Datenschutz-Check

Lesezeit: 3 Minuten

Während Lehrkräfte in der Vergangenheit nicht viel darüber nachdachten, ob die tolle neue App oder Online-Plattform, die sie für ihren Unterricht entdeckt hatten und dann kurzerhand direkt in der nächsten Unterrichtsstunde mit ihren Schülern ausprobierten, auch den datenschutzrechtlichen Vorgaben entsprach, ist man heute deutlich sensibler bezüglich des Themas Datenschutz. Es ist klar, nicht alles, was geht, ist auch immer gut, denn manche Anbieter genügen den datenschutzrechtlichen Vorgaben des Schulgesetzes und der DS-GVO nicht oder nur unzureichend. Doch woher weiß man, ob ein App den Anforderungen genügt?

„Weiterhin sind die hohen Anforderungen an den Schutz von Daten von Kindern (s. Art. 6 Abs. 1 lit. f, Art. 8 DS-GVO) und an die Vertraulichkeit sowie die hierzu gebotenen technischen und organisatorischen Datenschutzmaßnahmen zu berücksichtigen (s. Art. 5 Abs. 1 lit. f, Art. 32 DS-GVO). Eine ggf. für die Verarbeitung von Schülerdaten vorgesehene Anwendung bedürfte einer detaillierten Prüfung durch den Verantwortlichen, ob die gesetzlichen und insbesondere technischen und organisatorischen Voraussetzungen erfüllt sind. Dies dürfte mit den in der Regel in Schulen vorhandenen Mitteln kaum zu gewährleisten sein.“1Quelle: 16. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt für 2019, S. 51

Aufsichtsbehörden prüfen zwar durchaus Plattformen auf ihre Datenschutzkonformität und man liest dann Aussagen von ihnen wie, „können wir nicht empfehlen“, doch wer von ihnen Empfehlungen erwartet, wird enttäuscht werden, denn als ein Datenschutz TÜV oder eine Zertifizierungsstelle sehen sie sich nicht, wie auch die LDI NRW betont.

„Die LDI NRW ist keine Einrichtung, die etwa der „Stiftung Warentest“ vergleichbar wäre. Sie selbst kann – schon aus kapazitativen Gründen – grundsätzlich keine Prüfung einzelner Softwareprodukte vornehmen. Sie ist regelmäßig keine Genehmigungsbehörde für Datenverarbeitungsprozesse oder Softwareprodukte. Sie ist auch keine Zertifizierungsstelle und spricht grundsätzlich keine ausdrücklichen Empfehlungen für einzelne Produkte aus.“2Quelle: Pandemie und Schule – Datenschutz mit Augenmaß Stand: 18. Mai 2020, S. 4

Selbst mit einer Checkliste wie dem Leitfaden für die datenschutzkonforme Auswahl und Nutzung von Apps.pdf des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg und der sehr gut gemachten Checkliste: Apps im Unterricht – Regeln und Tipps zum datenschutzkonformen Einsatz von DigiBitS wird es für viele Schulen noch immer sehr schwierig sein, eine entsprechende Bewertung vorzunehmen.

Auf dieser Seite sollen deshalb im Laufe der Zeit Bewertungen gesammelt werden zu Online-Plattformen und Apps, die für Schulen von Interesse sind. Beim Datenschutz Check soll festgestellt werden, ob die Angebote datenschutzkonform nutzbar sind bzw. unter welchen Bedingungen das möglich ist. Ziel ist dabei, dieses verständlich und nachvollziehbar aufzubereiten.

Bewertete Plattformen und Apps

Weitere Informationen

Eine US Organisation, welche Apps und Plattformen auf das Thema Datenschutz untersucht und dafür die Datenschutzerklärungen der Anbieter auswertet, ist Common Sense Privacy Program. Auch wenn man sich vor allem auf Apps und Plattformen konzentriert, die für US Schulen von Interesse sind, lohnt ein Blick, da die Auswertungen sehr differenziert sind.

Wie kann man selbst Anbieter überprüfen?

  1. Man sollte zunächst das Impressum/ About nachsehen, um etwas über den Sitz der Firma herauszufinden, da dieses häufig auch die Jurisdiktion ist, welcher der Anbieter unterliegt.
  2. Danach sollte die Datenschutzerklärung/ Privacy untersucht werden. Zu den wichtigsten Angaben zählen die erhobenen Daten und die Dienste Dritter/ Third Parties.
  3. Auch die AGB/ Terms of Service/ Terms/ TOS können wichtige Aufschlüsse liefern. Sind die Angaben dort nur in englischer Sprache verfügbar, kann man sie sich gut mit dem EU Council Presidency Translator (Online-Übersetzungstool der EU Ratspräsidentschaft) übersetzen, der vor allem bei technisch-bürokratischer Sprache sehr zuverlässig ist.
  4. Moderne Browser zeigen an, wie viele Cookies auf einer Website aktiv sind bzw. gesetzt werden. Bei Chrome erhält man diese Informationen über einen Klick auf das Schloss-Symbol links neben der URL der Seite, bei Brave zeigt der Löwenkopf in der Standardeinstellung zusätzlich, welche Aktivitäten geblockt wurden. Vergleichbare Funktionen gibt es bei Firefox, Edge und Safari. Cookies, die unter der URL der Seite selbst aufgeführt werden (1st party cookies), sind oft unbedenklich. Ein Blick lohnt auf die von anderen URL (3rd party cookies), etwa Google, Facebook, DoubleClick.net, Mixpanel, …
  5. Mit dem Webdienst Webbkoll Dataskydd lassen sich Websites auf Cookies und Tracking Mechanismen überprüfen. Dabei sollte darauf geachtet werden, den Test mit einer Seite aus der Plattform, um die es geht, zu machen und nicht mit der Seite, mit welcher der Anbieter seine Plattform bewirbt. Prüft man die Seite, mit welcher der Anbieter auf sein Produkt aufmerksam macht und um Kunden wirbt, wird man nahezu immer Analyse Tools im Hintergrund laufen finden. Das muss in der eigentlichen Plattform nicht der Fall sein.3   Es kann allerdings schon ein Problem sein, wenn die Login Seite zu einer Plattform gleichzeitig die Seite ist, mit welcher der Dienst beworben wird. Dann mögen Nutzer zwar in der Plattform keinen Datenabgriffen ausgesetzt sein, werden dafür aber vor dem Login zum Daten Striptease gezwungen. Es empfiehlt sich, eine Seite in der Plattform aufzurufen und die URL davon dann in Webbkoll Dataskydd zu testen.
  6. Die Erweiterung Big Tech Detective für Chromium basierte Browser und Firefox zeigt auf, ob beim Aufruf einer Website Daten mit Servern von Google, Facebook, Amazon und Microsoft ausgetauscht werden. Blockiert man eine der Plattformen, werden deren Anfragen aufgelistet, so dass man sehen kann, über welche Schnittstellen die Kommunikation erfolgt.
  7. Die australische Plattform BuiltWith mit deutschem Benutzerinterface gibt Aufschluss über die von einer Website verwendeten Technologien. Dabei werden auch Analyse- und Tracking Dienste, welche auf einer Website eingebaut sind, aufgeführt. Anders als Webbkoll Dataskydd, liefert BuiltWith keine Echtzeit Analyse, sondern greift auf eine Datenbank zurück, die fortlaufend aktualisiert wird. In den Ergebnissen finden sich auch Hinweise, ob sich genutzte Dienste im Laufe der Zeit verändert haben.
  8. Verwendet eine Website Google Analytics kann man über die Google-Analytics Prüfung der Universität Bamberg testen, ob die IP Nummer dabei durch Verkürzung anonymisiert wird oder nicht. Mit Verkürzung erhält Google Analytics keine IP Nummer, die geeignet ist, die im Zusammenhang mit dieser IP Nummer aufgezeichneten Aktivitäten einer identifizierbaren Person zuzuordnen.
  9. Mobile Apps verhalten sich oft ähnlich wie Websites von Anbietern. Auch in Apps können wie in Websites Analyse- und Tracking Dienste eingebaut werden, um Aufschluss über Nutzer und ihr Verhalten zu erlangen. Anbieter wie Facebook und Google bieten App Entwicklern sogenannte Software Developer Kits (SDK) an, die fertige Funktionen liefern und Entwicklern Arbeit abnehmen können. Allerdings kommt dieser Service mit einem Preis. Die Anbieter der SDK erhalten Zugriff auf Daten der App Nutzer.
    1. Bei iOS sind App Anbieter seit iOS 14 gehalten, genaue Datenschutzinformationen zu geben und Tracking offenzulegen. Hier sollte man genau hinsehen bei der Auswahl von Apps.
    2. Bei Android gibt es zu Apps ebenfalls Datenschutzerklärungen. Allerdings sind diese nicht mit denen von iOS vergleichbar. Orientierung liefert hier die Datenbank von Mobil-Sicher – App Check. Ergänzend kann man Exodus – (Bewertung von Android Apps in Bezug auf Datenschutz) konsultieren.