Datenexport aus bei Grundschulen beliebter Online-Telekommunikationsplattform?

Im Folgenden geht es um eine von deutschen öffentlichen Grundschulen häufig eingesetzte, kommerzielle Online-Telekommunikationsplattform zum Austausch von elektronischen Nachrichten zwischen Lehrern und den Eltern ihrer Schüler.

Die Plattform wirbt auffällig damit, keine “Datenkrake” zu sein und “DSGVO-konform” mit “Server-Standort in Deutschland” und dass die “Datenkontrolle” bei den Schulen liegt sowie die Plattform nur Auftragsdatenverarbeiter ist für die jeweilige Schule als Verantwortliche.

Außerdem wurde die Plattform jährlich wiederholt unabhängig auditiert durch das Test-Institut mediaTest digital (Appvisory) jeweils mit dem Gütesiegel “Trusted App”.

Als zuständige Datenschutzbehörde wird ein anderes EU-Land statt Deutschland genannt, weil der Sitz der Plattform dort ist.

Die ausgetauschten Daten und Nachrichten werden in der “Cloud” für drei Jahre gespeichert. In die Cloud kommen Lehrer und Eltern durch Webbrowser oder Smartphone-App. Die Schüler sind nicht beteiligt.

Die Online-Datenschutzbestimmungen der Plattform geben unter anderem Folgendes wieder:

Nutzer haben das Recht, unentgeltlich Auskunft über die von uns über sie gespeicherten personenbezogenen Daten zu verlangen. Das Auskunftsverlangen ist unter Beifügung einer Kopie des Personalausweises elektronisch an folgende E-Mail-Adresse zu richten: datenschutz at …

Neben dem Recht auf Auskunft steht Nutzern insbesondere auch das Recht auf Berichtigung, auf Löschung, auf Einschränkung der Datenverarbeitung, auf Datenübertragbarkeit, auf Widerruf und auf Widerspruch zu.

Die Anfrage von Eltern, am Ende des Schuljahres alle ausgetauschten Nachrichten zwischen ihnen und den Lehrern aus der Plattform elektronisch exportieren zu können, wurde von der Plattform mit folgender Begründung abgelehnt:

Jede einzelne Nachricht der Lehrer könne von den Eltern manuell durch Mausklick als PDF exportiert werden, Anlagen der Nachrichten separat ebenfalls, die Antworten der Eltern an die Lehrer jedoch leider nicht.

Ansprechpartner für den Datenexport sei grundsätzlich einzig die Schule, gerade hinsichtlich Art. 20 DSGVO als Verantwortliche. Allerdings setze Art. 20 DSGVO voraus, dass die Datenverarbeitung auf Einwilligung beruhe, was bei Schulen nicht der Fall sei, weil die Wahrnehmung der Kommunikationsaufgabe im öffentlichen Interesse liege, und zwar der Kommunikation zwischen Eltern und Schule (Lehrer).

Fazit: Ein kompletter Datenexport (wie z.B. bei Google) mit praktisch nur einem Mausklick wird nicht unterstützt und ist technisch nicht möglich, auch nicht für die Schulen. Die betroffenen Eltern können ihre Daten nicht einfach exportiert erhalten.

Ist das so alles in Ordnung?

Bevor ich mich mit der Fragestellung befasse…

Für ihre öffentliche Aufgabe, mit Eltern zu kommunizieren hätte die Schule die Plattform als ihren Auftragsverarbeiter einbinden müssen. Nicht etwa ungeregelt hingeworfen, oder als private Aktivität ihrer Lehrkräfte. Dann ist die Verantwortung bei der Schule, wo sie hingehört.

Verträge, Einwilligungen der Eltern etc. zugunsten der Plattform wären normalerweise unnötig bzw. schädlich. Auch die Datenschutzinformationen der Plattform dürften nicht zutreffend sein, da die Informationen allein aus Sicht der Schule zu erteilen wären, die der Verantwortliche ist.

Allenfalls wäre punktuell eine eigene Verantwortung der Plattform denkbar, wenn Eltern mehrere Kinder hätten, deren Kommunikation sie über ein einziges Konto bei der Plattform führen, das verschiedene Schulen, die diese Plattform zufällig einsetzen innerhalb ihrer Verantwortung mit IDs der Kinder verknüpfen. Allein die Kontoverwaltung für die Eltern wäre dann in Verantwortung der Plattform; die Schülerdaten und die einzelne Kommunikation mit den Eltern bleiben in Verantwortung der jeweiligen Schule.

Dann kann man über Art. 20 oder Art. 15 reden. Aus Sicht der Schule.

D., der diese Konstellation mal bei einer ähnlichen Lösung für Kindergärten aufdröseln musste.

Interessant.
Die Plattform ist kommerziell, d.h. die Schule bezahlt für die Verwendung der Plattform. Die Schule “lädt” auch die Eltern zu Beginn des Schuljahres in die Plattform “ein”, so dass Nachrichten von den Lehrern im Elternkonto gelesen und beantwortet werden können.
Art. 15 Abs. 3 dürfte eigentlich eine Datenkopie (Datenexport) ermöglichen, wie es sich die Eltern wünschen? Ansprechpartner dafür wäre wohl die Schule als Verantwortliche, die aber natürlich wiederum auf die Plattform als Auftragsdatenverarbeiter verweisen wird, wo es eben keine Datenexportmöglichkeit gibt?

Die Festlegung der Plattform für diese öffentliche Aufgabe sieht nach Verantwortung der Schule und Auftragsverarbeitung aus. (Ob darüber Einwilligungen einzuholen sind oder ob die Verarbeitung zur Erfüllung der schulischen Aufgabe erforderlich ist hängt vom jeweiligen Landesschulrecht ab; inzwischen sollten “moderne” Umsetzungen fast überall vorgesehen sein.)

Die Schule wird Auskunfts- und Datenübertragsanträge selbst bearbeiten müssen und kann sie nur zur Erledigung an Auftragsverbeiter abgeben, wenn diese Zugriff auf alle relevanten Daten haben (um die es im Antrag geht) und alle Rahmenbedingungen kennen (Informationen nach Art. 15 Abs. 1, Bedingungen für Datenübertragbarkeit nach Art. 20).

Bei Anträgen zu Art. 15 muss die Datenkopie nicht unbedingt eine Kopie von “allem” sein. Auch sind Daten Dritter und Geheimnisse auszusondern; d. h. Angaben zu anderen Personen und theoretisch die Namen der Lehrer. Bei Art. 20 wären die dort genannten Anforderungen zu erfüllen, bevor Daten übertragen werden.

D., der davon ausgeht, dass die Plattform technisch mindestens auskunftsfähig ist. Ist sie doch? Sonst hätte sie nicht genommen werden dürfen. So würde sie der Schule alle Daten zu einer Person (Eltern bzw. Kind) zur Verfügung stellen, damit diese sie für die Datenkopie zusammenstellt.

Also vermutlich sowas hier:
https://foxeducation.com/de/schoolfox
https://reports.exodus-privacy.eu.org/de/reports/com.foxeducation.school/latest/
https://play.google.com/store/apps/details?id=com.foxeducation.school

Egal wo der “Server” steht - das Thema Drittstaatenexport sehe ich nicht behandelt.
Unter Auditor stelle ich mir übrigens auch was anderes vor …

Inzwischen teilte der Plattformbetreiber mit, dass sich die Rechte der Nutzer, die verlinkt (und oben zitiert) sind, sich nur auf die “Marketingwebsite” beziehen würden. Die eigentliche Nutzung der Plattform durch Smartphone-App oder Webbrowser sei hiervon nicht umfasst.

Das ist natürlich in gewisser Weise Blödsinn.

Die genannten Rechte sind die “normalen” Betroffenenrechte, die sich aus der DSGVO für jede Art der Datenverarbeitung ergeben - also auch für diese ominöse Schulplattform, sobald personenbezogene Daten verarbeitet werden. Dabei ist es egal, ob diese Angaben irgendwo veröffentlicht sind oder nicht. Allerdings gibt es noch die Informationspflicht gem. Artikel 13 DSVGO.

Allerdings ist es richtig, dass die Datenübertragbarkeit in elektronischer Form nur für Daten, die man freiwillig aufgrund einer Einwilligung gegeben hat, gilt.

Google Firebase ist im besten Fall nur für das Messaging. Nicht dass es damit unbedenklich wäre. Privacy by Design ist es nicht, wenn irgendwas von Google oder Facebook eingebunden ist. Oder von… . Und… .

Meistens wird es sich bei der Produktnutzung um Auftragsverarbeitung handeln, wo die Schule der Verantwortliche ist und die Pflichtinformationen aus ihrer Sicht erteilen muss. Der Internetauftritt des Anbieters liegt in dessen Verantwortung. Evtl. gibt es weitere eigene Verarbeitungen der Plattform, die Schüler oder Eltern betreffen. Eigentlich sollte es der Plattform nur um Daten der Ansprechpartner in den Schulen gehen, um ihnen Angebote zu machen und mit der Schule Verträge zu schließen.

Leider wird beim Nutzen von solchen Plattformen trotz Auftragsverarbeitung häufig verlangt, irgendwas zugunsten der Plattform (in eigener Verantwortung) zu akteptieren, AGB, Einwilligung, Vertrag… Oft ist nicht sauber getrennt, wer wofür verantwortlich ist. Z. B. Elternkonten für Kinder in mehreren Einrichtungen.

D., der hier schon Kniffeliges erlebt hat. Nicht unlösbar, aber selten auf den ersten Blick transparent.