Ist Google Workspace in Dänemark illegal?

Nach Prüfung der Risikobewertung der Gemeinde Helsingør und der Dokumentation der Gemeinde im Allgemeinen ist die Datenschutzbehörde der Ansicht, dass es Gründe gibt, der Gemeinde Helsingør die Verarbeitung personenbezogener Daten mit Google Chromebooks und Workspace for Education zu untersagen. Das Verbot gilt so lange, bis die Gemeinde Helsingør die Verarbeitungstätigkeit in Einklang mit der DSGVO gebracht hat, wie in dieser Entscheidung dargelegt, und eine angemessene Dokumentation zu diesem Zweck vorgelegt hat.

Darüber hinaus wird jede Übermittlung personenbezogener Daten in die Vereinigten Staaten, mit der die Gemeinde Helsingør die Google Cloud EMEA Limited als Datenverarbeiter für die Gemeinde beauftragt hat, ausgesetzt, bis die Gemeinde Helsingør die Einhaltung von Kapitel V der DSGVO nachweisen kann.

Das Verbot und die Aussetzung werden sofort wirksam, aber der Gemeinde Helsingør wird eine Frist bis zum 3. August 2022 eingeräumt, um Nutzer und Rechte zu entziehen und zu deaktivieren und bereits übertragene Daten zu löschen.

Die Verbote werden gemäß Artikel 58 Absatz 2 Buchstaben f und j der Datenschutzverordnung ausgesprochen.

Ein Verstoß gegen ein von der Datenschutzbehörde ausgesprochenes Verbot wird gemäß Artikel 41 Absatz 2 Nummer 4 des Datenschutzgesetzes mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu sechs Monaten geahndet, vgl. Artikel 41 Absatz 1.

Schließlich sieht der Datenschutzbeauftragte Anlass zu ernsthafter Kritik an der Tatsache, dass die Verarbeitung personenbezogener Daten durch die Gemeinde Helsingør nicht im Einklang mit Artikel 5 Absatz 2 der Datenschutzverordnung erfolgt ist, vgl. Artikel 5 Absatz 1 Buchstabe a, Artikel 24, vgl. Artikel 28 Absatz 1, Artikel 35 Absatz 1 und Artikel 44, vgl. Artikel 46 Absatz 1.

Am 11. Dezember 2019 beschwerte sich ein Bürger bei der Datenschutzbehörde über die Verarbeitung personenbezogener Daten durch die Kommune Helsingør.

Mit Schreiben vom 6. Januar 2020 bestätigte die Kommune Helsingør, dass sich ein Elternteil im Jahr 2019 bei der Kommune darüber beschwert hatte, dass sein Kind - ohne sein Wissen - ein YouTube-Konto erhalten hatte, wodurch der Name des Kindes auf YouTube veröffentlicht werden konnte.

Die Gemeinde Helsingør erklärte ferner, dass sie der Ansicht sei, dass der Vorfall wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen geführt habe und daher kein Anlass für eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die Datenschutzbehörde gemäß Artikel 33 Absatz 1 der Datenschutz-Grundverordnung gewesen sei.

Am 29. Januar 2020 meldete die Gemeinde Helsingør den Vorfall bei der Datenschutzbehörde als Verletzung des Schutzes personenbezogener Daten. Zur gleichen Zeit meldeten eine Reihe anderer Gemeinden ähnliche Vorfälle, weshalb die Datenschutzbehörde die Fälle gemeinsam behandelte und mit Schreiben vom 11. März 2020 die betroffenen Gemeinden um eine Stellungnahme bat.

Am 10. September 2021 traf die Datenschutzaufsichtsbehörde eine Entscheidung über die betreffende Verletzung des Schutzes personenbezogener Daten, die der Aufsichtsbehörde von der Gemeinde Helsingør gemeldet worden war. Der Beschluss der Datenschutzaufsichtsbehörde vom 10. September 2021 ist oben in Abschnitt 1 wiedergegeben und in seiner Gesamtheit beigefügt.

Als Reaktion auf den Beschluss vom 10. September 2021 legte die Gemeinde Helsingør mit Schreiben vom 10. November 2021 ihre Risikobewertung in Bezug auf die Nutzung von Google Chromebooks und G-Suite for Education sowie zusätzliche Unterlagen zum Nachweis der Rechtmäßigkeit der Verarbeitungstätigkeit vor. Darüber hinaus übermittelte die Gemeinde am 9. Dezember 2021 weitere Informationen zu diesem Fall als Antwort auf das Ersuchen des EDSB vom 2. Dezember 2021.

Am 10. November 2021 legte die Kommune Helsingør die Risikobewertung der Kommune für die Nutzung von Google Chromebooks und G-Suite for Education (Google Workspace for Education) vor.

Gleichzeitig hat die Kommune Helsingør die Datenschutzbehörde darüber informiert, dass die Kommune die zusätzlichen Dienste von Google Workspace nicht nutzt, und hat daher festgestellt, dass die Kommune nicht verpflichtet ist, eine Datenschutz-Folgenabschätzung zu erstellen.

Unter den Risiken, die die Gemeinde Helsingør bei der Nutzung von Google Chromebooks ermittelt hat, wird in der Risikobewertung das Risiko der "Verwendung von Daten für unbeabsichtigte Zwecke" genannt. Das Risiko wird wie folgt beschrieben:

"Es besteht das Risiko, dass Google oder andere Dritte personenbezogene Daten von Lehrern und Schülern für Marketing- oder andere Zwecke verwenden, für die die Kommune Helsingør als für die Datenverarbeitung Verantwortlicher nicht möchte, dass personenbezogene Daten verarbeitet werden. In diesem Zusammenhang sind insbesondere Kontaktinformationen, IP-Adresse und digitale Spuren (allgemeine Informationen) von Bedeutung. Es sei darauf hingewiesen, dass personenbezogene Daten von Schülern nach den Datenschutzvorschriften einem besonderen Schutz unterliegen und daher der Zugang zu und die Verarbeitung von personenbezogenen Daten von Schülern ein zusätzliches Element in Bezug auf die Risikobewertung darstellt."

Zur Wahrscheinlichkeit des Eintretens dieses Risikos wird Folgendes angeführt:

"Die Gemeinde nutzt das Produkt Google Workspace for Education Standard, bei dem der Gemeinde durch die Datenverarbeitungsvereinbarung garantiert wird, dass die Daten nicht für andere Zwecke, einschließlich Marketing, verwendet werden, sofern die Gemeinde nur die Kerndienste nutzt.

Es wird auf die Datenverarbeitungsvereinbarung und die Korrespondenz der Kommune Helsingør mit Google verwiesen, in der Google erklärt, dass "Informationen im Rahmen der Nutzung von Chromebooks und Google Workspace for Education Standard von Google nicht für Marketingzwecke gegenüber einem Schüler oder Schülern in einer Klasse verwendet werden können". "In den Kerndiensten von Google Workspace for Education wird keine Werbung angezeigt. (ii) Der Nutzername der Schüler, auch in Verbindung mit dem erstellten Google Workspace for Education-Konto, ist nur für Google als Datenverarbeiter zugänglich, und die Nutzung von Chromebooks und Google Workspace for Education - zum Beispiel das Ansehen von YouTube-Videos - führt nicht zur Veröffentlichung des Nutzernamens". "Die Schulleitung kann Schülern den Zugriff auf Google-Dienste wie YouTube gestatten, die über Funktionen verfügen, mit denen Nutzer Informationen mit anderen oder öffentlich teilen können. Wenn Sie zum Beispiel eine Bewertung bei Google Play abgeben, erscheinen Ihr Name und Ihr Foto neben Ihrer Aktivität. Und wenn Sie ein Foto mit einem Freund teilen, der dann eine Kopie davon anfertigt oder es erneut teilt, kann dieses Foto weiterhin im Google-Konto Ihres Freundes erscheinen, auch nachdem Sie es aus Ihrem Google-Konto entfernt haben. Denken Sie daran: Wenn Sie Informationen öffentlich freigeben, kann Ihr Inhalt über Suchmaschinen, einschließlich der Google-Suche, zugänglich werden. Weitere Informationen über die Weitergabe von Daten von Workspace for Education finden Sie in den Datenschutzhinweisen von Workspace for Education."

Kerndienste (14 Dienste: Klassenzimmer, Drive/Docs, G-Mail, Chat, Chrome Sync, Gruppen, Meet, Vault, Playlist, Jamboard, Kalender, Keep (Stickynotes), Aufgaben, Sites)

Weitere von Google angebotene Dienste unterliegen anderen Bedingungen in der Datenverarbeitungsvereinbarung, was bedeutet, dass die Gemeinde Google keine Anweisungen über die Verwendung personenbezogener Daten erteilen kann. Daher hat die Stadtverwaltung die Nutzung von Zusatzdiensten deaktiviert.

Schlussfolgerung

Auf der Grundlage der oben genannten Maßnahmen schätzt die Gemeinde Elsinore die Wahrscheinlichkeit, dass sich das Risiko verwirklicht, als gering ein. Es kann jedoch nicht völlig ausgeschlossen werden, dass Google gegen die vertraglichen Verpflichtungen verstößt und dennoch personenbezogene Daten für Marketingzwecke oder andere unbeabsichtigte Zwecke verwendet, für die die Gemeinde Helsingør keine Anweisungen gemäß der Datenverarbeitungsvereinbarung erteilt hat."

Ein weiteres Risiko, das die Kommune Helsingør bei der Nutzung von Google Chromebooks und Workspace for Education in der Risikobewertung identifiziert hat, ist das Risiko der Übermittlung in Drittländer.

Das Risiko wird wie folgt beschrieben:

"Es besteht das Risiko, dass personenbezogene Daten von Schülern und Lehrern (im Prinzip allgemeine personenbezogene Daten, aber es kann nicht ausgeschlossen werden, dass auch sensible personenbezogene Daten darunter fallen) in unsichere Drittländer übermittelt werden, ohne dass eine angemessene Grundlage für die Übermittlung besteht und ohne dass sichergestellt ist, dass das betreffende Drittland gleichwertige Datenschutzrechte wie in anderen EU-Ländern gewährleistet."

Zu der Wahrscheinlichkeit, dass sich dieses Risiko verwirklicht, wird Folgendes ausgeführt:

"Die Kommune Helsingør hat als für die Verarbeitung personenbezogener Daten von Schülern Verantwortlicher die folgenden Maßnahmen ergriffen, um die Wahrscheinlichkeit zu verringern, dass sich das beschriebene Risiko verwirklicht:

Die Standardbedingungen der EU-Kommission wurden abgeschlossen (Transfergrundlage), da das Risiko eines Zugriffs aus den USA über die Unterstützung besteht. Als zusätzliche Grundlage (ergänzende Maßnahmen) wurde eine separate Transfer-Folgenabschätzung (TIA) gemäß den Anforderungen der Datenschutzbehörde und des EDPB erstellt. Es wird auf die erstellte TIA verwiesen.

Es ist auch darauf hinzuweisen, dass sich die Gemeinde Helsingør für eine Lösung entschieden hat, bei der die Daten ausschließlich innerhalb der EU in den betreffenden Datenzentren gespeichert sind. Es besteht also nur das Risiko, dass der Zugriff aus einem unsicheren Drittland unterstützt wird, was zu einem Zugriff aus einem unsicheren Drittland führen kann:

"Die Einstellungen in den Datenregionen in Google Workspace for Education Standard stellen sicher, dass sich das Rechenzentrum innerhalb der EU befindet - und zusätzlich: wird es einen Online-Zugriff aus Ländern außerhalb der EU geben, zum Beispiel im Zusammenhang mit dem Support."

Fazit

Auf der Grundlage der oben genannten Maßnahmen ist die Stadtverwaltung von Helsingör der Ansicht, dass die Wahrscheinlichkeit, dass sich das Risiko verwirklicht, gering ist.

Darüber hinaus hat die Gemeinde Helsingør den Nachweis über die Einhaltung von Kapitel V der Datenschutzverordnung bei der Nutzung von Google Workspace for Education in Form der "Transfer-Folgenabschätzung" (im Folgenden "TIA") der Gemeinde vorgelegt.

Daraus geht hervor, dass die Gemeinde Helsingør Google Cloud EMEA Limited als Datenverarbeiter im Hinblick auf die Nutzung von Google Chromebooks und Workspace for Education einsetzt. Insbesondere hat die Gemeinde durch Einstellungen in Google Workspace for Education sichergestellt, dass personenbezogene Daten nur in Datenzentren innerhalb der EU/des EWR gespeichert werden.

Es scheint jedoch, dass - ungeachtet der oben genannten Einstellung - personenbezogene Daten im Rahmen des Fernzugriffs zu Supportzwecken an Google LLC in den Vereinigten Staaten übertragen werden können. Die Übermittlung erfolgt auf der Grundlage des Standardvertrags der EU-Kommission.

Schließlich heißt es in Punkt 1.8 über den Kontext und den Zweck der Übermittlung personenbezogener Daten Folgendes:

"Als Teil der Cloud-Lösung von Google nutzt Helsingør Kommune:

Google Chromebooks und G Suite for Education (jetzt Workspace genannt), die von Helsingør Kommune zum Zweck der Ausbildung von Schülern im Rahmen der öffentlich-rechtlichen Verpflichtung von Helsingør Kommune als lokale, öffentliche Behörde zur Bereitstellung von Bildung verwendet wird. Die Helsingør Kommune ist der Ansicht, dass diese Verpflichtung am besten mit Google als Anbieter der oben genannten Dienste erfüllt werden kann, und Datatilsynet hat diese Prämisse gemäß dem geltenden Recht im Folkeskoleloven akzeptiert.

Damit Helsingør Kommune die genannten, von Google angebotenen Dienste und Produkte nutzen kann, ist es erforderlich, dass Helsingør Kommune die personenbezogenen Daten der in den Abschnitten 1.9-1.10 genannten betroffenen Personen in die Google-Cloud überträgt. Der Zweck der Übertragung ist somit die Speicherung der personenbezogenen Daten in den Datenzentren (Cloud), die Gewährleistung einer hohen Sicherheit der personenbezogenen Daten sowie die Verwaltung/Unterstützung durch Google."

In der TIA hat die Kommune Helsingør - soweit der EDSB dies verstanden hat - bewertet, ob die Grundlage für die Übermittlung in die USA in Form des Standardvertrags angesichts der Umstände der Übermittlung wirksam ist, einschließlich der Bewertung, ob es in den USA Gesetze und/oder Praktiken gibt, die die Wirksamkeit des geschlossenen Standardvertrags beeinträchtigen.

Dementsprechend heißt es in Absatz 2.4 der TIA:

"Auf der Grundlage von Statistiken und anderen Argumenten des Datenimporteurs/Datenempfängers: Wie viele Jahre wird es zusätzlich zum Beurteilungszeitraum dauern, bis die Wahrscheinlichkeit des Zugriffs durch eine Behörde (die im Drittland rechtmäßig ist) nur noch 50:50 beträgt?

Auf der Grundlage der folgenden Statistiken und Argumente kommt die Helsingør Kommunes zu dem Schluss, dass die Wahrscheinlichkeit eines Zugriffs durch eine US-Behörde (der in den USA rechtmäßig ist), der gegen EU-Recht verstößt, wie im Schrems-II-Urteil festgestellt, selbst bei einer Hinzufügung weiterer 50 Jahre zu dem Beurteilungszeitraum von 5 Jahren nur 50 % beträgt und somit das Risiko eines rechtmäßigen Zugriffs innerhalb des Beurteilungszeitraums von 5 Jahren eher theoretischer als praktischer Natur ist:

Google GCP/G-Suite Zugriffsanfragen / offengelegt Dänemark 2019-2020: 0 / 0

Google Workspace Zugriffsanfragen / offengelegt Dänemark 2019-2020: 1 / 0

Google Global Diplomatic Legal Anfragen: 1

Google Global User data requests / percentage disclosed Dänemark 2019-2020:

30. Juni 2019 Notfall 2 / 50%. Andere rechtliche 29 / 52%. Konservierung 8 / 45%. 31. Dezember 2019 Notfall 3 / 0%. Andere rechtliche 48 / 38%. Bewahrung 12 / 41%.

30. Juni 2020 Dringlichkeit 5 / 100%

Sonstiges Recht 80 / 58%. Bewahrung 34 / 63%. 31. Dezember 2020 Dringlichkeit 1 / 100%. Andere rechtliche 87 / 75%. Bewahrung 32 / 41%

Google National Security Letter Anfragen (NSL) und freigegeben 2019/2020 Gesamtzahl alle Länder: 21

Schlussfolgerung

Basierend auf diesem rechtlichen Ansatz und diesen Statistiken ist es klar, dass:

In der TIA heißt es weiter in Abs. 3.4, dass die personenbezogenen Daten, die an Google LLC in den USA übermittelt werden, Google LLC im Klartext zur Verfügung stehen werden:

"Sind die fraglichen personenbezogenen Daten in der Zieljurisdiktion im Klartext für den Datenimporteur/-empfänger oder einen Dritten zugänglich (d. h. die Daten sind entweder nicht angemessen verschlüsselt oder der Zugang zu den Schlüsseln zur Entschlüsselung ist möglich)?

Die personenbezogenen Daten von Helsingør Kommune sind im Ruhezustand immer verschlüsselt, da Google mehrere Verschlüsselungsebenen verwendet, um die Kundendaten im Ruhezustand in den Google-Cloud-Produkten zu schützen, wobei ein oder mehrere Verschlüsselungsmechanismen verwendet werden. Die zu speichernden Daten werden in Chunks aufgeteilt, und jeder Chunk wird mit einem eindeutigen Datenverschlüsselungsschlüssel verschlüsselt. Diese Datenverschlüsselungsschlüssel werden zusammen mit den Daten gespeichert und mit Schlüsseln verschlüsselt, die ausschließlich in Googles zentralem Schlüsselverwaltungsdienst gespeichert und verwendet werden. Der Schlüsselverwaltungsdienst von Google ist redundant und weltweit verteilt.

Alle in der Google Cloud gespeicherten Daten werden auf der Speicherebene mit AES256 verschlüsselt. In diesem Zusammenhang verwendet Google eine gemeinsame kryptografische Bibliothek, Tink, die das FIPS 140-2-validierte Modul BoringCrypto enthält, um die Verschlüsselung in fast allen Google Cloud-Produkten einheitlich zu implementieren. Die konsequente Verwendung einer gemeinsamen Bibliothek bedeutet, dass nur ein kleines Team von Kryptographen diesen streng kontrollierten und überprüften Code implementieren und pflegen muss.

Diese Verschlüsselung verhindert jedoch nicht, dass Google-Mitarbeiter auf die personenbezogenen Daten von Helsingør Kommune zugreifen können, da Google den Schlüssel zur Entschlüsselung der Daten besitzt. Google LLC in den USA ist dagegen nicht im Besitz des Entschlüsselungsschlüssels. Dies bedeutet, dass Google in den USA oder andere Google-Einheiten außerhalb der EU/des EWR oder Dritte nicht auf die personenbezogenen Daten von Helsingør Kommune zugreifen können, ohne die Genehmigung der zuständigen Google-Einheit mit Sitz in der EU (Google Irland) einzuholen.

Obwohl die Verschlüsselung - und die Pseudonymisierung, die auch von Google verwendet wird - nicht sicherstellt, dass Helsingør Kommune die vollständige Kontrolle über den Zugriff auf personenbezogene Daten im EU-Rechenzentrum hat, dient sie als mildernder Faktor, um regulatorische oder Compliance-Verpflichtungen zu erfüllen, d. h. in Übereinstimmung mit den Leitlinien des EDPB."

Darüber hinaus stellt die TIA in Abs. 3.5 bezüglich der festgelegten Transferbasis:

"Wie oben in Abschnitt 1.7 dargelegt, ergibt sich aus Googles Datenverarbeitungszusatz zu Google Workspace und/oder der am 24. September 2021 geänderten ergänzenden Produktvereinbarung, dass die SCC 2021 die Rechtsgrundlage für Übermittlungen (einschließlich des Online-Zugriffs im Rahmen des Online-Supports) in Länder außerhalb der EU/des EWR ohne Angemessenheitsbeschluss sein wird. In diesem Zusammenhang ist Google als Auftragsverarbeiter vertraglich verpflichtet, bei der Verarbeitung der personenbezogenen Daten von Helsingør Kommune die für ihn geltenden Verpflichtungen nach europäischem Datenschutzrecht einzuhalten.

Helsingør Kommune hat keinen Grund zu der Annahme, dass eine Google-Einheit das SCC nicht einhalten wird.

Darüber hinaus wird Helsingør Kommune die Einhaltung der SCC 2021 durch Google bewerten und kontinuierlich überwachen, indem sie beispielsweise die zur Verfügung gestellten Auditberichte und Standardzertifizierungen überprüft. Helsingør Kommune hat auch das Recht, ein spezielles Audit durch eine dritte Partei durchzuführen, wenn dies als notwendig erachtet wird, vgl. das Datenschutzgesetz."

Schließlich stellt die TIA in Abs. 4.1.1 in Bezug auf die Gesetzgebung und/oder Praxis in den Vereinigten Staaten, die die Wirksamkeit des abgeschlossenen Standardvertrags beeinflussen:

"Der Datenimporteur/-empfänger unterliegt keinem höheren Interesse einer ausländischen Behörde, Zugang zu den personenbezogenen Daten zu erhalten (d. h., der Datenimporteur oder potenzielle Empfänger unterliegt nicht dem nationalen Recht, das eine Massenüberwachung ermöglicht)

Abschnitt 702 FISA

Das US-amerikanische Unternehmen Google LLC kann in der Praxis als Muttergesellschaft für die EU-Unternehmen angesehen werden, die die Dienste für die Helsingør Kommune erbringen. Google LLC. kann für seine US-Kunden als Anbieter elektronischer Kommunikationsdienste gemäß Abschnitt 702 FISA gelten, wobei der Begriff weit gefasst ist: "jeder andere Anbieter von Kommunikationsdiensten, der Zugang zu drahtgebundener oder elektronischer Kommunikation hat, entweder während der Übertragung oder während der Speicherung dieser Kommunikation".

Es besteht jedoch eine hohe Wahrscheinlichkeit, dass die Daten, auf die Google LLC Zugriff hat, per se vom Zugriff nach Abschnitt 702 FISA ausgeschlossen sind, da es sich um Daten handelt, die nicht von ihr, sondern an sie zum Zweck der Bereitstellung eines Unterstützungsdienstes übermittelt werden. Es handelt sich also um eine an eine "US-Person" gerichtete Kommunikation, für die die nachrichtendienstlichen Ermittlungen verboten sind (siehe Alan Charles Raul, "Why Schrems II Might Not Be a Problem for EU-U.S. Data Transfers", 21. Dezember 2020, abrufbar unter https://bit.ly/3qHNMy7 und einen vollständigen Beitrag desselben Autors unter https://bit.ly/2V9veez mit dem Folgebeitrag "Transferring EU Data To US After New Contractual Safeguards" vom 17. Mai 2021, abrufbar unter https://bit.ly/3l12oHZ). Außerdem handelt es sich bei den personenbezogenen Daten von Helsingør Kommune nicht um personenbezogene Daten über "US-Personen", so dass US-Behörden auch aus diesem Grund nicht auf die Daten gemäß Abschnitt 702 FISA zugreifen können.

Daher ist es wahrscheinlich, dass die personenbezogenen Daten von Helsingør Kommune in den EU-Datenzentren nicht unter Abschnitt 702 FISA fallen werden.

Wir sind uns bewusst, dass dieses Argument nicht von allen geteilt wird und dass es dennoch zu Anfragen in Bezug auf Google kommen kann, weshalb wir die Wahrscheinlichkeit, dass dieses Argument zutrifft, sehr konservativ einschätzen, um auf der sicheren Seite zu sein.

EO 12.333

Die Executive Order 12.333 (EO 12.333) ermächtigt die US-Geheimdienste, ausländische "Signals Intelligence"-Informationen zu sammeln, d.h. Informationen aus der Kommunikation und anderen Daten, die über Funk, Draht und andere elektromagnetische Mittel übermittelt werden oder zugänglich sind (d.h. alle Daten aus der Telekommunikations- und IT-Infrastruktur). EO 12.333 erlaubt somit die "Überwachung im Transit", wie z. B. den Zugriff auf Daten, die nicht ordnungsgemäß verschlüsselt sind, während sie über transatlantische Kabel übertragen werden. Wie in Abschnitt 3.3. beschrieben, werden alle personenbezogenen Daten mit der erforderlichen starken Verschlüsselung im Transit übertragen. Wir gehen daher davon aus, dass die erforderliche technische Messung durch Verschlüsselung bedeutet, dass EO 12.333 kein höheres Risiko für die Massenüberwachung durch US-Behörden mit sich bringt."

Im Folgenden wird dargelegt, dass die Gemeinde Helsingør die Wahrscheinlichkeit, dass die oben genannte Einschätzung zutrifft, mit 40 % bewertet hat.

Auf der Grundlage des Schreibens der Kommune Helsingør vom 10. November 2021 mit Anhängen forderte die Datenschutzbehörde am 2. Dezember 2021 weitere Informationen von der Kommune an. Die Datenschutzbehörde teilte mit, dass die Übermittlung personenbezogener Daten an die Vereinigten Staaten im Rahmen der Unterstützung - nach Ansicht der Datenschutzbehörde - beabsichtigt war, obwohl die Kommune dies als Risiko der Unterstützung aus den Vereinigten Staaten bewertet hat.

Die Datenschutzbehörde forderte unter anderem eine Kopie der Übermittlungsgrundlage der Gemeinde, etwaige Änderungen der Weisung und der Datenverarbeitungsvereinbarung mit Google sowie eine Überprüfung etwaiger zusätzlicher Maßnahmen, die die Gemeinde für notwendig erachtet hatte.

Mit Schreiben vom 9. Dezember 2021 erklärte die Kommune Helsingør - zur Erläuterung des oben genannten Risikos - Folgendes:

"Die mögliche Übertragung an Google - und das damit verbundene Risiko - steht im Zusammenhang mit der Einrichtung von Google. D.h. auch wenn die Kommune eine EU-Cloud gewählt hat, hat sich Google in der Datenverarbeitungsvereinbarung das Recht gesichert, potenziell Unterstützung aus Drittländern zu erhalten. Dies ist auch der Grund, warum Google im Rahmen des neuen SCC (ab Juni 2021) eine Transfergrundlage geschaffen hat, die die Gemeinde bei ihrer Risikobewertung heranzieht.

Was das Risiko der Unterstützung im Besonderen angeht, können im Allgemeinen die folgenden Fakten berücksichtigt werden: In sehr spezifischen Unterstützungssituationen aus einem unsicheren Drittland wird es ein sehr begrenztes Zeitfenster geben, in dem der Unterstützer potenziell auf personenbezogene Daten im Klartext zugreifen kann. Es ist sehr unwahrscheinlich, dass der Unterstützer in diesem begrenzten Zeitfenster von der Regierung [des unsicheren Drittlandes] zur Bereitstellung der personenbezogenen Daten verpflichtet wird.

Die Stadtverwaltung nimmt ferner zur Kenntnis, dass in der vorbereiteten TIA festgestellt wird, dass die Stadtverwaltung bewertet hat, dass die Nutzung von Google Workspace for Education für die Erfüllung der Aufgaben der Stadtverwaltung gemäß dem Bildungsgesetz erforderlich ist, dass die Option der Unterstützung durch ein Drittland nicht ausgeschlossen werden kann, wenn Google der Datenverarbeiter ist, und dass die Stadtverwaltung daher das Risiko der Nutzung von Google bewertet hat.

Die Übermittlungsgrundlage ist, wie gesagt, das neue SCC (ab Juni 2021)."

Zu den verwendeten Datenquellen hat die Stadtverwaltung Helsingør folgende Angaben gemacht:

"Es gibt verschiedene "Datenquellen" in Bezug auf die Risikobewertung und die TIA. Die Risikobewertung basiert auf der Tatsache, dass die Vereinbarung über den Datenverarbeiter die Beziehung zwischen den Parteien genauer beschreibt, d. h. dass Google der Datenverarbeiter für die Gemeinde ist und dass Google sich das Recht vorbehält, Unterstützung aus Drittländern bereitzustellen, und dass die Gemeinde sichergestellt hat, dass der Dienst aus einer EU-Cloud bereitgestellt wird.

Die TIA stützt sich auf die Dokumente und Links, die in der Unterrubrik der TIA angegeben sind."

Darüber hinaus hat die Kommune Helsingør die folgenden Informationen zu ihren in der TIA dargelegten Bewertungen vorgelegt:

"Die in der TIA enthaltenen Bewertungen der Wahrscheinlichkeit, dass die einzelnen rechtlichen Argumente zutreffen, sind Schätzungen. In dieser Hinsicht ist die Stadtverwaltung der Ansicht, dass die festgelegten Wahrscheinlichkeiten konservativ sind, d. h. die Stadtverwaltung hat im Interesse der Rechte und Freiheiten der betroffenen Personen Zweifel zugelassen. Sollte der EDSB eine andere, begründete Einschätzung der Wahrscheinlichkeit der einzelnen Argumente haben, wird die Stadtverwaltung diese gerne hören. Der guten Ordnung halber wird auch darauf hingewiesen, dass das berechnete Gesamtrisiko - unter anderem auf der Grundlage dieser Argumente, der Umstände der möglichen Übermittlung, der von Google veröffentlichten Statistiken, der Praktiken und der Abhilfemaßnahmen - recht gering ist. Die Gemeinde verpflichtet sich außerdem, die Wahrscheinlichkeit der Gültigkeit dieser Argumente laufend zu überwachen und zu bewerten.

Die Rechtmäßigkeit der Nutzung von Google Workspace for Education unter diesen Umständen hängt also nicht von der Bewertung der Wahrscheinlichkeit der Gültigkeit eines einzelnen Arguments ab, das nicht durch begründete Argumente gestützt wird."

Schließlich hat die Gemeinde Elsinore eine umfangreiche Dokumentation über die Datenverarbeitungsvereinbarung mit Google Cloud EMEA Limited vorgelegt, darunter die Datenverarbeitungsvereinbarung "Data Processing Amendment to Google Workspace and/or Complementary Product Agreement" vom 24. September 2021.

Im Allgemeinen ist der EDSB der Ansicht, dass ein für die Verarbeitung Verantwortlicher, der einen Datenverarbeiter einsetzt - für alle Verarbeitungen - die DSGVO und das Datenschutzgesetz einhalten muss und in der Lage sein muss, dies nachzuweisen, unabhängig davon, wo in der Datenverarbeitungskette die Verarbeitung stattfindet.

Dies ergibt sich aus Artikel 5 Absatz 2 der Datenschutz-Grundverordnung, der besagt, dass der für die Verarbeitung Verantwortliche für die Einhaltung von Absatz 1 verantwortlich ist und dies auch nachweisen können muss. Dies bedeutet unter anderem, dass der für die Verarbeitung Verantwortliche dafür verantwortlich ist und in der Lage sein muss, nachzuweisen, dass die personenbezogenen Daten gemäß Artikel 5 Absatz 1 Buchstabe a rechtmäßig, nach Treu und Glauben und auf transparente Weise verarbeitet werden.

Darüber hinaus muss der für die Verarbeitung Verantwortliche gemäß Artikel 24 Absatz 1 der Verordnung geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit dieser Verordnung erfolgt. Dies muss unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der betreffenden Verarbeitung sowie der unterschiedlich wahrscheinlichen und schwerwiegenden Risiken für die Rechte und Freiheiten natürlicher Personen geschehen, und die Maßnahmen müssen erforderlichenfalls überprüft und aktualisiert werden.

Mit dieser Entscheidung hat die Datenschutzbehörde lediglich dazu Stellung genommen, ob - und in welchem Umfang - die Gemeinde Helsingør als für die Verarbeitung Verantwortlicher personenbezogene Daten im Einklang mit den Datenschutzvorschriften verarbeitet. Die Zuständigkeit der Datenschutzbehörde ergibt sich aus Abschnitt 27 des Datenschutzgesetzes und den Kapiteln VI und VII der Datenschutzverordnung, einschließlich Artikel 55 Absatz 2.

Aus § 2 Absatz 1 des Schulgesetzes ergibt sich, dass die örtliche Behörde für die Bildung der Kinder verantwortlich ist.

Für die Grundschulen ergibt sich aus § 18 Absatz 1 und § 19 des Gesetzes, dass die Organisation des Unterrichts, einschließlich der Wahl der Lehr- und Arbeitsmethoden, der Lehrmittel und der Auswahl der Fächer sowie der Bezahlung dafür, in allen Fächern den Zielen, Zwecken und Fächern der Grundschule entsprechen und so variiert werden muss, dass sie den Bedürfnissen und Voraussetzungen des einzelnen Schülers entspricht.

Der EDSB ist der Ansicht, dass sowohl die Wahl des Einsatzes von IT im Unterricht, einschließlich der Marke und der zu verwendenden Software, in diesen Rahmen fällt.

Der EDSB stellt in diesem Zusammenhang fest, dass die Datenschutzvorschriften technologieneutral sind und der EDSB nur die Umstände beurteilen kann, unter denen personenbezogene Daten gemäß Artikel 2 Absatz 1 der DSGVO verarbeitet werden.

Während das Gesetz über öffentliche Schulen - nach Ansicht des EDSB - dem Gemeinderat die Befugnis überträgt, zu entscheiden, ob - und wenn ja - welche IT-Ausrüstung im Unterricht verwendet werden soll, muss diese Verwendung weiterhin im Rahmen der DSGVO und des Datenschutzgesetzes erfolgen.

Die Rechte von Kindern und Jugendlichen genießen einen besonderen Schutz im Rahmen der Datenschutzvorschriften. Der EDSB ist der Ansicht, dass diese Erwägung in die Bewertung der Verarbeitungen einbezogen wird, die auf der Grundlage der Rechtsgrundlage, die das Gesetz über öffentliche Schulen jeder Gemeinde bietet, durchgeführt werden können.

Wie auch in der Entscheidung der Datenschutzaufsichtsbehörde vom 10. September 2021 festgestellt, ist die Aufsichtsbehörde der Ansicht, dass die Gemeinde Helsingør gemäß Artikel 6 Absatz 1 Buchstabe e der Datenschutzverordnung bestimmen kann, welche Instrumente in den Grundschulen der Gemeinde verwendet werden.

Es bleibt jedoch eine wesentliche Voraussetzung, dass die Verordnung und das Datenschutzgesetz bei der Verarbeitung personenbezogener Daten eingehalten werden.

Im Allgemeinen ist der EDSB der Ansicht, dass die Risikobewertung der Stadtverwaltung Helsingør in Bezug auf die Nutzung von Google Chromebooks und Workspace for Education die wichtigsten Szenarien und Bedrohungen berücksichtigt.

Der EDSB ist jedoch der Ansicht, dass der Einsatz neuer, komplexer Technologie, einschließlich Software - insbesondere im Bildungsbereich, wo die betroffenen Personen Kinder und Jugendliche sind - in der Regel ein hohes Risiko für die Rechte und Freiheiten dieser Schüler mit sich bringt.

Im konkreten Fall ist es allgemein bekannt, dass die Technologien, die für die Bereitstellung und Systemunterstützung des gewählten Dienstes - Google Chromebooks und Workspace for Education - verwendet werden, auch für die Bereitstellung anderer Teile der Google-Produkte verwendet werden, und diese werden für die Sammlung von Informationen, gezieltes Marketing und den Verkauf dieser Informationen genutzt. Diese Aspekte müssen daher bei der Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen bei der Nutzung von Google Workspace for Education berücksichtigt werden.

Der EDSB ist der Ansicht, dass die Risikobewertung der Gemeinde Helsingør die Risikoszenarien, die sich aus der Konzeption des Datenverarbeitungssystems und den getroffenen Systementscheidungen ergeben können, nicht vollständig dokumentiert. Dies gilt insbesondere für i) die Art und Weise, wie die verwendeten Geräte und Anwendungen die erhobenen personenbezogenen Daten tatsächlich verarbeiten, sowie ii) die Art und Weise, wie die Gemeinde Helsingør den Zugriff von Google auf die personenbezogenen Daten kontrolliert, einschließlich insbesondere der gewöhnlichen Verwendung des Betriebssystems von Google Chromebooks und der Interaktion von Google Workspace mit dem Backend von Google in Bezug auf die Möglichkeiten zur Trennung personenbezogener Daten, die nach dem Gesetz über den Datenverarbeiter erfolgen muss.

Der EDSB ist der Ansicht, dass die Durchführung einer konkreten Risikobewertung und Folgenabschätzung - vor der Bereitstellung von IT-Ausrüstung für Schüler und der Verarbeitung von Schülerdaten - eine Voraussetzung für die Schaffung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus ist. Dies liegt daran, dass ein angemessenes Sicherheitsniveau im Lichte der Risiken, einschließlich der Folgen, die die Verarbeitung der personenbezogenen Daten der Schüler für sie haben kann, gesehen werden muss. Der EDSB stellt fest, dass mehrere der oben genannten Verstöße gegen die Datenschutzvorschriften hätten vermieden werden können, wenn die Stadtverwaltung Helsingør die Risiken der Verarbeitung bewertet und angesichts dieser Risiken geeignete Maßnahmen ergriffen hätte.

Vor diesem Hintergrund stellt der EDSB fest, dass die Gemeinde Helsingør i) die Risikoszenarien, die sich aus der Konzeption des Datenverarbeitungssystems und den getroffenen Systementscheidungen ergeben können, nicht in ihre Risikobewertung einbezogen hat, ii) den Umfang und die Funktionsweise der verwendeten Hard- und Software nicht ausreichend getestet hat und iii) nicht in der Lage war zu dokumentieren, wie die Gemeinde den Zugriff von Google auf die personenbezogenen Daten kontrolliert, insbesondere durch die gewöhnliche Verwendung des Betriebssystems Google Chromebooks und die Interaktion von Google Workspace mit dem Backend von Google in Bezug auf die Möglichkeiten der Trennung personenbezogener Daten, die gemäß der Richtlinie über Auftragsverarbeiter auftreten können, - nicht nachgewiesen hat, dass personenbezogene Daten gemäß der Richtlinie über Auftragsverarbeiter rechtmäßig, nach Treu und Glauben und auf transparente Weise gegenüber der betroffenen Person verarbeitet werden. Artikel 5(2) des Datenschutzgesetzes, siehe Artikel 5(1)(a).

Die Datenschutzbehörde ist der Ansicht, dass die Verarbeitung personenbezogener Daten durch die Gemeinde Helsingør im Rahmen des Grundschulgesetzes, vgl. Artikel 6 Absatz 1 Buchstabe e der Verordnung, keine Situationen umfasst, in denen personenbezogene Daten für andere als die im Grundschulgesetz vorgesehenen Zwecke verarbeitet werden. Die Daten können daher auch nicht rechtmäßig an andere für die Verarbeitung Verantwortliche für deren Zwecke weitergegeben werden, wenn die Zwecke nicht im Schulgesetz vorgesehen sind. Dies gilt auch für die Verarbeitung personenbezogener Daten, die durch die Nutzung der Ausrüstung und der Software durch die Schüler erfolgen kann, einschließlich der Metadaten, die für Marketing- und Profilingzwecke verwendet werden, unabhängig davon, ob die Daten für das Direktmarketing gegenüber dem einzelnen Schüler oder indirekt als Teil einer Gruppe (Klasse, Jahrgang, Schule usw.) verwendet werden.

Der EDSB ist der Ansicht, dass die Gemeinde Helsingør die zusätzlichen Produkte von Google Workspace for Education nicht nutzt.

Aus der Risikobewertung der Gemeinde Helsingør geht hervor, dass die in den Kerndiensten erhobenen personenbezogenen Daten - gemäß der Vereinbarung mit dem Datenverarbeiter - nicht für Marketingzwecke verwendet werden.

Die Datenschutzbehörde ist der Ansicht, dass die Gemeinde Helsingør als für die Datenverarbeitung Verantwortliche eingeschätzt hat, dass "nicht völlig ausgeschlossen werden kann, dass Google gegen die vertraglichen Verpflichtungen verstößt und dennoch personenbezogene Daten für Marketing oder andere unbeabsichtigte Zwecke verwendet, für die die Gemeinde Helsingør keine Anweisungen gemäß der Datenverarbeitungsvereinbarung erteilt hat".

Der EDSB ist ferner der Ansicht, dass die Gemeinde Helsingør bei der Nutzung von Google Workspace for Education auch besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 der Verordnung verarbeitet.

In diesem Zusammenhang möchte der EDSB ganz allgemein darauf hinweisen, dass ein für die Verarbeitung Verantwortlicher gemäß Artikel 28 Absatz 1 der Verordnung nur Auftragsverarbeiter einsetzen darf, die die erforderlichen Garantien dafür bieten können, dass sie bei der Verarbeitung der Daten im Auftrag des für die Verarbeitung Verantwortlichen die Datenschutzvorschriften einhalten werden.

Dies bedeutet, dass die Erwartung des für die Verarbeitung Verantwortlichen, dass der ausgewählte Auftragsverarbeiter gegen die geschlossene Vereinbarung über den Auftragsverarbeiter verstoßen wird, an sich schon bedeutet, dass der für die Verarbeitung Verantwortliche diesen Auftragsverarbeiter gemäß Artikel 28 Absatz 1 der Verordnung nicht einsetzen darf.

Der EDSB ist jedoch davon ausgegangen, dass die Gemeinde Helsingør bei der Bewertung dieses Risikos das Risiko eines Verstoßes des Auftragsverarbeiters gegen die Datenverarbeitungsvereinbarung nur als hypothetisch und nicht als absolut vorhersehbar betrachtet.

Der EDSB ist der Ansicht, dass die Gemeinde Helsingør bei ihrer Bewertung dieses Risikos nicht nachgewiesen hat, dass die Gemeinde Helsingør in dieser Situation einen Datenverarbeiter einsetzt, der die erforderlichen Garantien dafür bieten kann, dass er die Anforderungen der Datenschutz-Grundverordnung gemäß Artikel 24 der Verordnung (vgl. Artikel 28 Absatz 1) einhält.

Der EDSB hat besonders darauf geachtet, dass die betroffenen Personen ihre Rechte verlieren würden, wenn sich das fragliche Risiko verwirklicht, und dass die Gemeinde in ihrer Risikobewertung keine echten technischen oder organisatorischen Abhilfemaßnahmen zur Minderung dieses Risikos angegeben hat. Insbesondere ist der EDSB der Ansicht, dass der Verweis der Gemeinde Helsingør auf die Tatsache, dass die Gemeinde Vertrauen in die allgemeine Einhaltung des Vertrags durch den Lieferanten hat, keine ausreichende Minderung dieses Risikos darstellt.

Darüber hinaus stellt der EDSB fest, dass jedes Risiko, das sich stark auf die Rechte und Freiheiten der betroffenen Personen auswirkt - selbst bei relativ geringer Wahrscheinlichkeit, dass das Risiko eintritt -, wahrscheinlich ein hohes Risiko für die Rechte der betroffenen Personen mit sich bringt, was die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 1 der Verordnung auslöst.

In Anbetracht dessen - und angesichts der eigenen Einschätzung der Gemeinde Helsingør, dass nicht ausgeschlossen werden kann, dass der Datenverarbeiter gegen die Vereinbarung mit dem Datenverarbeiter verstößt - ist der EDSB der Ansicht, dass die Beziehung die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 1 der Verordnung auslöst.

Vor diesem Hintergrund - und in Anbetracht der Tatsache, dass die Gemeinde Helsingør erklärt hat, dass sie keine Datenschutz-Folgenabschätzung durchgeführt hat - ist der EDSB der Ansicht, dass die Verarbeitung personenbezogener Daten durch die Gemeinde Helsingør nicht im Einklang mit Artikel 35 Absatz 1 der Verordnung erfolgt ist.

Der EDSB hat zunächst festgestellt, dass die Stadtverwaltung von Helsingør ihre Nutzung von Google Workspace for Education so konfiguriert hat, dass "sich die Daten als eindeutiger Ausgangspunkt nur innerhalb der EU in den betreffenden Rechenzentren befinden. Es besteht also nur das Risiko eines unterstützenden Zugriffs aus einem unsicheren Drittland."

Der vertragliche Rahmen der Kommune Helsingør mit Google, der die Verarbeitungstätigkeit regelt, umfasst den "Nachtrag zur Datenverarbeitung in der Vereinbarung über Google Workspace und/oder ergänzende Produkte" (Nachtrag zur Vereinbarung) vom 24. September 2021.

Im Nachtrag heißt es unter anderem:

"10.1 Datenspeicherung und Verarbeitungseinrichtungen. Vorbehaltlich der Verpflichtungen von Google bezüglich des Speicherorts der Daten in den Besonderen Geschäftsbedingungen für den Dienst und der übrigen Bestimmungen dieses Abschnitts 10 (Datenübertragungen) können die Kundendaten in jedem Land verarbeitet werden, in dem Google oder seine Unterauftragsverarbeiter Einrichtungen unterhalten. [...]

11.1 Zustimmung zur Beauftragung von Unterauftragsverarbeitern. Der Kunde genehmigt ausdrücklich die Beauftragung derjenigen Unternehmen als Unterauftragsverarbeiter, die zum Datum des Inkrafttretens der Änderung unter der in Abschnitt 11.2 (Informationen über Unterauftragsverarbeiter) angegebenen URL aufgeführt sind. Darüber hinaus genehmigt der Kunde unbeschadet von Abschnitt 11.4 (Möglichkeit, Änderungen an Unterauftragsverarbeitern zu widersprechen) generell die Beauftragung von anderen Dritten ("neue Unterauftragsverarbeiter") als Unterauftragsverarbeiter.

11.2 Informationen über Unterauftragsverarbeiter. Informationen über Unterauftragsverarbeiter, einschließlich ihrer Funktionen und Standorte, sind verfügbar unter: https://workspace.google.com/intl/en/terms/subprocessors.html (kann von Google von Zeit zu Zeit in Übereinstimmung mit dieser Änderung zur Datenverarbeitung aktualisiert werden)."

Abschnitt 11.2 der Vereinbarung verweist auf eine Liste von Unterauftragsverarbeitern, die zum Zweck der Bereitstellung von Google Workspace for Education eingesetzt werden. Die Liste umfasst ein breites Spektrum von Unterauftragsverarbeitern, die für die Bereitstellung technischer Unterstützung eingesetzt werden und sowohl in der EU als auch in Drittländern ansässig sind, einschließlich Drittländern, für die die EU-Kommission keine Entscheidung über das Schutzniveau gemäß Artikel 45 getroffen hat.

Die Liste enthält auch eine große Anzahl von Google-Tochtergesellschaften, die für begrenzte Aktivitäten wie Google Workspace genutzt werden und die ebenfalls sowohl innerhalb als auch außerhalb der EU/des EWR ansässig sind.

In dieser Entscheidung hat die Datenschutzbehörde nicht zu der Frage Stellung genommen, inwieweit die Gemeinde Helsingør durch die Nutzung von Google Workspace for Education - zusätzlich zu den Vereinigten Staaten, siehe weiter unten in Abschnitt 4.6 - personenbezogene Daten an andere Drittländer übermittelt, obwohl die Daten innerhalb der EU/des EWR "gespeichert" werden.

Der EDSB empfiehlt jedoch, dass die Gemeinde Elsinore sicherstellt - unter anderem durch Überprüfung der "Service Specific Terms" von Google Workspace, auf die in Abschnitt 10.1 des Nachtrags zum Vertrag Bezug genommen wird -, dass die Daten im Rahmen einer anderen Verarbeitung als der "Speicherung", z. B. als Teil des allgemeinen Dienstes und der Unterstützung der zugrunde liegenden Cloud-Infrastruktur usw., nicht in Drittländer übermittelt werden, es sei denn, die Gemeinde Elsinore weist den Datenverarbeiter an, dies zu tun, und liefert eine gültige Grundlage für die Übermittlung.

Die Datenschutzbehörde ist der Ansicht, dass der für die Verarbeitung Verantwortliche eine gültige Grundlage für die Übermittlung in alle Drittländer vorlegen muss, in die personenbezogene Daten im Rahmen der Erbringung einer Dienstleistung auf vertraglicher Grundlage, einschließlich Service und Support, übermittelt werden können.

Zunächst stellt der EDSB fest, dass - nach seiner Auffassung - für die Gemeinde Helsingør eine absichtliche und angeordnete Übermittlung in die Vereinigten Staaten vorliegt, die sich aus der vereinbarten Möglichkeit ergibt, Unterstützung - in oder aus den Vereinigten Staaten - mit Zugang zu personenbezogenen Daten zu leisten.

Die Vorschriften für Übermittlungen in Drittländer, einschließlich der möglichen Gründe für die Übermittlung, sind in Kapitel V der Datenschutzverordnung festgelegt.

Die wichtigste Regel für die Übermittlung personenbezogener Daten in Drittländer ist in dem allgemeinen Grundsatz von Artikel 44 der Datenschutz-Grundverordnung enthalten. Dieser besagt Folgendes:

"Eine Übermittlung personenbezogener Daten, die derzeit verarbeitet werden oder nach einer Übermittlung zur Verarbeitung bestimmt sind, in ein Drittland oder an eine internationale Organisation darf nur erfolgen, wenn die in [Kapitel V] festgelegten Bedingungen unbeschadet der anderen Bestimmungen dieser Verordnung von dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter erfüllt werden; dies gilt auch für die Weiterübermittlung personenbezogener Daten aus diesem Drittland oder von einer internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels finden Anwendung, um sicherzustellen, dass das durch diese Verordnung garantierte Schutzniveau für natürliche Personen nicht untergraben wird."

Eine Übermittlung personenbezogener Daten kann also nur erfolgen, wenn die Bedingungen von Kapitel V der Verordnung erfüllt sind.

Der EDSB versteht Artikel 44 der Verordnung als eine Verpflichtung sowohl für den für die Verarbeitung Verantwortlichen als auch für den Auftragsverarbeiter. Beide Parteien sind demnach verpflichtet, dafür zu sorgen, dass eine wirksame Grundlage für die Übermittlung unter Berücksichtigung aller Umstände der Übermittlung gegeben ist. Dies gilt auch in Fällen, in denen der Auftragsverarbeiter in der Praxis einen Standardvertrag gemäß Artikel 46 Absatz 2 Buchstabe c) der Verordnung mit Unterauftragsverarbeitern in Drittländern geschlossen hat. In diesem Fall muss der für die Verarbeitung Verantwortliche in der Praxis sicherstellen - und in der Lage sein, dem EDSB gegenüber nachzuweisen -, dass der Auftragsverarbeiter die erforderliche Grundlage für die Übermittlung geschaffen hat und dass diese Grundlage für die Übermittlung in Anbetracht aller Umstände der Übermittlung, einschließlich der Durchführung zusätzlicher Maßnahmen, sofern erforderlich, wirksam ist.

Darüber hinaus ist der EDSB der Ansicht, dass unbeschadet der in Artikel 49 der Verordnung vorgesehenen Ausnahmen der Wortlaut von Artikel 44, wonach eine Übermittlung personenbezogener Daten nur erfolgen darf, wenn die in Kapitel V festgelegten Bedingungen erfüllt sind, in Verbindung mit dem Grundsatz, dass das durch die Verordnung gewährleistete Schutzniveau nicht untergraben werden darf, so zu verstehen ist, dass jede Übermittlung geeigneten Garantien unterliegen muss. Es reicht also nicht aus, dass fast alle Überstellungen oder ein bestimmter Prozentsatz der Überstellungen den Schutz der Verordnung genießen, es sei denn, dies ist in der Verordnung vorgesehen.

Eine der Möglichkeiten, eine gültige Grundlage für Übermittlungen nach Kapitel V zu schaffen, ist der Abschluss eines von der Europäischen Kommission angenommenen Standardvertrags mit der Organisation in dem Drittland, an das die Daten übermittelt werden, wie in Artikel 46 Absatz 1 Buchstabe c der Verordnung vorgesehen.

Der Fall zeigt insbesondere, dass die Gemeinde Helsingør ihren Auftragsverarbeiter - Google Cloud EMEA Limited in Irland - angewiesen hat, personenbezogene Daten an einen Unterauftragsverarbeiter - Google LLC - in den Vereinigten Staaten zu übermitteln. Die Übermittlung erfolgt auf der Grundlage eines Standardvertrags der EU-Kommission zwischen Google Cloud EMEA Limited und Google LLC in den USA. Dieser Standardvertrag wird seit Ende September 2021 als Grundlage für Übermittlungen in die USA verwendet.

In der Rechtssache C-311/18, Schrems II, hat der Europäische Gerichtshof klargestellt, dass die Verwendung der Standardverträge der EU-Kommission voraussetzt, dass in dem betreffenden Drittland ein Schutzniveau für personenbezogene Daten gewährleistet werden kann, das im Wesentlichen dem Schutzniveau in der EU/im EWR entspricht[1].

Der EuGH stellte ferner fest, dass es Situationen geben kann, in denen der Standardvertrag der EU-Kommission "kein angemessenes Mittel darstellt, um in der Praxis einen wirksamen Schutz der in das betreffende Drittland übermittelten personenbezogenen Daten zu gewährleisten. Dies ist insbesondere dann der Fall, wenn die Rechtsvorschriften dieses Drittlandes es seinen Behörden erlauben, in die Rechte der betroffenen Personen in Bezug auf diese Daten einzugreifen"[2].

In solchen Fällen, in denen der Standardvertrag naturgemäß keine Garantien bieten kann, die über die vertragliche Verpflichtung zur Gewährleistung des erforderlichen Schutzniveaus hinausgehen, können je nach den Gegebenheiten in dem Drittland zusätzliche Maßnahmen erforderlich sein, um das erforderliche Schutzniveau zu gewährleisten[3] Diese zusätzlichen Maßnahmen können technischer, organisatorischer oder vertraglicher Art sein[4].

Es ist daher von Fall zu Fall zu prüfen, ob die Rechtsvorschriften des Drittlandes ein angemessenes Schutzniveau für die auf der Grundlage des Standardvertrags übermittelten personenbezogenen Daten gewährleisten, und erforderlichenfalls sind zusätzlich zum Standardvertrag weitere Maßnahmen zu treffen[5].

Der EuGH hat auch geprüft, ob ausgewählte US-Rechtsvorschriften - Foreign Intelligence Surveillance Act (FISA) Abschnitt 702 und Executive Order 12 333 (E.O. 12 333) - es den US-Behörden erlauben, in die Rechte der betroffenen Personen in einem Maße einzugreifen, das nicht den Mindestanforderungen des EU-Rechts entspricht.

Abschnitt 702 des FISA (FISA 702) ermächtigt die US-Regierung, Informationen über Personen einzuholen, die keine US-Bürger usw. sind ("Nicht-US-Personen") und bei denen davon ausgegangen werden kann, dass sie sich außerhalb der Vereinigten Staaten aufhalten, um Informationen über ausländische Nachrichtendienste ("foreign intelligence information") zu sammeln. Zu diesem Zweck werden "Anbieter elektronischer Kommunikationsdienste" angewiesen, personenbezogene Daten, die an einen "Selektor" gesendet oder von diesem empfangen werden, bereitzustellen oder bereitstellen zu lassen, wobei ein Teil dieser Kommunikation auch an Strafverfolgungsbehörden weitergegeben wird[6].

In Bezug auf die E.O. 12333 erlaubt diese Rechtsgrundlage den Strafverfolgungsbehörden, auf Informationen zuzugreifen, die sich "im Transit" in die Vereinigten Staaten befinden, indem sie auf Seekabel zugreifen, und diese Informationen zu sammeln und zu speichern, bevor sie die Vereinigten Staaten erreichen und dort den FISA-Bestimmungen unterliegen[7].

Der EuGH stellte dann fest, dass weder Abschnitt 702 des FISA noch E.O. 12 333 in Verbindung mit der Presidential Policy Directive-28 (PPD-28) das Verhältnismäßigkeitserfordernis des EU-Rechts erfüllen, so dass Überwachungsprogramme auf der Grundlage dieser Bestimmungen nicht als auf das unbedingt Notwendige beschränkt angesehen werden können. Der Gerichtshof stellte ferner fest, dass FISA 702 oder E.O. 12 333 in Verbindung mit PDD-28 den betroffenen Personen keine Rechte verleihen, die vor den Gerichten gegen die US-Behörden durchgesetzt werden können[8].

Bei der Beurteilung der Frage, ob es in den Vereinigten Staaten Umstände gibt, die verhindern, dass der als Grundlage für die Übermittlung verwendete Standardvertrag ein ausreichendes Mittel ist, um ein Schutzniveau zu gewährleisten, das dem in der EU/im EWR im Wesentlichen gleichwertig ist, hat die Stadtverwaltung von Elsinore erklärt, dass Google LLC wahrscheinlich als "Anbieter elektronischer Kommunikationsdienste" im Sinne von 50 U.S.C. § 1881(b)(4) zu betrachten ist.

Ebenso ist es die Einschätzung der DPA, dass Google LLC - bei der Bereitstellung des Dienstes (Support usw.), der zur Übermittlung personenbezogener Daten an Google LLC führt - als "Anbieter elektronischer Kommunikationsdienste" betrachtet werden sollte und somit den Strafverfolgungsrichtlinien gemäß FISA 702 unterliegen kann.

Darüber hinaus hat die Gemeinde Helsingør argumentiert, dass mit hoher Wahrscheinlichkeit kein Zugriff auf Informationen, die Google LLC zur Verfügung stehen, gemäß FISA 702 möglich ist, da die personenbezogenen Daten nicht von Google LLC, sondern an Google LLC zum Zweck der Unterstützung übermittelt werden. Die Gemeinde Elsinore hat insbesondere argumentiert, dass es sich um eine elektronische Kommunikation an eine "US-Person" handelt und dass die Strafverfolgungsbehörden daher angesichts der Einschränkungen in FISA 702 von der Erlangung dieser Informationen ausgeschlossen sind. Darüber hinaus argumentiert die Stadtverwaltung, dass die an Google LLC übermittelten personenbezogenen Daten keine personenbezogenen Daten von "US-Personen" darstellen und dass die Strafverfolgungsbehörden aus diesem Grund ebenfalls von der Erhebung dieser Daten gemäß FISA 702 ausgeschlossen sind.

Nach Prüfung der rechtlichen Beschränkungen für die Erhebung von Informationen gemäß FISA 702[9] ist der EDSB der Ansicht, dass die Beschränkungen darauf abzielen, die Erhebung - sowohl direkt als auch indirekt - von Informationen über US-Personen, einschließlich Unternehmen, zu verhindern, wenn diese Personen das Ziel der Erhebung sind.

Daher gelten die Beschränkungen nach Ansicht des FSA nicht, wenn und soweit dänische Bürger oder die Gemeinde Helsingør als Ganzes Gegenstand der Sammlung von Informationen nach FISA 702 werden.

Darüber hinaus ist die Datenschutzbehörde der Ansicht, dass FISA 702 aufgrund seines Zwecks eine Rechtsgrundlage für die US-Strafverfolgungsbehörden darstellt, um Informationen über ausländische Personen zu erhalten, von denen man annehmen kann, dass sie sich außerhalb der Vereinigten Staaten aufhalten, um Informationen über ausländische Geheimdienste zu sammeln.

Vor diesem Hintergrund ist der EDSB der Ansicht, dass die an Google LLC übermittelten personenbezogenen Daten von den US-Strafverfolgungsbehörden eingeholt werden könnten. Dabei hat der EDSB den Schwerpunkt auf die Tatsache gelegt, dass Google LLC als "Anbieter von elektronischen Kommunikationsdiensten" zu betrachten ist und dass sich die an Google LLC übermittelten personenbezogenen Daten auf die Schüler und Angestellten der Gemeinde, d.h. dänische Staatsbürger, beziehen.

Die Datenschutzbehörde ist daher der Auffassung, dass die Übermittlung der fraglichen Daten in den Vereinigten Staaten Bedingungen unterliegt, die verhindern, dass der als Grundlage für die Übermittlung verwendete Standardvertrag ein ausreichendes Mittel zur Gewährleistung eines Schutzniveaus darstellt, das dem in der EU/im EWR im Wesentlichen gleichwertig ist. Die Gemeinde Helsingør ist daher verpflichtet, dafür zu sorgen, dass zusätzliche Maßnahmen ergriffen werden, um das Schutzniveau auf das erforderliche Niveau zu bringen.

Der EDSB stellt insbesondere fest, dass zusätzliche vertragliche und organisatorische Maßnahmen im Allgemeinen nicht ausreichen, um den Zugriff auf personenbezogene Daten oder deren Erhebung durch US-Strafverfolgungsbehörden zu Überwachungszwecken zu verhindern. Daher werden zusätzliche technische Maßnahmen erforderlich sein.

Die Gemeinde Helsingør hat erklärt, dass personenbezogene Daten sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt werden, wenn die Daten von Google LLC übertragen und verarbeitet werden. Die Stadtverwaltung hat jedoch auch darauf hingewiesen, dass Google LLC auf die Daten im Klartext zugreifen kann.

Der EDSB ist der Auffassung, dass die Verschlüsselung eine wirksame Zusatzmaßnahme sein kann, die geeignet ist, den Standardvertrag der EU-Kommission zu ergänzen und das Schutzniveau in einem Drittland insgesamt auf das erforderliche europäische Niveau zu bringen.

Der EDSB ist jedoch der Ansicht, dass die Verschlüsselung im vorliegenden Fall nicht geeignet ist, um die Bedingungen in den USA anzugehen, die verhindern, dass der Standardvertrag ein ausreichendes Mittel ist, um den wirksamen Schutz der übermittelten personenbezogenen Daten zu gewährleisten.

In diesem Zusammenhang hat der EDSB berücksichtigt, dass die Erhebung personenbezogener Daten durch die US-Strafverfolgungsbehörden gemäß FISA 702 durch die Erteilung von Weisungen an Anbieter elektronischer Kommunikationsdienste erfolgt und somit deren Unterstützung erfordert, und dass unter diesen Umständen die übermittelten personenbezogenen Daten gemäß FISA 702 erlangt werden können, da Google LLC Zugang zu den Daten im Klartext hat.

Dementsprechend ist der EDSB der Ansicht, dass die personenbezogenen Daten, die die Gemeinde Helsingør der Google Cloud EMEA Limited zur Übermittlung in die Vereinigten Staaten aufgetragen hat, kein Schutzniveau genießen, das dem in der EU/im EWR im Wesentlichen gleichwertig ist, und dass die Gemeinde Helsingør nicht die erforderlichen zusätzlichen Maßnahmen ergriffen hat, um das Schutzniveau auf das erforderliche Niveau zu bringen.

Der EDSB ist daher der Ansicht, dass die Übermittlung personenbezogener Daten, mit der die Gemeinde Helsingør die Google Cloud EMEA Limited beauftragt hat, nicht im Einklang mit Artikel 44 der Datenschutzverordnung steht, vgl. Artikel 46 Absatz 1 Buchstabe c.

In Anbetracht der am 10. September 2021 erlassenen Anordnung und der am selben Tag erlassenen Verarbeitungsbeschränkung sowie nach einer Überprüfung der von der Gemeinde Helsingør durchgeführten Risikobewertung und der Unterlagen der Gemeinde im Allgemeinen ist der Datenschutzbeauftragte der Ansicht, dass es Gründe gibt, der Gemeinde Helsingør die Verarbeitung personenbezogener Daten mit Google Chromebooks und Workspace for Education zu untersagen. Das Verbot gilt so lange, bis die Kommune Helsingør die Verarbeitungstätigkeit in Einklang mit der DSGVO gebracht hat, wie in diesem Beschluss dargelegt, und eine angemessene Dokumentation zu diesem Zweck vorgelegt hat.

Darüber hinaus wird jede Übermittlung personenbezogener Daten in die Vereinigten Staaten, mit der die Gemeinde Helsingør die Google Cloud EMEA Limited als Datenverarbeiter für die Gemeinde beauftragt hat, ausgesetzt, bis die Gemeinde Helsingør die Einhaltung von Kapitel V der DSGVO nachweisen kann.

Das Verbot und die Aussetzung werden sofort wirksam, doch wird der Gemeinde Helsingør eine Frist bis zum 3. August 2022 eingeräumt, um Nutzer und Rechte zu entziehen und zu kündigen sowie bereits übertragene Daten zu löschen.

Die Verbote werden gemäß Artikel 58 Absatz 2 Buchstaben f und j der Datenschutzverordnung ausgesprochen.

Ein Verstoß gegen ein von der Datenschutzbehörde ausgesprochenes Verbot wird gemäß Artikel 41 Absatz 2 Nummer 4 des Datenschutzgesetzes mit einer Geldstrafe oder einer Freiheitsstrafe von bis zu sechs Monaten geahndet, vgl. Artikel 41 Absatz 1.

Schließlich sieht der Datenschutzbeauftragte Anlass zu ernsthafter Kritik an der Tatsache, dass die Verarbeitung personenbezogener Daten durch die Gemeinde Helsingør nicht im Einklang mit Artikel 5 Absatz 2 der Datenschutzverordnung erfolgt ist, vgl. Artikel 5 Absatz 1 Buchstabe a, Artikel 24, vgl. Artikel 28 Absatz 1, Artikel 35 Absatz 1 und Artikel 44, vgl. Artikel 46 Absatz 1.

Bei der Wahl der Abhilfemaßnahmen hat der EDSB den Schwerpunkt auf die rasche Beendigung des rechtswidrigen Zustands gelegt. Darüber hinaus hat der EDSB mildernd berücksichtigt, dass die Gemeinde Helsingør in allen Phasen der Bearbeitung des Falles positiv und verantwortungsbewusst dazu beigetragen hat, die erforderliche Dokumentation und Klarheit über die Verarbeitungen bereitzustellen, und er hat insbesondere berücksichtigt, dass die fraglichen Übermittlungen personenbezogener Daten in die Vereinigten Staaten zuvor Gegenstand einer Angemessenheitsfeststellung gemäß Artikel 45 der Verordnung waren, die nun ausgelaufen ist.

Der EDSB stellt fest, dass die Gemeinde Helsingør für die Berichtigung und Löschung der Daten gemäß der Entscheidung verantwortlich ist. Die Gemeinde muss sich daher mit den Eltern der betroffenen Kinder in Verbindung setzen, um die Berichtigungen, Anonymisierungen oder Löschungen der gespeicherten personenbezogenen Daten vorzunehmen, die die Eltern selbst in den Systemen, in denen die personenbezogenen Daten der Schüler versehentlich veröffentlicht oder übermittelt wurden, nicht vornehmen können.