Was macht einen Messenger DSGVO-konform?

Nicht erst seit der DSGVO machen sich Schulen Gedanken um den Schutz persönlicher Daten. In Bezug auf moderne und direkte Kommunikationsmöglichkeiten wie einen Messenger stellt sich die Frage, inwiefern darin versandte Daten eigentlich geschützt sind. Dürfen Messenger in der Schulkommunikation überhaupt eingesetzt werden? Welche Anforderungen es gibt, wie man diesen rechtskonform begegnen kann und was darüber hinaus nützlich ist, erfahren Sie bei uns.

Reden wir Tacheles – WhatsApp ist auf nahezu jedem Smartphone installiert, sei es bei Lehrern, Schülern oder Eltern. Ist es auch (noch) in Verwendung? JA, denn es ist leicht zu bedienen, alle Kontakte sind sowieso vorhanden und privat ist es ja auch in Verwendung. Aber als Schule sind Sie spätestens seit der DSGVO isoliert, denn Messenger wie WhatsApp dürfen nicht mehr verwendet werden. Sie entsprechen nicht den rechtlichen Vorgaben.

Gerade WhatsApp ist umstritten, denn immer wieder kommt es zu Schwierigkeiten mit dem US-Messenger-Dienst. Im August 2018 titelte die Zeit Online „Kurznachrichtendienst: Chatverläufe auf WhatsApp können manipuliert werden“. Im Oktober 2018 dann bei heise online: „Security: Kritische Sicherheitslücke gefährdet Milliarden WhatsApp-Nutzer“. Und auch in diesem Jahr wurde es nicht ruhiger um den Messenger – Spiegel online erklärte im Mai „Spionagesoftware: WhatsApp-Sicherheitslücke ermöglichte gezielte Überwachung“.

Eltern und Lehrer sind aufgeschreckt, Schulverwaltungen sprechen teilweise offizielle Verbote der Software aus, so zum Beispiel das Ministerium für Kultus, Jugend und Sport Baden-Württemberg, eine klare Lösung für das Dilemma wird kaum geboten. Denn in Zeiten von einfacher, direkter Kommunikation über Messenger, wer möchte da zurück in die Steinzeit? Heute sind schließlich noch nicht einmal alle Schulen mit dienstlichen E-Mail-Adressen ausgestattet!

Eltern aber wünschen sich eine digitale Kommunikation zwischen Schule und Schülerinnen bzw. Eltern. Laut im ifo Schnelldienst 17/2017 veröffentlichten Forschungsergebnissen stimmen 19% der befragten Erwachsenen mit „sehr dafür“, 47% mit „eher dafür“. Insgesamt 65% also sprechen sich für eine digitale Kommunikation aus! Doch wie umsetzen? Wie sollen Schulen die notwendige Medienkompetenz den Schülerinnen und Schülern verwenden, ja diese sogar zur Anwendung bringen? Eine Messenger-Lösung wäre hier ein erster wichtiger und richtiger Schritt.

Anforderungen an eine Messenger-Kommunikation im Schulmarkt

Wird ein Messenger ausgewählt, so geht es zunächst in den Anmelde- und Registrierungsprozess. Schon hier geht es um sensible Daten – nämlich die jeder einzelnen Person, die in den Schulmessenger involviert werden soll. Anbieter, die hier mehr Daten als notwendig abfragen, sollten genauer betrachtet werden, ehe sie im Schulkontext zum Einsatz kommen. Das passende Stichwort aus dem Datenschutz heißt hier Datensparsamkeit und ist einfach nachvollziehbar.

Es ist beispielsweise nicht DSGVO-konform, wenn der Anbieter das Adressbuch auf dem Smartphone der Nutzer/innen auslesen kann. Hier fehlt etwas ganz Entscheidendes – die Zustimmung der Personen, die im Adressbuch aufgenommen wurden. Sie haben nicht zugestimmt, dass ihre Daten Drittanbietern zugängig gemacht werden, auch wenn es auf den ersten Blick nur einer einfacheren Verwendung des Messengers durch den Nutzer dient. Im privaten Kontext kann jede/r selbst entscheiden, ob sie die Software dennoch nutzen möchten. Im Bildungssektor sind Sie allerdings an Regeln gebunden, die Ihnen ab hier eine Verwendung der Software untersagen.

Exkurs: Ende-zu-Ende- vs. Transportverschlüsselung

Ein weiterer Aspekt ist der Zugang der Daten bzw. die Art der Verschlüsselung. Grundsätzlich gibt es zwei relevante Verschlüsselungsverfahren: Ende-zu-Ende-Verschlüsselung und Transportverschlüsselung. Während letztere die Daten nur auf der jeweiligen Verbindungsstrecke verschlüsselt und auf den einzelnen Servern nach wie vor im Klartext speichert, können bei der Ende-zu-Ende-Verschlüsselung nur die Kommunikationspartner als Endpunkte der Kommunikation die Nachrichten entschlüsseln, da diese über alle Übertragungsstationen hinweg verschlüsselt sind.

Übrigens: Selbst Anbieter bringen die Verschlüsselungsverfahren manchmal unwissentlich durcheinander und bewerben eine Transportverschlüsselung als Ende-zu-Ende-Verschlüsselung. Als Nutzer gilt es hier, genau hinzuschauen und sicherzugehen, dass es sich wirkich um eine echte Ende-zu-Ende-Verschlüsselung handelt.

In Artikel 32 der DSGVO – Sicherheit der Verarbeitung, definiert der Gesetzgeber die Anforderungen wie folgt: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

„Damit die Nachricht auf ihrem Weg nicht gelesen oder abgehört werden kann, ist eine Ende-zu-Ende-Verschlüsselung zu empfehlen.“, erklärt das Bundesamt für Sicherheit der Informationstechnik in seinem Beitrag „Verschlüsselt kommunizieren im Internet“. Weiter heißt es zu den drei definierten Zielen Schutz der Vertraulichkeit, Schutz der Authentizität und Schutz der Integrität: „Diese Ziele können nur durch eine Ende-zu-Ende-Verschlüsselung gewährleistet werden, bei der die Daten beim Absenden verschlüsselt und erst beim Empfang wieder entschlüsselt werden.“

In seiner Veröffentlichung „Vertraulichkeitsschutz durch Verschlüsselung – Strategien und Lösungen für Unternehmen“ erklärt sich auch das Hessische Ministerium für Wirtschaft, Energie, Verkehr und Landesentwicklung für den Einsatz einer Ende-zu-Ende-Verschlüsselung: „Es existiert eine Vielzahl verschiedener Kollaborationstools mit unterschiedlichen Funktionen. […] Noch weniger erlauben die (noch sicherere) Ende-zu-Ende-Verschlüsselung der sensiblen Daten. Es lohnt sich also, bei der Auswahl eines Kollaborationstools genau abzuwägen.“

Diese Meinungsstellungen lassen sich leicht vom Wirtschafts- auf den Bildungsmarkt übertragen. Denn auch hier haben wir es mit sensiblen und persönlichen Daten zu tun, die nicht nur in unseren Augen, sondern auch in den Augen offizieller Stellen schützenswert sind. Zudem erziehen wir in unseren Schulen die nächste Generation der Wirtschaft und Öffentlichkeit, daher sollten wir gerade hier sensibel sein und zur Sensibilität in Schutz und Sicherheit von Daten erziehen.

Übrigens: Auch in der Politik ist die Verschlüsselungsproblematik ein Thema. „Der Deutsche Bundestag fordert die Bundesregierung auf, […] Telekommunikations- und Telemedienanbieter zu verpflichten, ihre Kommunikationsdienste nach einer Übergangsfrist für zukünftige technische Systeme als Standard abhörsicher (Ende-zu-Ende verschlüsselt) anzubieten“, heißt es in einem Antrag der 19. Wahlperiode im Deutschen Bundestag vom November 2018.

Weitere Anforderungen an einen Schulmessenger

Sind erst einmal alle angemeldet, dann möchten die Nutzer/innen auch in der Verwendung des Messengers selbst ihre Privatsphäre geschützt wissen. Wichtig ist hier, dass eigenen Zugriff auf Einstellungen besteht, welche die Privatsphäre schützen. So sollten Dinge wie der Onlinestatus, die Lesebestätigung oder aber auch die Standortübermittlung selbst steuerbar sein. Dazu sollte jederzeit Zugriff auf die eigenen Daten bestehen und die Möglichkeit, diese vollständig zu entfernen.

Insgesamt ist es wichtig, dass die Bedienung nicht übermäßig kompliziert ist. Im Idealfall sollte die Bedienung eine sein, die man von anderen Anwendungen gewohnt ist. So wird nicht nur die Akzeptanz, sondern auch das Vertrauen in die Anwendung gesteigert.

Und vor allem: Gehen Sie immer transparent damit um, wie die Datenverarbeitung erfolgt, machen Sie diese Informationen zugängig. Das gebietet nicht nur die DSGVO! In dieser ist beispielsweise auch verankert, dass Daten nur innerhalb der Europäischen Union gespeichert sein dürfen. Auch muss eine angemessene und DSGVO-konforme Auftragsdatenverarbeitung (ADV) bestehen.

Es gibt Lösungen – leicht zugängig und schon im Einsatz!

Bereits im April berichteten wir – „Köln zeigt Eigeninitiative mit Kommunikations- und Informations-App für Schulen“. Die Stadt Köln stellt mit KIKS eine zentrale Lösung für alle 267 Kölner Schulen zur Verfügung und positioniert sich so klar im WhatsApp-Verbot. Neben dem Verbot muss eine attraktive Lösung stehen – für Schüler/innen, Lehrer und auch Eltern. Das ist Köln gelungen.

Die Basistechnologie schul.cloud selbst ist frei zugängig – insofern Sie natürlich Lehrkraft an einer Schule sind. Der Registrierungsprozess ist laut eigenen Angaben des Anbieters in zwei Minuten erledigt und dient hauptsächlich der nachweislichen Nutzung als Lehrkraft. Ist diese erst einmal angemeldet, so hat der Lehrkörper selbst in der Hand, wem Einladungsschlüssel ausgestellt werden. Bzgl. der Konformität mit den geltenden Datenschutzbestimmungen hat der Anbieter zudem Informationen in den Nutzungsbedingungen und auf der Website hinterlegt.

Unser Fazit: Es GIBT Messenger-Lösungen, die sich rechtlich konform und unkompliziert einsetzen lassen. Alles, was Sie nun noch tun müssen, ist loslegen!