Europäischer Gerichtshof mit Hammerurteil zum Thema Datenschutz- was ist mit Office 365, Google & Co in der Schule?

Das ist interessant für den Bereich des digitalen Lernens: Das “Privacy Shield” Abkommen der EU mit den USA wurde vor einer Woche durch den Europäischen Gerichtshof gekippt. Das Speichern von personenbezogenen Daten in den USA ist damit grundsätzlich unzulässig.

Dies wird natürlich Auswirkungen auf den Einsatz von in den USA ansässigen Anbietern von im schulischem Bildungssektor eingesetzter Software haben (unter anderem in Schulen beliebte diverse Google-Tools oder auch Microsoftprodukte wie Teams, Office 365).

Gemäß der Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nur dann außerhalb der Europäischen Union gespeichert werden, wenn ein Schutz der Daten gewährleistet ist. Nach der Beurteilung des Europäischen Gerichtshofs kann dies von den entsprechenden Unternehmen z.B. durch die Verpflichtungen der bekannten us-amerikanischen Überwachungsgesetze wie Foreign Intelligence Surveillance Act (FISA), welches z.B. der Geheimdienst National Security Agency (NSA) nutzt, derzeit nicht gewährleistet werden. Man denke an die Enthüllungen im Fall Snowden.

Fragen über Fragen – Was bedeutet das jetzt für den Bereich Schule?

Hier wird man darüber nachdenken müssen, ob es zulässig ist, dass personenbezogene Daten von Eltern, Schülern, Lehrkräften über us-amerikanische Softwaregiganten in den USA verarbeitet und gespeichert werden. Antworten müssen gefunden werden: Muss das überhaupt sein? Darf das sein? Was müssen Schulträger und Schulen dabei beachten?

Können die Anbieter und Verarbeiter, die in Deutschland beispielsweise cloudgebundene Versionen solcher Softwareprodukte anbieten, darlegen und sicherstellen, dass die Daten nur in Europa bzw. Deutschland verarbeitet werden? Sind oder müssen beispielsweise Eltern über diese Situation informiert (werden)? Gibt es diesbezüglich eine verpflichtende Vereinbarung, eine schriftlich fixierte Auftragsdatenverarbeitung, eine vertragliche und/oder rechtliche Grundlage?

Natürlich können bestimmte Softwarepakete auch lokal betrieben werden, ohne dass es einen Datenfluss in Cloudsysteme in Richtung der USA gibt. Aber: Wurde das bei der Beschaffung und Einrichtung an der jeweiligen Schule durch die Schulträger oder IT-Unterstützungssysteme bedacht? Sind auf Basis des Urteils nun umfassende Änderungen an Schulen zu vollziehen?

Als  datenschutzrechtlich unzulässig beschreibt beispielsweise der hessische Datenschutzbeauftragte am 09.07.2019  die Nutzung von  Office 365. Einen Monat später wird  vor der Ankündigung weiterer Prüfungen die Nutzung in Schulen geduldet (Zweite Stellungnahme zum Thema 02.08.2019) – in Kombination mit dem aktuellen Urteil des EuGH natürlich ein Hammer sondergleichen.

Es stellt sich zudem die Frage, ob es die us-amerikanischen Softwareunternehmen in angemessener Zeit oder überhaupt schaffen werden, eine transparente und datenschutzkonforme Nutzung ihrer Software zu gewährleisten. Passiert dies nicht, wäre der cloudbasierte Einsatz beispielsweise von Office 365 und auch von pädagogischen Netzwerksystemen, die sich auf die cloudbasierte Nutzung von Office 365 spezialisiert haben, in Schulen unzulässig.

Datenschutzkonforme digitale Arbeitssysteme gibt es an niedersächsischen Schulen natürlich auch, per se steht ja nicht jede cloudbasierte Anwendung in der Kritik der Datenschützer. Ein gutes Beispiel ist die Niedersächsische Bildungscloud. Für die Nutzung dieses Systems schließen Schulen einen Auftragsdatenverarbeitungsvertrag mit den Betreiber ab und befinden sich somit auf der sicheren Seite. Hier wird transparent die datenschutzkonforme Verarbeitung personenbezogener Daten gewährleistet.

Auch das integrierte Videokonferenzsystem BigBlueButton bildet seine  Dienste datenschutzkonform ab.

Vor allem für die Entscheider empfiehlt es sich, hier genau mit zu verfolgen, welche Entwicklungen und Entscheidungen sich im Bereich Datenschutz, Datenspeicherung von amerikanischen Softwareprodukten ergeben.