Bei „WhatsApp“ fällt das Urteil von Lutz Hasse beinahe brutal aus. Der Dienst wird an Thüringens Schulen schlicht untersagt. Auch bei „Microsoft„, „Instagram“ und dem eher unter Lehrern bekannten Dienst „Padlet“ erhebt der Datenschützer von Thüringen und Vorsitzende des Arbeitskreises Bildung der Datenschutzkonferenz Bedenken. Aber Lutz Hasse verbietet eben nicht nur oder rät ab, er empfiehlt eine Vielzahl von Tools. Dazu gehören Moodle, die Thüringer „Schulcloud„, „EduPage“, aber auch die „Mundo“ und – mit Einschränkungen – „Teamviewer“ und die „Anton App„.
Das ist gewissermaßen das „Best of“ der White- and Blacklist von Deutschlands oberstem Datenschützer für Bildung. Die Liste markiert einen Gezeitenwandel in der digitalen Bildung. Bisher gab es von Datenschützern autorisierte öffentliche Listen so gut wie gar nicht. Die Diskussion in Deutschland drehte sich beim Datenschutz zu großen Teilen darum, dass endlich eine Positivliste aufgestellt wird. Da biß man sich fest. Nun gibt es diese Liste.
Dank „Frag-den-Staat“ ist die Whitelist nun für jedermann einsehbar
Dazu muss man allerdings wissen, dass die Liste von Hasse keine übersichtliche Aufzählung im strengen Sinne ist, sondern ein Überblick von neun Schreiben, die er an die Schulleitungen in Thüringen verschickte. Diese Sammlung war auch nicht für alle öffentlich, sondern sie wurde es erst durch eine Anfrage über „Frag den Staat“. So liegen nun also Schreiben von Lutz Hasse vor, die Bildung.Table hier aufzählt, exzerpiert und verlinkt. Die Schreiben beginnen am 15. Januar 2021 und gehen bis zum 2. Juni 2021. Inzwischen gibt es die eine oder andere Aktualisierung. Der Schulleiter Klaus Ramsaier macht daher im Didaktik&Tools dieser Ausgabe den Vorschlag, dass der Bund die Liste künftig öffentlich vorhält – und mithilfe der Landesdatenschützer permanent aktualisiert. Das helfe den Lehrern – und schütze vor juristischen Attacken durch große Konzerne. Lutz Hasse sagte Bildung.Table gestern abend, dass er bereits eine Aktualisierung der Liste vorbereite.
Der Überblick über die Schreiben:
Schreiben 1: Am 15. Januar 2021 verschickte Lutz Hasse erstmals an die staatlichen Schulen in Thüringen per E-Mail „Hinweise zur Nutzung der Thüringer Schulcloud und weiterer Software zu schulischen Zwecken„. Darin ging es im Wesentlichen um die „Schulcloud“, um „Moodle“, „EduPage“ und „itslearning“. Die Beamten von Hasse schauen sich „Padlet“ an – und raten davon ab. Sie empfehlen „Nextcloud“, äußern sich vorsichtig zu „BigBlueButton“, „Jitsi Meet“ und „Cisco WebEx“. Hasse untersagt de facto „WhatsApp“, das in Niedersachsen zeitweise im Schulbetrieb sogar erlaubt war. „WhatsApp darf aber nicht für die dienstlich-schulische Kommunikation von Lehrkräften mit Schülerinnen und Schülern sowie zwischen Lehrkräften untereinander genutzt werden,“ schreibt Hasse. Denn WhatsApp greife in der Regel auf die komplette Kontaktliste der Smartphones zu und verarbeite alle Metadaten der Kommunikation. Der Datenschützer weist (positiv) auf die Messenger Dienste „Conversations“ und „Chatsecure“ sowie „Threema Work Education“ und „Schul.Cloud/Stashcat“ hin.
Hasse zieht aus dem EuGH-Urteil Konsequenzen
Außerdem gibt Hasse in diesem ersten Schreiben grundsätzliche Hinweise zu us-amerikanischen Diensten und dem EuGH-Urteil vom 16. Juli 2020. Allein diese Bemerkungen sind wertvoll. An Schulen und in der Öffentlichkeit ist noch kaum bekannt, dass dieses Urteil gravierende Auswirkungen auf den Umgang mit Schülerdaten hat – Lutz Hasse ist einer der wenigen, der daraus Konsequenzen zieht. Er weist in seinem Schreiben vom Januar darauf hin, dass durch US-Anwendungen massenhaft Sammlungen personenbezogener Daten ohne klare Beschränkung erfolgten. Und dass Bürgerinnen und Bürger der EU, deren Daten in die USA geflossen sind, „keine Möglichkeit haben, diese Überwachungsmaßnahmen gerichtlich prüfen zu lassen.“
Schreiben 2 und 3 bestehen aus der „Orientierungshilfe Videokonferenz Systeme“ der Datenschutzkonferenz vom 23. Oktober 2020 und einer Checkliste dazu. Besonders interessant und wichtig für Lehrer in diesem Zusammenhang ist die Gastteilnahme an Videokonferenzen. In der Checkliste sollen die Lehrkräfte abhaken, ob Risiken für betroffene Personen entstehen, weil nicht autorisierte Dritte teilnehmen. Auch soll geprüft werden, dass nicht autorisierte Personen erkannt und aktiv ausgeschlossen werden können, bevor sie aktiv an der Videokonferenz teilnehmen. Das ist vor allem wichtig, nachdem Ende 2019 und Anfang 2020 etliche Fälle bekannt wurden, bei denen Dritte in Video-Klassenzimmer eindringen konnten. Sie pöbelten dort herum oder zogen sich sogar aus.
Padlet: es fließen „offensichtlich Nutzerdaten an Dritte“
Schreiben 4 und 5: in diesen beiden Mails von Hasse an die staatlichen Schulen vom 25. Januar 2021 geht es praktisch nur um „Padlet„, eine digitale Pinnwand, die inzwischen viele Schulen und Lehrer benutzen, um Projekte vorzubereiten oder damit Schüler sich Übersichten erstellen können. Hasses IT-Ingenieure bemerken: „Dass offensichtlich Nutzerdaten auch an Dritte fließen, ist für jedermann einfach nachweisbar: Die in der Anlage beigefügte Webbkoll-Analyse zeigt auf Seite 6, dass Wallwisher Inc. eine Vielzahl von Tracking-Instrumenten von Drittanbietern eingebunden hat, die für den Zweck der Plattform nicht erforderlich sind.“ Interessant ist hier, dass sich dank Frag-den-Staat nun jeder die Webbkoll-Analyse anschauen und sehen kann, welche Drittanbieter die Daten bekommen. (Screenshot) Hasses Conclusio: Hürden und Aufwand für den Einsatz von Padlet seien so hoch, „dass gegenwärtig eine Nutzung durch Schulen unmöglich ist“.
Schreiben 6 vom 29. Januar 2021 enthält geradezu Ohrfeigen für Helmut Holter (Die Linke), den Minister für Bildung von Thüringen. Hasse erklärt den Schulleiter:innen der Thüringer Schulen in diesem Schreiben, wie viele Daten von Instagram abfließen – und er erklärt es dem Minister. „Herr Minister Holter hat am 26.1.2021 über Instagram eine Videokonferenz entgegen dem ausdrücklichen Rat des TLfDI abgehalten“, steht in dem Schreiben. „Darin wird ein Sprecher des TMBJS zitiert, der Instagram fälschlicherweise als ‚unproblematisch‘ darstellt. Dieser Auffassung widerspricht der TLfDI sehr deutlich.“
Minister Holter verstieß gegen den Datenschutz – trotz Warnung
Dieser kleine, auch ehrpusselige Konflikt zeigt, wie grundsätzlich problematisch viele Kultusminister mit dem Thema Datenschutz umgehen. Dass ausgerechnet ein Minister von oben herab immer wieder gegen den Datenschutzbeauftragten mobil macht – und dann selbst ein unsicheres Tool wie Instagram für ein Gespräch mit Schülern nutzt, ist schwer zu verstehen. Wer solche Minister hat, kann die Datenschutzbeauftragten gleich abschaffen.
Das Schreiben 7 vom 17. März 2021 ist wahrscheinlich das wichtigste, denn es ist eine fast komplette Liste zulässiger und bedenklicher digitaler Tools. Das Mail zeigt, wie intensiv die Schulleiterinnen und Schulleiter in Thüringen das Angebot Lutz Hasses nutzten. Sie taten es umso mehr, als sie merkten, wie auskunftsbereit und hilfreich die Datenschutzbehörde in Thüringen ist. In dem Schreiben wird eine ganze Reihe von digitalen Tools und Apps aufgelistet, gegen die „keine durchgreifenden Bedenken“ bestehen. Dazu gehören „Sdui„, „Dudle“, „oncoo“, „LearningApps“, „LearningView“, „EduPage“ (mit Vorbehalten) und „Teamviewer“ (mit Hinweisen).
Böse Überraschung: Bedenken gegen Sofatutor, Serlo und „Wir lernen Online“
Bedenken äußert Hasse gegen folgende Produkte: „Microsoft365“, „Sofatutor„, „YouTube“, „Kialo-Edu„, „duolingo“, „quizlet“, „schooltogo“, „schlaukopf“, „frustfrei-lernen“, „quizacademy“, „wooclap“, „TeacherMade“, „G-Suite for Education“, „Edu.school“, „onilo“, „serlo„, „Adobe.scan“, „Instagram“, „Facebook“ und WhatsApp. Die Überraschung in dieser negativen Aufzählung sind sicherlich Sofatutor und Serlo, zwei arrivierte deutsche Anbieter, die bei Lehrerinnen und Lehrern inzwischen sehr beliebt sind.
Das Schreiben 8 vom 27. April 2021 enthält Hinweise auf Alternativen zu YouTube. Darin tauchen „Mundo“ und „Wir lernen online“ auf, zwei bundesweite Plattformen für Lehrer:innen, die von der KMK beziehungsweise dem Bundesbildungsministerium initiiert wurden. Auch „Planet-Schule“ von den öffentlich-rechtlichen Sendern WDR und SWR zählt zu diesen Alternativen. Überraschend: Wir Lernen Online fällt durch und Planet-Schule kann „nur bedingt empfohlen werden“. In Schreiben 9 vom 2. Juni 2021 schließlich korrigiert Hasse einige Einschätzungen nach Rückmeldungen der Anbieter Sdui, Onilo und EduPage.