Datenschutz gefährdet: Dänemark verbannt Gmail und Co aus Schulen.

Nach den niederländischen und deutschen Behörden meldet auch die dänische Datenschutzbehörde Bedenken hinsichtlich der Einhaltung der Datenschutzgrundverordnung durch Google an.

Google muss nicht sein: Alternativen wie Tutanota sind im Einklang mit der DSGVO und schützen deine Privatsphäre.

Dänische Schulen müssen die Nutzung der E-Mail- und Cloud-Dienste von Google einstellen, weil die Behörden Bedenken haben, dass die hohen europäischen Datenschutzstandards der Datenschutz-Grundverordnung verletzt werden. Laut der dänischen Datenschutzbehörde erfüllt Googles Cloud-basierte Workspace-Software-Suite "nicht die Anforderungen" der Datenschutzbestimmungen der Europäischen Union.


Googles E-Mail und Cloud “erfüllt nicht die Anforderungen”

Die Privatsphäre der Schüler muss geschützt werden

In einer Mitte Juli veröffentlichten Erklärung äußert die dänische Datenschutzbehörde “ernste Kritik und verbietet … die Nutzung von Google Workspace”.

Auf der Grundlage einer Risikobewertung für die Kommune Helsingør kam die Datenschutzbehörde zu dem Schluss, dass die Verarbeitung personenbezogener Daten von Schülern nicht den Anforderungen der Datenschutz-Grundverordnung entspricht und daher eingestellt werden muss.

Das Verbot ist sofort wirksam. Helsingør hat bis zum 3. August Zeit, die Daten der Schüler zu löschen und eine alternative Cloud-Lösung zu nutzen.

”Die Gemeinde Helsingør hat eine großartige und geschickte Arbeit geleistet, um aufzuzeigen, wie personenbezogene Daten in der Grundschule verwendet werden, aber sie zeigt auch die datenschutzrechtlichen Probleme auf, die mit der Art und Weise, wie die großen Tech-Unternehmen die Aufgabe lösen, verbunden sein können”, sagt Allan Frank, IT-Sicherheitsspezialist und Anwalt bei der dänischen Datenschutzbehörde.

Privacy Shield für ungültig erklärt

Diese Entscheidung folgt auf ähnliche Beschlüsse der niederländischen und deutschen Behörden.

Die Probleme, mit denen sich staatliche Institutionen konfrontiert sehen, haben mit der Ungültigerklärung von Privacy Shield im Jahr 2020 begonnen.

Privacy Shield war ein Datenübermittlungsabkommen zwischen den USA und der Europäischen Union und sollte Datenübermittlungen zwischen den beiden rechtlich ermöglichen. Das Abkommen wurde jedoch im Jahr 2020 vom Europäischen Gerichtshof (EuGH) aufgrund von Datenschutzbedenken für ungültig erklärt.

Ein großes Problem, auf das das EU-Gericht hingewiesen hat, ist, dass die Daten von Ausländern in den USA nicht geschützt sind. Der Schutz, den es dort gibt, gilt - wenn auch eingeschränkt - nur für US-Bürger. Die NSA kann jederzeit uneingeschränkten Zugriff auf alle Daten von Nicht-US-Bürgern bei US-Unternehmen erhalten. Darüber hinaus haben nicht-amerikanische Betroffene keine einklagbaren Rechte vor den Gerichten gegen die US-Behörden, was gegen den “Wesensgehalt” bestimmter EU-Grundrechte verstößt, so der EuGH.

Datenverarbeitungsabkommen nicht ausreichend

Nachdem das Abkommen Privacy Shield für ungültig erklärt worden war, gingen amerikanische Cloud-Dienste dazu über, sich auf Datenverarbeitungsverträge mit ihren europäischen Kunden zu verlassen.

Diese Praxis wird jedoch von Datenschutzexperten im Hinblick auf ihre Rechtmäßigkeit stark angezweifelt.

Die jetzt veröffentlichte Stellungnahme der dänischen Datenschutzbehörde beweist dies einmal mehr. Sie bemängelt unter anderem, dass

”die Datenverarbeitungsvereinbarung vorsieht, dass Informationen in Support-Situationen ohne das erforderliche Sicherheitsniveau in Drittländer übermittelt werden können”.

Die Entscheidung fasst vier Hauptpunkte zusammen:

  1. Aussetzung der Verarbeitung von Informationen durch die Gemeinde Helsingør, wenn diese Informationen ohne das erforderliche Schutzniveau an Drittländer übermittelt werden.
  2. Ein generelles Verbot der Verarbeitung von Daten mit Google Workspace, bis eine angemessene Dokumentation und Folgenabschätzung erfolgt ist und die Verarbeitung in Einklang mit der DSGVO gebracht wird.
  3. Ernste Kritik an der Verarbeitung personenbezogener Daten durch die Gemeinde.
  4. Viele der Schlussfolgerungen in dieser Entscheidung werden wahrscheinlich auch für andere Gemeinden gelten, die die gleiche Verarbeitungsstruktur verwenden. Von diesen Gemeinden wird erwartet, dass sie auf der Grundlage des Beschlusses selbst entsprechende Maßnahmen ergreifen.

Google Analytics ebenfalls illegal in Europa

Diese jüngste Entscheidung folgte ählichen Urteilen. Bspw. haben Datenschutzbeauftragte in Frankreich und Österreich kürzlich entschieden, dass die Verwendung von Google Analytics zum Tracken von Besuchern auf europäischen Websites aufgrund des Verstoßes gegen die europäische Datenschutzgrundverordnung illegal ist.

Auch hier geht es darum, dass personenbezogene Daten ohne Zustimmung der Website-Besucher zur Verarbeitung in die Vereinigten Staaten übermittelt werden.

Konsequenzen für dänische, niederländische und deutsche Schulen

Nach den Erklärungen der dänischen, niederländischen und deutschen Datenschutzbeauftragten dürfen Schulen in Dänemark, in den Niederlanden und in Deutschland die E-Mail- und Cloud-Dienste von Google nicht nutzen.

Während es bei den Erklärungen der dänischen, niederländischen und deutschen Datenschutzbeauftragten vor allem darum geht, amerikanische Technologieunternehmen unter Druck zu setzen, damit sie sich endlich an die strengen europäischen Datenschutzbestimmungen halten, wäre es viel besser, eine echte Alternative zu Microsoft, Google und Co zu haben. Das ist es, was Tutanota gerade entwickelt. Angefangen mit sicheren E-Mails, bietet Tutanota heute auch ein verschlüsseltes Adressbuch, einen verschlüsselten Kalender und das verschlüsselte Kontaktformular Secure Connect. Viele weitere Funktionen wie eine verschlüsselte Dateiablage sind geplant, und wir schätzen, dass wir in ein paar Jahren eine verschlüsselte Groupware mit maximalem Respekt für die Privatsphäre der Nutzer anbieten können.

Europäische Alternative

Europäische Schulen können nun entweder warten, bis Big Tech ihre Datenschutzprobleme behebt. Oder sie können anfangen, nach europäischen Alternativen zu suchen. Letzteres wird sich sehr positiv auf Europa und die Menschen in Europa insgesamt auswirken:

  1. Die europäische Tech-Branche wird gestärkt und kann eine Alternative zu Big Tech aufbauen.
  2. Die Daten europäischer Bürgerinnen und Bürger werden gemäß der DSGVO geschützt.
  3. Die Daten werden in Europa gespeichert und es findet kein Datentransfer statt.

Tutanota zum Beispiel erfüllt alle Anforderungen, die eine europäische Schule an den Schutz der sensiblen Daten von Schülern, Lehrern und Eltern stellen würde. Viele Schulen, insbesondere in Deutschland, nutzen Tutanota bereits.

”In einem sehr sensiblen Geschäftsumfeld haben wir uns unter verschiedenen Verschlüsselungsprogrammen für Tutanota entschieden. Tutanota besticht durch seine extrem einfache Anwendung. Auch technisch nicht versierte Kollegen können sensible Anhänge und Texte datenschutzkonform verschlüsseln. Auch die einfache Administration, sofort erreichbare und stets freundliche Experten und ein fairer Preis zeichnen Tutanota aus”, so Dietmar Kopp, Maria-Montessori-Schule.

Neben der Einhaltung der strengen Datenschutzbestimmungen werden bei Tutanota alle Daten verschlüsselt auf deutschen Servern gespeichert. Damit ist Tutanota in vollem Einklang mit der DSGVO.