Datenschutz-Check

Lesezeit: 6 Minuten

Während Lehrkräfte in der Vergangenheit nicht viel darüber nachdachten, ob die tolle neue App oder Online-Plattform, die sie für ihren Unterricht entdeckt hatten und dann kurzerhand direkt in der nächsten Unterrichtsstunde mit ihren Schülern ausprobierten, auch den datenschutzrechtlichen Vorgaben entsprach, ist man heute deutlich sensibler bezüglich des Themas Datenschutz. Es ist klar, nicht alles, was geht, ist auch immer gut, denn manche Anbieter genügen den datenschutzrechtlichen Vorgaben des Schulgesetzes und der DS-GVO nicht oder nur unzureichend. Doch woher weiß man, ob ein App den Anforderungen genügt?

“Weiterhin sind die hohen Anforderungen an den Schutz von Daten von Kindern (s. Art. 6 Abs. 1 lit. f, Art. 8 DS-GVO) und an die Vertraulichkeit sowie die hierzu gebotenen technischen und organisatorischen Datenschutzmaßnahmen zu berücksichtigen (s. Art. 5 Abs. 1 lit. f, Art. 32 DS-GVO). Eine ggf. für die Verarbeitung von Schülerdaten vorgesehene Anwendung bedürfte einer detaillierten Prüfung durch den Verantwortlichen, ob die gesetzlichen und insbesondere technischen und organisatorischen Voraussetzungen erfüllt sind. Dies dürfte mit den in der Regel in Schulen vorhandenen Mitteln kaum zu gewährleisten sein.”1Quelle: 16. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt für 2019, S. 51

Aufsichtsbehörden prüfen zwar durchaus Plattformen auf ihre Datenschutzkonformität und man liest dann Aussagen von ihnen wie, “können wir nicht empfehlen”, doch wer von ihnen Empfehlungen erwartet, wird enttäuscht werden, denn als ein Datenschutz TÜV oder eine Zertifizierungsstelle sehen sie sich nicht, wie auch die LDI NRW betont.

“Die LDI NRW ist keine Einrichtung, die etwa der „Stiftung Warentest“ vergleichbar wäre. Sie selbst kann – schon aus kapazitativen Gründen – grundsätzlich keine Prüfung einzelner Softwareprodukte vornehmen. Sie ist regelmäßig keine Genehmigungsbehörde für Datenverarbeitungsprozesse oder Softwareprodukte. Sie ist auch keine Zertifizierungsstelle und spricht grundsätzlich keine ausdrücklichen Empfehlungen für einzelne Produkte aus.”2Quelle: Pandemie und Schule – Datenschutz mit Augenmaß Stand: 18. Mai 2020, S. 4

Selbst mit einer Checkliste wie dem Leitfaden für die datenschutzkonforme Auswahl und Nutzung von Apps.pdf des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg und der sehr gut gemachten Checkliste: Apps im Unterricht – Regeln und Tipps zum datenschutzkonformen Einsatz von DigiBitS wird es für viele Schulen noch immer sehr schwierig sein, eine entsprechende Bewertung vorzunehmen.

Auf dieser Seite sollen deshalb im Laufe der Zeit Bewertungen gesammelt werden zu Online-Plattformen und Apps, die für Schulen von Interesse sind. Beim Datenschutz Check soll festgestellt werden, ob die Angebote datenschutzkonform nutzbar sind bzw. unter welchen Bedingungen das möglich ist. Ziel ist dabei, dieses verständlich und nachvollziehbar aufzubereiten.

Bewertete Plattformen und Apps

Weitere Informationen

Eine US Organisation, welche Apps und Plattformen auf das Thema Datenschutz untersucht und dafür die Datenschutzerklärungen der Anbieter auswertet, ist Common Sense Privacy Program. Auch wenn man sich vor allem auf Apps und Plattformen konzentriert, die für US Schulen von Interesse sind, lohnt ein Blick, da die Auswertungen sehr differenziert sind.

Wie kann man selbst Anbieter überprüfen?

  1. Man sollte zunächst das Impressum/ About nachsehen, um etwas über den Sitz der Firma herauszufinden, da dieses häufig auch die Jurisdiktion ist, welcher der Anbieter unterliegt.
  2. Danach sollte die Datenschutzerklärung/ Privacy untersucht werden. Zu den wichtigsten Angaben zählen die erhobenen Daten und die Dienste Dritter/ Third Parties.
  3. Auch die AGB/ Terms of Service/ Terms/ TOS können wichtige Aufschlüsse liefern. Sind die Angaben dort nur in englischer Sprache verfügbar, kann man sie sich gut mit dem EU Council Presidency Translator (Online-Übersetzungstool der EU Ratspräsidentschaft) übersetzen, der vor allem bei technisch-bürokratischer Sprache sehr zuverlässig ist.
  4. Moderne Browser zeigen an, wie viele Cookies auf einer Website aktiv sind bzw. gesetzt werden. Bei Chrome erhält man diese Informationen über einen Klick auf das Schloss-Symbol links neben der URL der Seite, bei Brave zeigt der Löwenkopf in der Standardeinstellung zusätzlich, welche Aktivitäten geblockt wurden. Vergleichbare Funktionen gibt es bei Firefox, Edge und Safari. Cookies, die unter der URL der Seite selbst aufgeführt werden (1st Party Cookies), sind oft unbedenklich. Anbieter lassen Dienste Dritter, etwa von Google, Facebook und ähnlich zunehmend unter der eigenen URL laufen. Sie erscheinen dann ebenfalls als 1st Party Cookies. Ein Blick lohnt immer auf Cookies, die von anderen URL (3rd party cookies), etwa Google, Facebook, DoubleClick.net, Mixpanel, … in die Plattform eingebunden sind.
  5. Mit dem Webdienst Webbkoll Dataskydd lassen sich Websites auf Cookies und Tracking Mechanismen überprüfen. Dabei sollte darauf geachtet werden, den Test mit einer Seite aus der Plattform, um die es geht, zu machen und nicht mit der Seite, mit welcher der Anbieter seine Plattform bewirbt. Prüft man die Seite, mit welcher der Anbieter auf sein Produkt aufmerksam macht und um Kunden wirbt, wird man nahezu immer Analyse Tools im Hintergrund laufen finden. Das muss in der eigentlichen Plattform nicht der Fall sein.3   Es kann allerdings schon ein Problem sein, wenn die Login Seite zu einer Plattform gleichzeitig die Seite ist, mit welcher der Dienst beworben wird. Dann mögen Nutzer zwar in der Plattform keinen Datenabgriffen ausgesetzt sein, werden dafür aber vor dem Login zum Daten Striptease gezwungen. Es empfiehlt sich, eine Seite in der Plattform aufzurufen und die URL davon dann in Webbkoll Dataskydd zu testen.
  6. Die Seite PrivacyScore beschreibt sich selbst als einen automatischen Webseiten-Scanner dabei unterstützt, Webseiten auf Datenschutz- und Sicherheitsaspekte hin zu untersuchen. Anders als bei Webbkoll Dataskydd sind die Ergebnisse jedoch nicht immer zuverlässig. Wie sicher ein Befund der automatischen Analyse ist, wird mit einem Label markiert.
  7. Die Erweiterung Big Tech Detective für Chromium basierte Browser und Firefox zeigt auf, ob beim Aufruf einer Website Daten mit Servern von Google, Facebook, Amazon und Microsoft ausgetauscht werden. Blockiert man eine der Plattformen, werden deren Anfragen aufgelistet, so dass man sehen kann, über welche Schnittstellen die Kommunikation erfolgt.
  8. Die australische Plattform BuiltWith mit deutschem Benutzerinterface gibt Aufschluss über die von einer Website verwendeten Technologien. Dabei werden auch Analyse- und Tracking Dienste, welche auf einer Website eingebaut sind, aufgeführt. Anders als Webbkoll Dataskydd, liefert BuiltWith keine Echtzeit Analyse, sondern greift auf eine Datenbank zurück, die fortlaufend aktualisiert wird. In den Ergebnissen finden sich auch Hinweise, ob sich genutzte Dienste im Laufe der Zeit verändert haben.
  9. Verwendet eine Website Google Analytics kann man über die Google-Analytics Prüfung der Universität Bamberg testen, ob die IP Nummer dabei durch Verkürzung anonymisiert wird oder nicht. Mit Verkürzung erhält Google Analytics keine IP Nummer, die geeignet ist, die im Zusammenhang mit dieser IP Nummer aufgezeichneten Aktivitäten einer identifizierbaren Person zuzuordnen.
    1. Die Prüfung mit dem Tool der Uni Bamberg kommt in der Regel an ihre Grenzen, wenn man innerhalb einer Plattform mit eingeloggtem Nutzern prüfen will. Es bleibt dann noch die Möglichkeit, selbst zu forschen über die Entwicklertools im Chrome Browser oder Chromium basierten Browsern. Eine Anleitung dazu findet sich unter IP-Anonymisierung in Google Analytics prüfen und aktivieren bei traffic3.
  10. Mobile Apps verhalten sich oft ähnlich wie Websites von Anbietern. Auch in Apps können wie in Websites Analyse- und Tracking Dienste eingebaut werden, um Aufschluss über Nutzer und ihr Verhalten zu erlangen. Anbieter wie Facebook und Google bieten App Entwicklern sogenannte Software Developer Kits (SDK) an, die fertige Funktionen liefern und Entwicklern Arbeit abnehmen können. Allerdings kommt dieser Service oft mit einem Preis. Die Anbieter der SDK erhalten Zugriff auf Daten der App Nutzer.
    1. Bei iOS sind App Anbieter seit iOS 14 gehalten, genaue Datenschutzinformationen zu geben und Tracking offenzulegen. Hier sollte man genau hinsehen bei der Auswahl von Apps.
    2. Seit iOS 15.2 gibt es nun die Möglichkeit, die Aktivitäten von Apps zu protokollieren. Was vorher über nur ein zwischengeschaltetes Tool wie einen Proxy Server möglich war, ist jetzt mit Bordmitteln von iOS machbar. Im Menü Datenschutz findet sich die Möglichkeit, Aktivitäten von Apps aufzuzeichnen und anschließend als Protokoll auszugeben. Die JSON Daten lässt sich mit jedem Texteditor lesen.
      Das Beispiel zeigt eine Aufzeichnung zur Padlet App. Wie man hier sehen kann, wird unter anderem eine Verbindung zu Google Firebase Servern aufgebaut. Wer sich tiefer einlesen möchte, findet auf der Entwickler Website von Apple unter Inspecting App Activity Data mehr Informationen.
    3. Bei Android gibt es zu Apps ebenfalls Datenschutzerklärungen. Allerdings sind diese nicht mit denen von iOS vergleichbar. Orientierung liefert hier die Datenbank von Mobil-Sicher – App Check. Ergänzend kann man Exodus – (Bewertung von Android Apps in Bezug auf Datenschutz) konsultieren.
  11. Wer selbst tiefer bohren möchte, kann sich der Entwickler Tools des Browsers bedienen. Bei Browsern wie Chrome oder Brave, der auf der Chrome Basis aufbaut, oder auch Firefox ist das relativ einfach. Man geht über das Hamburger Menü (die drei Punkte oben rechts) auf Weitere Tools und dann auf Entwickler Tools.
    Dort gibt es zwei Stellen, die einen guten Einblick geben, welche Datenverbindungen zwischen Browser und dem bestehen, was von einer besuchten Website angezeigt wird und welche Cookies gesetzt werden.
    Unter Sources wird angezeigt, von welchen Servern die im Browser dargestellten Inhalte kommen. Welche Cookies gesetzt werden, ist unter Application sichtbar.Am Beispiel der Seite Iderblog Schreibübungen Doppelkonsonanten sieht man, dass Inhalte von iderblog.eu kommen, von readspeaker.com (US Text to Speech Anbieter), creativecommons.org (Creative Commons Logo und Lizenzverlinkung), matomo.online-grundschule.de (auf online-grundschule.de gehostetes Analyse Tool), piwik.lpm.uni-sb.de (durch die Universität Saarbrücken gehostetes Analyse Tool) und webfonts.14v.de (Schriftarten, die beim Dienstleister 14.de gehostet werden).
    Auch unter Local Storage können Cookies abgelegt sein. Anders als bei den unter Cookies im Browser abgelegten Dateien gibt es hier keine Speicherbegrenzung. Auch hier kann man mitunter Drittanbieter Cookies finden.Für die Website werden unter Application die Cookies angezeigt. Die, welche der Domain der Website (iderblog.eu) selbst zugeordnet sind, bezeichnet man als 1st party cookies, und die, welche anderen Websites zugeordnet sind, fallen unter 3rd party Cookies. Um herauszufinden, welche Cookies, woher kommen, reicht eine Websuche mit der Suchmaschine des Vertrauens. Im Fall dieser einzelnen Webseite werden

    1. als 3rd party cookies: Google-Analytics Cookies mit der Einbettung des Audio Players für die Vorlesefunktion vom Server von readspeaker.com in den Browser geladen. Hinzu kommt ein Facebook Analyse Cookie und Cookies des Analyse Spezialisten Hotjar (_hjTLDTest, _hjid, hj_TLDTest). Einige davon werden erst geladen, wenn der Abspielknopf des Audio Players gedrückt wird, und
    2. als 1st party cookies: eines geladen, welches mit Zustimmung/ Ablehnung von Cookies zu tun hat (cookieconstestatus) und drei piwik Analyse Cookies.