Die bundesweit und im EU-Ausland genutzte Lern-App Anton ist ein deutsches Produkt, das eine Sicherheitslücke aufwies. Dritte konnten auf Schuldaten zugreifen oder sich gar als Lehrkräfte ausgeben. Die Schwachstelle ist behoben, aber der Fall wirft Fragen auf.
Anton ist eine Lern-App, mit der Personendaten verarbeitet werden. Das Berliner Unternehmen Solocode hat die von der EU und der Berliner Senatsverwaltung finanziell geförderte App entwickelt und sie ist gut, weil sie relativ sparsam Nutzerdaten verarbeitet. Name, Klasse, Schule, Lernfortschritt und Log-In-Daten braucht man aber doch.
Diese Informationen sind durchaus sensibel und müssen vor dem Zugriff Dritter sicher sein. Die Daten konnte man aber mit wenigen Klicks einsehen. Fehlanzeige bei Einstellungen zu Passwortschutz und Datensicherheit. Jeder hätte sich gegenüber den Kindern als Lehrer ausgeben und mit ihnen kommunizieren können.
Experiment: Kinder sind wegen mangelnder Sicherheit im Netz gefährdet
Betrachtet man diesen Vorfall in Zusammenhang mit einem von RTL durchgeführten Experiment, kann man es mit der Angst zu tun bekommen: Drei jugendlich wirkende erwachsene Schauspieler gaben sich online als Zwölfjährige aus. Binnen drei Tagen erhielten sie mehr als 500 übergriffige, sexualisierte Kontaktanfragen. Besonders leicht ging das auf dem Dating-Portal Knuddels.
Datensicherheit muss man auch bei EU-Diensten sorgsam prüfen
Diese Fälle werfen wichtige Fragen der Datensicherheit auf. Deutsche Datenschutzbehörden verlangen, dass Unternehmen und Behörden, also auch Schulen und Hochschulen, zur Online-Kommunikation Angebote aus Europa nutzen.
Hintergrund ist eine Entscheidung des Europäischen Gerichtshofes aus dem Juli 2020. Danach fehlt es für eine Datenübermittlung in die USA grundsätzlich an einer Rechtsgrundlage. In der Konsequenz dieser Entscheidung müssen alle Datenverarbeitungen auf europäischem Boden stattfinden.
Sollte man US-Angebote pauschal ablehnen?
Dabei geht man vielleicht zu schnell davon aus, dass europäische Alternativanbieter zu den großen US-Softwareanbietern wie ZOOM und Microsoft-Teams allein per Herkunft datenschutzrechtlich rechtskonform handeln und vorzugswürdig sind. Aber kann ein solcher Anbieter für die Sicherheit der Daten ebenso effektiv Gewähr übernehmen, wie ein weltweit agierender Digitalkonzern, der die Daten in einer weltweiten Sicherheitsarchitektur spiegelt?
Wie intensiv werden europäische Anbieter geprüft und ist es nach Abwägung aller Risiken gerechtfertigt, dass US-Angebote faktisch pauschal für unzulässig erklärt werden? Wenn die Daten sonst sicher sind: Wäre es nach einer Gesamtabwägung zwischen Datenschutz von Schülern und Unternehmensfreiheit rechtmäßig, dass eine Zugriffsmöglichkeit ohne nachweisbaren Zugriff auf Inhalte von Schulaufsätzen zu einer faktisch alternativlosen Untersagung führt?
Europäische Angebote sind nur vorzugswürdig, wenn sie sicher sind
Europäische Angebote sind das Mittel der Wahl, wenn sie qualitativ, preislich und in puncto Datenschutz und Datensicherheit besser geeignet sind als US-Angebote. Wenn europäische Angebote im konkreten Fall größere Risiken bergen, und im Ergebnis im Vergleich zu einem weltweit genutzten und aufwändig gepflegten Angebot Mängel aufweisen, muss man auch sie mit Vorsicht genießen.
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.