Apps und Datenschutz

Kurzer Hinweis: dieser Artikel bezieht sich an vielen Stellen auf Gesetze und Beratungsstellen, die spezifisch für Schleswig-Holstein sind. Viele der Infos sind aber länderübergreifend gültig.

„Für Kinder und Jugendliche, die im Land Schleswig-Holstein ihre Wohnung oder ihre Ausbildungsstätte haben, besteht Schulpflicht.“ (SchulG SH §20)
Kinder und Jugendliche sind zum Schulbesuch verpflichtet und damit werden im bedeutenden Umfang ihre Grundrechte (z.B. Freiheit der Person – GG §2) eingeschränkt. Im Zusammenhang mit der Schulpflicht haben Lehrkräfte besondere Sorgfalt walten zu lassen, sodass nicht weitere Grundrechte eingeschränkt werden. Dazu gehört unter anderem das Recht auf Informationelle Selbstbestimmung – abgeleitet aus GG §2) Zur Verdeutlichung möchte ich ein Worst-Case-Szenario skizzieren: Ein Schüler wird durch das Schulgesetz verpflichtet, am Unterricht teilzunehmen. Dort verlangt die Lehrkraft von Ihm, eine App zu nutzen. Zeit, die AGB zu lesen (oder seine vermutlich sorgeberechtigten Eltern zu fragen) hat der Schüler nicht. Durch die Einwilligung in die nicht gelesenen AGB stimmt der Schüler zu, dass nicht nur seine Eingaben in der App, sondern sogar Fotos und private Nachrichten von seinem Smartphone an den Entwickler übermittelt werden dürfen, wo diese Daten dann verkauft werden. In diesem Fall wären z.B. das Recht auf Privatsphäre und informationelle Selbstbestimmung verletzt. Da der Schüler aber zum Schulbesuch verpflichtet war, hatte er keine Möglichkeit, diesem Problem zu entgehen. Als personenbezogenes Datum gilt im Sinne des Grundgesetzes selbst schon die IP-Adresse (eindeutige Identifikation eines Internetanschlusses), die übermittelt wird, wenn die Lernenden sich von zu Hause aus einloggen. Bei der Verwendung von schuleigenen Geräte gelten in eine Cloud hochgeladene Arbeitsergebnisse als personenebezogenes Datum, wenn sie dem Verfasser eindeutig zugeordnet werden können (z.B. über die IP-Adresse oder Mac-Adresse). Computeralgorithmen können zum Teil bereits an der Art, wie ein Mensch an der Tastatur tippt oder wie man die Maus bewegt eindeutig zuordnen, wer den PC benutzt. Besonders kritisch wird das Thema aber auch dann, wenn Lehrkräfte Apps zur Notenverwaltung nutzen wollen.
Diesen Überlegungen entspringen zwei gegensätzliche Gruppierungen. Auf der einen Seite wird gefordert, auf die Verwendung von Apps oder Computern im Allgemeinen im Unterricht vollständig zu verzichten. Auf der anderen Seite wird gesagt, dass die Sicherheit von Daten sowieso eine Illusion sei und man sich davor nicht schützen kann, weshalb man sich auch keine Gedanken darüber machen brauche. Für mich liegt die Wahrheit irgendwo dazwischen. Deswegen habe ich nach Merkmalen gesucht, die eine App bzw. eine Software erfüllen sollte, damit ich sie im Unterricht ohne Sorge einsetzen kann.

  1. Cloud-Speicher
    Ich nutze prinzipiell keine Apps im Unterricht, bei denen ich bzw. die Lernenden zur Speicherung der Daten in einer Cloud gezwungen werden. Viele Apps bieten die Möglichkeit, diese Funktion auszuschalten (z.B. Nutzung der iCloud bei Apple-Geräten). Andere Apps funktionieren ohne Cloudspeicherung schlichtweg nicht. Dazu zählen beispielsweise Office-Programme wie Google Docs, in denen Lernende gleichzeitig am selben Dokument arbeiten oder Quiz-Software wie Kahoot, bei denen die Ergebnisse unmittelbar ausgewertet werden. Auch Kommunikationsplattformen wie Facebook oder Whatsapp speichern alle Daten und Nachrichten in einer Cloud. Alternativen bieten hierbei Lokale Clouds, bei denen die Daten nicht auf einem Server im Ausland, sondern im Gebäude des Schulträgers zusammengetragen werden. Als Beispiel seien Server von Synology genannt, die im Schulgebäude stehen können und dort die Daten lokal speichern und gleichzeitig die Office-Funktionen eines Google-Docs mit sich bringen.
  2. Login-Konten
    Müssen Konten mit einem persönlichen Login angelegt werden, kann man davon ausgehen, dass diese Daten (Zugangsname und Passwort) auch in einer Cloud gespeichert werden. Danach können problemlos Nutzerprofile angelegt werden, wann sich die Person mit welcher IP-Adresse von wo aus eingeloggt hat. Selbst eine Anonymisierung der Zugangsdaten kann dann nicht verhindern, dass einzelne Personen eindeutig identifiziert werden können.
  3. Zugriffsberechtigungen
    Bei der Installation einer App werden für gewöhnlich Zugriffsberechtigungen gefordert. Diese müssen vom Benutzer aktiv genehmigt werden. Eine kostenlose Taschenlampen-App, die Zugriff auf private Nachrichten fordert, ist grundsätzlich erstmal verdächtig. Ich meide deshalb für meinen Unterricht Apps, bei denen den geforderten Berechtigungen nicht zum Einsatzzweck passen.
  4. Reviews und Bewertungen
    Reviews und Bewertungen innerhalb eines App-Store (z.B. Google Play Store oder Apple App Store) sind für gewöhnlich nicht vertrauenswürdig, da diese gekauft sein könnten und die dort bewertenden Nutzer selbst nicht zwangsläufig Ahnung von Software bzw. dem Einsatz im Unterricht haben. Reviews von Fachjournalisten sind eher anzuraten und über gängige Suchmaschinen schnell zu finden.
  5. Sicherheitsupdates
    Eine App kann nur sicher sein, wenn sie aktuelle und an das System angepasste Updates liefert. Diese sollten nicht älter als ein halbes Jahr sein. In der Regel kann im Store direkt nachgelesen werden, wie alt das letzte Update ist.

Die hier aufgeführten Hinweise beschreibe meine Vorgehensweise. Das ist aber keine Garantie für eine App-Auswahl, die mit dem geltenden Recht vereinbar ist. Ausführliche und professionelle Unterstützung gibt es zum Thema von unterschiedlichen Dienstleistern.

Das Unabhängige Landeszentrum für Datenschutz (ULD) bietet zudem folgenden Seiten:

Neben einem Informationsportal bietet das ULD auch persönliche Beratung an. Dazu nehmen Sie persönlichen kontakt über mail@datenschutzzentrum.de auf.

Soll bewusst Software eingesetzt werden, die personenbezogene Daten speichert, ist eine Genehmigung mit einer Verfahrensdokumentation zur Auftragsdatenverarbeitung erforderlich. Dies spielt im Besonderen bei der Verwendung einer Schulplattform eine Rolle. Das ULD formuliert es so: „Seitens der Schulleiterin oder des Schulleiters ist in jedem Fall zu prüfen, ob es sich bei der Nutzung [eines] Online-Dienstes um Datenverarbeitung im Auftrag (§ 17 LDSG) handelt. In diesem Fall könnte die Nutzung eines solchen Dienstes genehmigungspflichtig sein (vgl. § 16 SchulDSVO), wenn die Möglichkeit besteht, dass bei der Nutzung personenbezogene Daten von Schülerinnen und Schülern verarbeitet werden.“ Weitere Hinweise finden Sie hier:

Ich freue mich über Hinweise, Ergänzungen, Kommentare und Feedback an: kontakt@jenslindstroem.de
Dieser Artikel steht kann nach der Lizenz CC BY-SA unter Nennung dieser Homepage „www.jenslindstroem.de“ bearbeitet und weitergegeben werden.
Beitragsbild als Screenshot von https://www.datenschutzzentrum.de 13.08.2018

Ein Kommentar

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht.