Google Classroom ist nicht sicher, NZZ, 18.6. von Stefan Hotz
Teenager von heute sind Digital Natives. Sie
wachsen mit den Möglichkeiten der Informatik auf und verwenden Computer sowie
Smartphone selbstverständlich in der Freizeit und im Unterricht. Sie legen aber
auch Wert auf den Schutz der Privatsphäre, wie der kantonale
Datenschutzbeauftragte Bruno Baeriswyl in Diskussionen mit Schulklassen
feststellte. Sie sind sich bewusst, dass man das Kontrollrecht über seine Daten
verlieren kann und welche Gefahren dies mit sich bringt.
Wo ist die Cloud?
Unklar ist hingegen, ob sie - und natürlich auch
die Erwachsenen - wissen, wie sie sich davor schützen können. Hier kommt dem
Bildungswesen eine wichtige Rolle in der Aufklärung zu. Doch ausgerechnet
Schulen verhalten sich oft nicht vorbildlich. Das betrifft unter anderem das
Cloud-Computing, also die Auslagerung der Daten. Dabei stellt sich die Frage,
wie sicher diese sind und wer sie bearbeiten kann.
Diese Punkte sind im Vertrag oder in den
allgemeinen Geschäftsbedingungen zu regeln. Doch das ist keineswegs immer der
Fall. Baeriswyl stellt in seinem Tätigkeitsbericht 2014, den er am Mittwoch
präsentiert hat, klar: «Es ist undenkbar, dass ein öffentliches Organ des
Kantons Zürich in den USA seine Ansprüche nach amerikanischem Recht geltend
machen müsste.»
Microsoft lenkt ein
Das gilt auch für Schulen. Baeriswyl und sein Team
haben im vergangenen Jahr verschiedene Produkte für die digitale
Datenbearbeitung im Schulzimmer überprüft. Der Befund zum Tool Google Classroom
ist eindeutig. Aufgrund der Nutzungsbestimmungen werden die Daten weltweit
bearbeitet, der Gerichtsstand ist in den USA, anwendbar ist amerikanisches
Recht. Auch sei intransparent, welche Daten Google an wen zu welchem Zweck
weitergebe. «Aus diesen Gründen genügt <Google Classroom> den
datenschutzrechtlichen Anforderungen nicht», heisst es im Bericht des Datenschützers.
Das traf bis vor gut einem Jahr auch auf das
Microsoft-Programm Office 365 zu. 2014 aber erzielte Privatim, die Schweizer
Vereinigung der Datenschützer, eine Anpassung der Vertragsbedingungen. Demnach
speichert Microsoft die Daten in Europa (konkret in Irland oder den
Niederlanden). Der Gerichtsstand ist Zürich, und es gilt Schweizer Recht. Es
sei nicht gelungen, mit Google zu diesen Fragen auch nur in Verhandlungen
einzusteigen, erklärte Baeriswyl. Wie weit verbreitet Google Classroom ist, weiss
der Datenschützer nicht, aber es habe immer wieder Anfragen zu diesem Produkt
gegeben. Rät Baeriswyl von Google Classroom ab? So könne man das nicht sagen,
antwortete er. Es sei zwar möglich, alles zu verschlüsseln, aber das
funktioniere vermutlich nicht.
Löchrige Websites
Sein Team hat 2014 ausserdem die Websites von
Schulen überprüft. Dazu stellt der Datenschützer fest, dass die technischen
Sicherheitsmassnahmen in der Regel angemessen angewandt werden. Er stiess aber
auf zahlreiche Schwachstellen. In 80 Prozent der Schul-Websites waren
Programmcodes eingebunden, durch die Informationen der Besucher an Google in
die USA übermittelt werden. Ebenso gravierend ist, dass 20 Prozent der
kontrollierten Websites kritische Sicherheitslücken aufwiesen. Das hiess in
einem Beispiel, dass man ohne grossen Aufwand den Inhalt der Website hätte
verändern, also etwa «Malware» über sie hätte verbreiten können. In einem
anderen Fall war es möglich, von aussen auf administrative Unterlagen
zuzugreifen, zum Beispiel auf schulpsychologische Gutachten.
Nicht nur Schulen haben Probleme. Nur ein Drittel
der Gemeinden habe die Datensicherheit im Griff, sagte Baeriswyl. 20 bis 25
Prozent kehrten zu wenig vor, was Anlass zu Besorgnis sei. Es handle sich
tendenziell zwar um kleinere Gemeinden, präzisierte er. Die Risiken für den
Einzelnen blieben aber gleich gross. Für die Volksschule hat Baeriswyl ein
Datenschutz-Lexikon verfasst, das alle Fragen beantwortet und den Beteiligten
eine datenschutzkonforme Handhabung der Information erleichtert. Weitere Lexika
sind für die Universität und die Mittelschulen in Vorbereitung. Getreu dem
Motto mit doppelter Verneinung des Datenschützers: «Kein Bereich ist nicht
betroffen.»
Keine Kommentare:
Kommentar veröffentlichen