Lehrkräfte verwenden für ihren Unterricht immer häufiger Apps oder andere digitale Tools. Ob für Benotungen und Bewertungen oder im Einsatz als Lern- und Lehrplattform, digitale Anwendungen bieten eine Vielfalt an neuen organisatorischen und pädagogischen Möglichkeiten. Gleichzeitig stellt sich aber die Frage nach dem Datenschutz. Dieser Beitrag beschäftigt sich mit datenschutzrechtlichen Vorgaben für den Umgang mit Daten von Schülerinnen und Schülern bei der Verwendung von Apps. 

10 Fragen zur datenschutzrechtlichen Überprüfung von Apps

Möchte eine Lehrkraft überprüfen inwiefern eine App in datenschutzrechtlicher Hinsicht geeignet ist, sollte sie diese anhand folgender Fragen überprüfen. Nicht jede Frage lässt sich dabei mit „Ja“ oder „Nein“ beantworten. Diese schrittweise Überprüfung soll einen Überblick verschaffen und die Abwägung erleichtern, ob eine App im Unterricht sinnvoll einsetzbar ist.

1. Auf welchen Endgeräten sollen die Apps verwendet werden?
   Werden die Apps auf den schulinternen Endgeräten verwendet, müssen gewisse Regeln eingehalten werden, da grundsätzlich ein Mobile Device Management (MDM), also eine zentrale Verwaltung der mobilen Geräte, besteht. Möchte eine Lehrkraft hier eine neue App hochladen, kann sie diese im Rahmen einer Gesamtkonferenz (jeweils zu den Halbjahres-Zeugnissen oder zum Schuljahresende) vorschlagen. Für eine Entscheidung muss die Schüler- und Elternvertretung angehört werden und eine Abstimmung im Gremium erfolgen (§§ 1 Abs. 6 i. V. m. 33 Abs. 2 und § 40 Abs. 2, 4 Schulgesetz - SchulG). Wird der Vorschlag angenommen, kann die neue App in Absprache mit dem MDM auf den Geräten installiert werden (siehe hierzu auch Baustein 2.1 – Verwaltung der PC-Hardware und MDM). Möchte die Lehrkraft für die Nutzung der App nicht bis zu den nächsten Konferenzen warten, muss sie überprüfen, ob sie eine Einwilligung der Erziehungsberechtigten benötigt.
   
   Sollen die Schülerinnen und Schüler die App auf ihren eigenen oder auf den von der Schule gestellten Geräten installieren, wird die Lehrkraft nicht umhin kommen, die Schülerinnen und Schüler sowie die Erziehungsberechtigten hierüber zu informieren und eine Einwilligung einzuholen.
    
2. Welche Zugriffsrechte verlangt die App?
   Je mehr Zugriffsberechtigungen die App auf das Endgerät hat, desto mehr Daten können gespeichert werden. Greift die App beispielsweise lediglich auf das Mikrofon zu, um einzelne Geräusche abzuspielen, ist die Datenerhebung minimaler, als wenn sie auf die Kontakte, Fotos und Messenger-Dienste zugreifen kann. Einige Berechtigungen kann man in den App-Einstellungen unterbinden, andere wiederum sind voreingestellt. Beim Einsatz einer App mit weitreichendem Zugriff auf das Smartphone sollte dies bei der Installation mit den Schülerinnen und Schülern besprochen und konfiguriert werden.
    
3. Ist eine Registrierung notwendig und eine anonyme Nutzung möglich?
   Eine App ohne Registrierungspflicht ist immer eine datensparsame Lösung. Doch auch wenn eine Registrierung erforderlich ist, sollte überprüft werden, ob die Nutzung mit Fantasienamen bzw. Fantasie-E-Mail-Adressen möglich ist. Wenn dies der Fall ist, werden keine personenbezogenen Daten hinterlegt.
    
4. Kann die Anwendung auch offline genutzt werden?
   Dies ist für Schulen mit schlechter W-LAN-Anbindung ein Vorteil. Außerdem wird bei der Nutzung einiger Apps im Offline-Modus die Werbung unterdrückt.
    
5. Ist die Datenschutzerklärung auf Deutsch, gut verständlich und bezieht sich auf die DS-GVO?
   Die Datenschutzerklärung muss auf Deutsch sein und über die Datenerhebung, den Funktionsumfang und die Weitergabe von personenbezogenen Daten aufklären. Sie sollte beinhalten, welche Daten mit der Identität der Nutzerin oder des Nutzers verknüpft werden und welche mit Dritten geteilt werden. Weitere wichtige Inhalte sind die Kontaktdaten des Herausgebers, die Speicherdauer und eine Information über die Rechte der Nutzerinnen und Nutzer.
    
6. Gibt es eine Einschätzung hinsichtlich des Jugendschutzes?
   Auch wenn dies kein originäres datenschutzrechtliches Thema ist, sind Kinder und Jugendliche durch die DS-GVO besonders geschützt (siehe hierzu auch Baustein 5.6 – Jugendgefährdende Inhalte). Nach dem Jugendschutzgesetz (JuSchG) muss der App-Anbietende, neben verpflichtenden Alterskennzeichnungen (§§ 11 – 14a JuSchG), die Geeignetheit von Inhalten für Kinder und Jugendliche anzeigen und durch Voreinstellungen ungeschützte Kommunikation mit Fremden unterbinden. Symbole, die zum Inhalt der Gefährdung, etwa glückspielähnlichen Elementen, Bezug nehmen, müssen angezeigt werden. Durch ein leicht zugängliches Hilfs- und Beschwerdesystem sollen Regelungen gegen Anbietende einfach durchgesetzt werden können.
    
7. Gibt es Meldemöglichkeiten bei Rechtsverletzungen?
   Es muss nach dem Netzwerkdurchsetzungsgesetz (NetzDG) eine Möglichkeit angeboten werden, Rechtsverletzungen zu melden. Laut Gesetz sind Anbieter verpflichtet, wirksame und transparente Verfahren zum Umgang mit Beschwerden über rechtswidrige Inhalte einzurichten, § 3 NetzDG. Eine in der Schule eingesetzte App sollte diese Vorgabe erfüllen. Siehe hierzu auch die Checkliste zu Rechtsverletzungen von Lehrkräften.
    
8. Gibt es Werbung / Pop-Ups / Lootboxen oder In App-Käufe?
   Werbung, die unter anderem in Form von Pop-Ups geschaltet wird, sollte in der Schule grundsätzlich nicht unterstützt werden. Ausnahmen bestehen möglicherweise, wenn die Werbung während der Offline-Nutzung unterdrückt würde.
   
   Lootboxen sind virtuelle „Beutekisten“, in denen weitere Ausrüstungen oder Werkzeuge für die jeweilige App erspielt oder gekauft werden können. Diese glückspielähnlichen Zusatzfunktionen sind im schulischen Bereich zu vermeiden, da sie mit dem heutigen Jugendschutzgesetz kaum vereinbar sind.
   
   Bei In-App-Käufen ist abzuwägen. Manchmal laufen pädagogisch wertvolle Apps kostenfrei mit Werbung, gegen einen geringen Betrag im In-App-Kauf kann man sie hingegen werbefrei nutzen. Hier kommt es darauf an, auf welchen Geräten die App verwendet werden soll und wie alt die Schülerinnen und Schüler sind.
    
9. Gibt es Verlinkung zu Social Media?
   
   Einige Apps haben eine Verlinkung zu sozialen Medien wie beispielsweise Instagram, Snapchat oder Twitter bereits vorinstalliert. Erzielt die Nutzerin oder der Nutzer irgendein Ergebnis, z. B. in einer Spiele-App, wird gefragt, ob dieses direkt gepostet werden soll. Da sozialen Medien im schulischen Bereich kein Raum gegeben werden soll, ist dies zu verhindern (siehe hierzu auch Baustein 3.4 – Blogs, Schulwikis, Soziale Medien).
    
10. Welche Daten erheben der App-Shop (App-Store, Google-Play oder Online-Store) und das Endgerät?
    Überprüft werden sollte ebenfalls, welche Daten die Plattform erhebt, über die die Apps geladen werden können, z. B. App Store oder Google Play. Sobald die App über diese Vertriebsplattform registriert wird, fallen personenbezogene Daten der Nutzerin bzw. des Nutzers an. Das sind u. a. Informationen zum Nutzerkonto, den Downloads aber auch Profildaten, um personalisierte Vorschläge für andere Apps zu ermöglichen. Informationen hierüber finden sich in den Einstellungen des Endgerätes.
    
    Grundsätzlich sollten Schülerinnen und Schüler darauf hingewiesen werden, dass nach Installation einer App einzelne Zugriffe in den Smartphone-Einstellungen verhindert werden können. So kann beispielsweise der Zugriff auf Kontakte oder Kamera unterbunden werden.
    
    Darüber hinaus verarbeiten herkömmliche Endgeräte in ihren vorinstallierten Cloud-Lösungen (z. B. ICloud oder Google Drive) automatisch personenbezogene Daten außerhalb Europas. Hier herrscht jedoch nicht überall unser Datenschutz-Standard (siehe hierzu auch Baustein 2.3 – Softwarenutzung – Anwendungen für den Unterricht). Als Lösung bietet sich an, die Daten zu verschlüsseln, bevor sie in die Cloud geladen werden. Eine andere Möglichkeit wäre es, die jeweilige Cloud des Geräteherstellers auszuschalten. Zu beachten ist, dass bei regelmäßigen Updates verschiedene Funktionen (wie beispielsweise die Cloudfunktion) auf den Endgeräten automatisch wieder hinzugefügt oder aktiviert werden.
    
    Weiterführende Informationen zur Cloudsicherheit stellt das  Bundesamt für die Sicherheit und Informationstechnik (BSI) bereit: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cloud-Computing-Sicherheitstipps/cloud-computing-verbraucher_node.html
    
    Ähnliches gilt für virtuelle Sprachassistenten (z. B. Siri). Diese sind in der Regel vorinstalliert und erlauben, dass das Gerät anhand der Benutzung lernt (also mithört) und App-übergreifende Vorschläge macht. Auch dies lässt sich in den jeweiligen Einstellungen deaktivieren.
    
    Ein Punkt ist noch wichtig zu erwähnen: Das Datensendeverhalten von Apps und Smartphones ist oftmals unklar. Viele Apps sammeln und senden mehr Daten, als für ihre Funktion erforderlich ist. Für Android-Apps gibt es inzwischen eine Übersicht mit geprüften und kategorisierten Apps auf der Website von mobilsicher.de, siehe https://appcheck.mobilsicher.de/.

Nach der Beantwortung dieser 10 Fragen sollten Lehrkräfte in der Lage sein zu beurteilen, ob sich die App datenschutzkonform im Unterricht einsetzen lässt.

Außerdem sollten Schülerinnen und Schüler über das Urheberrecht aufgeklärt werden, siehe hierzu den Blogbeitrag „Digitale Tools und das Urheberrecht“ sowie Baustein 5.1 – Nutzung von Filmen, Unterrichtsfilmen, Bildern, Musik, Websites im Unterricht. Insbesondere ist darauf hinzuweisen, dass Bilder oder Werke von Personen von einigen Apps weiterverarbeitet werden.

Verwendung von Apps durch die Endgeräte der Lehrkräfte

Erhebt eine Lehrkraft mit ihrem privaten Endgerät personenbezogene Daten wie E-Mail-Adressen oder Bewertungen der Schülerinnen und Schüler, benötigt sie die Genehmigung der Schulleitung (siehe dazu auch Baustein 4.3 – Notenverwaltung, Archivierung und Löschfristen). Sie muss gleichzeitig ihr Einverständnis darüber erteilen, dass ihr privates Gerät in gleicher Weise wie ein dienstliches Gerät kontrolliert werden darf und muss besondere Vorkehrungen für den Datenschutz durchführen.

Weiterführende Links

Weiterführende Informationen zur Cloudsicherheit des BSI
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cloud-Computing-Sicherheitstipps/cloud-computing-verbraucher_node.html

Testberichte zum Datensendeverhalten von Android-Apps im App-Checker von mobilsicher
https://appcheck.mobilsicher.de/

Bewertung einiger Plattformen und Apps im Hinblick auf die Einhaltung der formalen Vorgaben der DS-GVO von datenschutz-schule.info
https://datenschutz-schule.info/datenschutz-check

Webtools sicher einsetzen - Auswahl mit Blick auf Datensparsamkeit im Schule online - Hauptkurs „Schulischer Datenschutz in der Praxis“
https://lms.bildung-rp.de/austausch/mod/page/view.php?id=20475

Leitfaden für die datenschutzkonforme Auswahl und Nutzung von Apps des Ministeriums für Kultur, Jugend und Sport, Baden-Württemberg
https://it.kultus-bw.de/site/pbs-bw-new/get/params_Dattachment/4695616/Handreichung-Auswahl-Apps.pdf

Apps im Unterricht - Regeln und Tipps zum datenschutzkonformen Einsatz - Checkliste von DigiBits
https://www.digibits.de/materialien/digibits-checkliste-apps-im-unterricht-regeln-und-tipps-zum-datenschutzkonformen-einsatz/