Datenschutz-Check

Lesezeit: 5 Minuten

Während Lehrkräfte in der Vergangenheit nicht viel darüber nachdachten, ob die tolle neue App oder Online-Plattform, die sie für ihren Unterricht entdeckt hatten und dann kurzerhand direkt in der nächsten Unterrichtsstunde mit ihren Schülern ausprobierten, auch den datenschutzrechtlichen Vorgaben entsprach, ist man heute deutlich sensibler bezüglich des Themas Datenschutz. Es ist klar, nicht alles, was geht, ist auch immer gut, denn manche Anbieter genügen den datenschutzrechtlichen Vorgaben des Schulgesetzes und der DS-GVO nicht oder nur unzureichend. Doch woher weiß man, ob ein App den Anforderungen genügt?

„Weiterhin sind die hohen Anforderungen an den Schutz von Daten von Kindern (s. Art. 6 Abs. 1 lit. f, Art. 8 DS-GVO) und an die Vertraulichkeit sowie die hierzu gebotenen technischen und organisatorischen Datenschutzmaßnahmen zu berücksichtigen (s. Art. 5 Abs. 1 lit. f, Art. 32 DS-GVO). Eine ggf. für die Verarbeitung von Schülerdaten vorgesehene Anwendung bedürfte einer detaillierten Prüfung durch den Verantwortlichen, ob die gesetzlichen und insbesondere technischen und organisatorischen Voraussetzungen erfüllt sind. Dies dürfte mit den in der Regel in Schulen vorhandenen Mitteln kaum zu gewährleisten sein.“1Quelle: 16. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt für 2019, S. 51

Aufsichtsbehörden prüfen zwar durchaus Plattformen auf ihre Datenschutzkonformität und man liest dann Aussagen von ihnen wie, „können wir nicht empfehlen“, doch wer von ihnen Empfehlungen erwartet, wird enttäuscht werden, denn als ein Datenschutz TÜV oder eine Zertifizierungsstelle sehen sie sich nicht, wie auch die LDI NRW betont.

„Die LDI NRW ist keine Einrichtung, die etwa der „Stiftung Warentest“ vergleichbar wäre. Sie selbst kann – schon aus kapazitativen Gründen – grundsätzlich keine Prüfung einzelner Softwareprodukte vornehmen. Sie ist regelmäßig keine Genehmigungsbehörde für Datenverarbeitungsprozesse oder Softwareprodukte. Sie ist auch keine Zertifizierungsstelle und spricht grundsätzlich keine ausdrücklichen Empfehlungen für einzelne Produkte aus.“2Quelle: Pandemie und Schule – Datenschutz mit Augenmaß Stand: 18. Mai 2020, S. 4

Selbst mit einer Checkliste wie dem Leitfaden für die datenschutzkonforme Auswahl und Nutzung von Apps.pdf des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg und der sehr gut gemachten Checkliste: Apps im Unterricht – Regeln und Tipps zum datenschutzkonformen Einsatz von DigiBitS wird es für viele Schulen noch immer sehr schwierig sein, eine entsprechende Bewertung vorzunehmen.

Auf dieser Seite sollen deshalb im Laufe der Zeit Bewertungen gesammelt werden zu Online-Plattformen und Apps, die für Schulen von Interesse sind. Beim Datenschutz Check soll festgestellt werden, ob die Angebote datenschutzkonform nutzbar sind bzw. unter welchen Bedingungen das möglich ist. Ziel ist dabei, dieses verständlich und nachvollziehbar aufzubereiten.

Bewertete Plattformen und Apps

Weitere Informationen

Eine US Organisation, welche Apps und Plattformen auf das Thema Datenschutz untersucht und dafür die Datenschutzerklärungen der Anbieter auswertet, ist Common Sense Privacy Program. Auch wenn man sich vor allem auf Apps und Plattformen konzentriert, die für US Schulen von Interesse sind, lohnt ein Blick, da die Auswertungen sehr differenziert sind.

Wie kann man selbst Anbieter überprüfen?

  1. Man sollte zunächst das Impressum/ About nachsehen, um etwas über den Sitz der Firma herauszufinden, da dieses häufig auch die Jurisdiktion ist, welcher der Anbieter unterliegt.
  2. Danach sollte die Datenschutzerklärung/ Privacy untersucht werden. Zu den wichtigsten Angaben zählen die erhobenen Daten und die Dienste Dritter/ Third Parties.
  3. Auch die AGB/ Terms of Service/ Terms/ TOS können wichtige Aufschlüsse liefern. Sind die Angaben dort nur in englischer Sprache verfügbar, kann man sie sich gut mit dem EU Council Presidency Translator (Online-Übersetzungstool der EU Ratspräsidentschaft) übersetzen, der vor allem bei technisch-bürokratischer Sprache sehr zuverlässig ist.
  4. Moderne Browser zeigen an, wie viele Cookies auf einer Website aktiv sind bzw. gesetzt werden. Bei Chrome erhält man diese Informationen über einen Klick auf das Schloss-Symbol links neben der URL der Seite, bei Brave zeigt der Löwenkopf in der Standardeinstellung zusätzlich, welche Aktivitäten geblockt wurden. Vergleichbare Funktionen gibt es bei Firefox, Edge und Safari. Cookies, die unter der URL der Seite selbst aufgeführt werden (1st party cookies), sind oft unbedenklich. Ein Blick lohnt auf die von anderen URL (3rd party cookies), etwa Google, Facebook, DoubleClick.net, Mixpanel, …
  5. Mit dem Webdienst Webbkoll Dataskydd lassen sich Websites auf Cookies und Tracking Mechanismen überprüfen. Dabei sollte darauf geachtet werden, den Test mit einer Seite aus der Plattform, um die es geht, zu machen und nicht mit der Seite, mit welcher der Anbieter seine Plattform bewirbt. Prüft man die Seite, mit welcher der Anbieter auf sein Produkt aufmerksam macht und um Kunden wirbt, wird man nahezu immer Analyse Tools im Hintergrund laufen finden. Das muss in der eigentlichen Plattform nicht der Fall sein.3   Es kann allerdings schon ein Problem sein, wenn die Login Seite zu einer Plattform gleichzeitig die Seite ist, mit welcher der Dienst beworben wird. Dann mögen Nutzer zwar in der Plattform keinen Datenabgriffen ausgesetzt sein, werden dafür aber vor dem Login zum Daten Striptease gezwungen. Es empfiehlt sich, eine Seite in der Plattform aufzurufen und die URL davon dann in Webbkoll Dataskydd zu testen.
  6. Die Erweiterung Big Tech Detective für Chromium basierte Browser und Firefox zeigt auf, ob beim Aufruf einer Website Daten mit Servern von Google, Facebook, Amazon und Microsoft ausgetauscht werden. Blockiert man eine der Plattformen, werden deren Anfragen aufgelistet, so dass man sehen kann, über welche Schnittstellen die Kommunikation erfolgt.
  7. Die australische Plattform BuiltWith mit deutschem Benutzerinterface gibt Aufschluss über die von einer Website verwendeten Technologien. Dabei werden auch Analyse- und Tracking Dienste, welche auf einer Website eingebaut sind, aufgeführt. Anders als Webbkoll Dataskydd, liefert BuiltWith keine Echtzeit Analyse, sondern greift auf eine Datenbank zurück, die fortlaufend aktualisiert wird. In den Ergebnissen finden sich auch Hinweise, ob sich genutzte Dienste im Laufe der Zeit verändert haben.
  8. Verwendet eine Website Google Analytics kann man über die Google-Analytics Prüfung der Universität Bamberg testen, ob die IP Nummer dabei durch Verkürzung anonymisiert wird oder nicht. Mit Verkürzung erhält Google Analytics keine IP Nummer, die geeignet ist, die im Zusammenhang mit dieser IP Nummer aufgezeichneten Aktivitäten einer identifizierbaren Person zuzuordnen.
  9. Mobile Apps verhalten sich oft ähnlich wie Websites von Anbietern. Auch in Apps können wie in Websites Analyse- und Tracking Dienste eingebaut werden, um Aufschluss über Nutzer und ihr Verhalten zu erlangen. Anbieter wie Facebook und Google bieten App Entwicklern sogenannte Software Developer Kits (SDK) an, die fertige Funktionen liefern und Entwicklern Arbeit abnehmen können. Allerdings kommt dieser Service mit einem Preis. Die Anbieter der SDK erhalten Zugriff auf Daten der App Nutzer.
    1. Bei iOS sind App Anbieter seit iOS 14 gehalten, genaue Datenschutzinformationen zu geben und Tracking offenzulegen. Hier sollte man genau hinsehen bei der Auswahl von Apps.
    2. Bei Android gibt es zu Apps ebenfalls Datenschutzerklärungen. Allerdings sind diese nicht mit denen von iOS vergleichbar. Orientierung liefert hier die Datenbank von Mobil-Sicher – App Check. Ergänzend kann man Exodus – (Bewertung von Android Apps in Bezug auf Datenschutz) konsultieren.
  10. Wer selbst tiefer bohren möchte, kann sich der Entwickler Tools des Browsers bedienen. Bei Browsern wie Chrome oder Brave, der auf der Chrome Basis aufbaut, ist das relativ einfach. Man geht über das Hamburger Menü (die drei Punkte oben rechts) auf Weitere Tools und dann auf Entwickler Tools.
    Dort gibt es zwei Stellen, die einen guten Einblick geben, welche Datenverbindungen zwischen Browser und dem bestehen, was von einer besuchten Website angezeigt wird und welche Cookies gesetzt werden.
    Unter Sources wird angezeigt, von welchen Servern die im Browser dargestellten Inhalte kommen. Welche Cookies gesetzt werden, ist unter Application sichtbar.Am Beispiel der Seite Iderblog Schreibübungen Doppelkonsonanten sieht man, dass Inhalte von iderblog.eu kommen, von readspeaker.com (US Text to Speech Anbieter), creativecommons.org (Creative Commons Logo und Lizenzverlinkung), matomo.online-grundschule.de (auf online-grundschule.de gehostetes Analyse Tool), piwik.lpm.uni-sb.de (durch die Universität Saarbrücken gehostetes Analyse Tool) und webfonts.14v.de (Schriftarten, die beim Dienstleister 14.de gehostet werden).

    Für die Website werden unter Application die Cookies angezeigt. Die, welche der Domain der Website (iderblog.eu) selbst zugeordnet sind, bezeichnet man als 1st party cookies, und die, welche anderen Websites zugeordnet sind, fallen unter 3rd party Cookies. Um herauszufinden, welche Cookies, woher kommen, reicht eine Websuche mit der Suchmaschine des Vertrauens. Im Fall dieser einzelnen Webseite werden

    1. als 3rd party cookies: Google-Analytics Cookies mit der Einbettung des Audio Players für die Vorlesefunktion vom Server von readspeaker.com in den Browser geladen. Hinzu kommt ein Facebook Analyse Cookie und Cookies des Analyse Spezialisten Hotjar (_hjTLDTest, _hjid, hj_TLDTest). Einige davon werden erst geladen, wenn der Abspielknopf des Audio Players gedrückt wird, und
    2. als 1st party cookies: eines geladen, welches mit Zustimmung/ Ablehnung von Cookies zu tun hat (cookieconstestatus) und drei piwik Analyse Cookies.