Pflock eingeschlagen! Die dänische Datenschutzbehörde (Datatilsynet) hat in einer Verfügung Schulen in Dänemark untersagt, Schülerdaten, die durch die Nutzung von Chromebooks und Google Workspace-Diensten anfallen, an die US-Firma Alphabet bzw. Google weiter zu geben. Das Ganze geht auf eine Beschwerde von Jesper Graugaard zurück, der das Thema vor vier Jahren aufgeworfen hat. Die Anordnung gilt ab dem 1. August 2024 für alle dänischen Schulen landesweit.
Anzeige
Speziell in den USA sind Chromebooks im Bildungsbereich recht populäre, und es scheint auch auf die Schulen Dänemarks abgefärbt zu haben. Die Geräte sind recht preiswert, lassen sich zentral verwalten und sind automatisch auf dem aktuellen Stand – was die Popularität für Bildungseinrichtungen erklärt. Problem ist aber, dass auf diesen Chromebooks persönliche Daten der Schüler anfallen, die dann an Google gehen. Setzt eine Schule dann noch auf Google Workspace-Dienste, werden die Schüler permanent mit allem, was sie mit den Geräten und den Diensten machen, getrackt. Das ist aber keinesfalls DSGVO-konform und hat Datenschutzaktivisten mit Recht auf den Plan gerufen.
Verfügung der dänischen Datenschutzbehörde
Nun hat die dänische Datenschutzbehörde dem Einsatz der oben skizzierten Praxis einen Riegel vorgeschoben. Das Thema ist mir über diverse Quellen, unter anderem diesen Mastodon-Posts untergekommen. Der Post bezieht sich auf diesem Artikel von Bleeping Computer. Quelle ist aber der Blog-Beitrag Final Decision on Chromebook Case in Denmark, in der ein Privatmann die Entwicklung dokumentiert.
Die dänische Datenschutzbehörde hat den Chromebook-Fall endgültig abgeschlossen und eine einstweilige Verfügung in Bezug auf die Übermittlung (an Google) und Verfolgung personenbezogener Daten von Kindern über Chromebooks und Google-Plattformen in Schulen erlassen.
Anzeige
Ab dem 1. August 2024 dürfen dänische Schulen nicht mehr zulassen, dass Chromebooks und Google-Plattformen personenbezogene Daten von Schülern sammeln und verarbeiten. Jede Gemeinde muss bis zum 1. März 2024 für die Schulen angeben, wie sie dieser Anordnung nachkommen wird.
Für den Datenschutzaktivist Jesper Graugaard, selbst Vater schulpflichtiger Kinder, ist dies das lang angestrebte und erwartete Ergebnis. Er begann seinen Kreuzzug gegen Chromebooks in der Schule in seiner Heimatstadt Elsinor vor über vier Jahren. Im verlinkten Blog-Beitrag sind die Details des Falls bei Interesse nachzulesen.
Der Autor des Blog-Beitrags schreibt: Es bleibt zu hoffen, dass der Abschluss des dänischen Chromebook-Falles die Aufmerksamkeit auf das unkontrollierte Eindringen von Data-Mining-Unternehmen in Schulen in anderen europäischen Ländern und weltweit lenken wird. Es wäre gut, wenn die Dominanz von Google in Schulen, die derzeit durch preisgünstige Hardware und kostenlose, eigens für diesen Zweck entwickelte Plattformen erreicht wird, kontrolliert werden könnte.
Office 365 an deutschen Schulen
Generell dreht sich der Wind in Europa, Schweden und Frankreich haben bereits länger reagiert, siehe Links am Artikelende. Spannend finde ich den dänischen Fall in Bezug auf Deutschland. Meines Wissens nach gehören wir auch zur EU, es gilt also die DSGVO und Datenabflüsse an US-Unternehmen wie Google oder Microsoft sind untersagt.
Hier im Blog hatte ich ja einige Artikel zum Thema Einsatz von Office 365 an Schulen (siehe Linkliste am Artikelende). Die deutsche Datenschutzkonferenz war ja im Rahmen einer Untersuchung um Schluss gekommen, dass Microsofts Office 365 nicht mit der DSGVO konform zu betreiben sei (siehe auch Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"). Einzelne Landesdatenschützer hatten den Einsatz an Schulen untersagt.
Aber die Praxis ist wohl, dass Schulen einfach weiter wursteln. Ich hatte ja den in meinen Augen kruden Vorstoß eines Berufsschullehrer-Verbands im Beitrag Berufsschullehrer-Verband "meint" MS Office ist DSGVO-konform einsetzbar aufgegriffen. Es gibt auch Untersagungen von Landesdatenschutzbehörden für einzelne Bundesländer. Aber eine Anordnung wie in Dänemark gibt es nicht.
Die Tage sind mir weitere Informationssplitter unter die Augen gekommen. Im Kontext des AnyDesk-Hacks hat mir ein IT-Verantwortlicher, der im Bereich kritischer Infrastrukturen in Sachen Sicherheit unterwegs ist, seine Beobachtungen zur "gelebten Verantwortungslosigkeit" der Belegschaft bis hin zum Geschäftsführer geklagt. Vertrauliches per WhatsApp und ab in die Cloud ("machen doch alle so"), Backup ist was für Weicheier und so weiter, scheinen an der Tagesordnung.
Ich muss mal schauen, die Mail eines Vaters hier im Blog mal aufzubereiten, der im Konfliktfeld steht, dass die Schulen seiner Kinder da frei mit Office 365 werkeln und die Lehrerschaft persönliche Daten per WhatsApp und Co. freifliegend verwursteln ("machen doch alle so"). Und solange gewurstelt werden kann, haben die US-Konzerne auch keine Veranlassung, an dieser Praxis des Datensammelns etwas zu ändern.
Erst wenn gesetzliche Regeln wie der EU Data Markets Act (DMA) oder Data Service Act (DSA) da regelnd eingreifen, bewegt sich was. Diesen Regulierungen ist es zu verdanken, dass Bing und Edge in Europa unter Windows deinstallierbar sein müssen. Ich hatte im Blog-Beitrag Sammelbeitrag: Sicherheitsvorfälle und -Meldungen (8.2.2024) eine Bundesratsinitiative erwähnt. In der Länderkammer drängen die Bundesländer die Bundesregierung, sich für einen besseren Datenschutz einzusetzen. Die Anbieter von Software – und es geht wohl speziell um Microsoft – sollen dafür haften, dass ihre Produkte DSGVO-konform zu gestaltet sind. Der Beschluss des Bundesrats vom 2.2.2024 ist als PDF-Dokument abrufbar.
Es wird in meinen Augen Zeit, das etwas passiert. Wir können offensichtlich schon keine Cybersicherheit – vielleicht bekommen wir den Punkt Datenschutz wenigstens irgendwann für sensible Bereiche wie Schulen auf die Reihe.
Ähnliche Artikel:
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
Rheinland-Pfalz: Aus für MS Teams an Schulen ab kommendem Schuljahr
Office365 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen
Microsoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verstößen?
Berufsschullehrer-Verband "meint" MS Office ist DSGVO-konform einsetzbar
Datenschutz: Microsoft 365 muss ab Sommer 2022 in Baden-Württembergs Schulen ersetzt worden sein
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Bayern: Versagen bei Digitalisierung an Schulen – der Datenschutz hat Schuld
Zoom an Hessischen Hochschulen für Lehrveranstaltungen zulässig
Niederlande: Datenschutzbedenken gegen Chrome/ChromeOS in Schulen
Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten
Schwedische Datenschutzbehörde verhängt Millionenstrafe wegen Google Analytics-Nutzung; wann kommt Office 365?
Microsoft 365 Copilot vorgestellt: KI-Funktionen für alle Office-Apps
Anzeige
Erst wenn es saftige Strafen für die einsetzenden Organisationen, ganz gleich ob öffentlich oder privat, gibt wird das ein Ende haben. Hätte ich noch schulpflichtige Kinder würde ich ihnen verbieten mit diesen Produkten zu arbeiten und ich kann nur jedem raten, gegn Lehrer und Schulen vorzugehen, wenn personenbezogene Daten über social media geteilt werden. Es ist ja nict so, daß keine datenschutzkonforme Produkte zur Verfügungng stehen würden.
Gefragt ist da die jeweilige Aufsichtsbehörde in den Bundesländern, die den Schulen und Lehrern da konkrete Vorschriften machen muss bzw. Verbote aussprechen muss.
Dann könnte man Verstöße zumindest auf dem disziplinarrechtlichen Weg bestrafen.
Ihre Kinder geben dann eben in anderen Apps Ihre "Daten" preis (TikTok). Was Sie sich "wünschen" wird es nie mehr geben. Personenbezogene Daten werden freiwillig nahezu überall geteilt ;). Die Daten Ihrer Kinder oder sehr vieler Erwachsener sind doch eh schon flächendeckten im Umlauf.
Stimmt.
Beispielsweise über die ganzen Rabattkarten und -apps der Supermärkte, Onlinestores, etc. etc.
Für einen lächerlichen Preisnachlass macht man sich da datenmäßig nackig.
Diese Firmen verdienen ihr Geld primär mit den Daten der Karten- und Appbenutzer.
auch @TBR:
Die Grundgesamtheit der Datensensitiven und Die der TikTok/…-Nutzer dürfte eine recht geringe Schnittmenge haben.
Es ist also grob unseriös, Ersteren das leichtsinnige Verhalten Letzterer entgegenzuhalten.
Googelt mal nach iPad-Klassen, das gibt es inzwischen an sehr vielen Schulen und die Vorteile sind durchaus vorhanden, die beiden Kids von Freunden von mir sind in solchen Klassen. Statt einem riesen Ranzen mit vielen Heften und Büchern haben die zeitgemäß nur noch eine schlanke Mappe mit den Tablet drin. Auch die Schulbuchverlage haben sich da inzwischen voll drauf eingeschossen, alle Bücher, welche die Kids da verwenden, gibts als App, mit teils aufwändigen interaktiven Inhalten. Und wenn schon Google und Microsoft böse sind, dann Apple ja wohl auch.
Übrigens habe ich für den Einsatz von M365 für meine Tochter entsprechende Datenschutzklauseln von der Schule unterschrieben, die nutzen das zwar, aber gespeichert wird auf einem USB-Stick, da sehe ich schon alleine daher kein Problem. Aber was weiß ich wieviele Sticks ich deswegen schon gekauft habe, mal kaputt, mal verloren. Gut ist was anderes.
Kurios finde ich die Info der Grundschullehrerin unseres Kleinen, die dürfen im Unterricht nicht mal mehr Videos auf Youtube zeigen, dabei gibts da gerade für Grundschüler echt gute Sachen ("Lehrer Schmidt", usw.)
Die Flintstones grüßen!
> die nutzen das zwar, aber gespeichert wird auf einem USB-Stick, da sehe ich schon alleine daher kein Problem
Ja klar, es wird nur auf dem USB-Stick gespeichert. Weitergehen, es gibt nichts zu sehen.
Wie kann man in der IT-Branche tätig und trotzdem so massiv verblendet sein?
das Problem ist: elektronisches Lesen ist noch vergänglicher als analoges. D.h. die kognitiven Leistungen werden noch weiter absinken.
BTW: MS weiß natürlich eine Menge über die M365 Nutzer, Auslagerung auf USB, was soll das bringen?
@1ST1 bzgl. "nur noch eine schlanke Mappe mit den Tablet drin"
Hätten wir uns auch gewünscht, nach der Einführung von iPads durch die Schule, ist aber nicht so, da dies zum Teil ad absurdum geführt wird, durch:
"Wir haben keine eBook Lizenz für dieses Buch, da noch zu viele guterhaltene Bücher"
(wächst sich hoffentlich raus)
"Lehrer*in XY hat kein Bock auf Tablets und verlangt ein Buch+Heft"
(speziell hier fragt man sich warum die Schule so ein Konzept aufstellt und 1/3 der Lehrer dann aus der Reihe tanzen dürfen und das sind jetzt nicht nur welche die kurz vor der Pension sind!)
Speziell an Tagen mit sechs verschiedenen Fächern hat man dann u.U.
6x Bücher, 6x Zusatzhefte, 6x Schreibhefte, iPad+Tastatur+Hülle+Ladegerät, Stifte etc, Pausenbrote, Getränk, oder sogar noch eine Zusatztasche mit Sportzeug.
Das ergibt ein unglaubliches Gewicht. In einer Firma würde vermutlich der Arbeitsschutz eingreifen, aber bei Schülern, so what!
In der Datenschutzerklärung (https://privacy.microsoft.com/de-de/privacystatement ) von MS zu den jeweiligen Produkten für Schulen findet sich zu Kinder-/Schüler-Daten folgender Passus:
Für Microsoft-Produkte, die von Ihrer K-12-Schule bereitgestellt werden, einschließlich Microsoft 365 Education, wird Microsoft:
neben den für autorisierte Bildungs- oder Schulzwecke erforderlichen Daten keine personenbezogenen Daten von Schülern/Studenten erfassen oder verwenden,
personenbezogene Daten von Schülern/Studenten weder verkaufen noch verleihen,
personenbezogene Daten von Schülern/Studenten weder zu Werbezwecken noch zu ähnlichen kommerziellen Zwecken wie Behavioral Targeting von Werbung für Schüler/Studenten verwenden oder freigegeben,
kein persönliches Profil eines Schülers/Studenten erstellen, es sei denn, dies dient der Unterstützung autorisierter Bildungs- oder Schulzwecke oder ist von den Eltern, Erziehungsberechtigten oder Schülern/Studenten im angemessenen Alter genehmigt,
und
seine Anbieter, an die personenbezogene Daten von Schülern/Studenten ggf. zur Erbringung der Bildungsdienstleistung weitergegeben werden, dazu verpflichten, dieselben Verpflichtungen für personenbezogene Daten der Schüler/Studenten zu erfüllen.
Ich lese hier nur, dass KEINE personenbezogene Daten (ausser vermutl. den technisch erforderlichen) von Kindern/Schülern erfasst und verwendet werden. Auch Nutzungsprofile werden NICHT erstellt. Wie soll dann eine Datenübermittlung (in die USA) problematisch sein, wenn gar keine relevante Daten erfasst werden? Und was könnte hier noch verarbeitet werden, was dann noch überhaupt Sinn ergeben könnte für MS?
Verstehe die ganze Aufregung nicht, ich sehe hier – ausser der Datenübermittlung in die USA- keine grundlegenden Probleme. Eine Beschränkung der Datenübermittlung und -verabeitung auf die EU wäre hier noch wünschenswert und auch kaum ein Problem für MS.
Im Übrigen, diese extremen Datenschutzvorstellungen mit diesen überbordenden Regularien kann doch keine Schule/Firma/Organisation noch einhalten.
"Eine Beschränkung der Datenübermittlung und -verabeitung auf die EU wäre hier noch wünschenswert und auch kaum ein Problem für MS."
Mittlerweile hat Microsoft genug Rechenzentren in Europa und in Deutschland und anderswo findet man bei Microsoft auch Aussagen, dass Daten europäischer Kunden in Europa bleiben, man bemüht sich sogar, die Daten innerhalb des Landes des Kunden zu speichern. Da findet also nicht mal die kleinste Datenübertragung in die USA statt. Wäre auch schlimm, wenn ich meine wenigen OneDrive-Daten von einem MS-Server in Hawaii abrufen müsste, wegen der Latenzen usw., effektiv und effizient wäre was anderes.
Aber ich seh schon, gleich kommen die Ersten und rufen "Cloud Act", "Patriot Act", usw. Dass die 3-Buchstaben-Dienste der USA (und europäischer Staaten!) auf solche Cloudspeicher drauf schauen will, dafür muss man schon ordentlich was auf dem Kerbholz haben. Wir reden hier von Schülern.
Jeder Bezhalvorgang über eine VISA oder AMEX ist gefährlicher als das.
na ja, das stimmt nur bedingt. Intune, Teams Daten im Backend sind nur bedingt exklusiv in der EU. Interessant auch, dass der Mailtraffic im Hintergrund teilweise unverschlüsselt abläuft, mich würde nicht wundern, wenn da ein paar Hops außerhalb der EU dabei wären. Muss ich mir mal anschauen
Für die Anwendung des US Cloud Act muss keine Übertragung in die USA stattfinden, einfach mal nachlesen.
Das Problem ist das man den Versprechungen von MS glauben muss.
Du magst dazu bereit sein, aber es muss das Recht derjenigen bleiben die das nicht wollen, das auch nicht zu müssen.
Beim Verbieten ist Deutschland Weltmeister! Einfach mal nach "Tagesschau Gefährliche Rollbretter" suchen.