Archiv der Kategorie: Datenschutz

Datenschutz, informationelle Selbstbestimmung, DS-GVO

Klausuren im Distanzunterricht

Mit dem Schuljahresstart im Herbst könnte es erneut zu Schulschließungen kommen. Mit Distanzunterricht steht auch erneut die Frage nach Klausuren und mündlichen Leistungskontrollen im Raum. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat dafür jetzt eine Handreichung verfasst.

Der Grund für das Verfassen der Handreichung lässt sich in den zum Teil gravierenden Datenschutzverstößen an Universitäten, Hoch- und Fachhochschulen bei Online-Prüfungen finden.

Tschüss WhatsApp

Am 13. Mai 2021 habe ich meinen WhatsApp-Account gekündigt. Und? Was hat es mir gebracht? Das Gute zuerst: Ich bemerke bisher keine Einschränkungen. Weltweit betrachtet gibt es durchaus eine gewisse Tendenz, WhatsApp und damit dem Facebook-Konzern den Rücken zu kehren. Wirtschaftlich spürbar ist die Abwanderungsbewegung für WhatsApp wahrscheinlich nicht. Aktuelle Zahlen zum Thema habe ich bisher nicht finden können. Was wären denn die Alternativen? In Deutschland beispielsweise hat es keine bemerkenswerte Bewegung weg von WhatsApp hin zu Alternativen gegeben. Wahrscheinlich sind die Alternativen zu wenig bekannt.

Telegram

Derzeit befindet sich, gemessen an den Nutzerzahlen, Telegramm auf Platz 2 nach WhatsApp. Man geht aktuell von etwa 500 Millionen Nutzern aus. Im Vergleich dazu rechnet man bei WhatsApp mit etwa 1,2 bis 1,5 Milliarden Nutzern. Der größte Nachteil von Telegrammen besteht aus meiner Sicht darin, dass eine End-to-End-Verschlüsselung nicht als Standard angeboten wird. Dafür muss erst die Funktion „Geheimen Chat starten“ verwendet werden. Gruppen können hier bis zu 250.000 Mitglieder enthalten. Öffentlich zugängliche Kanäle lassen sich erstellen. Das macht Telegram in einigen Kreisen besonders beliebt. Der Unternehmenssitz befindet sich in London.

Signal

Ein Pro-Argument für Signal lautet oft: Edward Snowden und Elon Musk empfehlen Signal. Anders als die anderen Kindern ist Signal nicht gewinnorientiert. Die gemeinnützige Stiftung finanziert sich über Spenden. Der Drang, Nutzerdaten zu versilbern kann Signal gegenwärtig nicht unterstellt werden. Die Chats sind End-to-End-verschlüsselt. Kontakt- und Metadaten werden nicht bei Signal gespeichert. Das macht Signal aus Sicht des Datenschutzes sympathisch. Die Chats selbst werden auf dem lokalen Endgerät gespeichert. Dadurch entfällt zwar die Möglichkeit eines Backups, aber das Datenschutzniveau bleibt hoch.

Threema

Personenbezogene Daten werden hier für die Einrichtung eines Benutzeraccounts nicht benötigt. Die Threema-ID als Identifikationsmerkmal wird beim Anlegen des Accounts erstellt. Die Server stehen in der Schweiz, einem datenschutzrechtlich sicheren Drittstaat. Hat ein Nutzer eine Nachricht vom Server abgerufen, wird diese dort gelöscht. Die Kontaktlisten werden auf den Servern nur anonymisiert gespeichert. Metadaten werden weder erzeugt noch gespeichert. Zumindest unter noch funktionierenden Geräten mit gleichem Betriebssystem ist ein Backup möglich. Aus meiner Sicht ist Threema der Dienst mit dem höchsten Datenschutzniveau.

Wire

Wire ist sicherlich der Exot unter den Messenger. In Berlin entwickelt, war Wire als Konkurrenz zu WhatsApp gedacht. Nicht nur gegen WhatsApp, auch gegen Telegramm, Signal oder Threema konnte sich Wire nicht durchsetzen. Die Entwickler haben Wire jetzt eher als Konkurrenz zu Slack und zu anderen Kollaborationstools in Stellung gebracht.

Mein Fazit

Ich komme gut mit der Kombination aus vielen Tools zurecht. Insofern verspüre ich keine großen Kommunikationsverluste nach dem Weggang von WhatsApp. Mein persönlicher Favorit ist Threema, auch wenn die App nicht kostenfrei abgegeben wird. Das hohe Datenschutzniveau ist mir die 3,49 € allemal wert. Im Unterricht befrage ich immer wieder meine Schüler*innen zu dem Thema. Ich stelle auch hier fest, dass es keinen bemerkenswerten Trend weg von WhatsApp gibt. In allen Klassen, in denen ich seit dem 15. Mai 2021 unterrichtet habe, konnte ich genau eine Schülerperson finden, die ebenfalls WhatsApp verlassen hat. Die Frage, wer überhaupt WhatsApp nutzt, habe ich in diesem Zusammenhang nicht gestellt.

45 Jahre Datenschutz in Deutschland

Der Bundestag hat am 10. Juni 1976 das Bundesdatenschutzgesetz beschlossen. Seit 45 Jahren gibt es nun in Deutschland (West) eine gesetzliche Grundlage für den Schutz unserer Privatheit. Gern wird das Argument gezogen, dass sich doch niemand sorgen muss, der nichts zu verbergen hat. „Wer gesetzestreu lebt, muss sich keine Gedanken machen.“ Ich finde, dass die Art, wie ich lebe, liebe, denke niemanden etwas angeht. Es sei denn, ich möchte, dass daraus etwas bekannt wird.

Digitale Kommunikation und Social Media, Online-Shopping und digitale Informationsbeschaffung haben die Situation noch verschärft. Die Corona-Pandemie stellt eine weitere Zuspitzung des Themas dar.

„Wir haben ein Problem in diesem Land mit Datenschutz. Die Corona-Warnapp hat nicht das gebracht, was sie sollte. Darüber brauchen wir eine politische Debatte, ob wir uns nicht von lieb gewordenen deutschen Mentalitäten trennen müssen.“ (Quelle: Twitter)

Wir haben kein Problem mit dem Datenschutz in Deutschland. „Deutsche Mentalitäten“ im Kontext eines Gesetzes anzuführen, erscheint mehr als polemisch. Wir haben tatsächlich ein massives Problem mit dem Datenschutz in Deutschland. Wir haben ein Problem mit der Ausprägung eines datenschutzgerechten Denkens. Datenschutz und informationelle Selbstbestimmung findet in Schulbildung kaum Niederschlag. Wenn Lehrpersonen zu Beginn der Schulschließung auf Tools für Distanzunterricht setzen, ohne dabei auf Datenschutz zu achten, dann verdeutlicht das unsere Situation.

Was ist also zu tun? Lehrpersonen habe eine Vorbildfunktion. Diese muss kompetent wahrgenommen werden. Datenschutz und informationelle Selbstbestimmung muss sich im Unterricht wiederfinden. Es genügt nicht, eine Unterrichtsstunde pro Schuljahr dafür aufzuwenden.

25. Mai 2021 – Drei Jahre Datenschutz-Grundverordnung

Seit drei Jahren gilt nun die Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union. Seit drei Jahren haben wir in der EU ein einheitliches Datenschutzrecht. Das allein ist schon mal ein riesen Vorteil.

Ich kann mich noch gut an das Wehklagen von vor drei Jahren erinnern: Die Wirtschaft! Die Medizin! Abgesehen von der Tatsache, dass die DS-GVO immer dann herhalten muss, wenn mal wieder etwas schief gelaufen ist, konnte ich nicht erkennen, dass Unternehmen dem Untergang geweiht waren, nur weil am 25. Mai 2018 die DS-GVO in Kraft getreten ist.

Komisch, damals hat niemand geklagt: Die Bildung! Das kam dann knapp zwei Jahre später. Die Pandemie mit einhergehenden Schulschließungen, mit Distanzunterricht und mit dem Zwang, Unterrichtsprozesse zu digitalisieren, hat unser deutsches Dilemma aufgedeckt. Die Bildung hat nicht geklagt. Wahrscheinlich war man sich in dem Bereich gar nicht bewusst, dass Datenschutz je eine Rolle spielen könnte. Plötzlich stand das Thema auf der Tagesordnung. Zum dritten Jahrestag der Einführung der DS-GVO ist der Bildungsbereich der Bereich, in dem intensiv an und mit dem Thema Datenschutz gearbeitet werden muss.

Datenschutz, Unterricht und Fernunterricht

In den vergangen Wochen häufen sich Fragen zur datenschutzrechtlichen Zulässigkeit von Unterrichtsprozessen, besonders wenn es um den Einsatz von Online-Tools geht. Ich möchte hier die wesentlichen Überlegungen zusammenfassen.

Die erste zu beantwortende Frage ist die Frage nach der verantwortlichen Stelle. Wer entscheidet über Zwecke und Mittel bei der Verarbeitung personenbezogener Daten Art. 4 Punkt 7 DS-GVO)? Für unser Thema läuft das auf die simple Frage hinaus, ob es sich um rein private Aktivitäten handelt oder ob es sich um institutionalisierte Prozesse handelt. Die DS-GVO gilt explizit nicht im ausschließlich familiäre oder privaten Bereich (Art. 2 Abs. 2 Buchstabe c DS-GVO). Ich denke wir können uns jetzt darauf verständigen, dass Unterrichtsprozesse niemals ausschließlich familiär oder privat sind. Wir sind also zunächst im Wirkungsbereich der DS-GVO.

Im nächsten Schritt müssen wir prüfen, ob überhaupt datenschutzrelevante Prozesse umgesetzt werden. Finden Datenerhebungen, Datenspeicherungen, Datennutzungen oder Datenweitergaben statt? Wenn es um die Themen Online-Tools und Fernunterricht geht, besteht zumindest der Verdacht, dass mindestens einer der genannten Prozesse umgesetzt wird. Wir verlassen also auch an dieser Stelle nicht den Wirkungsbereich der DS-GVO.

Eine entscheidende Frage lautet: Sind denn tatsächlich Daten identifizierbarer natürlicher Personen involviert? Wenn eine hinreichende Anonymisierung natürlicher Personen stattfindet, bleibt das Thema Datenschutz zwar auf der Tagesordnung. Es wird allerdings vieles leichter. Für eine Anonymisierung kann beispielsweise auf eine Kombination aus Vorname und erstem oder den ersten beiden Buchstaben des Familiennamens zurückgegriffen werden. SuS sind für ihre Lehrpersonen immer noch identifizierbar. Nach außen hin sind sie allerdings hinreichend anonymisiert. Alternativ kann auf eine Pseudonymisierung zurückgegriffen werden. Ein denkbares Pseudonym kann eine Schülernummer sein. Auch bei dieser Methode gilt: SuS sind für Lehrpersonen identifizierbar. Nach außen hin ist das auch hier nicht möglich. Schwieriger für den weiteren Verlauf einer datenschutzrechtlichen Bewertung sind Situationen, in denen tatsächlich personenbezogene Daten genutzt werden. Macht es sich beispielsweise erforderlich, Schülerdaten wie z. B. den vollständigen Namen, eine Mail-Adresse oder eine Telefonnummer zu nutzen? Jedes Tool, in dem eine Mailadresse der SuS genutzt werden muss, gehört beispielsweise in diese Situation. Noch immer können wir den Wirkungsbereich der DS-GVO nicht verlassen.

Entspannung stellt sich also ein, wenn Daten von SuS anonymisiert oder pseudonymisiert werden können. Die Konsequenzen allerdings sollen an dieser Stelle nicht weiter besprochen werden.

Spannend wird es tatsächlich, wenn personenbezogene Daten von SuS zur Nutzung gelangen. An dieser Stelle ist die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DS-GVO zu prüfen. Eine Datennutzung auf Grund einer Erfüllung gesetzlicher Erfordernisse (Art. 6 Abs. 1 Buchstabe c DS-GVO) kann ich nicht ausmachen. Die Rechtsgrundlage Vertragserfüllung (Art. 6 Abs. 1 Buchstabe b DS-GVO) kann dann benutzt werden, wenn es einen Schulvertrag gibt und wenn in diesem Methoden und betroffene Datenkategorien beschrieben sind. Als sehr problematisch schätze ich die Rechtsgrundlage Einwilligung (Art. 6 Abs. 1 Buchstabe a DS-GVO) ein. Eine Einwilligung muss freiwillig erfolgen (Art. 7 Abs. 4 DS-GVO). Gibt es keine Alternative zu Online-Tools und Fernlernen unter Nutzung personenbezogener Daten, so scheint mir eine Freiwilligkeit auch gemäß Erwägungsgründe 42 und 43 DS-GVO nicht gegeben zu sein.

Was bedeutet das nun für die Praxis? Entspannung stellt sich ein, wenn keine personenbezogene Schülerdaten genutzt werden. Das Zauberwort lautet hier Anonymisierung. Auf eine Nutzung personenbezogener Daten sollte unbedingt verzichtet werden. Die Nutzung beispielsweiser einer Mail-Adresse fällt in die Prozesse Datenerhebung, Datenspeicherung und Datennutzung hinein. Dafür eine Rechtsgrundlage zu finden, dürfte schwer fallen.

Offene Kontaktlisten

Das Thema „offene Kontaktlisten“ scheint ein Dauerbrenner zu sein. So richtig durchgestartet ist das Thema in der Pandemie-Situation. In verschiedenen Bundesländern werden Gästelisten in Restaurants geführt. Frisöre, Kosmetikstudios und andere Einrichtungen sind auch in der Pflicht.

Jedoch ist sind offene Kontaktlisten keine neue Erscheinung. Bei Weiterbildungen, bei Veranstaltungen, im Elternabend gehen Listen herum. Die Teilnehmer* innen sollen ihre Daten eintragen oder schlimmer noch, umfangreiche Daten kontrollieren/korrigieren.

Es war nur eine Frage der Zeit, dass Bußgelder verhängt werden. Die Aufsicht führende Behörde in Hamburg hat die Verfahren zur Gäste- und Besucherdokumentation kontrolliert, Verbesserungsvorschläge unterbreitet und die Ergebnisse kommuniziert. Offensichtlich hat das nicht ausgereicht. Jetzt wurden auch Bußgelder verhängt.

Ich finde das gut so. Eben weil das Thema „offene Kontaktlisten“ in unterschiedlichen Ausprägungen ein Dauerbrenner ist. Ich habe schon zwei Mal die Lokalität wechseln müssen, weil man mit einer Liste ankam, in der ich meine Kontaktdaten erfassen sollte.

Digitale Kompentenzen, Datenschutz und die Erfordernisse des Arbeitsmarktes

Es ist Sommer, es sind Ferien und eigentlich sollte man nicht über diese Themen nachdenken müssen. Aber … ich sehe ein Foto in der Wirtschaftswoche mit einem Overheadprojektor (Polylux). Mein Freund/Kollege und ich, wir planen die feierliche Verbrennung aller Overheadprojektoren im Innenhof der Schule. Allerdings wollen wir damit warten, bis wir den Digitalpakt umgesetzt haben. Soviel zum Thema „Sommer, Ferien und nicht an die Arbeit denken“.

Beginnen wir mal mit dem Datenschutz. In der Süddeutschen las ich heute ein schönes Interview mit Peter Hense, Rechtsanwalt aus Leipzig und auf Fragen des Datenschutzes spezialisiert. Ich habe Peter Hense auf dem Datenschutztag 2020 in Berlin erlebt. Dort hat er bereits seine Position zum Thema Videokonferenztools deutlich gemacht. Im Interview bleibt er bei seiner auf dem Datenschutztag geäußerten Position. Nur weil die Kultusministerien der Länder in den vergangenen Jahren gepennt haben, es keine Pläne für digitalen Unterricht gibt, werden Tools wie Microsoft Teams und Zoom geduldet. Was das für Schülerinnen und Schüler bedeuten kann, wird weggeschwiegen.

Dann kommt mir heute noch ein Artikel in der Wirtschaftswoche unter. „Prähistorische Digitalkenntnisse gefährden den Arbeitsmarkt von morgen“ Zum wiederholten Mal werden grundlegende Reformen der Lehrpläne gefordert. SuS müssen besser auf die digitalen Erfordernisse der Arbeitswelt vorbereitet werden. Wir gefährden seit Jahren den Standort Deutschland. Das Problem ist längst bekannt, jedoch getan hat sich nix. Eine dritte Leseempfehlung kommt hinzu. Das Deutsche Schulportal hat sich mit der Frage auseinander gesetzt, welche digitalen Kompetenzen eigentlich SuS mitbringen. Die Antwort ist ernüchternd und doch vorhersehbar: Kaum praxisrelevante.

Was also ist das Fazit? In den letzten Wochen wurde viel gesagt und geschrieben zu den Defiziten von Lehrerinnen und Lehrern. Weniger gesagt wurde zu den Defiziten on SuS. Auch darüber muss gesprochen werden. Genau so muss über Infrastruktur gesprochen werden. Wie werden Schulen ausgestattet? Wie werden LuL befähigt, Technik zu nutzen, Methoden anzupassen? Die Partizipation am Digitalpakt erfordert (zumindest im Freistaat Sachsen) ein Medienbildungskonzept für Lehrpersonen. Es geht nicht einfach darum, Technik anzuschaffen ohne Sinn und Verstand – hauptsache haben. Das ist ein völlig falsches Konzept. Es geht um Fragen wie „Wo liegen Bezugspunkte in den Lehrplänen?“, „An welchen Stellen des Unterrichtens zeigen sich Vorteile bei der Digitalisierung?“ usw.

Wenn wir über mangelnde digitale Kompetenzen bei SuS sowie bei LuL sprechen, dann müssen wir zwangsläufig auch über Datenschutz sprechen. Sätze wie „Über Datenschutz können wir nachdenken, wenn Zeit dafür ist! Jetzt muss ich erst mal Unterricht absichern.“, „Ich weiß, dass es so was wie Datenschutz gibt, aber der interessiert mich gerade recht wenig!“… Ich könnte seitenweise weiter Beispiele liefern. Datenschutz als geltendes Recht anerkennen und umsetzen können zählt für mich zu den Basiskompetenzen. Wie will ich informationelle Selbstbestimmung als Gut vermitteln, wenn ich selbst keinen Bezug zum Datenschutz habe?

Mein Appell lautet also: Macht Euch kompetent! Macht Eure SuS kompetent! Seid Vorbilder!

Die Berliner Landesbeauftragte bleibt auf Konfrontationskurs

Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Berlin, Maja Smoltczyk, hat im Streit mit Microsoft und Zoom nachgelegt. In der heute (03.07.2020) veröffentlichten Handlungshilfe „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten“ gibt es ein Ampelsystem zur Kennzeichnung von Diensten, die aus datenschutzrechtlicher Sicht geeignet oder eben auch nicht geeignet sind. Skype, Skype Business und Zoom sind weiterhin mit rot als nicht geeignet gekennzeichnet. Gleiches gilt übrigens auch für Microsoft Teams.

Die Nutzung dieser Dienste geht als weiter mit dem Risiko eines Datenschutzverstoßes einher, der bußgeldbewehrt ist. Die Begründungen, warum einzelne Anbieter so bewertet wurden, finden sich im Abschnitt „Anmerkungen zu den einzelnen Anbietern“ am Ende des Dokuments. Im Grunde geht es um die rechtswidrige Nutzung von Teilnehmerdaten und um unklare Verarbeitungsvorgänge.

Datenschutz, Schulen und Videokonferenzen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit BW veröffentlichte am 24. Juni 2020 eine Pressemitteilung zum Thema Zoom im Besonderen und Videokonferenzen im schulischen Umfeld im Allgemeinen.

Er erkannte an, dass Zoom nach allen bisher geäußerten Kritikpunkten reagiert und nachgebessert hat.

Interessant an der Pressemitteilung finde ich folgende Stelle:

Die Corona-Warn-App

Installieren oder nicht installieren? Das scheint die Frage der Woche zu sein. Dabei schlagen die Wellen ziemlich hoch. Ich will hier weiß Gott niemanden bekehren oder belehren.

Was wissen wir denn? Wir wissen, dass der Quellcode der App öffentlich zugänglich ist. Gleiches gilt für die Dokumentation der App. (Quelle) Ich konnte bisher noch keinen Bericht von bild.de über heise.de bis zu netzpolitik.org finden, der sich generell negativ zur App äußert.

Beschäftigt man sich mit den Maßnahmen zur Pseudonymisierung so kann man feststellen, dass hier hohe Maßstäbe angelegt wurden. In vielen populär gehaltenen Texten wird das Thema sehr knapp dargestellt. Die App erzeugt zunächst einen zufälligen Schlüssel auf dem Smartphone – einen TEK (Temporary Exposure Key). Dieser Schlüssel ändert sich alle 24 Stunden und wird nach 14 Tagen gelöscht und anschließend komplett neu angelegt.

Aus dem TEK wird alle 10 bis 20 Minuten ein 128-Bit-Schlüssel generiert, der RPI (Rolling Proximity Identifier).

Jetzt sendet das Smartphone etwa 4 bis 5 mal pro Sekunde den RPI via Bluetooth Low Energy (BLE) in die Gegend. BLE ist ein Standard, der technisch auf älteren Geräten nicht verfügbar ist. Hier hat man wohl abgewogen: Akku sparen und Reichweite einschränken (BLE) oder Akku belasten bei höherer Reichweite (Bluetooth Klasse 1, 2 oder 3).

Alle 5 Minuten lauscht gleichzeitig das Smartphone in der Gegend herum und sammelt RPIs anderer Geräte. 5 Minuten beträgt die durchschnittliche Expositionszeit, in der es zu einer erfolgreichen Infektion kommen kann.

An diesem Punkt sollte vielleicht erwähnt werden, was die App nicht tut. Die auf dem Smartphone generierten Schlüssel verlassen das Gerät zunächst einmal nicht. Eine Geolokalisation findet nicht statt. Also weder die App noch der Server, auf dem Infektionen erfasst werden können, kennen den Aufenthaltsort des Smartphones.

Und was passiert nun im Infektionsfall? Wir erinnern uns: Smartphones, die sich begegnen, tauschen ihre RPIs miteinander aus, wenn die Begegnung länger als 5 Minuten dauert. Wird nun ein Nutzer der App positiv auf eine Corona-Infektion getestet, so kann er frei entscheiden, ob dieser Fakt weiter verfolgt werden soll. Also auf freiwilliger Basis kann nun der TEK des Smartphones auf einen zentralen Server geladen werden. Der TEK lässt keinen Rückschluss auf das Smartphone des Nutzers zu.

Auf dem zentralen Server muss nun noch der Infektionsfall über einen QR-Code (deshalb benötigt die App Zugriff auf die Kamera) oder über eine PIN (nicht alle Labore können QR-Codes erzeugen) autorisiert werden. Wäre diese Sicherheitsschwelle nicht eingebaut, könnte man ja „fröhliches Infektionswellen lostreten“ spielen.

Nun kann die App die Liste aller aktuell als „infiziert“ gemeldeten TEKs vom zentralen Server laden. Noch immer wissen wir nicht, welches Smartphone, also welche Person, sich hinter den TEKs verbirgt. Aus den TEKs werden nun nur noch die RPIs berechnet. Die Liste der RPIs wird mit der lokal gespeicherten Liste der „Begegnungszentrum-RPIs“ verglichen. Liegt eine nÜbereinstimmung vor. Wird eine Warnung ausgegeben. Und noch immer ist unbekannt, wer wo und wann zu einem Infektionsrisiko für den App-Nutzer wurde.

Nun kann man trotzdem den Aluhut aufsetzen, an allem zweifeln und die App nicht nutzen. Das ist ok, weil das gesamte Verfahren ist freiwillig. Wir sind hier weder in Ungarn, noch in Südkorea oder in China.

Wer es gerne etwas kürzer, dafür aber mit Bilderchen haben möchte, kann gerne hier die Zusammenfassung lesen.