Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Editorial 3/2021: Datenpanne bei Lern-App-Anton – Worauf muss man bei europäischen Datendiensten achten?

Die bundesweit und im EU-Ausland genutzten Lern-App-Anton ist ein deutsches Produkt, das mit eine Sicherheitslücke aufwies. Dritte konnten auf Schuldaten zugreifen oder sich gar Lehrkräfte ausgeben. Die Schwachstelle ist behoben, aber der Fall wirft Fragen auf.

Anton ist eine Lern-App mit die Personendaten verarbeitet werden. Das Berliner Unternehmen Solocode hat die von EU und Berliner Senatsverwaltung finanziell geförderte App entwickelt und es ist gut, weil es relativ sparsam Nutzerdaten verarbeitet.[1] Name, Klasse, Schule, Lernfortschritt und Log-In-Daten braucht man aber doch. Diese Informationen sind durchaus sensibel und müssen vor dem Zugriff Dritter sicher sein. Die Daten konnte man aber mit wenigen Klicks einsehen. Fehlanzeige bei Einstellungen zu Passwortschutz und Datensicherheit. Jeder hätte sich gegenüber den Kindern als Lehrer ausgeben und mit ihnen kommunizieren können. 

Experiment: Kinder sind wegen mangelnder Sicherheit im Netz gefährdet 

Betrachtet man diesen Vorfall in Zusammenhang mit einem von RTL durchgeführten Experiment[2], kann man es mit der Angst zu tun bekommen. Drei jugendlich wirkende erwachsene Schauspieler gaben sich online als Zwölfjährige aus. Binnen drei Tagen erhielten sie mehr 500 übergriffige, sexualisierte Kontaktanfragen. Besonders leicht ging das auf dem Dating-Portal Knuddels. 

Datensicherheit muss man auch bei EU-Diensten sorgsam prüfen 

Diese Fälle werfen wichtige Fragen der Datensicherheit auf.[3] Deutsche Datenschutzbehörden verlangen, dass Unternehmen und Behörden, also auch Schulen und Hochschulen zur Online-Kommunikation Angebote aus Europa nutzen. Hintergrund ist eine Entscheidung des Europäischen Gerichtshofes aus dem Juli 2020. Danach fehlt es für eine Datenübermittlung in die USA grundsätzlich an einer Rechtsgrundlage. In der Konsequenz dieser Entscheidung müssen alle Datenverarbeitungen auf europäischem Boden stattfinden. 

Sollte man US-Angebote pauschal ablehnen?  

Dabei geht man vielleicht zu schnell davon aus, dass europäische Alternativanbieter zu den großen US-Softwareanbietern wie ZOOM und Microsoft-Teams allein per Herkunft datenschutzrechtlich rechtskonform handeln und vorzugswürdig sind. Aber kann ein solcher Anbieter für die Sicherheit der Daten ebenso effektiv Gewähr übernehmen, wie ein weltweit agierender Digitalkonzern, der die Daten in einer weltweiten Sicherheitsarchitektur spiegelt? Wie intensiv werden europäische Anbieter geprüft und ist es nach Abwägung aller Risiken gerechtfertigt, dass US-Angebote faktisch pauschal für unzulässig erklärt werden. Wenn die Daten sonst sicher sind: Wäre es nach einer Gesamtabwägung zwischen Datenschutz von Schülern  und Unternehmensfreiheit rechtmäßig, dass eine Zugriffsmöglichkeit ohne nachweisbaren Zugriff auf Inhalte von Schulaufsätzen zu einer faktisch alternativlosen Untersagung führt? 

Europäische Angebote sind nur vorzugswürdig, wenn sie sicher sind

Europäische Angebote sind das Mittel der Wahl, wenn sie qualitativ, preislich und in Punkto Datenschutz und Datensicherheit besser geeignet sind als US-Angebote. Wenn europäische Angebote im konkreten Fall größere Risiken bergen, und im Ergebnis im Vergleich zu einer weltweit genutzten und aufwändig gepflegten Angeboten Mängel aufweisen, muss man auch sie mit Vorsicht genießen. 

 



 

 

Ihr Rolf Schwartmann

 

schwartmann-1_1463040822000OxMOKBULFI9Kf

 

 

>> Aktuelle Bücher und Seminare von Prof. Rolf Schwartmann

>> Zu den Datenschutz-Videos mit Prof. Rolf Schwartmann auf DataAgenda.de

 

(Beitragsbild: © Adobe Stock/MNStudio)

 

 

 

Passende Artikel
Zeitschrift RDV

Prof. Peter Gola, RA Andreas Jaspers, Prof. Dr. Rolf Schwartmann

164,00 €

Preis für Jahresabonnement Inland