Im Folgenden geht es um eine von deutschen öffentlichen Grundschulen häufig eingesetzte, kommerzielle Online-Telekommunikationsplattform zum Austausch von elektronischen Nachrichten zwischen Lehrern und den Eltern ihrer Schüler.
Die Plattform wirbt auffällig damit, keine “Datenkrake” zu sein und “DSGVO-konform” mit “Server-Standort in Deutschland” und dass die “Datenkontrolle” bei den Schulen liegt sowie die Plattform nur Auftragsdatenverarbeiter ist für die jeweilige Schule als Verantwortliche.
Außerdem wurde die Plattform jährlich wiederholt unabhängig auditiert durch das Test-Institut mediaTest digital (Appvisory) jeweils mit dem Gütesiegel “Trusted App”.
Als zuständige Datenschutzbehörde wird ein anderes EU-Land statt Deutschland genannt, weil der Sitz der Plattform dort ist.
Die ausgetauschten Daten und Nachrichten werden in der “Cloud” für drei Jahre gespeichert. In die Cloud kommen Lehrer und Eltern durch Webbrowser oder Smartphone-App. Die Schüler sind nicht beteiligt.
Die Online-Datenschutzbestimmungen der Plattform geben unter anderem Folgendes wieder:
Nutzer haben das Recht, unentgeltlich Auskunft über die von uns über sie gespeicherten personenbezogenen Daten zu verlangen. Das Auskunftsverlangen ist unter Beifügung einer Kopie des Personalausweises elektronisch an folgende E-Mail-Adresse zu richten: datenschutz at …
Neben dem Recht auf Auskunft steht Nutzern insbesondere auch das Recht auf Berichtigung, auf Löschung, auf Einschränkung der Datenverarbeitung, auf Datenübertragbarkeit, auf Widerruf und auf Widerspruch zu.
Die Anfrage von Eltern, am Ende des Schuljahres alle ausgetauschten Nachrichten zwischen ihnen und den Lehrern aus der Plattform elektronisch exportieren zu können, wurde von der Plattform mit folgender Begründung abgelehnt:
Jede einzelne Nachricht der Lehrer könne von den Eltern manuell durch Mausklick als PDF exportiert werden, Anlagen der Nachrichten separat ebenfalls, die Antworten der Eltern an die Lehrer jedoch leider nicht.
Ansprechpartner für den Datenexport sei grundsätzlich einzig die Schule, gerade hinsichtlich Art. 20 DSGVO als Verantwortliche. Allerdings setze Art. 20 DSGVO voraus, dass die Datenverarbeitung auf Einwilligung beruhe, was bei Schulen nicht der Fall sei, weil die Wahrnehmung der Kommunikationsaufgabe im öffentlichen Interesse liege, und zwar der Kommunikation zwischen Eltern und Schule (Lehrer).
Fazit: Ein kompletter Datenexport (wie z.B. bei Google) mit praktisch nur einem Mausklick wird nicht unterstützt und ist technisch nicht möglich, auch nicht für die Schulen. Die betroffenen Eltern können ihre Daten nicht einfach exportiert erhalten.
Ist das so alles in Ordnung?