personenbezogenen Daten nichts anfängt.

Weil das keine Schuldirektion gewährleisten kann, sollten solche Dienste auch nur eingeschränkt genutzt werden - wenn es denn schon sein muss. Eine Nutzung sollte nur erfolgen, wenn die Verarbeitung sensibler Daten sicher ausgeschlossen werden kann. Und natürlich kann man sich für diese Dienste entscheiden, wenn nur allgemeine Informationen, Lehrmaterialien etc. kommuniziert werden.

Datenschutz-Folgenabschätzung bringt Licht ins Dunkel

Nach Art. 35 DSGVO - Datenschutz-Folgenabschätzung müssen sich Verantwortliche über bestehende Risiken informieren bzw. diese evaluieren. Das ist bei der Nutzung von G Suite for Education von Google unmöglich, um dort persönliche Daten DSGVO-konform zu verarbeiten.

Daher sollten die Schulleitungen sehr eng mit den Datenschutzbeauftragten zusammenarbeiten. Weil jedes Schulamt pro Verwaltungsbezirk jedoch nur eine Person für diese Funktion hat (die dann für schon mal 70 Schulen zuständig ist), kann die Zusammenarbeit etwas hakelig sein. Dranbleiben und immer im Dialog stehen, kann ich hier nur empfehlen.

Privacy by Design

Der Datenschutz muss bereits bei der Technikgestaltung, also bei z. B. der Systemintegration neuer Server oder Dienste berücksichtigt werden (Art. 25 DSGVO - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen).

Das bedeutet, dass die Schulleitung den Datenschutzbeauftragten schon bei der Konzeption neuer Systeme und Dienste mit ins Boot holen sollte. Oftmals werden Entscheidungen im guten Glauben getroffen, ohne jedoch die Risiken und Konsequenzen abzuschätzen. Das ist teilweise verständlich, weil oft einfach die Fachkunde fehlt. Aber dafür ist ja der Datenschutzbeauftragte da.

Fazit

Lieber erst den Datenschutzbeauftragten beim Schulamt fragen, bevor Technik, Software und Dienste eingekauft werden. Das spart viel Zeit, Ärger und Geld.

Profile picture for user manfred.woeller

Manfred Wöller

Manfred Wöller ist TÜV-zertifizierter Datenschutzbeauftragter, der im Team die Vorgaben des Datenschutzes technisch umsetzbar macht. Außerdem ist er leidenschaftlicher Vegan-Koch, der bei Community-Events für das leibliche Wohl sorgt.

Kommentare 3

Anonymous via Commento

6. Juli 2020

Was soll diese subjektive Kommentierung ? Wer kann schon kontrollieren, was in der Cloud passiert - niemand. Man kann mit überzogenem Datenschutz auch bewusst sehr gute Dinge wie G-Suite Edu verhindern. Dann verbieten sich streng genommen auch alle anderen amerikanischen Systeme, wie Whatsapp, Office 365, Dopbox ... Etwas inhaltlich Adäquates gibt es derzeit nicht in Deutschland ! Millionen Menschen haben ihre Daten bei Google, eine Vielzahl, Unternehmen weltweit nutzt G-Suite - Willkommen zurück bei Schiefertafel und Griffel.

Stephan Luckow

2. Mai 2020

Vielen Dank für Ihren Kommentar. Meinem Verständnis nach kann sich ein Kommentar nur um Objektivität bemühen. Insofern ist er immer subjektiv.

Der Beitrag meines Kollegen Wöller ist natürlich durch die Brille des Datenschutzbeauftragten entstanden. Darüber hinaus arbeiten wir bei einer Firma, die Schwerpunkte auf Datenschutz, IT-Security und freie Open-Source-Software legt. Insofern sind wir natürlich auch Gefangene unserer eigenen Überzeugungen. Die sich, das sei mir erlaubt zu erwähnen, auf dem Hintergrund von mehr als 25 Jahren Erfahrung im Umgang mit Hardware, Software, Unternehmen und FOSS-Communities gefestigt hat.

Beim erneuten Lesen der Zeilen kann ich mich Ihrem Fazit nicht anschließen. Es ist kein Aufruf zurück zu Schiefertafel und Griffel. Vielmehr ist es eine Bestätigung, dass man Verantwortung übernehmen soll und dafür sorge trägt, dass nachvollziehbar gestaltet wird wo und in welchem Umfang auf personenbezogene Daten zugegriffen werden kann. Das ist bei vielen Produkten, die von den Marktführern aus Amerika angeboten werden eher Vertrauenssache und "Hoffnung", dass sich die vielen Millionen anderen Menschen schon nicht täuschen werden. Nachvollziehbar ist es auf keinen Fall.

Für alle von Ihnen erwähnten Softwareprodukte gibt es Open-Source-Alternativen. Diese können auf eigener Infrastruktur betrieben werden und die Verantwortlichen können sich jederzeit im Detail versichern, wer und in welchem Umfang Zugriff auf Daten erlangt.

Nutzen Sie einfach Nextcloud statt Dropbox, OnlyOffice statt Office365 und Rocket.Chat statt Whatsapp.

Sie können durch die Verwendung dieser Software nicht nur datenschutzkonform und sicher Daten austauschen. Sie können diese Software auch umfangreich an Ihre konkreten Bedürfnisse und Anforderungen anpassen oder anpassen lassen. Sie tragen durch die Nutzung und Auseinandersetzung mit dieser Software auch dazu bei, dass die Welt jeden Tag ein bisschen eine bessere wird. Und gerade die jungen Menschen sollten sich eher an die Bedienkonzepte und die Anpassbarkeit freier Software gewöhnen, als an die kommerzieller Anbieter.

Bester Gruß Stephan Luckow

Tom via Commento

6. Juli 2021

Stoße zwar spät auf die Kommentare, aber muss doch noch etwas dazu schreiben. Übrigens aus der Sicht eines digital affinen Verantwortungsträgers, der seit 25 Jahren in der Bildung arbeitet. Nach allen Pandemieerfahrungen gibt es eben nichts Vergleichbares, was Schulen nutzen können. Weder haben die verfügbaren Systeme (von lHPI Schulcloud bis Lernraum Berlin, von ItsLearning bis IServ) hinreichend skaliert, noch sind sie derart umfänglich aufgesetzt und letztlich so einfach zu bedienen, dass auch ältere KollegInnen sofort Zugang dazu finden. Sie brauchen an der Schule keinen eigenen Techniker, der Ihnen Server aufsetzt, und müssen auch nicht Software nutzen, die bei mittelgroßen Schulen einfach überfordert ist. Sicher verdient der Datenschutz besondere Aufmerksamkeit: Nur landet man letztlich in Berlin und Brandenburg immer wieder entweder bei extrem rigiden Auslegungen der DSGVO oder bei Szenarien, die so aberwitzig sind, dass es schon weh tut. Natürlich gehören Zeugnisse etc. nicht in die Cloud, und natürlich verbieten sich Klarnamen sowie Bewertungen. Und natürlich braucht es wirksame und jederzeit widerrufbare Einverständniserklärungen der Eltern/ SchülerInnen. Dazu auch Fortbildungen zum datensparsamen Umgang mit dem System. Und trotzdem ist das System so effektiv nutzbar, dass es ermöglicht, den Unterricht einer großen Schule mit 2 Wochen Vorbereitung komplett ins Netz zu verlegen. Wir werden demnächst Google Enterprise for Education nutzen, und ein Blick über die Landesgrenzen zeigt, dass auch im europäischen Raum die DGSVO so ausgelegt werden kann, dass eine Nutzung möglich ist. Zumal dort das Schutzlevel noch einmal etwas höher ist als bei der G Suite for Ecucation. Ein letzter - zugegeben polemischer - Einwand: Warum müssen wir bei Software das Rad neu erfinden? Alle anderen Bereiche kennen ebenfalls große Player, die durch politische Maßgaben in ihrem Handeln eingeschränkt werden. Und wenn sich Google eine 180-tägige Löschfrist vorbehalten will, ist es m.E. Aufgabe der Politik, mit den Verantwortlichen des Konzerns zu verhandeln. Die Schweiz hat erfolgreich vorgemacht, wie das geht. Ich fahre übrigens einen Ford, und habe mir kein Auto selbst erfunden... Kann auch nicht mit Sicherheit sagen, wo die telemetrischen Daten landen. Und trotzdem fahre ich das Auto - oder müsste ich konsequent auf VW umsteigen? Aber die spreichern die Fahrerdaten ja bei Amazon...