E-Mail, Messenger und Konferenztools – sichere Kommunikation in Schule und Unterricht –
Die Coronakrise hat das digitale Kommunikationsdebakel deutscher Schulen schonungslos offenbart, die mehrheitlich in Sachen Onlinebeschulung vor dem Nichts standen. Mindeststandards in zahlreichen anderen Ländern wie schulische E-Mail-Adressen für Lehrkräfte und Lernende, sind bei uns Ausnahmen, von komplexen Lernplattformen ganz zu schweigen: Die HPI Schul-Cloud ist ein positiver Ansatz, steckt aber noch in den Anfängen und wurde vom Ansturm der ersten Lockdown-Tage entsprechend überlastet. Auch in Sachen Funktionalität besteht großer Nachholbedarf gegenüber Marktführern wie z.B. MS Office365 mit Teams. Vielversprechende DSGVO-konforme Lösungen wie Jitsi und BigBlueButton, die von Schulen oder Medienzentren auch selbst gehostet werden können, kämpfen häufig mit schwachen Serverleistungen.
Viele Lehrkräfte nutzten ohne Überprüfung datenschutzrechtlicher Vorgaben unkritisch irgendwelche Tools, insbesondere den Videokonferenzdienst „Zoom“, der immer wieder wegen Sicherheits- und Datenschutzproblemen in der Kritik steht. Negatives Highlight waren zuletzt Vorfälle, bei denen Unbekannte Pornos in Onlineunterricht einspielten!
Schulen bzw. Lehrkräften sollten sich daher sehr genau über die Datenschutzkonformität der diversen Plattformen informieren, um sich nicht auf rechtliches Glatteis zu begeben. Wünschenswert wären allerdings eindeutige Vorgaben der Kultusministerien oder noch besser: eigene leistungsstarke Kommunikationstools, die den Schulen zur Verfügung gestellt werden.
Kern des Dilemmas ist, dass die EU, und insbesondere Deutschland, die Entwicklung in diesem Bereich gründlich verschlafen hat, während US-Anbieter, die aufgrund der dortigen Gesetzeslage in puncto Datenschutz generell skeptisch zu betrachten sind, den Markt dominieren. Der EUGH hat im Juli 2020 die Übermittlung personenbezogener Daten an US-Anbieter grundsätzlich als nicht datenschutzkonform untersagt! => https://www.tagesschau.de/ausland/eugh-datenaustausch-usa-103.html
Auch bei der dienstlichen Kommunikation per E-Mail gelten Datenschutzvorgaben. So muss man wissen, dass E-Mails zwar beim Transport verschlüsselt sind, auf dem Server für den Anbieter jedoch ebenso offen lesbar sind wie Postkarten für Briefträger!
Während in den EU-Staaten die Europäische Datenschutzgrundverordnung (EU-DSGVO) unter Strafandrohung dafür sorgt, dass Anbieter diesen Umstand nicht ausnutzen dürfen, um Informationen über ihre Kunden zu sammeln, existiert in den USA kein Datenschutzgesetz, das solche Zugriffe verbieten würde. E-Mails lassen sich zwar mit kostenloser Zusatzsoftware verschlüsseln, die Einrichtung ist aber komplex und erfordert, dass die Software auf Sende- und Empfangsseite eingesetzt wird.
Bei Android-Smartphones bietet es sich an, die bei der Einrichtung des Handys erstellte Google-Mail-Adresse zu nutzen. Die Kommunikation über diese Adresse ist allerdings nicht datenschutzkonform, denn Google liest laut seinen AGB E-Mails automatisiert mit:
„Wir nutzen automatisierte Systeme, die Ihre Inhalte analysieren, sodass wir Ihnen personalisierte Suchergebnisse, personalisierte Werbung oder andere Funktionen bereitstellen können[…]. Zusätzlich analysieren wir Ihre Inhalte, damit wir Missbrauch erkennen können, wie Spam, Malware und illegale Inhalte. Wir verwenden auch Algorithmen, um Muster in Daten zu erkennen.“
Quelle: https://policies.google.com/privacy?hl=de&gl=de
Das schließt die Verwendung für dienstliche Zwecke kategorisch aus und das gilt auch, wenn man selbst einen deutschen oder EU-Provider nutzt, aber darüber mit Adressaten kommuniziert, die US-Anbieter nutzen – denn auch dann werden ja alle Inhalte auf der Gegenseite mitgelesen!
Apropos E-Mail: Wer mit Heranwachsenden über dieses Thema spricht, erntet ein müdes Schulterzucken. E-Mail finden heutige Teenager noch verstaubter als wir Erwachsene Faxgeräte. Ihre gesamte Kommunikation läuft per WhatsApp, Instagram oder SnapChat. Wer heute einer Klasse eine E-Mail schreibt, muss sie höchstwahrscheinlich auf einem anderen Weg erinnern, doch bitte mal in ihre Mailpostfächer zu schauen.
An meiner Schule, der Gutenbergschule in Wiesbaden, erhalten alle Kinder der Klassenstufe 7 zu Beginn des zweiten Halbjahres ihre schulische E-Mail-Adresse, mit dem Hinweis, diese auf ihrem Smartphone, Tablet, PC oder auch am Familienrechner einzurichten und regelmäßig abzurufen. Wenn sie verstanden haben, dass auf diesem Weg zukünftig wichtige schulische Informationen ausgetauscht werden, funktioniert das in der Regel zuverlässig. Allerdings muss man ihnen dann erst einmal erklären, wie man Dateien per E-Mail als Anhang verschickt, eines von vielen Beispielen dafür, dass heute wegen des Booms der Smartphones elementare IT-Techniken, die diese Altersklasse vor einigen Jahren noch beherrschte, immer weniger vorausgesetzt werden können. Dazu gehört auch flüssiges Tastaturschreiben, Abspeichern, Verschieben und Umbenennen von Dateien, und viele andere Dinge, die in der Berufswelt nach wie vor vorausgesetzt werden.
Bei der als lästig empfundenen Einführung in die E-Mail-Nutzung kommt dann auch regelmäßig die genervte Nachfrage: „Können wir das nicht mit WhatsApp machen, das hat doch eh jeder?!“ Darauf gibt es nur eine mögliche Antwort: „NEIN!“ WhatsApp, der Quasi-Monopolist bei den Messengern, ist schlicht mit der EU-DSGVO nicht vereinbar. Es beginnt schon damit, dass man bei der Installation bestätigen muss, das Recht zu haben, sämtliche Kontakte aus dem Handyadressbuch regelmäßig mit den Servern von WhatsApp (2014 von Facebook übernommen) zu synchronisieren. Wer dem zustimmt, muss dafür laut DSGVO zuvor die schriftliche Erlaubnis aller Kontakte eingeholt haben. WhatsApp wiederum gibt diese Daten an seinen Mutterkonzern Facebook weiter, wo sie für Werbezwecke gespeichert und verarbeitet werden – auch wenn der betreffende WhatsApp-Nutzer gar keinen Account bei Facebook besitzt, was auf 85 % der 12-19jährigen Smartphonenutzer zutrifft (JIM-Studie 2019).
Die Kommunikation in WhatsApp erfolgt zwar angeblich Ende-zu-Ende verschlüsselt, d.h. ohne vom Anbieter mitgelesen werden zu können, doch in seinen AGB lässt sich WhatsApp trotzdem eine umfassende Lizenz zur Nutzung sämtlicher Inhalte (die er ja vorgeblich gar nicht einsehen kann…) einräumen – was die Glaubwürdigkeit der angeblichen Verschlüsselung doch sehr infrage stellt:
„Damit wir unsere Dienste betreiben und bereitstellen können, gewährst du WhatsApp eine weltweite, nicht-exklusive, gebührenfreie, unterlizenzierbare und übertragbare Lizenz zur Nutzung, Reproduktion, Verbreitung, Erstellung abgeleiteter Werke, Darstellung und Aufführung der Informationen (einschließlich der Inhalte), die du auf bzw. über unsere/n Dienste/n hochlädst, übermittelst, speicherst, sendest oder empfängst.“
Quelle: https://www.whatsapp.com/legal/?l=de#terms-of-service
Viel interessanter für Werbezwecke als der Inhalt der Nachrichten sind die mitgelieferten Metadaten: (Gemeinsame) Kontakte, Standort, Zeit, Häufigkeit des Kontakts, Handymodell und -betriebssystem, weitere Apps auf dem Gerät, etc. Vor allem aus bekannten Daten der Kontakte, auch aus anderen Sozialen Netzwerken (Instagram gehört ebenfalls zu Facebook), erstellen Algorithmen verblüffend passgenaue Persönlichkeitsprofile von Menschen, die selbst kaum etwas über sich preisgegeben haben – und damit lässt sich durch nutzerspezifische Werbung sehr viel Geld verdienen.
Weiteres Argument gegen WhatsApp: In den AGB wird die Nutzung des Dienstes für unter 16jährige kategorisch ausgeschlossen:
„Wenn du in einem Land in der Europäischen Region lebst, musst du mindestens 16 Jahre alt sein, um unsere Dienste zu nutzen oder das in deinem Land für die Registrierung bzw. Nutzung unserer Dienste erforderliche Alter haben. (…) Zusätzlich (…) gilt Folgendes: Wenn du nicht alt genug bist, um in deinem Land berechtigt zu sein, unseren Bedingungen zuzustimmen, muss dein Erziehungsberechtigter in deinem Namen unseren Bedingungen zustimmen.“ Quelle: s.o.
Da man nach deutschem Recht für die Annahme von AGB volljährig sein muss, müssten sich streng genommen sogar 16/17jährige die Nutzung formal die Nutzung von ihren Eltern genehmigen lassen.
Für uns Lehrkräfte ist die Nutzung von WhatsApp für dienstliche Zwecke klar ausgeschlossen – es sei denn, wir holen von allen Mitgliedern der Schulgemeinde, deren Kontaktdaten sich auf unserem Handy befinden, deren schriftliche Einverständnis ein, v.a. von diejenigen, die den Messenger selbst nicht nutzen. Bei Minderjährigen muss diese Zustimmung durch die Eltern erteilt werden.
Von den Kultusministerien der 16 Bundesländer gibt es dazu sehr unterschiedliche Anweisungen – von expliziten Verboten über „dringendes Abraten“ bis zu gar keinen Vorgaben.
Aus der Perspektive des Kinderschutzes besteht ein weiteres KO-Kriterium bezüglich WhatsApp: Die Handynummer eines Kindes ist eine hochsensible Information! Kinder sollten diese grundsätzlich nicht zur Anmeldung bei Onlinediensten verwenden –bei WhatsApp ist das aber unumgänglich. Alternative, datenschutzkonforme Messenger wie Threema (www.threema.ch) oder Wire (www.wire.com) bieten die Option, sich über eine neutrale E-Mail-Adresse oder gar ohne jegliche Kontaktinformation (Threema) zu registrieren. Wire bietet den speziellen Vorteil, dass es sich auch gänzlich ohne Smartphone-App z.B. am Familien-PC nutzen lässt.
Wird ein Kind ungefragt in eine WhatsApp-Gruppe eingefügt, können Unbekannte, die ebenfalls dieser Gruppe angehören, die Handynummer des Kindes erfahren, auch wenn die Gruppe sofort wieder verlassen wird. Immer wieder wenden sich v.a. Mädchen hilfesuchend an mich, weil sie dadurch von Fremden belästigt wurden. Solche Kontakte lassen sich zwar blockieren, zum Teil werden die Kinder dann aber mit unterdrückter Nummer angerufen. Einzige Abhilfe ist dann eine neue Handynummer.
Verhindern lässt sich das nur, indem in den WhatsApp-Einstellungen unter dem Reiter „Datenschutz“ jedem einzelnen Kontakt das Hinzufügen zu Gruppen untersagt wird.
Generell besteht bei allen Messengern mit Multimediafunktionalität das Problem, dass Kinder und Jugendliche hier permanent der Gefahr ausgesetzt sind, mit hochproblematischen Inhalten aus den Bereichen Pornografie, Kinderpornografie, Gewalt und Rassismus konfrontiert zu werden. Insbesondere in Klassenchats ist das leider nicht die Ausnahme, sondern ein Massenphänomen, das die Polizei inzwischen zu Aufklärungskampagnen über strafbare Inhalte auf Handys von Minderjährigen veranlasst hat. Hier sind v.a. die Eltern gefordert.
Fazit: Es bleibt viel zu tun, in der Coronakrise liegt auch eine digitale Chance mit der Hoffnung auf ebenso datenschutzkonforme wie leistungsstarke Lösungen aus deutscher bzw. EU-Hand!