Datenschutz-Check

Lesezeit: 2 Minuten

Während Lehrkräfte in der Vergangenheit nicht viel darüber nachdachten, ob die tolle neue App oder Online-Plattform, die sie für ihren Unterricht entdeckt hatten und dann kurzerhand direkt in der nächsten Unterrichtsstunde mit ihren Schülern ausprobierten, auch den datenschutzrechtlichen Vorgaben entsprach, ist man heute deutlich sensibler bezüglich des Themas Datenschutz. Es ist klar, nicht alles, was geht, ist auch immer gut, denn manche Anbieter genügen den datenschutzrechtlichen Vorgaben des Schulgesetzes und der DS-GVO nicht oder nur unzureichend. Doch woher weiß man, ob ein App den Anforderungen genügt?

„Weiterhin sind die hohen Anforderungen an den Schutz von Daten von Kindern (s. Art. 6 Abs. 1 lit. f, Art. 8 DS-GVO) und an die Vertraulichkeit sowie die hierzu gebotenen technischen und organisatorischen Datenschutzmaßnahmen zu berücksichtigen (s. Art. 5 Abs. 1 lit. f, Art. 32 DS-GVO). Eine ggf. für die Verarbeitung von Schülerdaten vorgesehene Anwendung bedürfte einer detaillierten Prüfung durch den Verantwortlichen, ob die gesetzlichen und insbesondere technischen und organisatorischen Voraussetzungen erfüllt sind. Dies dürfte mit den in der Regel in Schulen vorhandenen Mitteln kaum zu gewährleisten sein.“1Quelle: 16. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt für 2019, S. 51

Aufsichtsbehörden prüfen zwar durchaus Plattformen auf ihre Datenschutzkonformität und man liest dann Aussagen von ihnen wie, „können wir nicht empfehlen“, doch wer von ihnen Empfehlungen erwartet, wird enttäuscht werden, denn als ein Datenschutz TÜV oder eine Zertifizierungsstelle sehen sie sich nicht, wie auch die LDI NRW betont.

„Die LDI NRW ist keine Einrichtung, die etwa der „Stiftung Warentest“ vergleichbar wäre. Sie selbst kann – schon aus kapazitativen Gründen – grundsätzlich keine Prüfung einzelner Softwareprodukte vornehmen. Sie ist regelmäßig keine Genehmigungsbehörde für Datenverarbeitungsprozesse oder Softwareprodukte. Sie ist auch keine Zertifizierungsstelle und spricht grundsätzlich keine ausdrücklichen Empfehlungen für einzelne Produkte aus.“2Quelle: Pandemie und Schule – Datenschutz mit Augenmaß Stand: 18. Mai 2020, S. 4

Selbst mit einer Checkliste wie dem Leitfaden für die datenschutzkonforme Auswahl und Nutzung von Apps.pdf des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg wird es für viele Schulen noch immer sehr schwierig sein, eine entsprechende Bewertung vorzunehmen.

Auf dieser Seite sollen deshalb im Laufe der Zeit Bewertungen gesammelt werden zu Online-Plattformen und Apps, die für Schulen von Interesse sind. Beim Datenschutz Check soll festgestellt werden, ob die Angebote datenschutzkonform nutzbar sind bzw. unter welchen Bedingungen das möglich ist. Ziel ist dabei, dieses verständlich und nachvollziehbar aufzubereiten.

Bewertete Plattformen und Apps

Weitere Informationen

Eine US Organisation, welche Apps und Plattformen auf das Thema Datenschutz untersucht und dafür die Datenschutzerklärungen der Anbieter auswertet, ist Common Sense Privacy Program. Auch wenn man sich vor allem auf Apps und Plattformen konzentriert, die für US Schulen von Interesse sind, lohnt ein Blick, da die Auswertungen sehr differenziert sind.

Wie kann man selbst Anbieter überprüfen?

  1. Man sollte zunächst das Impressum/ About nachsehen, um etwas über den Sitz der Firma herauszufinden, da dieses häufig auch die Jurisdiktion ist, welcher der Anbieter unterliegt.
  2. Danach sollte die Datenschutzerklärung/ Privacy untersucht werden. Zu den wichtigsten Angaben zählen die erhobenen Daten und die Dienste Dritter/ Third Parties.
  3. Auch die AGB/ Terms of Service/ Terms/ TOS können wichtige Aufschlüsse liefern.
  4. Moderne Browser zeigen an, wie viele Cookies auf einer Website aktiv sind bzw. gesetzt werden. Bei Chrome erhält man diese Informationen über einen Klick auf das Schloss-Symbol links neben der URL der Seite, bei Brave zeigt der Löwenkopf in der Standardeinstellung zusätzlich, welche Aktivitäten geblockt wurden. Vergleichbare Funktionen gibt es bei Firefox, Edge und Safari. Cookies, die unter der URL der Seite aufgeführt werden, sind meist in Ordnung. Ein Blick lohnt auf die von anderen URL, etwa Google, Facebook, DoubleClick.net, Mixpanel, …
  5. Mit dem Webdienst Webbkoll Dataskydd lassen sich Websites auf Cookies und Tracking Mechanismen überprüfen. Dabei sollte darauf geachtet werden, den Test mit einer Seite aus der Plattform, um die es geht, zu machen und nicht mit der Seite, mit welcher der Anbieter seine Plattform bewirbt. Prüft man die Seite, mit welcher der Anbieter auf sein Produkt aufmerksam macht und um Kunden wirbt, wird man nahezu immer Analyse Tools im Hintergrund laufen finden. Das muss in der eigentlichen Plattform nicht der Fall sein.3Es kann allerdings schon ein Problem sein, wenn die Login Seite zu einer Plattform gleichzeitig die Seite ist, mit welcher der Dienst beworben wird. Dann mögen Nutzer zwar in der Plattform keinen Datenabgriffen ausgesetzt sein, werden dafür aber vor dem Login zum Daten Striptease gezwungen. Es empfiehlt sich, eine Seite in der Plattform aufzurufen und die URL davon dann in Webbkoll Dataskydd zu testen.
  6. Verwendet eine Website Google Analytics kann man über die Google-Analytics Prüfung der Universität Bamberg testen, ob die IP Nummer dabei durch Verkürzung anonymisiert wird oder nicht. Mit Verkürzung erhält Google Analytics keine IP Nummer, die geeignet ist, die im Zusammenhang mit dieser IP Nummer aufgezeichneten Aktivitäten einer identifizierbaren Person zuzuordnen.