Ny afgørelse

Datatilsynet giver påbud i Chromebook-sag

Dato: 30-01-2024
Afgørelse Offentlige myndigheder Påbud Anmeldt brud på persondatasikkerheden Børn Databehandler Risikovurdering og konsekvensanalyse Grundlæggende principper Behandlingsgrundlag

I sagen om brug af Google Workspace i folkeskolerne vurderer Datatilsynet, at der ikke er hjemmel til videregivelse af personoplysninger til Google til alle de formål, der videregives til i dag. Derfor giver Datatilsynet nu et påbud til kommunerne om at bringe behandlingen i overensstemmelse med reglerne og anviser forskellige måder, det kan gøres på.

Journalnummer: 2023-431-0001

Resumé

Datatilsynet har siden sommeren gennemgået det omfattende materiale, som KL på vegne af 53 kommuner har sendt i sagen om brugen af Google Workspace i skolerne, og har på den baggrund truffet en afgørelse, som offentliggøres i dag.

Materialet har nu givet en uddybende beskrivelse af de centrale forhold i skolernes brug af tjenesten og leverandørens anvendelse af data. Dette var en oprindelig forudsætning for, at kommunerne kunne begynde at behandle oplysningerne i Google Workspace, og de pågældende analyser skulle derfor have været på plads, inden værktøjerne blev taget i brug. Denne manglende afklaring og de ufuldstændige analyser er bedømt og sanktioneret i Datatilsynets tidligere afgørelser mod de 53 kommuner.

Kommunerne konstaterer i det nu indleverede materiale, at der sker en videregivelse af personoplysninger, som Google bruger til egne formål. Datatilsynet har derfor vurderet lovligheden af disse videregivelser og truffet afgørelse i denne del af sagen, da afklaringen af dette er en forudsætning for at kunne behandle oplysningerne i det hele taget. Samtidig sætter denne afklaring rammerne for en løsning, hvor der fremover vil kunne behandles personoplysninger om skolebørnene.

"Inden man tager et værktøj i brug, skal man som dataansvarlig få sig et overblik over, hvordan man behandler personoplysninger i det, og man skal kunne dokumentere det. Det krav gælder alle organisationer. Men når der er tale om offentlige myndigheder – hvor vi som borgere ikke selv kan fravælge, at vores oplysninger bliver behandlet – har Datatilsynet en særlig forventning om, at de nødvendige analyser bliver både gennemført og dokumenteret," siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

"De fleste it-standardprodukter har i dag et meget komplekst kontraktgrundlag, som ikke bare rummer mange muligheder for variationer i behandlingen af personoplysninger, men også har en relativt høj ændringsfrekvens. Dette gør det sværere end nødvendigt for dataansvarlige virksomheder og myndigheder at leve op til GDPR, fordi man let mister overblikket over, hvad der sker med data. Vi i Datatilsynet opfordrer derfor til, at kontrakterne gøres mere gennemskuelige - ikke bare i forhold til behandlingsstrukturen, men også i forhold til konsekvenserne, når forhold omkring leverancen ændres.”   

Påbud om lovliggørelse af videregivelse

Konklusionen i Datatilsynets afgørelse er, at der er hjemmel til at videregive elevernes oplysninger med henblik på levering af tjenesterne, forbedring af sikkerheden og pålideligheden af tjenesterne, kommunikation med bl.a. kommunerne og overholdelse af retlige forpligtelser.

Det er dog samtidig vurderingen, at folkeskoleloven ikke tilstrækkeligt klart hjemler, at kommunerne videregiver elevernes oplysninger til vedligeholdelse og forbedring af Google Workspace for Education-tjenesten, ChromeOS og Chrome-browseren, eller til måling af ydeevnen og udvikling af nye funktioner og tjenester i ChromeOS og Chrome-browseren.

Derfor giver Datatilsynet et påbud til kommunerne om at bringe behandlingen i overensstemmelse med reglerne ved at sikre, at der er hjemmel til alle de behandlinger, der sker. Det kan eksempelvis ske ved:

  • At kommunerne ikke længere videregiver personoplysninger til Google til disse formål. Det vil sandsynligvis kræve, at Google udvikler en teknisk mulighed for, at de pågældende datastrømme afskæres.
  • At Google selv afstår fra at behandle oplysningerne til disse formål.
  • At Folketinget tilvejebringer et tilstrækkeligt klart retsgrundlag for videregivelse til disse formål.

Kommunerne skal efterleve påbuddet fra 1. august 2024, men skal senest 1. marts tilkendegive, hvordan de har til hensigt at efterleve det.

"It-services fungerer i dag ofte på den måde, at videregivelse af personoplysninger er indbygget i produktet, og at anvendelsen af oplysningerne ofte er en forudsætning for, at man kan få det fulde udbytte i produkternes funktionalitet. Det sker dog ikke altid med tilstrækkeligt fokus på beskyttelsen af de borgere, hvis oplysninger bliver brugt. Men hverken funktionaliteten af de løsninger, man gerne vil bruge, leverandørens markedsposition, den standardiserede opbygning eller den blotte anvendelse af et standardprodukt kan begrunde, at man ikke lever op til de regler om databeskyttelse, som man fra politisk hold har besluttet, at vi skal have i Europa," siger Allan Frank.

Hvilke dele af afgørelsen udestår?

På baggrund af kommunernes tilbagemelding den 1. marts 2024 vil Datatilsynet meddele kommunerne, hvilke yderligere konkrete forhold der – ud over de ændringer, der allerede er sket og beskrevet i det fremsendte materiale – skal håndteres inden påbudsfristen den 1. august 2024. Denne delafgørelse afhænger af, hvordan kommunerne vil efterleve påbuddet om behandlingsgrundlaget for de nævnte videregivelser, og derfor er der tale om en trinvis proces.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 14. juli 2022 meddelte Helsingør Kommune forbud mod at behandle personoplysninger ved brug af Google Chromebooks og Workspace for Education. Datatilsynet fastholdt dette forbud ved afgørelse af 18. august 2022.

På baggrund af en efterfølgende dialog med Helsingør kommune, hvor kommunen identificerede en række forhold, hvor brugen af Google Chromebooks og Workspace for Education enten ikke havde været lovlig, eller hvor risikoen for de registrerede ikke var blevet tilstrækkeligt identificeret og nedbragt, suspenderede Datatilsynet ovennævnte forbud ved afgørelse af 8. september 2022. Datatilsynet meddelte samtidig Helsingør kommune fire påbud.

Efterfølgende meddelte Datatilsynet i perioden frem til 24. oktober 2022 også samme fire påbud til følgende 52 andre kommuner:

1

Albertslund Kommune

19

Horsens Kommune

37

Slagelse Kommune

2

Allerød Kommune

20

Hvidovre Kommune

38

Solrød Kommune

3

Ballerup Kommune

21

Hørsholm Kommune

39

Sorø Kommune

4

Dragør Kommune

22

Ishøj Kommune

40

Svendborg Kommune

5

Egedal Kommune

23

Jammerbugt Kommune

41

Syddjurs Kommune

6

Fanø Kommune

24

Langeland Kommune

42

Thisted Kommune

7

Favrskov Kommune

25

Læsø Kommune

43

Tønder Kommune

8

Faxe Kommune

26

Mariagerfjord Kommune

44

Tårnby Kommune

9

Fredericia Kommune

27

Middelfart Kommune

45

Vejen Kommune

10

Faaborg-Midtfyn Kommune

28

Nordfyn Kommune

46

Vejle Kommune

11

Glostrup Kommune

29

Næstved Kommune

47

Vesthimmerland Kommune

12

Greve Kommune

30

Odder Kommune

48

Vordingborg Kommune

13

Gribskov Kommune

31

Odense Kommune

49

Ærø Kommune

14

Haderslev Kommune

32

Odsherred Kommune

50

Aalborg Kommune

15

Hedensted Kommune

33

Randers Kommune

51

Aarhus Kommune

16

Herlev Kommune

34

Rebild Kommune

52

Brøndby Kommune

17

Hjørring Kommune

35

Samsø Kommune

 

 

18

Holbæk Kommune

36

Silkeborg Kommune

 

 

KL meddelte herefter Datatilsynet den 12. september 2023, at KL og KOMBIT repræsenterer Helsingør og de 52 andre ovennævnte kommuner i den videre behandling af sagerne ved tilsynet.

1. Afgørelse

Efter en gennemgang af det materiale, som KL på vegne af de 53 kommuner senest har fremsendt den 30. juni 2023, finder Datatilsynet – henset til sagens omfang og kompleksitet – grundlag for i første omgang at træffe afgørelse for så vidt angår spørgsmålet om kommunernes videregivelse af personoplysninger til Google Ltd.

Datatilsynet finder i den forbindelse, at der ikke er grundlag for at tilsidesætte kommunernes vurdering af, at det som led i kommunernes valg af undervisnings- og læringsmidler i folkeskolen er nødvendigt at behandle og videregive personoplysninger til Google som led i brugen af Google Chromebooks og Workspace for Education til brug for (i) levering af og (ii) forbedring af sikkerheden og pålideligheden af de omhandlede tjenester mv. (”de oprindelige formål”), jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. artikel 6, stk. 3, og folkeskolelovens § 2, stk. 1, og § 18, stk. 1. Det omfatter bl.a. behandling af personoplysninger med henblik på levering af tjenesterne, forbedring af sikkerheden og pålideligheden af tjenesterne, kommunikation med bl.a. kommunerne og overholdelse af retlige forpligtelser.

Det er imidlertid Datatilsynets vurdering, at kommunerne ikke inden for rammerne af folkeskolelovens § 2, stk. 1, og § 18, stk. 1, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e, kan behandle og videregive personoplysninger om skoleelever til Google som led i brugen af Google Chromebooks og Workspace for Education til brug for (i) vedligeholdelse og forbedring af Google Workspace for Education-tjenesten, Chrome OS samt Chrome-browseren, (ii) måling af ydeevnen af Chrome OS og Chrome-browseren samt (iii) udvikling af nye funktioner og tjenester i Chrome OS og Chrome-browseren (”de afledte formål”).

På den baggrund finder Datatilsynet, at der er grundlag for at meddele kommunerne påbud om at bringe kommunernes behandling af personoplysninger i form af videregivelse af personoplysninger til Google i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra a, og artikel 6, stk.1, samt at kunne påvise dette, jf. forordningens artikel 5, stk. 2.

Det kan ske f.eks. ved:

  1. at kommunerne ophører med at videregive personoplysninger til Google til de omhandlede formål, hvilket sandsynligvis forudsætter, at Google udvikler en teknisk mulighed for, at de pågældende datastrømme afskæres,
  2. at Google afstår fra at behandle oplysninger til disse formål, eller
  3. at der fra Folketingets side tilvejebringes et tilstrækkeligt klart retsgrundlag for den pågældende behandling.

Datatilsynet anmoder i første omgang kommunerne om at tilkendegive, hvordan kommunerne agter at efterleve det ovennævnte påbud. Datatilsynet skal anmode om at modtage denne tilkendegivelse senest den 1. marts 2024.

Fristen for efterlevelse af påbuddet i øvrigt er den 1. august 2024. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Ifølge databeskyttelseslovens § 41, stk. 2, nr. 4, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

I perioden 8. september til 24. oktober 2022 har Datatilsynet meddelt 53 kommuner følgende påbud vedrørende kommunernes brug af Google Chromebooks og Workspace for Education:

”Datatilsynet meddeler […] Kommune et påbud om at få ændret den indgående aftale med databehandleren på en sådan måde, at de forhold, der er nævnt i tilsynets afgørelser af 14. juli og 18. august 2022, i forhold til Helsingør Kommune, samt det materiale, […] Kommune har fremsendt den […] 2022, og som hidrører fra det samlede aftalegrundlag med leverandøren, bringes i overensstemmelse med databeskyttelsesforordningen. Dette inkluderer som minimum en tydeliggørelse af de steder, hvor ”databehandleren” agerer som selvstændig dataansvarlig, samt til hvilke formål, de supportsituationer, som kommunen ikke længere benytter, og uklarheder i [kontraktteksten], der skaber usikkerhed om databehandlerens ageren ud over reglen i databeskyttelsesforordningens artikel 28, stk. 3, litra a. Herudover skal alle tilsigtede overførsler til usikre tredjelande dokumenterbart overholde databeskyttelsesforordningen.

Datatilsynet meddeler yderligere […] Kommune et påbud om at beskrive de datastrømme, der finder sted, og identificere de persondata, der videregives til leverandøren, og gør klart, hvornår denne agerer som selvstændig eller delt dataansvarlig. Dokumentationen skal omfatte hele den teknologistak, […] Kommune bruger til behandlingen.

Datatilsynet påbyder yderligere […] Kommune at udfærdige en opdateret konsekvensanalyse baseret på alle de risici, som kommunen under dokumentationsprocessen har identificeret, såfremt det viser sig, at der – udover de, der nu er anmodet om artikel 36-procedure for – er yderligere høje, ikke mitigerbare høje risici, omfatter påbuddet også høring af Datatilsynet efter artikel 36.

Endelig påbyder Datatilsynet […] Kommune at fremlægge en endelig tidsfæstet plan for lovliggørelse af eventuelle behandlinger, der ikke har kunnet lovliggøres inden fristen for påbuddene, der er fastsat til den 3. november 2022. Datatilsynet forventer at modtage dokumentation for påbuddenes overholdelse inden den fastsatte dato.”

KL meddelte den 12. september 2023 Datatilsynet, at KL og KOMBIT repræsenterer de ovennævnte kommuner i den videre behandling af sagerne ved tilsynet og derfor ville fremkomme med en fælles besvarelse på vegne af alle berørte kommuner.

KL fremsendte herefter den 3. november 2022 dokumentation for efterlevelse af Datatilsynets påbud til de 53 kommuner. KL fremsendte den 4. november 2022 supplerende materiale hertil.

Datatilsynet meddelte den 4. november 2022 KL og de berørte kommuner, at tilsynets forbud af 18. august 2022 blev suspenderet, indtil sagsbehandlingen af det modtagne materiale var færdig. Datatilsynet oplyste i den forbindelse, at tilsynet forventede at færdiggøre sagsbehandlingen inden udgangen af 2022.

I den efterfølgende periode blev KL opmærksom på, at der efter KL’s opfattelse var behov for at uddybe og ændre dele af materialet, for at kommunerne i højere grad kunne efterleve Datatilsynets påbud. KL anmodede derfor den 2. december 2022 Datatilsynet om at afvente dette yderligere materiale.

Datatilsynet imødekom KL’s anmodning og fastsatte en frist til den 23. januar 2023 til at fremsende dette yderligere materiale.

KL sendte den 23. januar 2023 dette yderligere materiale. På baggrund af et møde mellem Datatilsynet og KL, Aarhus Kommune og KOMBIT om materialet fandt KL, at der var behov for at uddybe det indsendte materiale. KL anmodede derfor den 23. marts 2023 Datatilsynet om at afvente denne uddybning.

KL oplyste den 16. juni 2023 foranlediget af en rykker fra Datatilsynet af samme dato, at KL forventede at sende det uddybende materiale inden udgangen af juni 2023.                    

Datatilsynet modtog den 30. juni 2023 en samlet besvarelse med 32 bilag fra KL, der samtidig oplyste, at dokumentsamlingen udgjorde de berørte kommuners dokumentation for efterlevelse af Datatilsynets påbud.

KL’s besvarelse af 30. juni 2023 med bilag udgør sammen med ovenstående en samlet sagsfremstilling. KL’s besvarelse af 30. juni 2023 samt bilag 16 og 26 hertil vedlægges som bilag til denne afgørelse.

3. Generelle bemærkninger

Datatilsynet anerkender først og fremmest det store arbejde, som kommunerne som de dataansvarlige har udført med henblik på at efterleve Datatilsynets påbud. Der foreligger nu en fyldestgørende beskrivelse af, hvilke data der bliver behandlet, af hvem og i hvilken rolle. Kommunernes arbejde har også medført ændringer i de tjenester, som kommunerne benytter, og de kontraktvilkår, som tjenesterne leveres under.

Datatilsynet indskærper dog, at dette arbejde skulle have været udført, inden Google Chromebooks og Workspace for Education blev taget i brug. Kommunernes behandling af personoplysninger inden dette arbejde er derfor, som Datatilsynet tidligere har truffet afgørelse om, sket i strid med flere bestemmelser i databeskyttelsesforordningen.

Hvor flere dataansvarlige benytter samme systemer og udfører tilnærmelsesvis de samme behandlinger af personoplysninger, er der efter Datatilsynets opfattelse en væsentlig synergi i at lave fælles vurderinger omkring risikomomenter, eventuelle konsekvensanalyser og mitigerende foranstaltninger.

Herudover skal Datatilsynet opfordre til, at der i sammenslutninger og organer, der repræsenterer kategorier af dataansvarlige, udarbejdes adfærdskodeks i overensstemmelse med databeskyttelsesforordningens artikel 40 med henblik at specificere databeskyttelsesforordningens anvendelse.

En adfærdskodeks kan give korrekte og praktiske anvisninger på, hvordan man i forbindelse

med en eller flere behandlingsaktiviteter skal indrette sig for at efterleve databeskyttelsesreglerne. Det kan f.eks. være ved at fastlægge procedurer, som skal følges ved en bestemt behandlingsaktivitet. En adfærdskodeks vil derfor være et nyttigt redskab til at hjælpe med at overholde databeskyttelsesreglerne for de myndigheder, der har tilsluttet sig kodeksen.

Mens tilslutningen til og overholdelsen af en adfærdskodeks gør det lettere at overholde databeskyttelsesreglerne, fritager den ikke de enkelte kommuner fra de pligter og opgaver, der påhviler dem som dataansvarlige. Dette er særlig væsentligt i de situationer, hvor den dataansvarlige vælger at afvige fra forudsætningerne i de fælles koncepter og behandlinger, f.eks. ved anvendelse af et system til andre formål.

3.1. Om lovlig behandling af personoplysninger

Princippet om lovlighed i forvaltningen (legalitetsprincippet) indebærer, at en offentlig myndigheds afgørelser og forvaltning i øvrigt skal have støtte i lov eller andet retsgrundlag.

Når det gælder databeskyttelsesreglerne, indebærer dette princip, at offentlige myndigheder – foruden at sikre, at myndighedernes egen opgaveløsning sker i overensstemmelse med databeskyttelsesreglerne – også skal sikre, at de it-løsninger, som myndighederne beslutter at bruge til at understøtte myndighedernes opgaveløsning, ligger inden for rammerne af de databeskyttelsesretlige regler.

Offentlige myndigheder skal derfor sikre sig og træffe foranstaltninger med henblik på, at myndighederne ikke designer, udvikler eller anskaffer og tager løsninger i brug, som ikke overholder databeskyttelsesreglerne. Det kan bl.a. ske ved, at myndigheder i deres anskaffelsesprocedurer og projektmodeller fastsætter relevante krav, der sikrer anskaffelse eller udvikling af løsninger i overensstemmelse med databeskyttelsesreglerne. Omfanget af disse krav kan efter Datatilsynets opfattelse variere under hensyntagen til karakteren, omfanget og formålet med den behandlingsaktivitet, som løsningen skal understøtte, samt de risici for borgerne, der kan være forbundet med brug af løsningen. Under alle omstændigheder skal disse krav bestå af mere end blot et enkelt krav til leverandøren om, at løsningen skal overholde databeskyttelsesreglerne. Kravene kan f.eks. afspejle de foranstaltninger, som myndigheden har vurderet, at det er nødvendigt at træffe på baggrund af sin risikovurdering eller konsekvensanalyse for at sikre løsningens lovlighed.

Endelig bemærker Datatilsynet, at funktionaliteten af de løsninger, der ønskes anvendt, eller markedspositionen af den leverandør, der ønskes valgt, ikke kan begrunde en manglende overholdelse af databeskyttelsesreglerne. En standardiseret opbygning af løsningerne eller den blotte anvendelse af et standardprodukt kan ligeledes ikke begrunde en manglende overholdelse af databeskyttelsesreglerne.

4. Begrundelse for Datatilsynets afgørelse

4.1. Kortlægning af datastrømme og rollefordeling mellem kommunerne og Google

4.1.1. Rollefordeling

En konsekvensanalyse vedrørende databeskyttelse skal, jf. databeskyttelsesforordningens artikel 35, stk. 7, mindst indeholde bl.a. en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen.

Det er en grundlæggende forudsætning for at vurdere og dokumentere sin overholdelse af databeskyttelsesreglerne, at man har kendskab til og kan beskrive, hvilke oplysninger man behandler, til hvilke(t) formål og i hvilken rolle.

På baggrund af Datatilsynets påbud har KL i samarbejde med Google kortlagt, hvilke roller henholdsvis kommunerne og Google har ved kommunernes brug af Google Chromebooks og Workspace for Education, samt hvilke personoplysninger der behandles, af hvem og til hvilke(t) formål.

Overordnet er kommunerne den dataansvarlige for behandling af personoplysninger ved kommunernes brug af Google Chromebooks og Workspace for Education. KL har derudover oplyst, at Googles rolle på tværs af teknologistakken er følgende:

Teknologistakken

Dataansvarlig

Databehandler

Service Data

Customer Personal Data

Service Data

Customer Personal Data

Chrome OS

Ja

Ja

Nej

Nej

Chrome browser

Ja

Ja

Nej

Nej

Chrome EDU Upgrade

Ja

Nej

Nej

Ja

Workspace for Education (incl. Chrome Sync)

Ja

Nej

Nej

Ja

KL har således oplyst, at Google er dataansvarlig for enhver behandling af personoplysninger, der sker som led i brug af Chrome OS og Chrome-browseren, og at Google ikke er databehandler for kommunerne i den forbindelse.

Endvidere har KL oplyst, at Google er dataansvarlig for behandling af Service Data i Chrome EDU Upgrade og Workspace for Education, og at Googles behandling af Customer Data i disse to produkter sker som databehandler for kommunerne.

En beskrivelse af de behandlingsaktiviteter, som Google er dataansvarlig for, fremgår af bilag 26 til KL’s besvarelse (vedlagt). Kortlægningen indeholder også en nærmere beskrivelse af de specifikke oplysninger, der behandles, og af de konkrete formål med behandlingen.

Datatilsynet forstår, at Customer Data overordnet set omfatter indholdsdata, f.eks. dokumenter, der håndteres i Workspace mv., mens Service Data primært omfatter udledte diagnostiske data om f.eks. skoleelevers brug af produkterne.

4.1.2. Aftalegrundlag

Kommunernes brug af Chromebooks og Workspace for Education er reguleret af to aftaler med Google. Det drejer sig om Google Workspace for Education Terms of Service (dateret 26. september 2023) og Chrome Online Agreement (dateret 7. april 2022).

Aftalerne omfatter produkterne Workspace for Education[1] og Chrome EDU Upgrade[2], som fremgår af ovenstående oversigt over teknologistakken.

Aftalen Google Workspace for Education Terms of Services henviser derudover bl.a. til Cloud Data Processing Addendum (dateret 26. september 2023), som dermed udgør databehandleraftalen for så vidt angår produktet Workspace for Education.

Derudover henviser aftalen Chrome Online Agreement bl.a. til Data Processing Amendment to Chrome Agreements (dateret 16. februar 2023), som udgør databehandleraftalen for produktet Chrome EDU Upgrade.

I begge aftalesæt har Customer Data og Customer Personal Data specifikke betydninger.

Service Data, der behandles som led i brug af Workspace for Education og Chrome EDU Upgrade, er nærmere defineret i Google Cloud Privacy Notice (dateret 21. august 2023) og er ikke omfattet af kommunernes aftale med Google, men behandles af Google som den dataansvarlige.

Kommunernes brug af Chrome OS og Chrome browseren, jf. nærmere nedenfor, er ligeledes ikke reguleret af aftaler mellem kommunerne og Google.

I stedet reguleres brugen af Chrome OS ifølge Google af Googles generelle tjenestevilkår[3] og privatlivspolitik[4]. Tjenestevilkårene indgås ikke med kommunerne, men med den enkelte slutbruger, som i dette tilfælde er skoleelever (og disses forældre).

Tilsvarende fremgår følgende af bilag 26, s. 3 nederst:

“Today, Google acts as a data controller when providing ChromeOS and Chrome browser, for both Customer Data and Service Data. As part of providing Chrome services, Google processes personal identifiers relating to devices or end users of Chrome, which are only used for the purposes set forth in the Google Privacy Policy.”

På den baggrund – og på baggrund af den rollefordeling mellem kommunerne og Google, som KL har oplyst – lægger Datatilsynet til grund, at brugen af Chrome browseren heller ikke er reguleret af en aftale mellem kommunerne og Google, men i stedet reguleres af Googles generelle tjenestevilkår og privatlivspolitik, som det også er tilfældet for Chrome OS.

4.1.3. Formålene med behandling af personoplysninger

KL har i forbindelse med sin dialog med Google fundet det nødvendigt, at aftalegrundlaget med Google præciseres med hensyn til de formål, som Google behandler oplysningerne. Som en del af besvarelsen af 30. juni 2023 har KL fremsendt udkast til kontrakttillæg, som præciserer bl.a. hvilke formål Google må behandle oplysningerne til.

For Workspace for Education vil Google herefter behandle Customer Data som databehandler for kommunerne til at levere tjenesten og support (efter anmodning fra kommunerne). Google har derudover præciseret, at Customer Data ikke vil blive behandlet i markedsføringsøjemed eller til forbedring af Googles produkter og tjenester, herunder også Workspace for Education.

Google har endvidere forpligtet sig til kun at behandle Service Data, der genereres ved brug af Workspace for Education, som dataansvarlig til at forbedre og optimere ydelsen, pålideligheden, kernefunktionaliteten, tilgængeligheden, databeskyttelsen, sikkerheden og effektiviteten af it-infrastrukturen af (a) Google Workspace for Education og support hertil, samt (b) Google Cloud, Google Cloud Marketplace og Google Workspace Marketplace tjenester, forudsat at kommunerne bruger sådanne tjenester. Google vil ikke behandle Service Data til at forbedre eller optimere andre Google produkter eller tjenester.

For Chrome EDU Upgrade vil Google behandle Customer Personal Data til:

(a) to provide, secure, and monitor the Services and any TSS requested by Customer; (b) to support Customer’s and its End Users’ secure and compliant use of the Services; (c) as described in this Data Processing Amendment, including Sections 10 (Data Transfers) and 11 (Subprocessors); (d) as described in Section 7 (Confidentiality; Legal Process) of the Agreement, provided that any disclosure by Google or any Subprocessor with its address in the EEA complies with European Data Protection Law; and (e) as further specified via (i) Customer’s compliant use of the Services (including the Admin Console and other Services functionality) and any TSS requested by Customer, and (ii) any other written instructions given by Customer and acknowledged by Google as constituting instructions under this Addendum”

KL har derudover oplyst, at Service Data, der behandles som led i Chrome EDU Upgrade, er en delmængde af de Service Data, der behandles som led i Chrome browseren.

Endvidere har KL oplyst, at Google er dataansvarlig for behandling af alle personoplysninger, uanset om oplysningerne karakteriseres som Service Data eller Customer Personal Data, som led i brugen af Chrome OS og Chrome browseren.

Formålene med Googles behandling af Service Data i Chrome EDU Upgrade, og alle øvrige personoplysninger i Chrome OS og Chrome browseren fremgår af Googles privatlivspolitik[5].

Sammenfattende har KL oplyst, at Google behandler personoplysninger, som virksomheden er selvstændigt dataansvarlig for, på tværs af teknologistakken til følgende formål:

Tjeneste

Oprindelige formål

Afledte formål

Workspace for Education

Levere cloudtjenester kommunerne anmoder om

 

Give anbefalinger om optimering af brug af cloudtjenesterne

 

Bistå kommunerne

 

Beskytte kommunerne, Googles brugere, kunder, offentligheden og Google

 

Overholde retlige forpligtelser

Vedligeholde og forbedre cloudtjenester

 

Levere og forbedre andre tjenester, som kommunerne anmoder om

Chrome OS

Levere Googles tjenester

 

Forbedre sikkerheden og pålideligheden af tjenester

 

Kommunikere med kunder

 

Levere personaliserede tjenester (Google Sync)[6]

 

Overholde retlige forpligtelser

Vedligeholde og forbedre Googles services

 

Måle ydelse

 

Udvikle nye features og tjenester

Chrome browseren

Levere Googles tjenester

 

Forbedre sikkerheden og pålideligheden af tjenester

 

Kommunikere med kunder

 

Levere personaliserede tjenester (Google Sync)[7]

 

Overholde retlige forpligtelser

Vedligeholde og forbedre Googles tjenester

 

Måle ydelse

 

Udvikle nye features og tjenester

Endelig har KL nærmere beskrevet de ovennævnte formål, og hvordan personoplysninger behandles som led i de disse formål. Det fremgår af bilag 26 til KL’s besvarelse (vedlagt).

4.1.4. Datatilsynets vurdering

Efter en gennemgang af KL’s besvarelse finder Datatilsynet, at kommunerne har beskrevet, hvilke personoplysninger der behandles som led i brugen i kommunernes brug af Chromebooks Workspace for Education, samt hvilke roller kommunerne og Google har ved behandlingen af oplysningerne. Beskrivelsen omfatter hele teknologistakken.

Datatilsynet anser herefter tilsynets påbud om at beskrive de datastrømme, der finder sted, og beskrive hvilke personoplysninger der videregives til Google som efterlevet.

Datatilsynet bemærker dog, at beskrivelsen af datastrømmene og aftalegrundlaget, der regulerer kommunernes brug af Chromebooks og Workspace for Education, er komplekst. Det indebærer efter tilsynets opfattelse i sig selv en risiko for en manglende overholdelse af databeskyttelsesreglerne. Det skyldes, at selv mindre ændringer i teknologistakken eller aftalegrundlaget kan indebære konsekvensændringer, som kommunerne kan overse.

Datatilsynet opfordrer derfor kommunerne til at indgå i yderligere dialog med Google om at forsimple navnlig aftalegrundlaget eller sikre sig, at kommunerne besidder eller har adgang til de fornødne tekniske og juridiske kompetencer for at sikre, at databeskyttelsesreglerne overholdes.

4.2. Videregivelse af personoplysninger

4.2.1. Databeskyttelsesforordningen

Personoplysninger kan behandles på baggrund af et af flere behandlingsgrundlag, som findes i databeskyttelsesforordningens artikel 6, stk. 1. For offentlige myndigheder vil behandling af personoplysninger oftest ske, fordi det er nødvendigt for at overholde en retlig forpligtelse, jf. artikel 6, stk. 1, litra c, eller fordi behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, jf. artikel 6, stk. 1, litra e.

Behandlingen skal i begge tilfælde have et såkaldt supplerende retsgrundlag, som forpligter eller berettiger myndigheden til at udføre en bestemt myndighedsopgave. Det følger af databeskyttelsesforordningens artikel 6, stk. 3.

4.2.2. Krav til det supplerende retsgrundlag

Databeskyttelsesforordningens artikel 6, stk. 3, indeholder flere krav til det supplerende retsgrundlag, som dermed skal opfylde visse kriterier.

For det første kræves det efter artikel 6, stk. 3, 1. pkt., at grundlaget for behandlingen skal fremgå af EU-retten eller national ret.

Det fremgår af præambelbetragtning nr. 45, at databeskyttelsesforordningen ikke indebærer, at der kræves en specifik lov til hver enkelt behandling efter artikel 6, stk. 1, litra e. Det kan være tilstrækkeligt med en lov som grundlag for adskillige databehandlingsaktiviteter. Der stilles dog krav om, at behandling efter bestemmelsen sker på baggrund af EU-retten eller national ret. Endvidere følger det af præambelbetragtning nr. 41 til databeskyttelsesforordningen, at det pågældende retsgrundlag ikke nødvendigvis kræver en lov, men at retsgrundlaget dog bør være klart og præcist, og anvendelsesområdet bør være forudsigeligt for personer omfattet af retsgrundlagets anvendelsesområde.

Af Justitsministeriets betænkning nr. 1565/2017, s. 132f., fremgår følgende om forordningens artikel 6, stk. 1, litra e:

”Det må i den forbindelse antages, at artikel 6, stk. 1, litra e, er direkte anvendelig som behandlingsgrundlag, så længe den dataansvarlige udfører en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt. Brugen af artikel 6, stk. 1, litra e, som behandlingsgrundlag forudsætter således ikke en national, implementerende hjemmelslovgivning om selve behandlingen af personoplysninger i forbindelse med udførelse af opgaver i samfundets interesse eller som led i offentlig myndighedsudøvelse.

Brugen af artikel 6, stk. 1, litra e, kræver heller ikke nødvendigvis, at opgaven, som kræver behandling af personoplysninger, udtrykkeligt i lovgivningen er pålagt myndigheden. Der kan i den forbindelse henvises til [Datatilsynets udtalelse i sagen med j.nr. 2004-54-1394], hvor tilsynet fandt det naturligt, at Undervisningsministeriet, som den centrale myndighed på området, løste en opgave vedrørende digital tilmelding til og ansøgning om optagelse på uddannelser, selvom der ikke var en udtrykkelig lovhjemmel, der pålagde ministeriet opgaven. Ministeriet kunne derfor bruge bl.a. § 6, stk. 1, nr. 5, i persondataloven om behandling, der er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse.”

Derudover fremgår følgende af betænkningens s. 160 om forordningens artikel 6, stk. 3:

”Det følger derudover af forordningens artikel 6, stk. 3, 2. pkt., specifikt vedrørende behandling, der er omhandlet i artikel 6, stk. 1, litra e – dvs. af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse – at behandlingen skal være ”nødvendig for udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse”. Det må også her være tilstrækkeligt for opfyldelse af dette nødvendighedskrav, at det kan udledes af den pågældende nationale lov med dens forarbejder, under forudsætning af at behandlingen rent faktisk er ”nødvendig”.

I artikel 6, stk. 3, sidste led, er der et yderligere krav til den lovgivning, som tilpasser anvendelsen af databeskyttelsesforordningen. Der er et krav om, at medlemsstaternes nationale ret skal opfylde et formål i samfundets interesse og stå i rimeligt forhold til det legitime mål, som forfølges. Databeskyttelsesforordningen fastsætter således et krav om proportionalitet og iagttagelse af samfundets interesse i forbindelse med national ret og EU-ret, der tilpasser anvendelsen af databeskyttelsesforordningen.”

I forbindelse med Justitsministeriets nationale evaluering af databeskyttelsesreglerne i april 2021 udtalte Datatilsynet bl.a. følgende i et bidrag til ministeriet:

”Bestemmelserne i forordningens artikel 6, stk. 2 og 3, indebærer for det første, at behandlingen – for at kunne ske i medfør af 6, stk. 1, litra e – skal fremgå af EU-retten eller medlemsstaternes nationale ret. Det betyder, at anvendelsen af artikel 6, stk. 1, litra e, kræver, at behandlingen er forudsat i EU-retten eller national ret, men ikke nødvendigvis, at der er en national implementerende hjemmelslovgivning om selve behandlingen. […]

I andre og langt de fleste tilfælde vil særlovgivningen imidlertid ikke indeholde specifikke krav til behandlingen af personoplysninger eller i øvrigt foreskrive specifikt, om og hvilke personoplysninger der skal behandles. Behandling af personoplysninger vil imidlertid typisk være en forudsætning for, at myndigheden kan løse de opgaver, som lovgivningen foreskriver. Dette kunne f.eks. være en myndigheds vurdering af en borgers ret til sociale ydelser efter den sociale lovgivning eller lovgivning om myndighedens opgaver på børne- og skoleområdet.

Hvornår behandling i henhold til forordningens artikel 6, stk. 1, litra e, kan anses for nødvendig, skal i disse tilfælde holdes op imod de opgaver og forpligtelser, som myndigheden har i henhold til den lovgivning, som regulerer dens virke. Tilsvarende gælder i forhold til det krav om nødvendighed, som følger af forordningens artikel 5, stk. 1, litra c.

Det er i den forbindelse vigtigt at understrege, at databeskyttelsesreglerne ikke har til formål at stå i vejen for eller besværliggøre offentlige myndigheders opgavevaretagelse. Databeskyttelsesreglerne, herunder kravet om nødvendighed, indebærer således ikke, at offentlige myndigheder for enhver pris skal tilrettelægge deres opgavevaretagelse på en sådan måde, at der behandles færrest muligt personoplysninger, hvis dette vil afskære myndigheden fra at løse sine opgaver på den i lovgivningen tiltænkte måde.

Det databeskyttelsesretlige krav om nødvendighed er derimod fleksibelt og giver den dataansvarlige – i denne kontekst offentlige myndigheder – muligheden for at vurdere, hvad der i det enkelte tilfælde er relevant og sagligt, dvs. nødvendigt, for at myndigheden kan varetage sine opgaver på den måde, som er tiltænkt med lovgivningen. I den forbindelse er det også vigtigt at holde sig for øje, at den myndighed, som i lovgivningen forudsættes at udføre en opgave, i sagens natur har de bedste forudsætninger for at vurdere, hvad der er sagligt og relevant for at løse opgaven, idet det netop er den pågældende myndighed, som har mest kendskab til, hvordan eventuel sektorspecifik lovgivning udmøntes i praksis.

Det vil således ligge inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra e, hvis myndigheden kan pege på et lovgrundlag som årsagen til behandlingen, og hvis behandlingen ikke – ud fra en generel betragtning – er unødigt indgribende for den registrerede, f.eks. fordi behandlingen udelukkende er en praktisk måde for myndigheden at opfylde formålet på, som ikke tager hensyn til den registrerede.

Med andre ord har offentlige myndigheder ganske vide rammer for at vurdere, hvilken behandling af oplysninger der er nødvendig for at varetage myndighedens opgaver i henhold til lovgivningen.”

Endelig udtaler EU-Domstolen følgende i sin dom af 24. februar 2022 i sagen C-175/20[8]:

”I denne henseende bemærkes ikke desto mindre, at den lovgivning, som danner grundlag for behandlingen, for at opfylde det krav om proportionalitet, som artikel 5, stk. 1, litra c), […] er udtryk for […], skal fastsætte klare og præcise regler, der regulerer rækkevidden og anvendelsen af den omhandlede foranstaltning, og som opstiller mindstekrav, således at de personer, hvis personoplysninger er berørt, råder over tilstrækkelige garantier, der gør det muligt effektivt at beskytte disse oplysninger mod risikoen for misbrug. Denne lovgivning skal være retligt bindende i national ret og navnlig angive, under hvilke omstændigheder og på hvilke betingelser der kan vedtages en foranstaltning om behandling af sådanne oplysninger, hvorved det sikres, at indgrebet begrænses til det strengt nødvendige”

Kravet til klarheden af det pågældende lovgrundlag afhænger dermed generelt af, hvor indgribende behandlingen af personoplysninger, der sker i løsningen, vil være for borgeren. Hvis der er tale om en helt harmløs behandling, vil kravene være mindre, end hvis der er tale om en indgribende behandling, hvor der stilles større krav til klarheden af lovgrundlaget.

4.2.3. Folkeskoleloven

Kommunernes myndighedsopgaver på skoleområdet fremgår af folkeskoleloven[9]. Af lovens § 1, stk. 1, og § 2, stk. 1, fremgår følgende:

§ 1. Folkeskolen skal i samarbejde med forældrene give eleverne kundskaber og færdigheder, der: forbereder dem til videre uddannelse og giver dem lyst til at lære mere, gør dem fortrolige med dansk kultur og historie, giver dem forståelse for andre lande og kulturer, bidrager til deres forståelse for menneskets samspil med naturen og fremmer den enkelte elevs alsidige udvikling. […]

§ 2. Kommunalbestyrelsen har ansvaret for folkeskolen, jf. dog § 20, stk. 3, § 44 og § 45, stk. 2, 2. pkt. Kommunalbestyrelsen har ansvaret for, at alle børn i kommunen sikres ret til vederlagsfri undervisning i folkeskolen.”

Derudover følger følgende af lovens § 5, stk. 1 og 2:

§ 5. Indholdet i undervisningen vælges og tilrettelægges, så det giver eleverne mulighed for faglig fordybelse, overblik og oplevelse af sammenhænge. Undervisningen skal give eleverne mulighed for at tilegne sig de enkelte fags erkendelses- og arbejdsformer. I vekselvirkning hermed skal eleverne have mulighed for at anvende og udbygge de tilegnede kundskaber og færdigheder gennem undervisningen i tværgående emner og problemstillinger.

Stk. 2. Undervisningen i 1.-9. klasse gives inden for 3 fagblokke og omfatter for alle elever: […]”

Af forarbejderne til bestemmelsen (Folketingstidende 1992-93, tillæg A, lovforslag af 22. april 1993, sp. 8939) fremgår følgende:

”For alle fagene i de tre grupper gælder det, at man skal være opmærksom på, at edb skal integreres, som det er beskrevet i undervisningsvejledningen for gældende lovs obligatoriske emne edb og i de supplementer til fagenes læseplaner, der udsendes og er udsendt fra ministeriet de seneste år. Integration af edb giver mulighed for en udvikling af fagenes emner, begreber og metoder og eksempler herpå vil indgå i kommende undervisningsvejledninger.”

I den sammenhæng fremgår følgende af forarbejderne til lovens § 7 (a. st., sp. 8943), der fastsætter obligatoriske emner, der skal indgå i undervisningen i grundskolen:

”Edb foreslås afskaffet som obligatorisk emne, idet det forudsættes, at indholdet integreres i de obligatoriske fag på de yngste klassetrin. Derved får alle elever en grundlæggende forståelse af informationsteknologiens begreber og metoder og et kendskab til, hvor datamaskinerne med fordel kan anvendes i fagene. Dette kendskab skal danne grundlag for den generelle integration af edb i fagene, jf. herved tillige bemærkningerne til lovforslagets § 5.”

Det fremgår derudover af folkeskolelovens § 18, stk. 1, der bl.a. omhandler valg af undervisningsmidler:

”Undervisningens tilrettelæggelse, herunder valg af undervisnings- og arbejdsformer, metoder, undervisningsmidler og stofudvælgelse, skal i alle fag leve op til folkeskolens formål, mål for fag samt emner og varieres, så den svarer til den enkelte elevs behov og forudsætninger.”

Endvidere fremgår af lovens § 19, stk. 1, følgende:

”De nødvendige undervisningsmidler skal stilles vederlagsfrit til rådighed for eleverne. Dette gælder dog ikke instrumenter og udstyr, som anvendes ved undervisning i fritiden efter § 3, stk. 6, og som hjemtages af eleverne til eget brug.”

Af forarbejderne til bestemmelsen (Folketingstidende 1992-93, tillæg A, lovforslag af 22. april 1993, sp. 8956) fremgår følgende:

”Som følge af, at edb er overgået fra at være et obligatorisk emne til at være en integreret del af fagenes indhold, forudsættes det, at den igangværende udvikling med at udstyre skolerne med informationsteknologiske undervisningsmidler og give lærerne den nødvendige undervisningsmæssige baggrund fortsætter, så intentionerne om edb’s fulde integration kan realiseres inden for de nærmest år.”

Indførelsen af edb som obligatorisk emne skete ved lov nr. 435 af 13. juni 1990. Til støtte for indførelsen af faget som obligatorisk emne udarbejdede Undervisningsministeriet – som forudsat i forarbejderne til bestemmelsen (Folketingstidende 1989-90, tillæg A, lovforslag af 14. marts 1990, sp. 5194) – en vejledende læseplan og undervisningsvejledning. Af læseplanen og undervisningsvejledningen fremgår følgende om formålet med edb-faget:

Formål for det obligatoriske emne edb

– eleverne skal være fortrolige med at benytte maskinel og programmel.

– eleverne skal opnå kendskab til, hvordan datamaskinen anvendes i kommunikations- og problemløsningsprocesser.

– eleverne skal opnå kendskab til, hvordan anvendelsen af datamaskiner påvirker kommunikations- og problemløsningsprocesser.

Bemærkninger til formålet

Mennesker har til alle tider kommunikeret med hinanden ved hjælp af lyde, billeder, skrift osv. I mange af disse kommunikationsprocesser har de anvendt redskaber, fx blyant, pensel, skrivemaskine og telefon. Sådanne redskaber vil altid have indvirkning på, hvordan mennesker kommunikerer med hinanden. På samme måde forholder det sig, når vi løser problemer.

Anvendelsen af edb er efterhånden så udbredt, at man med rette kan hævde, at der er tale om et redskab, som alle vil komme til at benytte. Mange andre redskaber retter sig stort set mod fysiske processer. Således er det ikke med edb, idet dette redskab i overvejende grad understøtter processer af intellektuel art.

Det er derfor af overordentlig stor betydning, at mennesker er i stand til hensigtsmæssigt at inddrage edb i kommunikations- og problemløsningsprocesser. Samtidig vil dette være en væsentlig forudsætning for at kunne begå sig i et samfund, hvor demokratiske beslutningsprocesser og omgangsformer er en selvfølgelighed. Der er altså tale om nogle forudsætninger, som alle borgere skal besidde, og som derfor må være en del af den almene dannelse på linje med fx at kunne læse, skrive og regne.

Formålet for undervisningen i edb omfatter 3 aspekter:

– betjenings-aspektet, som vedrører almene betjeningsmæssige færdigheder samt kendskab til de overordnede principper for datamaskinens virkemåde. Undervisningen skal resultere i, at eleverne bliver fortrolige med arbejdet ved en datamaskine, og at de herigennem får opbygget hensigtsmæssige billeder af, hvordan materiel og programmel virker og samvirker. Dette konkretiseres i undervisningsforløbene.

– begrebs-aspektet, som vedrører kendskab til de begreber og metoder, der benyttes, når datamaskinen anvendes til kommunikation og problemløsning. Undervisningen skal resultere i, at eleverne især bliver opmærksomme på de fællestræk i form af begreber og metoder, der findes i stort set alle edb-anvendelser. En sådan opmærksomhed vil medvirke til, at der skabes struktur i elevernes edb-viden.

– betydnings-aspektet, som vedrører kendskab til den betydning for processen, datamaskinen har, når den anvendes i forbindelse med, at mennesker kommunikerer eller løser problemer. Undervisningen skal resultere i, at eleverne ved deres senere anvendelse af datamaskinen er opmærksomme på, om edb-anvendelsen i disse processer ændrer betingelser og resultater.

Det er vigtigt at understrege, at hovedmålet med undervisningen er, at eleverne sikres handlemuligheder i anvendelsessituationer. Sådanne handlemuligheder har eleverne kun, hvis anvendelsen af edb ikke domineres af tekniske problemer eller af elevernes manglende kendskab til grundlæggende edb-begreber og -metoder (jf. afsnittet »Karakterisering af edb-undervisningen«). Undervisningen skal derfor medvirke til, at eleverne bliver i stand til at bruge edb på en hensigtsmæssig måde.

Det skal yderligere understreges, at det er vigtigt, at eleverne opnår kendskab til, at datamaskinen gennem brugernes valg af forskellige programmer kan benyttes til løsning af mange, forskelligartede opgaver. Dette betyder, at datamaskinen er et af de mest fleksible værktøjer, vi har rådighed over, og at vi ofte kan blive tvunget til at vælge, om og i givet fald hvordan vi vil anvende datamaskinen. På mange områder vil det, at man begynder at bruge datamaskiner, betyde store ændringer i forhold til anvendelsen af hidtidig teknik: der kan åbnes for helt nye muligheder, men der kan også fremkomme nye begrænsninger i forhold til, hvad der før var muligt.”

4.2.4. Digitaliseringsstrategien 2011 til 2015

KL har i sin analyse og vurdering ad flere omgange henvist til den fællesoffentlige digitaliseringsstrategi 2011 til 2015, der blev udarbejdet i august 2011 af den daværende regering, kommunerne og regionerne.[10] 

Anvendelsen og udvikling af digitale læringsmidler var et fokusområde i denne strategi, hvor det flere steder understreges, at folkeskolen skal følge med tiden. KL har herunder henvist til bilag 3.1.a til strategien, hvoraf bl.a. følgende fremgår:

”I forbindelse med den økonomiske indsprøjtning er der behov for en drøftelse med branchen for digitale læremidler om, hvordan de kan forpligtes på at arbejde for en udvikling, der understøtter nogle af de visioner, der er beskrevet ovenfor. Blandt andet kan det drøftes, hvordan det kan fremmes, at private aktører medvirker til at oversætte og tilpasse afprøvede udenlandske digitale læremidler til danske forhold med henblik på salg.”

KL har derudover henvist til bilag 3.4 til strategien, hvoraf bl.a. følgende fremgår:

”En forudsætning for, at satsningen på it kan lykkes, er, at it integreres i udvikling af nye undervisnings- og læringsformer, således at den traditionelle undervisning ikke bare videreføres med ”strøm på”. Der er derfor gennem forsøg og forskning behov for generelt at højne vidensniveauet om, hvordan man mest effektivt øger elevernes læring fagligt og social set ved hjælp af it-redskaber, herunder viden om, hvordan lærerne kan tilrettelægge og understøtte undervisningen ved hjælp af digitale læremidler og digitalt baserede læringsforløb.”

Endelig har KL henvist til aftale mellem regeringen og KL om kommunernes økonomi for 2012. Heraf fremgår bl.a. følgende:

Styrket anvendelse af it i folkeskolen

Digitale læreprocesser indgår i dag i mange folkeskoler, men der er brug for en mere grundlæggende omstilling. Det indgår derfor i den fællesoffentlige digitaliseringsstrategi, at der i de kommende år sættes fokus på en styrket anvendelse af IT, så det bliver en integreret del af undervisningen i folkeskolen.

It skal medvirke til at styrke elevernes faglighed og ruste dem bedre til fremtidige uddannelses- og jobmuligheder, understøtte en mere målrettet tilrettelæggelse af undervisningen samt muliggøre en bedre ressourceudnyttelse i folkeskolen.

Regeringen og KL er derfor enige om en ambitiøs indsats, hvor regeringen har reserveret

500 mio.kr. fra Fonden for Velfærdsteknologi til over de kommende år at:

  • Bidrage til at udvikle markedet for digitale læremidler, herunder stimulere et stort udbud af kvalitetsprodukter.
  • Understøtte effektive distributionskanaler som sikrer en let og overskuelige adgang til digitale læremidler, herunder give adgang til digitale læringsmål.
  • Medvirke til at erfaringer fra forsøgs- og forskningsprojekter udbredes, herunder yde begrænset støtte til demonstrationsskoler, så udviklingen af it-baserede læringsformer fokuseres på områder og i fag, hvor effekten er størst.

Regeringen og KL er enige om at midlerne udmøntes efter principperne beskrevet i bilag 2. Eventuelle bidrag til indkøb af læremidler medfinansieres af kommunerne, mindst svarende til den statslige andel.

For at muliggøre omstillingen på området indgår det i aftalen, at kommunerne frem mod 2014 inden for de nuværende investeringsrammer vil sikre, at alle elever har adgang til den nødvendige it-infrastruktur blandt andet i form af stabile og sikre trådløse netværk med tilstrækkelig kapacitet, sikker opbevaring, strømføring m.v.”

4.2.5. Datatilsynets vurdering

Efter Datatilsynets opfattelse har offentlige myndigheder, som det er forudsat i databeskyttelsesforordningen, præambelbetragtningerne hertil, samt Justitsministeriets betænkning nr. 1565/2017, en vid adgang til at behandle personoplysninger, når det er nødvendigt af hensyn til udførelse af deres myndighedsopgaver.

Datatilsynet anerkender, at det ovennævnte ”nødvendighedskrav” er fleksibelt og giver offentlige myndigheder en bred margin for at vurdere, hvad der i det enkelte tilfælde er relevant og sagligt, dvs. nødvendigt, for at myndigheden kan varetage sine opgaver på den måde, som er tiltænkt med lovgivningen.

Spørgsmålet er herefter, i hvilket omfang kommunerne kan udstrække denne fleksibilitet til at omfatte brug af undervisnings- og læringsmidler, som gennem deres opbygning og leverancemodel indebærer, at kommunerne videregiver personoplysninger til en anden selvstændig dataansvarlig, leverandøren af læringsmidlerne – her Google – til brug for (i) levering og (ii) forbedring af læringsmidlerne samt (iii) udvikling af nye funktioner og tjenester.

Indledningsvis bemærker Datatilsynet, at KL har anført, at vurderingen af, om kommunerne har hjemmel til at videregive personoplysninger til Google skal foretages i to tempi. For det første vurderes det, om kommunerne har hjemmel til at videregive personoplysninger til Google til brug for levering af tjenesten. Dernæst vurderes det, om kommunerne har påset, om Google lovligt kan modtage og behandle personoplysningerne til andre formål, herunder udvikling af nye funktioner og tjenester, efter databeskyttelsesforordningens artikel 5, stk. 1, litra a.

Det er Datatilsynets opfattelse, at vurderingen af, om kommunerne har hjemmel til at videregive personoplysninger til Google skal foretages i lyset af alle de formål, som oplysningerne skal behandles til. Kommunerne skal derfor vurdere, om der er hjemmel til videregivelse af personoplysninger til brug for levering af tjenesten og til andre formål, herunder udvikling af nye funktioner og tjenester. Det omfatter alle de formål, som kommunerne på videregivelsestidspunktet er bekendt med, at oplysningerne vil blive behandlet til.

Datatilsynet henviser navnlig til tilsynets afgørelse over for Helsingør kommune af 18. august 2022. Heraf fremgår bl.a. følgende:

”Oplysningerne kan dermed heller ikke lovligt videregives til andre dataansvarlige til brug for disses formål, når der er tale om formål, som ikke er forudsat i folkeskoleloven. Dette omfatter også den behandling af personoplysninger, der kan ske ved elevernes brug af udstyret og softwaren.

Det er Datatilsynets opfattelse, at den behandling af personoplysninger, som er forudsat i folkeskolelovens regler om undervisningspligt, og dermed kan ske efter databeskyttelsesforordningens artikel 6, stk. 1, litra e, ikke omfatter, at oplysningerne kan videregivelse til andre selvstændige dataansvarlige, herunder til brug for formål så som videreudvikling af teknologileverandørers applikationer mv. Det er Datatilsynets opfattelse, at offentlige myndigheders videregivelse af personoplysninger til private dataansvarlige generelt kræver særskilt hjemmel, når der er tale om formål, som ligger uden for de myndighedsopgaver, som den offentlige myndighed er pålagt at varetage.”

Kommunerne kan således ikke først vurdere, om der er hjemmel til videregivelse af personoplysninger til visse formål (levering af tjenesten) og herefter lægge til grund, at de øvrige formål (udvikling af nye produkter mv.), hvortil personoplysningerne også behandles, skal vurderes som Googles egen viderebehandling af personoplysningerne til andre formål efter databeskyttelsesforordningens artikel 6, stk. 4, og stk. 1.

Datatilsynet lægger i den forbindelse særligt vægt på, at der er tale om behandlinger, der er bestemt i aftalegrundlaget og forudsat for behandlingernes udførelse, og situationen kan derfor ikke sidestilles med forholdet hvor en 3. mand efter en videregivelse, som selvstændigt dataansvarlig efterfølgende vælger at benytte persondata til nye egne formål.

KL har overordnet anført, at det er forudsat i folkeskoleloven, at edb og digitale læringsmidler skal integreres fuldt ud i undervisningen, og at den fællesoffentlige digitaliseringsstrategi for 2011 til 2015 har fokus på, at der sammen med branchen for digitale undervisningsmidler arbejdes for en større integration af digitale læringsmidler i undervisningen, herunder udvikling af nye undervisnings- og læringsmidler.

KL har uddybende anført, at det ved brug af digitale værktøjer er nødvendigt at benytte tekniske data til løbende at udvikle og forbedre værktøjerne. Kommunerne ville over tid få utidssvarende produkter, hvis leverandørerne ikke løbende forbedrede og udviklede værktøjerne. Udviklingen af digitale undervisningsmidler har, som det er forudsat folkeskoleloven, den fællesoffentlige digitaliseringsstrategi 2011 til 2015 på folkeskoleområdet samt økonomiaftalen, løbende fundet sted. Efter KL’s opfattelse vil undervisningen i folkeskolen ikke leve op til forudsætningen i folkeskoleloven om fuld integration af edb eller digitale undervisningsmidler i undervisningen, hvis disse undervisningsmidler ikke løbende modnes gennem udvikling, opdatering og forbedring.

Endelig har KL anført, at det fremgår af den fællesoffentlige digitaliseringsstrategi 2011 til 2015, at ”formålet med de digitale læringsprocesser er, at de skal styrke elevernes faglighed og ruste dem bedre til fremtiden.”[11] Det vil efter KL’s opfattelse ikke være muligt at ruste eleverne til fremtiden med gårsdagens digitale læringsmidler. Det er i den forbindelse ikke uventet for kommunerne, at produkterne, som de aftager, forbedre og udvikles. Det er tillige et ønske for kommunerne, at produkterne følger med tiden.

Som anført i Datatilsynets afgørelse af 14. juli 2022 over for Helsingør Kommune, har kommunerne som led i deres ansvar for folkeskolen ret og pligt til at tilrettelægge undervisningen, så den lever op til folkeskolens formål samt målsætninger for de enkelte fag. Det omfatter bl.a. valg af undervisnings- og arbejdsformer, undervisningsmidler mv. Det følger af folkeskolelovens § 2, stk. 1, og § 18, stk. 1.

Disse bestemmelser medfører efter Datatilsynets opfattelse også en vis adgang til at behandle personoplysninger, når det er nødvendigt som led i kommunernes valg af undervisnings- og læringsmidler.

Størstedelen af de oplysninger, som Google modtager og behandler til egne formål som led i kommunernes brug af Google Chromebooks og Workspace for Education, er metadata om den enkelte elevs brug af værktøjerne. Det omfatter bl.a. oplysninger om computerens indstillinger, oplysninger om brugen af værktøjerne, applikationerne, Chrome-browseren mv.

Google har over for KL oplyst, at formålet med at behandle disse oplysninger overordnet kan opdeles i (i) oprindelige formål og (ii) afledte formål. Ifølge Google er de oprindelige formål uløseligt forbundet med Googles levering af de omhandlede værktøjer og tjenester til kommunerne. Alle de omhandlede personoplysninger modtages og behandles i første omgang til dette formål. Derudover gør de afledte formål det muligt for Google at levere værdi til kunder og slutbrugere med hensyn til deres brug af de omhandlede værktøjer og tjenester og på anden måde opfylde Googles forpligtelse som den dataansvarlige.

For så vidt angår de afledte formål har Google oplyst, at det bl.a. omfatter (i) vedligeholdelse og forbedring af Google Workspace for Education-tjenesten, Chrome OS samt Chrome-browseren, (ii) måling af ydeevnen af Chrome OS og Chrome-browseren, samt (iii) udvikling af nye funktioner og tjenester i Chrome OS og Chrome-browseren.

Google har endvidere redegjort for, hvordan virksomheden behandler oplysningerne til disse afledte formål:

”When processing for these purposes, Google engineers do not use (and have no interest in using) personal data about specific end users or administrators at an individual level. Google has no interest in (for example) understanding whether and how a specific user uses a specific tool in one of its services, but Google does have an interest in understanding whether and how Google's users in general, on an overall level, use that tool. This means that Google’s staff do not access or use any specific identifiers […] relating to any end user when processing for these purposes.

For example, in the context of ChromeOS, Google has no interest in processing an end user's specific device ID or serial number in order to “measure performance”, but Google has an interest in processing large datasets of numbers of managed devices per country, regions, licenses, feature usage and failure rates etc keyed to a pseudonymous ID to understand the revenue distributions and generate insights of areas where Google needs to improve and – as such – “measure performance”.”

Datatilsynet lægger til grund, at kommunerne som led i deres brug af Chromebooks og Google Workspace for Education behandler og videregiver personoplysninger til Google, og at disse oplysninger alene behandles til de oprindelige formål og de afledte formål, som KL har anført.

Endvidere lægger Datatilsynet til grund, at oplysningerne med hensyn til de afledte formål kun behandles til udvikling og forbedring af tjenester, som kommunerne har indkøbt, og at Google ikke behandler disse oplysninger – eller andre oplysninger såsom indholdsdata – til markedsføringsformål.

På baggrund af de ovennævnte ændringer af folkeskoleloven finder Datatilsynet, at det må anses for at have været intentionen fra lovgivers side, at edb skal udgøre en integreret del af folkeskolen. Det er navnlig kommet til udtryk med indførelsen af edb som obligatorisk fag, hvor eleverne skulle opnå kendskab til, hvordan edb kunne anvendes i kommunikations- og problemløsningsprocesser, og hvordan brug af edb påvirker sådanne processer. Siden er integrationen af edb blevet udvidet, idet det obligatoriske fag blev afskaffet, og edb blev en integreret del af alle folkeskolens fag.

Datatilsynet anerkender derudover, at der over en årrække er sket en udvikling i, hvordan it-systemer og -services leveres. Siden 1990’erne er der sket væsentlige ændringer i såvel arkitektur og funktionalitet som leverancemodel. Det er i dag i langt højere grad normen, at leverandørerne af it-systemer og -services indsamler og måler oplysninger om systemernes brug. Det sker med henblik på at udnytte løsningernes fulde funktionalitet samt løbende at forbedre det leverede og er i høj grad faciliteret af internettets udbredelse og den stigende mængde regnekraft, der er til rådighed.

Datatilsynet bemærker dog, at denne udvikling ikke nødvendigvis til fulde er sket med den fornødne fokus på databeskyttelsesreglerne og hensynet til den enkelte borger. Selvom der i Danmark siden persondatalovens indførelse i 2000 har eksisteret næsten enslydende krav til lovlig behandling af personoplysninger, har de dataansvarlige ikke i fornødent omfang stillet krav til deres leverandører af it-systemer og -services, der sikrede, at udviklingen i hvordan it-services bliver leveret, skete inden for rammerne af databeskyttelsesreglerne.

Samlet set finder Datatilsynet, at der ikke er grundlag for at tilsidesætte kommunernes vurdering af, at det som led i kommunernes valg af undervisnings- og læringsmidler i folkeskolen er nødvendigt at behandle og videregive personoplysninger til Google som led i brugen af Google Chromebooks og Workspace for Education til brug for (i) levering af og (ii) forbedring af sikkerheden og pålideligheden af de omhandlede tjenester mv. (”de oprindelige formål”), jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. artikel 6, stk. 3, og folkeskolelovens § 2, stk. 1, og § 18, stk. 1. Det omfatter bl.a. behandling af personoplysninger med henblik på levering af tjenesterne, forbedring af sikkerheden og pålideligheden af tjenesterne, kommunikation med bl.a. kommunerne og overholdelse af retlige forpligtelser.

Datatilsynet har herved navnlig lagt vægt på, at de pågældende formål er uløseligt forbundet med Googles levering af Google Chromebooks og Workspace for Education til kommunerne, hvilket også skal ses i lyset af den teknologiske udvikling og udviklingen i, hvordan it-services og -tjenester leveres i dag.

Datatilsynet anerkender derudover, at videreudvikling af de undervisnings- og læringsmidler, som kommunerne har besluttet at gøre brug af i folkeskolen, er nødvendig for at sikre, at læringsmidlerne afspejler den tidsmæssige samtid, så eleverne kan lære at håndtere dagens og fremtidens problemstillinger og udfordringer med tidssvarende og moderne værktøjer.

Det er imidlertid Datatilsynets vurdering, at kommunerne ikke inden for rammerne af folkeskolelovens § 2, stk. 1, og § 18, stk. 1, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra e, kan behandle og videregive personoplysninger om skoleelever til Google som led i brugen af Google Chromebooks og Workspace for Education til brug for (i) vedligeholdelse og forbedring af Google Workspace for Education-tjenesten, Chrome OS samt Chrome-browseren, (ii) måling af ydeevnen af Chrome OS og Chrome-browseren, samt (iii) udvikling af nye funktioner og tjenester i Chrome OS og Chrome-browseren (”de afledte formål”).

Datatilsynet lægger herved særligt vægt på, at disse afledte formål ikke kun dækker udviklingen af de konkrete undervisnings- og læringsmidler, som kommunerne aftager, men også den generelle udvikling af Googles produkter, f.eks. Chrome OS og Chrome-browseren. Disse produkter leveres ikke udelukkende til kommunerne, men udbydes generelt på markedet, og videreudviklingen gavner dermed i bredeste forstand disse produkters og leverandørens markedsposition. Endvidere har Datatilsynet lagt vægt på, at denne udvikling sker på baggrund af personoplysninger om skoleelever, der indsamles som led i deres brug af læringsmidlerne, som skoleeleverne er forpligtede til at bruge, dette uanset at disse personoplysninger aggregeres til generelle brugsmønstre.

Selvom at der kan siges at være tale om en mindre indgribende behandling af personoplysninger, idet oplysningerne pseudonymiseres og aggregeres, hvorfor kravene til det nødvendige lovgrundlag er mindre, og uanset den fleksibilitet, der efter Datatilsynets opfattelse findes i databeskyttelsesforordningens artikel 6, stk. 1, litra e, og det ”nødvendighedskrav”, der fremgår af bestemmelsen, ses der efter Datatilsynets opfattelse ikke i de relevante bestemmelser i folkeskoleloven at kunne findes det fornødne grundlag for kommunernes videregivelse af oplysninger til de omhandlede formål.

Det synes således ikke at fremgå hverken af folkeskolens ordlyd eller forarbejder, at det er en nødvendig del af eller en forudsætning for kommunernes opgaveløsning i henhold til folkeskoleloven, at kommunerne videregiver personoplysninger om skoleelever til leverandøren af undervisnings- og læringsmidler med henblik på leverandørens generelle videreudvikling af sine it-produkter ved brug af disse oplysninger. Det følger hverken af en naturlig forståelse af lovens bestemmelser om, hvordan edb oprindeligt skulle integreres i folkeskolen – og siden i de enkelte fag – eller af læseplanen og undervisningsvejledningen om edb-faget og formålet hermed.

Det fremgår således ikke, at det fra Folketingets side har været tilsigtet, at den generelle videreudvikling af de undervisnings- og læringsmidler, som kommunerne beslutter skal anvendes i folkeskolen, skal kunne ske ved at videregive personoplysninger om skoleelever, som bruger de omhandlede undervisnings- og læringsmidler, til tredjeparter, herunder leverandøren heraf. Endvidere fremgår det på ingen måde, at Folketinget generelt har forudset den teknologiske udvikling, der er sket siden vedtagelsen af de omhandlede bestemmelser i folkeskoleloven i 1993.

Det kan ikke føre til et andet resultat, at KL i tillæg til folkeskoleloven og forarbejderne hertil har henvist til den fællesoffentlige digitaliseringsstrategi 2011 til 2015 og økonomiaftalen mellem kommunerne og regeringen fra 2012. Ingen af disse kan anses for at være et udtryk for lovgivers intention om, hvilke opgaver og forpligtelser kommunerne har i henhold til folkeskolen, og hvordan disse skal varetages.

Endelig bemærker Datatilsynet, at de nævnte betragtninger ikke forekommer at være et isoleret problem i relation til folkeskoleloven. Datatilsynet opfordrer derfor til, at der fra lovgivers side fremadrettet tages entydigt stilling til, i hvilket omfang personoplysninger om borgere som en del af samfundskontrakten kan eller skal videregives i tilfælde som det omhandlede, herunder særligt i offentligt-private samarbejder.

Datatilsynet finder derfor grundlag for at meddele kommunerne påbud om at bringe kommunernes behandling af personoplysninger i form af videregivelse af personoplysninger til Google i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra a, og artikel 6, stk.1, samt at kunne påvise dette, jf. forordningens artikel 5, stk. 2.

Det kan ske f.eks. ved:

  1. at kommunerne ophører med at videregive personoplysninger til Google til de omhandlede formål, hvilket sandsynligvis forudsætter, at Google udvikler en teknisk mulighed for, at de pågældende datastrømme afskæres,
  2. at Google afstår fra at behandle oplysninger til disse formål, eller
  3. at der fra Folketingets side tilvejebringes et tilstrækkeligt klart retsgrundlag for den pågældende behandling.

Datatilsynet anmoder i første omgang kommunerne om at tilkendegive, hvordan kommunerne agter at efterleve det ovennævnte påbud. Datatilsynet skal anmode om at modtage denne tilkendegivelse senest den 1. marts 2024.

Fristen for efterlevelse af påbuddet i øvrigt er den 1. august 2024. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Ifølge databeskyttelseslovens § 41, stk. 2, nr. 4, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

5. Afsluttende bemærkninger

På baggrund af sagens karakter har Datatilsynet besluttet at orientere Folketingets Retsudvalg og Udvalget for Digitalisering og It samt Justitsministeriet og Børne- og Undervisningsministeriet om sagen.

For så vidt angår de øvrige spørgsmål i sagen bemærker Datatilsynet, at tilsynet fortsat behandler disse og forventer at fortsætte behandlingen parallelt med kommunernes efterlevelse af det ovennævnte påbud.

 

[1]   C-175/20, Valsts ieņēmumu dienests, præmis 83.

[2]   Lovbekendtgørelse nr. 1086 af 15. august 2023 om folkeskolen.

[3]   Digitaliseringsstrategien 2011 til 2015 med bilag kan tilgås her: https://digst.dk/strategier/den-faellesoffentlige-digitaliseringsstrategi/tidligere-strategier/digitaliseringsstrategien-2011-til-2015/

[4]   Digitaliseringsstrategien 2011 til 2015, Fokusområde 3 – Folkeskolen skal udfordre den digitale generation, s. 22.

[5]   Google har oplyst, at levering af personaliserede tjenester “is a purpose under the Google Privacy Policy that applies to processing via Chrome Sync, except when the customer uses that service as part of Workspace for Education (in which case, the Google Privacy Policy, including this purpose, will not apply to that processing, and the Google Cloud Privacy Notice will apply instead). As we understand that all of the relevant Danish municipalities will use Chrome Sync as part of Workspace for Education, this processing purpose will not be applicable to their end users.”

[6]   Se note 6.

[7]   Se definitionen af Services i pkt. 15.19 i Google Workspace for Education Terms of Service

[8]   Se definitionen af Chrome Services i pkt. 15 i Chrome Online Agreement.

[9]   Google Terms of Service (dateret 5. januar 2022): https://policies.google.com/terms

[10]   Google Privacy Policy (dateret 4. oktober 2023): https://policies.google.com/privacy

[11]   Google Privacy Policy (dateret 4. oktober 2023): https://policies.google.com/privacy