Ist Google Workspace in Dänemark illegal?

Image of Iron Brands

Veröffentlicht am 14. Juli 2022 und bearbeitet am 15. Aug. 2023 von Iron Brands

Während sich Italien (Garante), Frankreich (CNIL) und Österreich (DSB) auf Google Analytics konzentrierten, verbietet die dänische Datenschutzbehörde die Verwendung von Google Workspace, also aller Google-Produkte. Vorerst gilt das Verbot nur für Gemeinden, nachdem das Verarbeitungsverbot für die Gemeinde Helsingør aufgehoben wurde.

Lesen Sie die vollständige Erklärung hier (automatische Übersetzung ins Englische)

<blockquote><h2>Datenschutzbehörde lässt Verarbeitungsverbot im Chromebook-Fall fallen</h2>

Veröffentlicht am 14. Juli 2022 von Allan Frank. Übersetzt von deepl.com.

In einem Fall, der die Nutzung von Chromebooks in der Gemeinde Helsingør betrifft, übt die dänische Datenschutzbehörde (DPA) heftige Kritik und verbietet die Weitergabe an Drittländer und die Nutzung von Google Workspace.

Aktenzeichen: 2020-431-0061

<h2>Zusammenfassung</h2>

Seit einiger Zeit konzentriert sich die Datenschutzbehörde auf die Verwendung von Chromebooks und Google Workspace (ehemals G Suite for Education) in Gemeinden. Die Nutzung ist landesweit verbreitet, aber die Datenschutzbehörde hat insbesondere einen Fall in der Gemeinde Helsingør anhängig.

Im September 2021 erließ die dänische Datenschutzbehörde eine Entscheidung, in der sie die Gemeinde Helsingør aufforderte, eine Risikobewertung der Verarbeitung personenbezogener Daten durch die Gemeinde in Grundschulen unter Verwendung von Chromebooks und Workspace durchzuführen. Auf der Grundlage der von der Gemeinde Helsingør erstellten Dokumentation und der Bewertung des Risikos für die betroffenen Personen hat die Datenschutzbehörde nun festgestellt, dass die Verarbeitung in mehreren Punkten nicht den Anforderungen der Datenschutz-Grundverordnung entspricht.

"Die Gemeinde Helsingør hat eine großartige und geschickte Arbeit geleistet, um darzustellen, wie personenbezogene Daten in Grundschulen verwendet werden, aber sie zeigt auch die Datenschutzprobleme auf, die bei der Art und Weise auftreten können, wie große Technologieunternehmen an die Aufgabe herangehen", sagt Allan Frank, ein IT-Sicherheitsspezialist und Rechtsberater bei der dänischen Datenschutzbehörde.

Die Datenschutzbehörde stellt fest, dass die Gemeinde keine konkreten Risiken in Bezug auf die Gestaltung des Datenverarbeiters bewertet hat. Außerdem heißt es in der Vereinbarung mit dem Datenverarbeiter, dass die Daten in Unterstützungssituationen ohne das erforderliche Sicherheitsniveau in Drittländer übertragen werden können.

Im Lichte der Entscheidung vom September 2021 hat die Datenschutzbehörde nun einen Beschluss erlassen. Sie enthält unter anderem:

<ul><li>Aussetzung von Verarbeitungen durch die Kommune Helsingør, bei denen Daten ohne das erforderliche Schutzniveau in Drittländer übermittelt werden</li><li>ein generelles Verbot der Verarbeitung mit Google Workspace, bis eine angemessene Dokumentation und Folgenabschätzung erfolgt ist und bis die Verarbeitungen in Einklang mit der Verordnung gebracht worden sind</li><li>Ernsthafte Kritik an der Verarbeitung personenbezogener Daten durch die Stadtverwaltung</li></ul>

Der EDSB weist darauf hin, dass viele der Schlussfolgerungen in dieser Entscheidung wahrscheinlich auch für andere Gemeinden gelten, die das gleiche Verarbeitungskonzept verwenden. Der EDSB erwartet daher, dass diese Gemeinden im Lichte des Beschlusses selbst geeignete Maßnahmen ergreifen - auch wenn der EDSB derzeit eine Reihe von Fällen abschließt, die andere Gemeinden betreffen.

<h2>Entscheidung</h2>

Die dänische Datenschutzbehörde kommt hiermit auf den Fall zurück, in dem die Gemeinde Helsingør der dänischen Datenschutzbehörde am 29. Januar 2020 eine Verletzung des Schutzes personenbezogener Daten gemeldet hat. Die Meldung hat die folgende Referenznummer:

<em>ce0e5422ddfb3fefaa9f621cfa0f129127058500</em>

Am 10. September 2021 erließ der Datenschutzbeauftragte eine Entscheidung über die Verletzung des Schutzes personenbezogener Daten. Der Datenschutzbeauftragte stellte insbesondere fest, dass die Verarbeitung personenbezogener Daten durch die Stadtverwaltung Helsingør unter Verwendung von Google Chromebooks nicht im Einklang mit Artikel 5 Absatz 2 der Datenschutzverordnung (vgl. Artikel 5 Absatz 1 Buchstaben c und f) und Artikel 5 Absatz 1 Buchstabe a (vgl. Artikel 6 Absatz 1) sowie mit Artikel 32 Absatz 1, Artikel 33 Absatz 1 und Artikel 35 Absatz 1 erfolgt war.

Darüber hinaus vertrat der EDSB die Auffassung, dass es Gründe für eine Anordnung an die Helsingør Kommune gibt, ihre Verarbeitung personenbezogener Daten mit Google Chromebooks in Einklang mit der DSGVO zu bringen. Dies sollte dadurch geschehen, dass die Kommune Helsingør eine Risikobewertung der Verarbeitungstätigkeit durchführt, die die mit der Verarbeitung verbundenen Ströme personenbezogener Daten widerspiegelt. Die Risikobewertung sollte sich zum Teil mit den notwendigen Optionen für die Konfiguration des Produkts befassen und die Fragen zum Umfang der im Gesetz über öffentliche Schulen für die Nutzung von Chromebooks vorgesehenen Haushalte, die die Kommune von den Schülern verlangt, beantworten. Wurde das Risiko für die Rechte und Freiheiten der betroffenen Personen als hoch eingestuft, musste die Gemeinde im Rahmen der Anordnung auch eine Folgenabschätzung durchführen.

Die einstweilige Verfügung wurde gemäß Artikel 58 Absatz 2 Buchstabe d der Datenschutzverordnung erlassen.

Darüber hinaus war der EDSB der Ansicht, dass es Gründe gab, eine Warnung an die Gemeinde Helsingør auszusprechen, dass die Verwendung von Google G-Suite-Zusatzanwendungen ohne Durchführung einer Datenschutz-Folgenabschätzung, wie in Artikel 35 Absatz 1 der Verordnung gefordert, wahrscheinlich einen Verstoß gegen die DSGVO darstellt.

Schließlich vertrat der EDSB die Auffassung, dass es Gründe für die Verhängung einer vorübergehenden Einschränkung der Verarbeitungstätigkeiten der Gemeinde Helsingør gibt, wenn die von der Gemeinde durchzuführenden Risikobewertungen ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen aufzeigen und die Gemeinde diese Risiken vor Ablauf der Anordnungsfrist nicht auf ein weniger hohes Niveau reduziert hat. Die Einschränkung bedeutet, dass die Verarbeitung personenbezogener Daten, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, nicht stattfinden darf, solange das Risiko nicht auf ein Niveau unterhalb des hohen Niveaus reduziert wurde.

Im Anschluss an die Entscheidung der Datenschutzbehörde vom 10. September 2021 übermittelte die Gemeinde Helsingør mit Schreiben vom 10. November 2021 ihre Risikobewertung in Bezug auf die Nutzung von Google Chromebooks und G-Suite for Education sowie zusätzliche Unterlagen zum Nachweis der Rechtmäßigkeit der Verarbeitungstätigkeit. Darüber hinaus übermittelte die Gemeinde am 9. Dezember 2021 weitere Informationen zu dem Fall als Antwort auf die Anfrage des EDSB vom 2. Dezember 2021.

Den Rest der Erklärung umschalten (lang)

<blockquote><h2>Entscheidung</h2>

Nach Prüfung der Risikobewertung der Gemeinde Helsingør und der Dokumentation der Gemeinde im Allgemeinen ist die Datenschutzbehörde der Ansicht, dass es Gründe gibt, der Gemeinde Helsingør die Verarbeitung personenbezogener Daten mit Google Chromebooks und Workspace for Education zu untersagen. Das Verbot gilt so lange, bis die Gemeinde Helsingør die Verarbeitungstätigkeit in Einklang mit der DSGVO gebracht hat, wie in dieser Entscheidung dargelegt, und eine angemessene Dokumentation zu diesem Zweck vorgelegt hat.

Darüber hinaus wird jede Übermittlung personenbezogener Daten in die Vereinigten Staaten, mit der die Gemeinde Helsingør die Google Cloud EMEA Limited als Datenverarbeiter für die Gemeinde beauftragt hat, ausgesetzt, bis die Gemeinde Helsingør die Einhaltung von Kapitel V der DSGVO nachweisen kann.

Das Verbot und die Aussetzung werden sofort wirksam, aber der Gemeinde Helsingør wird eine Frist bis zum 3. August 2022 eingeräumt, um Nutzer und Rechte zu entziehen und zu deaktivieren und bereits übertragene Daten zu löschen.

Die Verbote werden gemäß Artikel 58 Absatz 2 Buchstaben f und j der Datenschutzverordnung ausgesprochen.

Ein Verstoß gegen ein von der Datenschutzbehörde ausgesprochenes Verbot wird gemäß Artikel 41 Absatz 2 Nummer 4 des Datenschutzgesetzes mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu sechs Monaten geahndet, vgl. Artikel 41 Absatz 1.

Schließlich sieht der Datenschutzbeauftragte Anlass zu ernsthafter Kritik an der Tatsache, dass die Verarbeitung personenbezogener Daten durch die Gemeinde Helsingør nicht im Einklang mit Artikel 5 Absatz 2 der Datenschutzverordnung erfolgt ist, vgl. Artikel 5 Absatz 1 Buchstabe a, Artikel 24, vgl. Artikel 28 Absatz 1, Artikel 35 Absatz 1 und Artikel 44, vgl. Artikel 46 Absatz 1.

<h2>Zusammenfassung</h2>

Am 11. Dezember 2019 beschwerte sich ein Bürger bei der Datenschutzbehörde über die Verarbeitung personenbezogener Daten durch die Kommune Helsingør.

Mit Schreiben vom 6. Januar 2020 bestätigte die Kommune Helsingør, dass sich ein Elternteil im Jahr 2019 bei der Kommune darüber beschwert hatte, dass sein Kind - ohne sein Wissen - ein YouTube-Konto erhalten hatte, wodurch der Name des Kindes auf YouTube veröffentlicht werden konnte.

Die Gemeinde Helsingør erklärte ferner, dass sie der Ansicht sei, dass der Vorfall wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen geführt habe und daher kein Anlass für eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die Datenschutzbehörde gemäß Artikel 33 Absatz 1 der Datenschutz-Grundverordnung gewesen sei.

Am 29. Januar 2020 meldete die Gemeinde Helsingør den Vorfall bei der Datenschutzbehörde als Verletzung des Schutzes personenbezogener Daten. Zur gleichen Zeit meldeten eine Reihe anderer Gemeinden ähnliche Vorfälle, weshalb die Datenschutzbehörde die Fälle gemeinsam behandelte und mit Schreiben vom 11. März 2020 die betroffenen Gemeinden um eine Stellungnahme bat.

Am 10. September 2021 traf die Datenschutzaufsichtsbehörde eine Entscheidung über die betreffende Verletzung des Schutzes personenbezogener Daten, die der Aufsichtsbehörde von der Gemeinde Helsingør gemeldet worden war. Der Beschluss der Datenschutzaufsichtsbehörde vom 10. September 2021 ist oben in Abschnitt 1 wiedergegeben und in seiner Gesamtheit beigefügt.

Als Reaktion auf den Beschluss vom 10. September 2021 legte die Gemeinde Helsingør mit Schreiben vom 10. November 2021 ihre Risikobewertung in Bezug auf die Nutzung von Google Chromebooks und G-Suite for Education sowie zusätzliche Unterlagen zum Nachweis der Rechtmäßigkeit der Verarbeitungstätigkeit vor. Darüber hinaus übermittelte die Gemeinde am 9. Dezember 2021 weitere Informationen zu diesem Fall als Antwort auf das Ersuchen des EDSB vom 2. Dezember 2021.

<h2>Stellungnahme der Gemeinde Helsingør</h2><h3>Durchführung einer Risikobewertung, gegebenenfalls einschließlich einer Datenschutz-Folgenabschätzung</h3>

Am 10. November 2021 legte die Kommune Helsingør die Risikobewertung der Kommune für die Nutzung von Google Chromebooks und G-Suite for Education (Google Workspace for Education) vor.

Gleichzeitig hat die Kommune Helsingør die Datenschutzbehörde darüber informiert, dass die Kommune die zusätzlichen Dienste von Google Workspace nicht nutzt, und hat daher festgestellt, dass die Kommune nicht verpflichtet ist, eine Datenschutz-Folgenabschätzung zu erstellen.

<h3>Verarbeitung von personenbezogenen Daten für andere Zwecke</h3>

Unter den Risiken, die die Gemeinde Helsingør bei der Nutzung von Google Chromebooks ermittelt hat, wird in der Risikobewertung das Risiko der "Verwendung von Daten für unbeabsichtigte Zwecke" genannt. Das Risiko wird wie folgt beschrieben:

<blockquote>

"Es besteht das Risiko, dass Google oder andere Dritte personenbezogene Daten von Lehrern und Schülern für Marketing- oder andere Zwecke verwenden, für die die Kommune Helsingør als für die Datenverarbeitung Verantwortlicher nicht möchte, dass personenbezogene Daten verarbeitet werden. In diesem Zusammenhang sind insbesondere Kontaktinformationen, IP-Adresse und digitale Spuren (allgemeine Informationen) von Bedeutung. Es sei darauf hingewiesen, dass personenbezogene Daten von Schülern nach den Datenschutzvorschriften einem besonderen Schutz unterliegen und daher der Zugang zu und die Verarbeitung von personenbezogenen Daten von Schülern ein zusätzliches Element in Bezug auf die Risikobewertung darstellt."

</blockquote>

Zur Wahrscheinlichkeit des Eintretens dieses Risikos wird Folgendes angeführt:

<blockquote>

"Die Gemeinde nutzt das Produkt Google Workspace for Education Standard, bei dem der Gemeinde durch die Datenverarbeitungsvereinbarung garantiert wird, dass die Daten nicht für andere Zwecke, einschließlich Marketing, verwendet werden, sofern die Gemeinde nur die Kerndienste nutzt.

Es wird auf die Datenverarbeitungsvereinbarung und die Korrespondenz der Kommune Helsingør mit Google verwiesen, in der Google erklärt, dass "Informationen im Rahmen der Nutzung von Chromebooks und Google Workspace for Education Standard von Google nicht für Marketingzwecke gegenüber einem Schüler oder Schülern in einer Klasse verwendet werden können". "In den Kerndiensten von Google Workspace for Education wird keine Werbung angezeigt. (ii) Der Nutzername der Schüler, auch in Verbindung mit dem erstellten Google Workspace for Education-Konto, ist nur für Google als Datenverarbeiter zugänglich, und die Nutzung von Chromebooks und Google Workspace for Education - zum Beispiel das Ansehen von YouTube-Videos - führt nicht zur Veröffentlichung des Nutzernamens". "Die Schulleitung kann Schülern den Zugriff auf Google-Dienste wie YouTube gestatten, die über Funktionen verfügen, mit denen Nutzer Informationen mit anderen oder öffentlich teilen können. Wenn Sie zum Beispiel eine Bewertung bei Google Play abgeben, erscheinen Ihr Name und Ihr Foto neben Ihrer Aktivität. Und wenn Sie ein Foto mit einem Freund teilen, der dann eine Kopie davon anfertigt oder es erneut teilt, kann dieses Foto weiterhin im Google-Konto Ihres Freundes erscheinen, auch nachdem Sie es aus Ihrem Google-Konto entfernt haben. Denken Sie daran: Wenn Sie Informationen öffentlich freigeben, kann Ihr Inhalt über Suchmaschinen, einschließlich der Google-Suche, zugänglich werden. Weitere Informationen über die Weitergabe von Daten von Workspace for Education finden Sie in den Datenschutzhinweisen von Workspace for Education."

Kerndienste (14 Dienste: Klassenzimmer, Drive/Docs, G-Mail, Chat, Chrome Sync, Gruppen, Meet, Vault, Playlist, Jamboard, Kalender, Keep (Stickynotes), Aufgaben, Sites)

Weitere von Google angebotene Dienste unterliegen anderen Bedingungen in der Datenverarbeitungsvereinbarung, was bedeutet, dass die Gemeinde Google keine Anweisungen über die Verwendung personenbezogener Daten erteilen kann. Daher hat die Stadtverwaltung die Nutzung von Zusatzdiensten deaktiviert.

Schlussfolgerung

Auf der Grundlage der oben genannten Maßnahmen schätzt die Gemeinde Elsinore die Wahrscheinlichkeit, dass sich das Risiko verwirklicht, als gering ein. Es kann jedoch nicht völlig ausgeschlossen werden, dass Google gegen die vertraglichen Verpflichtungen verstößt und dennoch personenbezogene Daten für Marketingzwecke oder andere unbeabsichtigte Zwecke verwendet, für die die Gemeinde Helsingør keine Anweisungen gemäß der Datenverarbeitungsvereinbarung erteilt hat."

</blockquote><h3>Übermittlung personenbezogener Daten an Drittländer</h3>

Ein weiteres Risiko, das die Kommune Helsingør bei der Nutzung von Google Chromebooks und Workspace for Education in der Risikobewertung identifiziert hat, ist das Risiko der Übermittlung in Drittländer.

Das Risiko wird wie folgt beschrieben:

<blockquote>

"Es besteht das Risiko, dass personenbezogene Daten von Schülern und Lehrern (im Prinzip allgemeine personenbezogene Daten, aber es kann nicht ausgeschlossen werden, dass auch sensible personenbezogene Daten darunter fallen) in unsichere Drittländer übermittelt werden, ohne dass eine angemessene Grundlage für die Übermittlung besteht und ohne dass sichergestellt ist, dass das betreffende Drittland gleichwertige Datenschutzrechte wie in anderen EU-Ländern gewährleistet."

</blockquote>

Zu der Wahrscheinlichkeit, dass sich dieses Risiko verwirklicht, wird Folgendes ausgeführt:

<blockquote>

"Die Kommune Helsingør hat als für die Verarbeitung personenbezogener Daten von Schülern Verantwortlicher die folgenden Maßnahmen ergriffen, um die Wahrscheinlichkeit zu verringern, dass sich das beschriebene Risiko verwirklicht:

Die Standardbedingungen der EU-Kommission wurden abgeschlossen (Transfergrundlage), da das Risiko eines Zugriffs aus den USA über die Unterstützung besteht. Als zusätzliche Grundlage (ergänzende Maßnahmen) wurde eine separate Transfer-Folgenabschätzung (TIA) gemäß den Anforderungen der Datenschutzbehörde und des EDPB erstellt. Es wird auf die erstellte TIA verwiesen.

Es ist auch darauf hinzuweisen, dass sich die Gemeinde Helsingør für eine Lösung entschieden hat, bei der die Daten ausschließlich innerhalb der EU in den betreffenden Datenzentren gespeichert sind. Es besteht also nur das Risiko, dass der Zugriff aus einem unsicheren Drittland unterstützt wird, was zu einem Zugriff aus einem unsicheren Drittland führen kann:

"Die Einstellungen in den Datenregionen in Google Workspace for Education Standard stellen sicher, dass sich das Rechenzentrum innerhalb der EU befindet - und zusätzlich: wird es einen Online-Zugriff aus Ländern außerhalb der EU geben, zum Beispiel im Zusammenhang mit dem Support."

Fazit

Auf der Grundlage der oben genannten Maßnahmen ist die Stadtverwaltung von Helsingör der Ansicht, dass die Wahrscheinlichkeit, dass sich das Risiko verwirklicht, gering ist.

</blockquote>

Darüber hinaus hat die Gemeinde Helsingør den Nachweis über die Einhaltung von Kapitel V der Datenschutzverordnung bei der Nutzung von Google Workspace for Education in Form der "Transfer-Folgenabschätzung" (im Folgenden "TIA") der Gemeinde vorgelegt.

Daraus geht hervor, dass die Gemeinde Helsingør Google Cloud EMEA Limited als Datenverarbeiter im Hinblick auf die Nutzung von Google Chromebooks und Workspace for Education einsetzt. Insbesondere hat die Gemeinde durch Einstellungen in Google Workspace for Education sichergestellt, dass personenbezogene Daten nur in Datenzentren innerhalb der EU/des EWR gespeichert werden.

Es scheint jedoch, dass - ungeachtet der oben genannten Einstellung - personenbezogene Daten im Rahmen des Fernzugriffs zu Supportzwecken an Google LLC in den Vereinigten Staaten übertragen werden können. Die Übermittlung erfolgt auf der Grundlage des Standardvertrags der EU-Kommission.

Schließlich heißt es in Punkt 1.8 über den Kontext und den Zweck der Übermittlung personenbezogener Daten Folgendes:

<blockquote>

"Als Teil der Cloud-Lösung von Google nutzt Helsingør Kommune:

Google Chromebooks und G Suite for Education (jetzt Workspace genannt), die von Helsingør Kommune zum Zweck der Ausbildung von Schülern im Rahmen der öffentlich-rechtlichen Verpflichtung von Helsingør Kommune als lokale, öffentliche Behörde zur Bereitstellung von Bildung verwendet wird. Die Helsingør Kommune ist der Ansicht, dass diese Verpflichtung am besten mit Google als Anbieter der oben genannten Dienste erfüllt werden kann, und Datatilsynet hat diese Prämisse gemäß dem geltenden Recht im Folkeskoleloven akzeptiert.

Damit Helsingør Kommune die genannten, von Google angebotenen Dienste und Produkte nutzen kann, ist es erforderlich, dass Helsingør Kommune die personenbezogenen Daten der in den Abschnitten 1.9-1.10 genannten betroffenen Personen in die Google-Cloud überträgt. Der Zweck der Übertragung ist somit die Speicherung der personenbezogenen Daten in den Datenzentren (Cloud), die Gewährleistung einer hohen Sicherheit der personenbezogenen Daten sowie die Verwaltung/Unterstützung durch Google."

In der TIA hat die Kommune Helsingør - soweit der EDSB dies verstanden hat - bewertet, ob die Grundlage für die Übermittlung in die USA in Form des Standardvertrags angesichts der Umstände der Übermittlung wirksam ist, einschließlich der Bewertung, ob es in den USA Gesetze und/oder Praktiken gibt, die die Wirksamkeit des geschlossenen Standardvertrags beeinträchtigen.

</blockquote>

Dementsprechend heißt es in Absatz 2.4 der TIA:

<blockquote>

"Auf der Grundlage von Statistiken und anderen Argumenten des Datenimporteurs/Datenempfängers: Wie viele Jahre wird es zusätzlich zum Beurteilungszeitraum dauern, bis die Wahrscheinlichkeit des Zugriffs durch eine Behörde (die im Drittland rechtmäßig ist) nur noch 50:50 beträgt?

Auf der Grundlage der folgenden Statistiken und Argumente kommt die Helsingør Kommunes zu dem Schluss, dass die Wahrscheinlichkeit eines Zugriffs durch eine US-Behörde (der in den USA rechtmäßig ist), der gegen EU-Recht verstößt, wie im Schrems-II-Urteil festgestellt, selbst bei einer Hinzufügung weiterer 50 Jahre zu dem Beurteilungszeitraum von 5 Jahren nur 50 % beträgt und somit das Risiko eines rechtmäßigen Zugriffs innerhalb des Beurteilungszeitraums von 5 Jahren eher theoretischer als praktischer Natur ist:

<ul><li>A) Google wird jede Anfrage sorgfältig prüfen, um sicherzustellen, dass sie den geltenden Gesetzen entspricht. Wenn eine Anfrage zu viele Informationen verlangt, wird Google versuchen, sie einzuschränken, und in einigen Fällen wird Google sich weigern, überhaupt Informationen vorzulegen. Google wird die Anzahl und die Art der eingegangenen Anfragen im Transparenzbericht bekannt geben.</li><li>B) Wenn Google eine Anfrage von einer Regierungsbehörde erhält, sendet Google eine E-Mail an das Nutzerkonto, bevor es Informationen preisgibt. Wenn das Konto von einer Organisation verwaltet wird, benachrichtigt Google den Kontoadministrator. Wenn es Google rechtlich untersagt ist, eine Benachrichtigung zu übermitteln, wird es dies nicht tun. Ist dies der Fall, informiert Google nach Aufhebung des gesetzlichen Verbots, z. B. wenn eine gesetzliche oder gerichtlich angeordnete Sperrfrist abgelaufen ist.</li><li>C) Wenn eine Google-Einheit in der EU, wie im vorliegenden Fall, von US-Behörden zur Offenlegung von Daten aufgefordert wird, stellt Google personenbezogene Daten nur dann zur Verfügung, wenn dies mit allen folgenden Punkten vereinbar ist: (i) Nationales Recht im Mitgliedstaat der Niederlassung, einschließlich aller anwendbaren EU-Gesetze wie der Datenschutz-Grundverordnung. Google wird daher in den USA von der Behörde verlangen, dass sie die gleichen Verfahren und rechtlichen Anforderungen einhält, die gelten würden, wenn die Anfrage an einen lokalen Anbieter eines ähnlichen Dienstes gestellt würde. (ii) Internationale Normen, d. h. Google wird personenbezogene Daten nur auf Anfragen hin zur Verfügung stellen, die den Grundsätzen der Global Network Initiative zu Meinungsfreiheit und Datenschutz und den zugehörigen Richtlinien zur Umsetzung in den Google-Richtlinien entsprechen. Dazu gehören alle geltenden Nutzungsbedingungen und Datenschutzrichtlinien sowie Richtlinien zum Schutz der Meinungsfreiheit.</li><li>D) Im Hinblick auf Informationsanfragen in Notfällen, beispielsweise wenn Google vernünftigerweise davon ausgeht, dass eine Offenlegung den Tod oder schwere körperliche Schäden von Personen verhindern kann, kann Google Informationen an eine Regierungsbehörde weitergeben. Dazu gehören Bombendrohungen, Schießereien in Schulen, Entführungen, Selbstmordprävention und Fälle von vermissten Personen. Google wird solche Anfragen unter Berücksichtigung der geltenden Gesetze und unserer Richtlinien prüfen.</li><li>F) Statistiken</li></ul>

Google GCP/G-Suite Zugriffsanfragen / offengelegt Dänemark 2019-2020: 0 / 0

Google Workspace Zugriffsanfragen / offengelegt Dänemark 2019-2020: 1 / 0

Google Global Diplomatic Legal Anfragen: 1

Google Global User data requests / percentage disclosed Dänemark 2019-2020:

30. Juni 2019 Notfall 2 / 50%. Andere rechtliche 29 / 52%. Konservierung 8 / 45%. 31. Dezember 2019 Notfall 3 / 0%. Andere rechtliche 48 / 38%. Bewahrung 12 / 41%.

30. Juni 2020 Dringlichkeit 5 / 100%

Sonstiges Recht 80 / 58%. Bewahrung 34 / 63%. 31. Dezember 2020 Dringlichkeit 1 / 100%. Andere rechtliche 87 / 75%. Bewahrung 32 / 41%

Google National Security Letter Anfragen (NSL) und freigegeben 2019/2020 Gesamtzahl alle Länder: 21

Schlussfolgerung

Basierend auf diesem rechtlichen Ansatz und diesen Statistiken ist es klar, dass:

<ul><li>Es ist statistisch unwahrscheinlich, dass die Helsingør Kommune das Ziel einer Anfrage bezüglich der Nutzung von GCP und G-Suite (jetzt Workspace) sein wird.</li><li>Bei anderen Diensten ist das Risiko angesichts der Anzahl der Anfragen / Offenlegungen und der Gesamtzahl der Nutzer der von Google in Dänemark angebotenen Dienste minimal.</li><li>Die Zahl der NSL-Anfragen ist so gering, dass sie statistisch gesehen ohne Bedeutung ist.</li><li>Wenn personenbezogene Daten Gegenstand einer Anfrage sind, wird Google eine ehrliche Bewertung der Rechtmäßigkeit auf der Grundlage des EU-Rechts vornehmen. Dies wird durch die Statistiken der tatsächlichen Offenlegungen gestützt.</li></ul></blockquote>

In der TIA heißt es weiter in Abs. 3.4, dass die personenbezogenen Daten, die an Google LLC in den USA übermittelt werden, Google LLC im Klartext zur Verfügung stehen werden:

<blockquote>

"Sind die fraglichen personenbezogenen Daten in der Zieljurisdiktion im Klartext für den Datenimporteur/-empfänger oder einen Dritten zugänglich (d. h. die Daten sind entweder nicht angemessen verschlüsselt oder der Zugang zu den Schlüsseln zur Entschlüsselung ist möglich)?

Die personenbezogenen Daten von Helsingør Kommune sind im Ruhezustand immer verschlüsselt, da Google mehrere Verschlüsselungsebenen verwendet, um die Kundendaten im Ruhezustand in den Google-Cloud-Produkten zu schützen, wobei ein oder mehrere Verschlüsselungsmechanismen verwendet werden. Die zu speichernden Daten werden in Chunks aufgeteilt, und jeder Chunk wird mit einem eindeutigen Datenverschlüsselungsschlüssel verschlüsselt. Diese Datenverschlüsselungsschlüssel werden zusammen mit den Daten gespeichert und mit Schlüsseln verschlüsselt, die ausschließlich in Googles zentralem Schlüsselverwaltungsdienst gespeichert und verwendet werden. Der Schlüsselverwaltungsdienst von Google ist redundant und weltweit verteilt.

Alle in der Google Cloud gespeicherten Daten werden auf der Speicherebene mit AES256 verschlüsselt. In diesem Zusammenhang verwendet Google eine gemeinsame kryptografische Bibliothek, Tink, die das FIPS 140-2-validierte Modul BoringCrypto enthält, um die Verschlüsselung in fast allen Google Cloud-Produkten einheitlich zu implementieren. Die konsequente Verwendung einer gemeinsamen Bibliothek bedeutet, dass nur ein kleines Team von Kryptographen diesen streng kontrollierten und überprüften Code implementieren und pflegen muss.

Diese Verschlüsselung verhindert jedoch nicht, dass Google-Mitarbeiter auf die personenbezogenen Daten von Helsingør Kommune zugreifen können, da Google den Schlüssel zur Entschlüsselung der Daten besitzt. Google LLC in den USA ist dagegen nicht im Besitz des Entschlüsselungsschlüssels. Dies bedeutet, dass Google in den USA oder andere Google-Einheiten außerhalb der EU/des EWR oder Dritte nicht auf die personenbezogenen Daten von Helsingør Kommune zugreifen können, ohne die Genehmigung der zuständigen Google-Einheit mit Sitz in der EU (Google Irland) einzuholen.

Obwohl die Verschlüsselung - und die Pseudonymisierung, die auch von Google verwendet wird - nicht sicherstellt, dass Helsingør Kommune die vollständige Kontrolle über den Zugriff auf personenbezogene Daten im EU-Rechenzentrum hat, dient sie als mildernder Faktor, um regulatorische oder Compliance-Verpflichtungen zu erfüllen, d. h. in Übereinstimmung mit den Leitlinien des EDPB."

</blockquote>

Darüber hinaus stellt die TIA in Abs. 3.5 bezüglich der festgelegten Transferbasis:

<blockquote>

"Wie oben in Abschnitt 1.7 dargelegt, ergibt sich aus Googles Datenverarbeitungszusatz zu Google Workspace und/oder der am 24. September 2021 geänderten ergänzenden Produktvereinbarung, dass die SCC 2021 die Rechtsgrundlage für Übermittlungen (einschließlich des Online-Zugriffs im Rahmen des Online-Supports) in Länder außerhalb der EU/des EWR ohne Angemessenheitsbeschluss sein wird. In diesem Zusammenhang ist Google als Auftragsverarbeiter vertraglich verpflichtet, bei der Verarbeitung der personenbezogenen Daten von Helsingør Kommune die für ihn geltenden Verpflichtungen nach europäischem Datenschutzrecht einzuhalten.

Helsingør Kommune hat keinen Grund zu der Annahme, dass eine Google-Einheit das SCC nicht einhalten wird.

Darüber hinaus wird Helsingør Kommune die Einhaltung der SCC 2021 durch Google bewerten und kontinuierlich überwachen, indem sie beispielsweise die zur Verfügung gestellten Auditberichte und Standardzertifizierungen überprüft. Helsingør Kommune hat auch das Recht, ein spezielles Audit durch eine dritte Partei durchzuführen, wenn dies als notwendig erachtet wird, vgl. das Datenschutzgesetz."

</blockquote>

Schließlich stellt die TIA in Abs. 4.1.1 in Bezug auf die Gesetzgebung und/oder Praxis in den Vereinigten Staaten, die die Wirksamkeit des abgeschlossenen Standardvertrags beeinflussen:

<blockquote>

"Der Datenimporteur/-empfänger unterliegt keinem höheren Interesse einer ausländischen Behörde, Zugang zu den personenbezogenen Daten zu erhalten (d. h., der Datenimporteur oder potenzielle Empfänger unterliegt nicht dem nationalen Recht, das eine Massenüberwachung ermöglicht)

Abschnitt 702 FISA

Das US-amerikanische Unternehmen Google LLC kann in der Praxis als Muttergesellschaft für die EU-Unternehmen angesehen werden, die die Dienste für die Helsingør Kommune erbringen. Google LLC. kann für seine US-Kunden als Anbieter elektronischer Kommunikationsdienste gemäß Abschnitt 702 FISA gelten, wobei der Begriff weit gefasst ist: "jeder andere Anbieter von Kommunikationsdiensten, der Zugang zu drahtgebundener oder elektronischer Kommunikation hat, entweder während der Übertragung oder während der Speicherung dieser Kommunikation".

Es besteht jedoch eine hohe Wahrscheinlichkeit, dass die Daten, auf die Google LLC Zugriff hat, per se vom Zugriff nach Abschnitt 702 FISA ausgeschlossen sind, da es sich um Daten handelt, die nicht von ihr, sondern an sie zum Zweck der Bereitstellung eines Unterstützungsdienstes übermittelt werden. Es handelt sich also um eine an eine "US-Person" gerichtete Kommunikation, für die die nachrichtendienstlichen Ermittlungen verboten sind (siehe Alan Charles Raul, "Why Schrems II Might Not Be a Problem for EU-U.S. Data Transfers", 21. Dezember 2020, abrufbar unter https://bit.ly/3qHNMy7 und einen vollständigen Beitrag desselben Autors unter https://bit.ly/2V9veez mit dem Folgebeitrag "Transferring EU Data To US After New Contractual Safeguards" vom 17. Mai 2021, abrufbar unter https://bit.ly/3l12oHZ). Außerdem handelt es sich bei den personenbezogenen Daten von Helsingør Kommune nicht um personenbezogene Daten über "US-Personen", so dass US-Behörden auch aus diesem Grund nicht auf die Daten gemäß Abschnitt 702 FISA zugreifen können.

Daher ist es wahrscheinlich, dass die personenbezogenen Daten von Helsingør Kommune in den EU-Datenzentren nicht unter Abschnitt 702 FISA fallen werden.

Wir sind uns bewusst, dass dieses Argument nicht von allen geteilt wird und dass es dennoch zu Anfragen in Bezug auf Google kommen kann, weshalb wir die Wahrscheinlichkeit, dass dieses Argument zutrifft, sehr konservativ einschätzen, um auf der sicheren Seite zu sein.

EO 12.333

Die Executive Order 12.333 (EO 12.333) ermächtigt die US-Geheimdienste, ausländische "Signals Intelligence"-Informationen zu sammeln, d.h. Informationen aus der Kommunikation und anderen Daten, die über Funk, Draht und andere elektromagnetische Mittel übermittelt werden oder zugänglich sind (d.h. alle Daten aus der Telekommunikations- und IT-Infrastruktur). EO 12.333 erlaubt somit die "Überwachung im Transit", wie z. B. den Zugriff auf Daten, die nicht ordnungsgemäß verschlüsselt sind, während sie über transatlantische Kabel übertragen werden. Wie in Abschnitt 3.3. beschrieben, werden alle personenbezogenen Daten mit der erforderlichen starken Verschlüsselung im Transit übertragen. Wir gehen daher davon aus, dass die erforderliche technische Messung durch Verschlüsselung bedeutet, dass EO 12.333 kein höheres Risiko für die Massenüberwachung durch US-Behörden mit sich bringt."

</blockquote>

Im Folgenden wird dargelegt, dass die Gemeinde Helsingør die Wahrscheinlichkeit, dass die oben genannte Einschätzung zutrifft, mit 40 % bewertet hat.

Auf der Grundlage des Schreibens der Kommune Helsingør vom 10. November 2021 mit Anhängen forderte die Datenschutzbehörde am 2. Dezember 2021 weitere Informationen von der Kommune an. Die Datenschutzbehörde teilte mit, dass die Übermittlung personenbezogener Daten an die Vereinigten Staaten im Rahmen der Unterstützung - nach Ansicht der Datenschutzbehörde - beabsichtigt war, obwohl die Kommune dies als Risiko der Unterstützung aus den Vereinigten Staaten bewertet hat.

Die Datenschutzbehörde forderte unter anderem eine Kopie der Übermittlungsgrundlage der Gemeinde, etwaige Änderungen der Weisung und der Datenverarbeitungsvereinbarung mit Google sowie eine Überprüfung etwaiger zusätzlicher Maßnahmen, die die Gemeinde für notwendig erachtet hatte.

Mit Schreiben vom 9. Dezember 2021 erklärte die Kommune Helsingør - zur Erläuterung des oben genannten Risikos - Folgendes:

<blockquote>

"Die mögliche Übertragung an Google - und das damit verbundene Risiko - steht im Zusammenhang mit der Einrichtung von Google. D.h. auch wenn die Kommune eine EU-Cloud gewählt hat, hat sich Google in der Datenverarbeitungsvereinbarung das Recht gesichert, potenziell Unterstützung aus Drittländern zu erhalten. Dies ist auch der Grund, warum Google im Rahmen des neuen SCC (ab Juni 2021) eine Transfergrundlage geschaffen hat, die die Gemeinde bei ihrer Risikobewertung heranzieht.

Was das Risiko der Unterstützung im Besonderen angeht, können im Allgemeinen die folgenden Fakten berücksichtigt werden: In sehr spezifischen Unterstützungssituationen aus einem unsicheren Drittland wird es ein sehr begrenztes Zeitfenster geben, in dem der Unterstützer potenziell auf personenbezogene Daten im Klartext zugreifen kann. Es ist sehr unwahrscheinlich, dass der Unterstützer in diesem begrenzten Zeitfenster von der Regierung [des unsicheren Drittlandes] zur Bereitstellung der personenbezogenen Daten verpflichtet wird.

Die Stadtverwaltung nimmt ferner zur Kenntnis, dass in der vorbereiteten TIA festgestellt wird, dass die Stadtverwaltung bewertet hat, dass die Nutzung von Google Workspace for Education für die Erfüllung der Aufgaben der Stadtverwaltung gemäß dem Bildungsgesetz erforderlich ist, dass die Option der Unterstützung durch ein Drittland nicht ausgeschlossen werden kann, wenn Google der Datenverarbeiter ist, und dass die Stadtverwaltung daher das Risiko der Nutzung von Google bewertet hat.

Die Übermittlungsgrundlage ist, wie gesagt, das neue SCC (ab Juni 2021)."

</blockquote>

Zu den verwendeten Datenquellen hat die Stadtverwaltung Helsingør folgende Angaben gemacht:

<blockquote>

"Es gibt verschiedene "Datenquellen" in Bezug auf die Risikobewertung und die TIA. Die Risikobewertung basiert auf der Tatsache, dass die Vereinbarung über den Datenverarbeiter die Beziehung zwischen den Parteien genauer beschreibt, d. h. dass Google der Datenverarbeiter für die Gemeinde ist und dass Google sich das Recht vorbehält, Unterstützung aus Drittländern bereitzustellen, und dass die Gemeinde sichergestellt hat, dass der Dienst aus einer EU-Cloud bereitgestellt wird.

Die TIA stützt sich auf die Dokumente und Links, die in der Unterrubrik der TIA angegeben sind."

</blockquote>

Darüber hinaus hat die Kommune Helsingør die folgenden Informationen zu ihren in der TIA dargelegten Bewertungen vorgelegt:

"Die in der TIA enthaltenen Bewertungen der Wahrscheinlichkeit, dass die einzelnen rechtlichen Argumente zutreffen, sind Schätzungen. In dieser Hinsicht ist die Stadtverwaltung der Ansicht, dass die festgelegten Wahrscheinlichkeiten konservativ sind, d. h. die Stadtverwaltung hat im Interesse der Rechte und Freiheiten der betroffenen Personen Zweifel zugelassen. Sollte der EDSB eine andere, begründete Einschätzung der Wahrscheinlichkeit der einzelnen Argumente haben, wird die Stadtverwaltung diese gerne hören. Der guten Ordnung halber wird auch darauf hingewiesen, dass das berechnete Gesamtrisiko - unter anderem auf der Grundlage dieser Argumente, der Umstände der möglichen Übermittlung, der von Google veröffentlichten Statistiken, der Praktiken und der Abhilfemaßnahmen - recht gering ist. Die Gemeinde verpflichtet sich außerdem, die Wahrscheinlichkeit der Gültigkeit dieser Argumente laufend zu überwachen und zu bewerten.

Die Rechtmäßigkeit der Nutzung von Google Workspace for Education unter diesen Umständen hängt also nicht von der Bewertung der Wahrscheinlichkeit der Gültigkeit eines einzelnen Arguments ab, das nicht durch begründete Argumente gestützt wird."

Schließlich hat die Gemeinde Elsinore eine umfangreiche Dokumentation über die Datenverarbeitungsvereinbarung mit Google Cloud EMEA Limited vorgelegt, darunter die Datenverarbeitungsvereinbarung "Data Processing Amendment to Google Workspace and/or Complementary Product Agreement" vom 24. September 2021.

<h2>Begründung der Entscheidung des Datenschutzbeauftragten</h2>

Im Allgemeinen ist der EDSB der Ansicht, dass ein für die Verarbeitung Verantwortlicher, der einen Datenverarbeiter einsetzt - für alle Verarbeitungen - die DSGVO und das Datenschutzgesetz einhalten muss und in der Lage sein muss, dies nachzuweisen, unabhängig davon, wo in der Datenverarbeitungskette die Verarbeitung stattfindet.

Dies ergibt sich aus Artikel 5 Absatz 2 der Datenschutz-Grundverordnung, der besagt, dass der für die Verarbeitung Verantwortliche für die Einhaltung von Absatz 1 verantwortlich ist und dies auch nachweisen können muss. Dies bedeutet unter anderem, dass der für die Verarbeitung Verantwortliche dafür verantwortlich ist und in der Lage sein muss, nachzuweisen, dass die personenbezogenen Daten gemäß Artikel 5 Absatz 1 Buchstabe a rechtmäßig, nach Treu und Glauben und auf transparente Weise verarbeitet werden.

Darüber hinaus muss der für die Verarbeitung Verantwortliche gemäß Artikel 24 Absatz 1 der Verordnung geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit dieser Verordnung erfolgt. Dies muss unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der betreffenden Verarbeitung sowie der unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für die Rechte und Freiheiten natürlicher Personen geschehen, und die Maßnahmen müssen erforderlichenfalls überprüft und aktualisiert werden.

Mit dieser Entscheidung hat die Datenschutzbehörde lediglich dazu Stellung genommen, ob - und in welchem Umfang - die Gemeinde Helsingør als für die Verarbeitung Verantwortlicher personenbezogene Daten im Einklang mit den Datenschutzvorschriften verarbeitet. Die Zuständigkeit der Datenschutzbehörde ergibt sich aus Abschnitt 27 des Datenschutzgesetzes und den Kapiteln VI und VII der Datenschutzverordnung, einschließlich Artikel 55 Absatz 2.

<h3>Nutzung von Google Chromebooks und Google Workspace for Education</h3>

Aus § 2 Absatz 1 des Schulgesetzes ergibt sich, dass die örtliche Behörde für die Bildung der Kinder verantwortlich ist.

Für die Grundschulen ergibt sich aus § 18 Absatz 1 und § 19 des Gesetzes, dass die Organisation des Unterrichts, einschließlich der Wahl der Lehr- und Arbeitsmethoden, der Lehrmittel und der Auswahl der Fächer sowie der Bezahlung dafür, in allen Fächern den Zielen, Zwecken und Fächern der Grundschule entsprechen und so variiert werden muss, dass sie den Bedürfnissen und Voraussetzungen des einzelnen Schülers entspricht.

Der EDSB ist der Ansicht, dass sowohl die Wahl des Einsatzes von IT im Unterricht, einschließlich der Marke und der zu verwendenden Software, in diesen Rahmen fällt.

Der EDSB stellt in diesem Zusammenhang fest, dass die Datenschutzvorschriften technologieneutral sind und der EDSB nur die Umstände beurteilen kann, unter denen personenbezogene Daten gemäß Artikel 2 Absatz 1 der DSGVO verarbeitet werden.

Während das Gesetz über öffentliche Schulen - nach Ansicht des EDSB - dem Gemeinderat die Befugnis überträgt, zu entscheiden, ob - und wenn ja - welche IT-Ausrüstung im Unterricht verwendet werden soll, muss diese Verwendung weiterhin im Rahmen der DSGVO und des Datenschutzgesetzes erfolgen.

Die Rechte von Kindern und Jugendlichen genießen einen besonderen Schutz im Rahmen der Datenschutzvorschriften. Der EDSB ist der Ansicht, dass diese Erwägung in die Bewertung der Verarbeitungen einbezogen wird, die auf der Grundlage der Rechtsgrundlage, die das Gesetz über öffentliche Schulen jeder Gemeinde bietet, durchgeführt werden können.

Wie auch in der Entscheidung der Datenschutzaufsichtsbehörde vom 10. September 2021 festgestellt, ist die Aufsichtsbehörde der Ansicht, dass die Gemeinde Helsingør gemäß Artikel 6 Absatz 1 Buchstabe e der Datenschutzverordnung bestimmen kann, welche Instrumente in den Grundschulen der Gemeinde verwendet werden.

Es bleibt jedoch eine wesentliche Voraussetzung, dass die Verordnung und das Datenschutzgesetz bei der Verarbeitung personenbezogener Daten eingehalten werden.

<h3>Risiko und Folgen</h3>

Im Allgemeinen ist der EDSB der Ansicht, dass die Risikobewertung der Stadtverwaltung Helsingør in Bezug auf die Nutzung von Google Chromebooks und Workspace for Education die wichtigsten Szenarien und Bedrohungen berücksichtigt.

Der EDSB ist jedoch der Ansicht, dass der Einsatz neuer, komplexer Technologie, einschließlich Software - insbesondere im Bildungsbereich, wo die betroffenen Personen Kinder und Jugendliche sind - in der Regel ein hohes Risiko für die Rechte und Freiheiten dieser Schüler mit sich bringt.

Im konkreten Fall ist es allgemein bekannt, dass die Technologien, die für die Bereitstellung und Systemunterstützung des gewählten Dienstes - Google Chromebooks und Workspace for Education - verwendet werden, auch für die Bereitstellung anderer Teile der Google-Produkte verwendet werden, und diese werden für die Sammlung von Informationen, gezieltes Marketing und den Verkauf dieser Informationen genutzt. Diese Aspekte müssen daher bei der Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen bei der Nutzung von Google Workspace for Education berücksichtigt werden.

Der EDSB ist der Ansicht, dass die Risikobewertung der Gemeinde Helsingør die Risikoszenarien, die sich aus der Konzeption des Datenverarbeitungssystems und den getroffenen Systementscheidungen ergeben können, nicht vollständig dokumentiert. Dies gilt insbesondere für i) die Art und Weise, wie die verwendeten Geräte und Anwendungen die erhobenen personenbezogenen Daten tatsächlich verarbeiten, sowie ii) die Art und Weise, wie die Gemeinde Helsingør den Zugriff von Google auf die personenbezogenen Daten kontrolliert, einschließlich insbesondere der gewöhnlichen Verwendung des Betriebssystems von Google Chromebooks und der Interaktion von Google Workspace mit dem Backend von Google in Bezug auf die Möglichkeiten zur Trennung personenbezogener Daten, die nach dem Gesetz über den Datenverarbeiter erfolgen muss.

Der EDSB ist der Ansicht, dass die Durchführung einer konkreten Risikobewertung und Folgenabschätzung - vor der Bereitstellung von IT-Ausrüstung für Schüler und der Verarbeitung von Schülerdaten - eine Voraussetzung für die Schaffung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus ist. Dies liegt daran, dass ein angemessenes Sicherheitsniveau im Lichte der Risiken, einschließlich der Folgen, die die Verarbeitung der personenbezogenen Daten der Schüler für sie haben kann, gesehen werden muss. Der EDSB stellt fest, dass mehrere der oben genannten Verstöße gegen die Datenschutzvorschriften hätten vermieden werden können, wenn die Stadtverwaltung Helsingør die Risiken der Verarbeitung bewertet und angesichts dieser Risiken geeignete Maßnahmen ergriffen hätte.

Vor diesem Hintergrund stellt der EDSB fest, dass die Gemeinde Helsingør i) die Risikoszenarien, die sich aus der Konzeption des Datenverarbeitungssystems und den getroffenen Systementscheidungen ergeben können, nicht in ihre Risikobewertung einbezogen hat, ii) den Umfang und die Funktionsweise der verwendeten Hard- und Software nicht ausreichend getestet hat und iii) nicht in der Lage war zu dokumentieren, wie die Gemeinde den Zugriff von Google auf die personenbezogenen Daten kontrolliert, insbesondere durch die gewöhnliche Verwendung des Betriebssystems Google Chromebooks und die Interaktion von Google Workspace mit dem Backend von Google in Bezug auf die Möglichkeiten der Trennung personenbezogener Daten, die gemäß der Richtlinie über Auftragsverarbeiter auftreten können, - nicht nachgewiesen hat, dass personenbezogene Daten gemäß der Richtlinie über Auftragsverarbeiter rechtmäßig, nach Treu und Glauben und auf transparente Weise gegenüber der betroffenen Person verarbeitet werden. Artikel 5(2) des Datenschutzgesetzes, siehe Artikel 5(1)(a).

<h3>Verwendung der Daten für andere Zwecke</h3>

Die Datenschutzbehörde ist der Ansicht, dass die Verarbeitung personenbezogener Daten durch die Gemeinde Helsingør im Rahmen des Grundschulgesetzes, vgl. Artikel 6 Absatz 1 Buchstabe e der Verordnung, keine Situationen umfasst, in denen personenbezogene Daten für andere als die im Grundschulgesetz vorgesehenen Zwecke verarbeitet werden. Die Daten können daher auch nicht rechtmäßig an andere für die Verarbeitung Verantwortliche für deren Zwecke weitergegeben werden, wenn die Zwecke nicht im Schulgesetz vorgesehen sind. Dies gilt auch für die Verarbeitung personenbezogener Daten, die durch die Nutzung der Ausrüstung und der Software durch die Schüler erfolgen kann, einschließlich der Metadaten, die für Marketing- und Profilingzwecke verwendet werden, unabhängig davon, ob die Daten für das Direktmarketing gegenüber dem einzelnen Schüler oder indirekt als Teil einer Gruppe (Klasse, Jahrgang, Schule usw.) verwendet werden.

Der EDSB ist der Ansicht, dass die Gemeinde Helsingør die zusätzlichen Produkte von Google Workspace for Education nicht nutzt.

Aus der Risikobewertung der Gemeinde Helsingør geht hervor, dass die in den Kerndiensten erhobenen personenbezogenen Daten - gemäß der Vereinbarung mit dem Datenverarbeiter - nicht für Marketingzwecke verwendet werden.

Die Datenschutzbehörde ist der Ansicht, dass die Gemeinde Helsingør als für die Datenverarbeitung Verantwortliche eingeschätzt hat, dass "nicht völlig ausgeschlossen werden kann, dass Google gegen die vertraglichen Verpflichtungen verstößt und dennoch personenbezogene Daten für Marketing oder andere unbeabsichtigte Zwecke verwendet, für die die Gemeinde Helsingør keine Anweisungen gemäß der Datenverarbeitungsvereinbarung erteilt hat".

Der EDSB ist ferner der Ansicht, dass die Gemeinde Helsingør bei der Nutzung von Google Workspace for Education auch besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 der Verordnung verarbeitet.

In diesem Zusammenhang möchte der EDSB ganz allgemein darauf hinweisen, dass ein für die Verarbeitung Verantwortlicher gemäß Artikel 28 Absatz 1 der Verordnung nur Auftragsverarbeiter einsetzen darf, die die erforderlichen Garantien dafür bieten können, dass sie bei der Verarbeitung der Daten im Auftrag des für die Verarbeitung Verantwortlichen die Datenschutzvorschriften einhalten werden.

Dies bedeutet, dass die Erwartung des für die Verarbeitung Verantwortlichen, dass der ausgewählte Auftragsverarbeiter gegen die geschlossene Vereinbarung über den Auftragsverarbeiter verstoßen wird, an sich schon bedeutet, dass der für die Verarbeitung Verantwortliche diesen Auftragsverarbeiter gemäß Artikel 28 Absatz 1 der Verordnung nicht einsetzen darf.

Der EDSB ist jedoch davon ausgegangen, dass die Gemeinde Helsingør bei der Bewertung dieses Risikos das Risiko eines Verstoßes des Auftragsverarbeiters gegen die Datenverarbeitungsvereinbarung nur als hypothetisch und nicht als absolut vorhersehbar betrachtet.

Der EDSB ist der Ansicht, dass die Gemeinde Helsingør bei ihrer Bewertung dieses Risikos nicht nachgewiesen hat, dass die Gemeinde Helsingør in dieser Situation einen Datenverarbeiter einsetzt, der die erforderlichen Garantien dafür bieten kann, dass er die Anforderungen der Datenschutz-Grundverordnung gemäß Artikel 24 der Verordnung (vgl. Artikel 28 Absatz 1) einhält.

Der EDSB hat besonders darauf geachtet, dass die betroffenen Personen ihre Rechte verlieren würden, wenn sich das fragliche Risiko verwirklicht, und dass die Gemeinde in ihrer Risikobewertung keine echten technischen oder organisatorischen Abhilfemaßnahmen zur Minderung dieses Risikos angegeben hat. Insbesondere ist der EDSB der Ansicht, dass der Verweis der Gemeinde Helsingør auf die Tatsache, dass die Gemeinde Vertrauen in die allgemeine Einhaltung des Vertrags durch den Lieferanten hat, keine ausreichende Minderung dieses Risikos darstellt.

Darüber hinaus stellt der EDSB fest, dass jedes Risiko, das sich stark auf die Rechte und Freiheiten der betroffenen Personen auswirkt - selbst bei relativ geringer Wahrscheinlichkeit, dass das Risiko eintritt -, wahrscheinlich ein hohes Risiko für die Rechte der betroffenen Personen mit sich bringt, was die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 1 der Verordnung auslöst.

In Anbetracht dessen - und angesichts der eigenen Einschätzung der Gemeinde Helsingør, dass nicht ausgeschlossen werden kann, dass der Datenverarbeiter gegen die Vereinbarung mit dem Datenverarbeiter verstößt - ist der EDSB der Ansicht, dass die Beziehung die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 1 der Verordnung auslöst.

Vor diesem Hintergrund - und in Anbetracht der Tatsache, dass die Gemeinde Helsingør erklärt hat, dass sie keine Datenschutz-Folgenabschätzung durchgeführt hat - ist der EDSB der Ansicht, dass die Verarbeitung personenbezogener Daten durch die Gemeinde Helsingør nicht im Einklang mit Artikel 35 Absatz 1 der Verordnung erfolgt ist.

<h3>Übermittlungen personenbezogener Daten in Drittländer</h3><h3>Übermittlung von personenbezogenen Daten durch die Cloud-Infrastruktur</h3>

Der EDSB hat zunächst festgestellt, dass die Stadtverwaltung von Helsingør ihre Nutzung von Google Workspace for Education so konfiguriert hat, dass "sich die Daten als eindeutiger Ausgangspunkt nur innerhalb der EU in den betreffenden Rechenzentren befinden. Es besteht also nur das Risiko eines unterstützenden Zugriffs aus einem unsicheren Drittland."

Der vertragliche Rahmen der Kommune Helsingør mit Google, der die Verarbeitungstätigkeit regelt, umfasst den "Nachtrag zur Datenverarbeitung in der Vereinbarung über Google Workspace und/oder ergänzende Produkte" (Nachtrag zur Vereinbarung) vom 24. September 2021.

Im Nachtrag heißt es unter anderem:

<blockquote>

"10.1 Datenspeicherung und Verarbeitungseinrichtungen. Vorbehaltlich der Verpflichtungen von Google bezüglich des Speicherorts der Daten in den Besonderen Geschäftsbedingungen für den Dienst und der übrigen Bestimmungen dieses Abschnitts 10 (Datenübertragungen) können die Kundendaten in jedem Land verarbeitet werden, in dem Google oder seine Unterauftragsverarbeiter Einrichtungen unterhalten. [...]

<ol start="11"><li>Unterauftragsverarbeiter</li></ol>

11.1 Zustimmung zur Beauftragung von Unterauftragsverarbeitern. Der Kunde genehmigt ausdrücklich die Beauftragung derjenigen Unternehmen als Unterauftragsverarbeiter, die zum Datum des Inkrafttretens der Änderung unter der in Abschnitt 11.2 (Informationen über Unterauftragsverarbeiter) angegebenen URL aufgeführt sind. Darüber hinaus genehmigt der Kunde unbeschadet von Abschnitt 11.4 (Möglichkeit, Änderungen an Unterauftragsverarbeitern zu widersprechen) generell die Beauftragung von anderen Dritten ("neue Unterauftragsverarbeiter") als Unterauftragsverarbeiter.

11.2 Informationen über Unterauftragsverarbeiter. Informationen über Unterauftragsverarbeiter, einschließlich ihrer Funktionen und Standorte, sind verfügbar unter: https://workspace.google.com/intl/en/terms/subprocessors.html (kann von Google von Zeit zu Zeit in Übereinstimmung mit dieser Änderung zur Datenverarbeitung aktualisiert werden)."

</blockquote>

Abschnitt 11.2 der Vereinbarung verweist auf eine Liste von Unterauftragsverarbeitern, die zum Zweck der Bereitstellung von Google Workspace for Education eingesetzt werden. Die Liste umfasst ein breites Spektrum von Unterauftragsverarbeitern, die für die Bereitstellung technischer Unterstützung eingesetzt werden und sowohl in der EU als auch in Drittländern ansässig sind, einschließlich Drittländern, für die die EU-Kommission keine Entscheidung über das Schutzniveau gemäß Artikel 45 getroffen hat.

Die Liste enthält auch eine große Anzahl von Google-Tochtergesellschaften, die für begrenzte Aktivitäten wie Google Workspace genutzt werden und die ebenfalls sowohl innerhalb als auch außerhalb der EU/des EWR ansässig sind.

In dieser Entscheidung hat die Datenschutzbehörde nicht zu der Frage Stellung genommen, inwieweit die Gemeinde Helsingør durch die Nutzung von Google Workspace for Education - zusätzlich zu den Vereinigten Staaten, siehe weiter unten in Abschnitt 4.6 - personenbezogene Daten an andere Drittländer übermittelt, obwohl die Daten innerhalb der EU/des EWR "gespeichert" werden.

Der EDSB empfiehlt jedoch, dass die Gemeinde Elsinore sicherstellt - unter anderem durch Überprüfung der "Service Specific Terms" von Google Workspace, auf die in Abschnitt 10.1 des Nachtrags zum Vertrag Bezug genommen wird -, dass die Daten im Rahmen einer anderen Verarbeitung als der "Speicherung", z. B. als Teil des allgemeinen Dienstes und der Unterstützung der zugrunde liegenden Cloud-Infrastruktur usw., nicht in Drittländer übermittelt werden, es sei denn, die Gemeinde Elsinore weist den Datenverarbeiter an, dies zu tun, und liefert eine gültige Grundlage für die Übermittlung.

Die Datenschutzbehörde ist der Ansicht, dass der für die Verarbeitung Verantwortliche eine gültige Grundlage für die Übermittlung in alle Drittländer vorlegen muss, in die personenbezogene Daten im Rahmen der Erbringung einer Dienstleistung auf vertraglicher Grundlage, einschließlich Service und Support, übermittelt werden können.

<h3>Übermittlung von personenbezogenen Daten in die Vereinigten Staaten</h3>

Zunächst stellt der EDSB fest, dass - nach seiner Auffassung - für die Gemeinde Helsingør eine absichtliche und angeordnete Übermittlung in die Vereinigten Staaten vorliegt, die sich aus der vereinbarten Möglichkeit ergibt, Unterstützung - in oder aus den Vereinigten Staaten - mit Zugang zu personenbezogenen Daten zu leisten.

Die Vorschriften für Übermittlungen in Drittländer, einschließlich der möglichen Gründe für die Übermittlung, sind in Kapitel V der Datenschutzverordnung festgelegt.

Die wichtigste Regel für die Übermittlung personenbezogener Daten in Drittländer ist in dem allgemeinen Grundsatz von Artikel 44 der Datenschutz-Grundverordnung enthalten. Dieser besagt Folgendes:

<blockquote>

"Eine Übermittlung personenbezogener Daten, die derzeit verarbeitet werden oder nach einer Übermittlung zur Verarbeitung bestimmt sind, in ein Drittland oder an eine internationale Organisation darf nur erfolgen, wenn die in [Kapitel V] festgelegten Bedingungen unbeschadet der anderen Bestimmungen dieser Verordnung von dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter erfüllt werden; dies gilt auch für die Weiterübermittlung personenbezogener Daten aus diesem Drittland oder von einer internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels finden Anwendung, um sicherzustellen, dass das durch diese Verordnung garantierte Schutzniveau für natürliche Personen nicht untergraben wird."

</blockquote>

Eine Übermittlung personenbezogener Daten kann also nur erfolgen, wenn die Bedingungen von Kapitel V der Verordnung erfüllt sind.

Der EDSB versteht Artikel 44 der Verordnung als eine Verpflichtung sowohl für den für die Verarbeitung Verantwortlichen als auch für den Auftragsverarbeiter. Beide Parteien sind demnach verpflichtet, dafür zu sorgen, dass eine wirksame Grundlage für die Übermittlung unter Berücksichtigung aller Umstände der Übermittlung gegeben ist. Dies gilt auch in Fällen, in denen der Auftragsverarbeiter in der Praxis einen Standardvertrag gemäß Artikel 46 Absatz 2 Buchstabe c) der Verordnung mit Unterauftragsverarbeitern in Drittländern geschlossen hat. In diesem Fall muss der für die Verarbeitung Verantwortliche in der Praxis sicherstellen - und in der Lage sein, dem EDSB gegenüber nachzuweisen -, dass der Auftragsverarbeiter die erforderliche Grundlage für die Übermittlung geschaffen hat und dass diese Grundlage für die Übermittlung in Anbetracht aller Umstände der Übermittlung, einschließlich der Durchführung zusätzlicher Maßnahmen, sofern erforderlich, wirksam ist.

Darüber hinaus ist der EDSB der Ansicht, dass unbeschadet der in Artikel 49 der Verordnung vorgesehenen Ausnahmen der Wortlaut von Artikel 44, wonach eine Übermittlung personenbezogener Daten nur erfolgen darf, wenn die in Kapitel V festgelegten Bedingungen erfüllt sind, in Verbindung mit dem Grundsatz, dass das durch die Verordnung gewährleistete Schutzniveau nicht untergraben werden darf, so zu verstehen ist, dass jede Übermittlung geeigneten Garantien unterliegen muss. Es reicht also nicht aus, dass fast alle Überstellungen oder ein bestimmter Prozentsatz der Überstellungen den Schutz der Verordnung genießen, es sei denn, dies ist in der Verordnung vorgesehen.

Eine der Möglichkeiten, eine gültige Grundlage für Übermittlungen nach Kapitel V zu schaffen, ist der Abschluss eines von der Europäischen Kommission angenommenen Standardvertrags mit der Organisation in dem Drittland, an das die Daten übermittelt werden, wie in Artikel 46 Absatz 1 Buchstabe c der Verordnung vorgesehen.

Der Fall zeigt insbesondere, dass die Gemeinde Helsingør ihren Auftragsverarbeiter - Google Cloud EMEA Limited in Irland - angewiesen hat, personenbezogene Daten an einen Unterauftragsverarbeiter - Google LLC - in den Vereinigten Staaten zu übermitteln. Die Übermittlung erfolgt auf der Grundlage eines Standardvertrags der EU-Kommission zwischen Google Cloud EMEA Limited und Google LLC in den USA. Dieser Standardvertrag wird seit Ende September 2021 als Grundlage für Übermittlungen in die USA verwendet.

In der Rechtssache C-311/18, Schrems II, hat der Europäische Gerichtshof klargestellt, dass die Verwendung der Standardverträge der EU-Kommission voraussetzt, dass in dem betreffenden Drittland ein Schutzniveau für personenbezogene Daten gewährleistet werden kann, das im Wesentlichen dem Schutzniveau in der EU/im EWR entspricht[1].

Der EuGH stellte ferner fest, dass es Situationen geben kann, in denen der Standardvertrag der EU-Kommission "kein angemessenes Mittel darstellt, um in der Praxis einen wirksamen Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. Dies ist insbesondere dann der Fall, wenn die Rechtsvorschriften dieses Drittlandes es seinen Behörden erlauben, in die Rechte der betroffenen Personen in Bezug auf diese Daten einzugreifen"[2].

In solchen Fällen, in denen der Standardvertrag naturgemäß keine Garantien bieten kann, die über die vertragliche Verpflichtung zur Gewährleistung des erforderlichen Schutzniveaus hinausgehen, können je nach den Gegebenheiten in dem Drittland zusätzliche Maßnahmen erforderlich sein, um das erforderliche Schutzniveau zu gewährleisten[3] Diese zusätzlichen Maßnahmen können technischer, organisatorischer oder vertraglicher Art sein[4].

Es ist daher von Fall zu Fall zu prüfen, ob die Rechtsvorschriften des Drittlandes ein angemessenes Schutzniveau für die auf der Grundlage des Standardvertrags übermittelten personenbezogenen Daten gewährleisten, und erforderlichenfalls sind zusätzlich zum Standardvertrag weitere Maßnahmen zu treffen[5].

Der EuGH hat auch geprüft, ob ausgewählte US-Rechtsvorschriften - Foreign Intelligence Surveillance Act (FISA) Abschnitt 702 und Executive Order 12 333 (E.O. 12 333) - es den US-Behörden erlauben, in die Rechte der betroffenen Personen in einem Maße einzugreifen, das nicht den Mindestanforderungen des EU-Rechts entspricht.

Abschnitt 702 des FISA (FISA 702) ermächtigt die US-Regierung, Informationen über Personen einzuholen, die keine US-Bürger usw. sind ("Nicht-US-Personen") und bei denen davon ausgegangen werden kann, dass sie sich außerhalb der Vereinigten Staaten aufhalten, um Informationen über ausländische Nachrichtendienste ("foreign intelligence information") zu sammeln. Zu diesem Zweck werden "Anbieter elektronischer Kommunikationsdienste" angewiesen, personenbezogene Daten, die an einen "Selektor" gesendet oder von diesem empfangen werden, bereitzustellen oder bereitstellen zu lassen, wobei ein Teil dieser Kommunikation auch an Strafverfolgungsbehörden weitergegeben wird[6].

In Bezug auf die E.O. 12333 erlaubt diese Rechtsgrundlage den Strafverfolgungsbehörden, auf Informationen zuzugreifen, die sich "im Transit" in die Vereinigten Staaten befinden, indem sie auf Seekabel zugreifen, und diese Informationen zu sammeln und zu speichern, bevor sie die Vereinigten Staaten erreichen und dort den FISA-Bestimmungen unterliegen[7].

Der EuGH stellte dann fest, dass weder Abschnitt 702 des FISA noch E.O. 12 333 in Verbindung mit der Presidential Policy Directive-28 (PPD-28) das Verhältnismäßigkeitserfordernis des EU-Rechts erfüllen, so dass Überwachungsprogramme auf der Grundlage dieser Bestimmungen nicht als auf das unbedingt Notwendige beschränkt angesehen werden können. Der Gerichtshof stellte ferner fest, dass FISA 702 oder E.O. 12 333 in Verbindung mit PDD-28 den betroffenen Personen keine Rechte verleihen, die vor den Gerichten gegen die US-Behörden durchgesetzt werden können[8].

Bei der Beurteilung der Frage, ob es in den Vereinigten Staaten Umstände gibt, die verhindern, dass der als Grundlage für die Übermittlung verwendete Standardvertrag ein ausreichendes Mittel ist, um ein Schutzniveau zu gewährleisten, das dem in der EU/im EWR im Wesentlichen gleichwertig ist, hat die Stadtverwaltung von Elsinore erklärt, dass Google LLC wahrscheinlich als "Anbieter elektronischer Kommunikationsdienste" im Sinne von 50 U.S.C. § 1881(b)(4) zu betrachten ist.

Ebenso ist es die Einschätzung der DPA, dass Google LLC - bei der Bereitstellung des Dienstes (Support usw.), der zur Übermittlung personenbezogener Daten an Google LLC führt - als "Anbieter elektronischer Kommunikationsdienste" betrachtet werden sollte und somit den Strafverfolgungsrichtlinien gemäß FISA 702 unterliegen kann.

Darüber hinaus hat die Gemeinde Helsingør argumentiert, dass mit hoher Wahrscheinlichkeit kein Zugriff auf Informationen, die Google LLC zur Verfügung stehen, gemäß FISA 702 möglich ist, da die personenbezogenen Daten nicht von Google LLC, sondern an Google LLC zum Zweck der Unterstützung übermittelt werden. Die Gemeinde Elsinore hat insbesondere argumentiert, dass es sich um eine elektronische Kommunikation an eine "US-Person" handelt und dass die Strafverfolgungsbehörden daher angesichts der Einschränkungen in FISA 702 von der Erlangung dieser Informationen ausgeschlossen sind. Darüber hinaus argumentiert die Stadtverwaltung, dass die an Google LLC übermittelten personenbezogenen Daten keine personenbezogenen Daten von "US-Personen" darstellen und dass die Strafverfolgungsbehörden aus diesem Grund ebenfalls von der Erhebung dieser Daten gemäß FISA 702 ausgeschlossen sind.

Nach Prüfung der rechtlichen Beschränkungen für die Erhebung von Informationen gemäß FISA 702[9] ist der EDSB der Ansicht, dass die Beschränkungen darauf abzielen, die Erhebung - sowohl direkt als auch indirekt - von Informationen über US-Personen, einschließlich Unternehmen, zu verhindern, wenn diese Personen das Ziel der Erhebung sind.

Daher gelten die Beschränkungen nach Ansicht des FSA nicht, wenn und soweit dänische Bürger oder die Gemeinde Helsingør als Ganzes Gegenstand der Sammlung von Informationen nach FISA 702 werden.

Darüber hinaus ist die Datenschutzbehörde der Ansicht, dass FISA 702 aufgrund seines Zwecks eine Rechtsgrundlage für die US-Strafverfolgungsbehörden darstellt, um Informationen über ausländische Personen zu erhalten, von denen man annehmen kann, dass sie sich außerhalb der Vereinigten Staaten aufhalten, um Informationen über ausländische Geheimdienste zu sammeln.

Vor diesem Hintergrund ist der EDSB der Ansicht, dass die an Google LLC übermittelten personenbezogenen Daten von den US-Strafverfolgungsbehörden eingeholt werden könnten. Dabei hat der EDSB den Schwerpunkt auf die Tatsache gelegt, dass Google LLC als "Anbieter von elektronischen Kommunikationsdiensten" zu betrachten ist und dass sich die an Google LLC übermittelten personenbezogenen Daten auf die Schüler und Angestellten der Gemeinde, d.h. dänische Staatsbürger, beziehen.

Die Datenschutzbehörde ist daher der Auffassung, dass die Übermittlung der fraglichen Daten in den Vereinigten Staaten Bedingungen unterliegt, die verhindern, dass der als Grundlage für die Übermittlung verwendete Standardvertrag ein ausreichendes Mittel zur Gewährleistung eines Schutzniveaus darstellt, das dem in der EU/im EWR im Wesentlichen gleichwertig ist. Die Gemeinde Helsingør ist daher verpflichtet, dafür zu sorgen, dass zusätzliche Maßnahmen ergriffen werden, um das Schutzniveau auf das erforderliche Niveau zu bringen.

Der EDSB stellt insbesondere fest, dass zusätzliche vertragliche und organisatorische Maßnahmen im Allgemeinen nicht ausreichen, um den Zugriff auf personenbezogene Daten oder deren Erhebung durch US-Strafverfolgungsbehörden zu Überwachungszwecken zu verhindern. Daher werden zusätzliche technische Maßnahmen erforderlich sein.

Die Gemeinde Helsingør hat erklärt, dass personenbezogene Daten sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt werden, wenn die Daten von Google LLC übertragen und verarbeitet werden. Die Stadtverwaltung hat jedoch auch darauf hingewiesen, dass Google LLC auf die Daten im Klartext zugreifen kann.

Der EDSB ist der Auffassung, dass die Verschlüsselung eine wirksame Zusatzmaßnahme sein kann, die geeignet ist, den Standardvertrag der EU-Kommission zu ergänzen und das Schutzniveau in einem Drittland insgesamt auf das erforderliche europäische Niveau zu bringen.

Der EDSB ist jedoch der Ansicht, dass die Verschlüsselung im vorliegenden Fall nicht geeignet ist, um die Bedingungen in den USA anzugehen, die verhindern, dass der Standardvertrag ein ausreichendes Mittel ist, um den wirksamen Schutz der übermittelten personenbezogenen Daten zu gewährleisten.

In diesem Zusammenhang hat der EDSB berücksichtigt, dass die Erhebung personenbezogener Daten durch die US-Strafverfolgungsbehörden gemäß FISA 702 durch die Erteilung von Weisungen an Anbieter elektronischer Kommunikationsdienste erfolgt und somit deren Unterstützung erfordert, und dass unter diesen Umständen die übermittelten personenbezogenen Daten gemäß FISA 702 erlangt werden können, da Google LLC Zugang zu den Daten im Klartext hat.

Dementsprechend ist der EDSB der Ansicht, dass die personenbezogenen Daten, die die Gemeinde Helsingør der Google Cloud EMEA Limited zur Übermittlung in die Vereinigten Staaten aufgetragen hat, kein Schutzniveau genießen, das dem in der EU/im EWR im Wesentlichen gleichwertig ist, und dass die Gemeinde Helsingør nicht die erforderlichen zusätzlichen Maßnahmen ergriffen hat, um das Schutzniveau auf das erforderliche Niveau zu bringen.

Der EDSB ist daher der Ansicht, dass die Übermittlung personenbezogener Daten, mit der die Gemeinde Helsingør die Google Cloud EMEA Limited beauftragt hat, nicht im Einklang mit Artikel 44 der Datenschutzverordnung steht, vgl. Artikel 46 Absatz 1 Buchstabe c.

<h3>Zusammenfassung</h3>

In Anbetracht der am 10. September 2021 erlassenen Anordnung und der am selben Tag erlassenen Verarbeitungsbeschränkung sowie nach einer Überprüfung der von der Gemeinde Helsingør durchgeführten Risikobewertung und der Unterlagen der Gemeinde im Allgemeinen ist der Datenschutzbeauftragte der Ansicht, dass es Gründe gibt, der Gemeinde Helsingør die Verarbeitung personenbezogener Daten mit Google Chromebooks und Workspace for Education zu untersagen. Das Verbot gilt so lange, bis die Kommune Helsingør die Verarbeitungstätigkeit in Einklang mit der DSGVO gebracht hat, wie in diesem Beschluss dargelegt, und eine angemessene Dokumentation zu diesem Zweck vorgelegt hat.

Darüber hinaus wird jede Übermittlung personenbezogener Daten in die Vereinigten Staaten, mit der die Gemeinde Helsingør die Google Cloud EMEA Limited als Datenverarbeiter für die Gemeinde beauftragt hat, ausgesetzt, bis die Gemeinde Helsingør die Einhaltung von Kapitel V der DSGVO nachweisen kann.

Das Verbot und die Aussetzung werden sofort wirksam, doch wird der Gemeinde Helsingør eine Frist bis zum 3. August 2022 eingeräumt, um Nutzer und Rechte zu entziehen und zu kündigen sowie bereits übertragene Daten zu löschen.

Die Verbote werden gemäß Artikel 58 Absatz 2 Buchstaben f und j der Datenschutzverordnung ausgesprochen.

Ein Verstoß gegen ein von der Datenschutzbehörde ausgesprochenes Verbot wird gemäß Artikel 41 Absatz 2 Nummer 4 des Datenschutzgesetzes mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu sechs Monaten geahndet, vgl. Artikel 41 Absatz 1.

Schließlich sieht der Datenschutzbeauftragte Anlass zu ernsthafter Kritik an der Tatsache, dass die Verarbeitung personenbezogener Daten durch die Gemeinde Helsingør nicht im Einklang mit Artikel 5 Absatz 2 der Datenschutzverordnung erfolgt ist, vgl. Artikel 5 Absatz 1 Buchstabe a, Artikel 24, vgl. Artikel 28 Absatz 1, Artikel 35 Absatz 1 und Artikel 44, vgl. Artikel 46 Absatz 1.

<h3>Wahl der Abhilfemaßnahmen</h3>

Bei der Wahl der Abhilfemaßnahmen hat der EDSB den Schwerpunkt auf die rasche Beendigung des rechtswidrigen Zustands gelegt. Darüber hinaus hat der EDSB mildernd berücksichtigt, dass die Gemeinde Helsingør in allen Phasen der Bearbeitung des Falles positiv und verantwortungsbewusst dazu beigetragen hat, die erforderliche Dokumentation und Klarheit über die Verarbeitungen bereitzustellen, und er hat insbesondere berücksichtigt, dass die fraglichen Übermittlungen personenbezogener Daten in die Vereinigten Staaten zuvor Gegenstand einer Angemessenheitsfeststellung gemäß Artikel 45 der Verordnung waren, die nun ausgelaufen ist.

<h2>Abschließende Bemerkungen</h2>

Der EDSB stellt fest, dass die Gemeinde Helsingør für die Berichtigung und Löschung der Daten gemäß der Entscheidung verantwortlich ist. Die Gemeinde muss sich daher mit den Eltern der betroffenen Kinder in Verbindung setzen, um die Berichtigungen, Anonymisierungen oder Löschungen der gespeicherten personenbezogenen Daten vorzunehmen, die die Eltern selbst in den Systemen, in denen die personenbezogenen Daten der Schüler versehentlich veröffentlicht oder übermittelt wurden, nicht vornehmen können.

</blockquote>

Quelle unter datatilsynet.dk (Dänisch).

</blockquote>

Nur zwei Wochen nach Italien ist Dänemark das vierte Land, das Google mit Sanktionen belegt. Wie erwartet, kommen immer mehr EU-Mitgliedsländer zu demselben Schluss: Google-Produkte verstoßen gegen EU-Recht.

  1. Dänemark verbietet Google Workspace für Kommunen
  2. Warum verbieten die EU-Mitgliedstaaten Google Analytics?
  3. Warum gibt es keinen neuen Datenschutzschild mit den USA?
  4. Aktualisierungen
  5. Was wird die Zukunft bringen?
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Dänemark verbietet Google Workspace für Kommunen

Die dänische Datenschutzbehörde (DPA) hat sich in ihrer Stellungnahme mit einem konkreten Fall befasst, nämlich der Nutzung von Chromebooks und Workspace durch die Gemeinde Helsingør.

Im September 2021 erließ die dänische Datenschutzbehörde eine Entscheidung, in der sie die Gemeinde Helsingør aufforderte, eine Risikobewertung der kommunalen Verarbeitung personenbezogener Daten in Grundschulen durchzuführen.

Auf der Grundlage der Bewertungsergebnisse hat die Datenschutzbehörde nun festgestellt, dass die Verarbeitung nicht mit den Anforderungen der Datenschutz-Grundverordnung übereinstimmt. Sie kam zu dem Schluss, dass die Daten möglicherweise ohne das erforderliche Sicherheitsniveau in Drittländer (z. B. in die USA) übermittelt werden.

In Anbetracht dieser Schlussfolgerung darf die Gemeinde Helsingør keine Daten mehr verarbeiten, die in die USA übermittelt werden. Darüber hinaus wurde ihr von der dänischen Datenschutzbehörde ein generelles Verbot der Verarbeitung mit Google Workspace auferlegt.

Die Datenschutzbehörde fügte hinzu, dass die Entscheidungen wahrscheinlich auch für andere Gemeinden gelten werden, die das gleiche Verarbeitungskonzept verwenden.

Die Aussetzung tritt sofort in Kraft, aber die Gemeinde Helsingør hat bis zum dritten August 2022 Zeit, bereits übertragene Daten zu löschen.

In der Erklärung von Datatilsynet DK heißt es, dass die Sanktionen nur für Kommunen gelten. Wir haben uns an Allan Frank gewandt, der diese Erklärung als IT-Sicherheitsspezialist und Jurist bei der dänischen Datenschutzbehörde (Datatilsynet DK) verfasst hat. Wir fragten ihn, ob die Sanktionen nur für Kommunen oder generell gelten. Seine Antwort:

"Sowohl ja als auch nein, diese Erklärung bezieht sich auf Chrombücher und Arbeitsbereiche in dänischen öffentlichen Schulen. Aber diese Grundsätze gelten für alle Cloud-Dienste, aber in Dänemark treffen wir Entscheidungen in bestimmten Fällen. Sie können nur dann auf andere (ähnliche) Situationen angewandt werden, wenn der rechtliche Sachverhalt als derselbe angesehen werden kann".

Wir denken, dass die Rechtsgrundlage für Unternehmen dieselbe ist. Sie senden personenbezogene Daten in die USA, vor allem weil es nicht die erste Datenschutzbehörde in der EU ist, die Google-Produkte verbietet. Für normale Unternehmen wurde jedoch noch keine formelle Entscheidung getroffen.

Denmark bans Google Products

Warum verbieten die EU-Mitgliedstaaten Google Analytics?

Wir müssen bis Juli 2020 zurückgehen, als NOYB (eine Nichtregierungsorganisation für digitale Rechte) eine Beschwerde einreichte, in der argumentiert wurde, dass die Datenübertragung in die USA gegen die DSGVO verstößt. Dies wurde als Schrems II bekannt.

Das einzige Mandat der GDPR ist der Schutz der Privatsphäre der EU-Bürger. Wenn personenbezogene Daten in die USA übertragen werden, ist dies nicht mehr gewährleistet. Google (und viele andere) gelten als "Anbieter von elektronischen Kommunikationsdiensten", was bedeutet, dass Google verpflichtet ist, Daten an US-Geheimdienste weiterzugeben (wenn sie darum gebeten werden). Dies hat zur Folge, dass die persönlichen Daten von EU-Bürgern bei der Übermittlung ins Ausland nicht ausreichend geschützt sind.

NOYB hat das Privacy Shield (das zum Schutz der Datenübermittlung eingerichtet wurde) erfolgreich für ungültig erklärt, und zusätzliche Maßnahmen von Google wurden für unzureichend erklärt.

Frankreich (CNIL) verbot Google Analytics im Februar dieses Jahres und legte im Juni neue Leitlinien vor. In der Zeit zwischen diesen Ereignissen hat Google verschiedene Lösungen vorgeschlagen, die alle verworfen wurden:

  • Lösung 1: Die Anonymisierung von personenbezogenen Daten
  • Lösung 2: Die Verwendung von eindeutigen Identifikatoren

Erstens konnte Google nicht nachweisen, dass die Anonymisierung der Daten vor dem Datentransfer in die USA erfolgte. Zweitens kann Google eindeutige Kennungen anreichern und mit anderen Datenpunkten kombinieren. Die CNIL kam zu dem Schluss, dass es technisch noch immer nicht möglich ist, Google Analytics in einer Weise zu nutzen, die mit der DSGVO vereinbar ist.

Solange die personenbezogenen Daten von EU-Bürgern nicht vollständig geschützt sind, verstoßen die Google-Produkte gegen das EU-Recht.

Warum gibt es keinen neuen Datenschutzschild mit den USA?

Kurz nachdem Frankreich (CNIL) im Februar Google Analytics verboten hatte, erzielten die EU und die USA eine Einigung. Sie können beide Erklärungen hier und hier nachlesen. Es handelte sich jedoch um eine politische Vereinbarung ohne Rechtsgrundlage. Mit anderen Worten: Die Vereinbarung hat keinerlei rechtlichen Wert.

Um ein funktionierendes Abkommen zu erreichen, brauchen wir ein juristisches Dokument, das von Juristen analysiert werden kann. Die Ausarbeitung eines solchen Dokuments könnte eine Weile dauern. Der zweite Schritt besteht darin, dass die Europäische Kommission einen "Angemessenheitsbeschluss" dazu fassen muss, der zunächst vom Europäischen Datenschutzausschuss geprüft werden muss.

Auf der anderen Seite des großen Teichs muss Präsident Biden eine Durchführungsverordnung unterzeichnen. Dieser Prozess wird ebenfalls mehrere Monate dauern und kann erst in Gang gesetzt werden, wenn ein Rechtsdokument vorliegt. Schließlich muss das Abkommen formell verabschiedet werden, bevor Organisationen es nutzen können.

Die jüngste Ankündigung ließ ein Abkommen in greifbare Nähe rücken, aber wir sind noch weit von einem gültigen Abkommen entfernt. In der Zwischenzeit verstößt die weitere Nutzung von Google-Produkten gegen EU-Recht.

Aktualisierungen

Der neue Rahmen für den Datentransfer mit den USA ist auf dem besten Weg. Die EU-Kommission hat einen Vorschlagsentwurf veröffentlicht. Die Zustimmung der Mitgliedstaaten ist so gut wie sicher, aber der Entwurf wird sicherlich auch vor dem Europäischen Gerichtshof angefochten werden. Mit anderen Worten: Wir haben es mit einem Schrems-III-Urteil zu tun. Es ist schwer zu sagen, wie es ausgehen wird, so dass die Zukunft der Datenübermittlung ungewiss bleibt.

Auch in der Rechtssache Google Workspace gibt es Neuigkeiten:

  • Die Datenschutzbehörde traf im August 2022 eine weitere Entscheidung in dieser Sache und bestätigte ihren Standpunkt.
  • im September 2022 wies die Datenschutzbehörde 50 weitere Gemeinden an, ihre Datenverarbeitung in Einklang mit den Vorschriften zu bringen. In der Zwischenzeit wurde die Anordnung, die Nutzung von Google Workspace zu untersagen, für die Gemeinde Helsingor ausgesetzt
  • Die Gemeinden und Google haben die Datenschutzprobleme erörtert und der Datenschutzbehörde neue Unterlagen über Google Workspace vorgelegt. Die DPA wird den Fall nun erneut prüfen.

Die DPA hat außerdem im September 2022 eine Pressemitteilung über die Verwendung von Google Analytics veröffentlicht. In der Praxis hat die Datenschutzbehörde die Verwendung von Google Analytics in Dänemark im Wesentlichen verboten und folgt damit dem Beispiel der österreichischen, französischen und italienischen Behörden. Mehr über die Pressemitteilung können Sie hier lesen.

Was wird die Zukunft bringen?

Bevor wir über die Zukunft sprechen, sollten wir einen Blick in die Vergangenheit werfen. Bislang haben wir gesehen:

  • August 2020: Schrems ii erklärt das Privacy Shield für ungültig
  • Dezember 2021: Österreich (DSB) verbietet Google Analytics
  • Februar 2022: Frankreich (CNIL) verbietet Google Analytics
  • März 2022: EU und USA erzielen eine politische Einigung
  • Juni 2022: Italien verbietet Google Analytics
  • Juni 2022: Die irische Datenschutzbehörde nähert sich dem EU-Verbot für Facebook an
  • Juli 2022: Dänemark verbietet Google-Produkte.

Die Datenschutzbehörden zeigen endlich Zähne, indem sie Google Analytics verbieten, bis angemessene Maßnahmen ergriffen sind.

Der Kampf um den Schutz der Privatsphäre geht weiter, und solange keine Einigung erzielt wird, werden immer mehr EU-Mitgliedstaaten zu dem Schluss kommen, dass Datenübermittlungen in die USA gegen die Datenschutzgrundverordnung verstoßen.

Natürlich sind wir bei dieser Nachricht etwas voreingenommen, da wir einen Wettbewerber von Google Analytics betreiben. Aber wir tun es, weil es uns wichtig ist. Wir glauben fest daran, dass man auch ohne das Tracking von Einzelpersonen einen Mehrwert bieten kann. Aus diesem Grund haben wir Simple Analytics entwickelt, ein Analysetool, bei dem der Datenschutz im Vordergrund steht. Möchten Sie wissen, wie wir im Vergleich abschneiden? Lesen Sie unseren Blogbeitrag oder probieren Sie uns aus. Vielen Dank für die Lektüre, und lassen Sie uns gemeinsam für eine privatere Zukunft kämpfen!

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten