Dies ist ein Blogpost unseres Datenschutzbeauftragten (DSB), John Arthur Berg, itslearning
itslearning hat kürzlich eine Partnerschaft mit Google for Education bekannt gegeben, was einige Fragen zum Datenschutz aufwirft. Als Datenschutzbeauftragter bin ich nicht an den kommerziellen oder strategischen Entscheidungen von itslearning beteiligt, aber ich werde nach Meinungen zu den datenschutzrechtlichen Implikationen der meisten Dinge gefragt, die wir tun.
Betrachten wir itslearning Cloud Integrationen im Allgemeinen (itslearning unterstützt grundsätzlich genauso auch die Integration mit Office 365 oder Dropbox). Cloud-Dienste gibt es in der Regel in zwei verschiedenen Varianten. Obwohl sie identisch aussehen mögen, sind sie aus datenschutzrechtlicher Sicht sehr unterschiedlich.
Vanille-Geschmack: Eine Unternehmenslösung „verkauft“ an die (Bildungs-)Institution.
Lakritz-Geschmack: Eine Verbraucherlösung, die Sie für sich selbst registrieren.
(Es gibt auch einen dritten Geschmack – ein Ergebnis einiger Unternehmen, die versuchen, die beiden Geschmacksrichtungen zu mischen – aber aus Sicht der DSGVO hinterlässt dies einen schlechten Geschmack in meinem Mund).
Betrachten wir zuerst den Vanillegeschmack. Wenn Sie als Lehrer oder Schüler ein Google (oder Microsoft) Konto von Ihrer Schule erhalten, so ist das Vanille. Aus DSGVO-Sicht bedeutet dies, dass die Bildungseinrichtung der Datenverantwortliche ist (besitzt/kontrolliert alle Daten) und Google der Datenverarbeiter. Google kann Daten nur im Auftrag der Institution verarbeiten. Vereinfacht ausgedrückt sollte dies bedeuten, dass Google die personenbezogenen Daten von seinen Dienstleistungen mit Schokoladengeschmack (Verbraucherservices) fernhält und nicht direkt versucht, Ihre personenbezogenen Daten zu monetarisieren.
Dies bedeutet nicht zwangsläufig, dass jeder Vanille mag. Jede Einrichtung, die sich für solche Dienste anmeldet, wird zum Datenverantwortlichen und hat gegenüber ihren Endnutzern erhebliche Datenschutzverpflichtungen. Am Ende muss die Institution feststellen, ob der Dienst ihrem Zweck entspricht und ein angemessenes Maß an Datenschutz bietet.
Für den Lakritzgeschmack gibt es keine zwischengeschalteten Institutionen, die sich um den Datenschutz kümmern. Die Nutzer arbeiten direkt mit dem Dienstleister zusammen, der im Rahmen der DSGVO zum Datenverantwortlichen wird. Der Dienstanbieter bestimmt den Zweck der Verarbeitung Ihrer Daten und wird oft versuchen, Ihre persönlichen Daten zu monetarisieren. (Sie sind verpflichtet, darüber transparent zu informieren; überprüfen Sie die Bedingungen und Konditionen ihrer Datenschutzerklärung).
Im Hinblick auf die Partnerschaft zwischen Google for Education und itslearning basieren die Integrationen auf den Vanille-Diensten von Google. Dies ist eine Lösung für Institutionen, die sich bereits für die G Suite for Education angemeldet haben, die ein angemessenes Maß an Datenschutz und Sicherheit bieten und eine rechtsverbindliche Vereinbarung zur Datenverarbeitung unterzeichnet haben. itslearning beginnt nicht plötzlich damit, die persönlichen Daten seiner Kunden mit Google unter dieser neuen Vereinbarung zu verarbeiten.
Aber wenn ein Kunde von itslearning sich für die G Suite for Education angemeldet hat und die Integrationsmöglichkeiten von itslearning nutzt, werden personenbezogene Daten an Google übertragen? Nein. Die wenigen Daten, die an die G Suite for Education weitergegeben werden, stehen noch unter der Kontrolle unseres gemeinsamen Kunden. Sie können von Google nicht eigenständig verarbeitet werden. Es ist auch erwähnenswert, dass die einzigen persönlichen Daten, die itslearning zur Zeit auf G Suite for Education überträgt, die Namen der Benutzer sind – Daten, die Ihre Institution wahrscheinlich bereits G Suite bereitgestellt hat, um Ihnen einen Account zu geben.
itslearning bietet auch Integrationen zu einigen Lakritz-Diensten an. Wenn Sie Dropbox verwenden und eine bequeme Möglichkeit suchen, eine Datei in itslearning hochzuladen, können Sie dies direkt von Dropbox aus tun. Aber bei den Lakritz-Diensten gibt itslearning niemals persönliche Daten preis.
Um es zusammenzufassen: Kunden von itslearning entscheiden, ob es sinnvoll ist oder nicht, Cloud Service Integrationen in der Plattform zu nutzen. itslearning gibt keine personenbezogenen Daten an Lieferanten weiter, die der Kunde nicht bereits genehmigt hat. Kunden können sich jederzeit für eine „geschmacksneutrale Umgebung“ entscheiden und die Möglichkeit der Integration in Cloud-Dienste ausschalten.
Für weitere Informationen zur EU-DSGVO und itslearning besuchen Sie bitte unsere Webseite: itslearning DSGVO-konform vor Mai 2018
