Als die Pandemie die Kinder zum Lernen nach Hause schickte, stellten Schulen in den USA im Eiltempo auf Online-Unterricht um. Doch schon bald sahen sich Pädagog/innen mit Datenschutzproblemen konfrontiert, da der Unterricht auf Plattformen verlegt wurde, die dafür nicht konzipiert waren. Joe Jerome (Common Sense Media) bewertet beliebte Edtech-Plattformen im Hinblick auf Sicherheit und Datenschutz.
Dieser Artikel ist Teil unseres Dossiers "Digitale Schule: Lektionen aus der Pandemie".
Die Edtech-Technologie bedient Schülern und Schülerinnen, also eine besonders gefährdete Bevölkerungsgruppe. Rechtsexpert/innen stufen sowohl bildungsbezogene Daten als auch Daten von Kindern als sensible Daten ein, da sie algorithmische oder menschliche Rückschlüsse auf Fähigkeiten und Intelligenz zulassen. Gerade junge Menschen sind hier gefährdet, denn sie geben oft persönliche Daten bereitwillig an Fremde weiter, ohne die möglichen Folgen zu verstehen. Die von Edtech-Plattformen verarbeiteten Daten, ob sie von Kindern, Jugendlichen oder Erwachsenen stammen, verdienen besonderen Schutz und besondere Sorgfalt. Und das ist nicht immer gewährleistet.
Während der Pandemie wurden Apps für Videokonferenzen und Fernunterricht zu einer Notwendigkeit für Lehrer/innen auf der ganzen Welt. Datenschutz und Sicherheit blieben dabei leider oft im Hintergrund. Der Übergang zum Online-Unterricht hat die bereits seit langem bestehenden Datenschutzprobleme an Schulen noch deutlicher gemacht. Distanzunterricht über soziale Medien oder andere Plattformen wurde weder für Bildungszwecke noch gemäß (bildungsbezogenen) Datenschutzgesetzen konzipiert. Wenn Edtech-Firmen ihr Produktsortiment als erschwingliche, sichere und effiziente Lösung für Distanzunterricht und virtuelle Klassenzimmer vermarkten, sollten wir ganz genau auf die datenschutzbezogenen Auswirkungen achten. Eine kürzlich durchgeführte Umfrage der unabhängigen Watchdog-Organisation International Digital Accountability Council (IDAC) unter 496 globalen Edtech-Anwendungen deckte eine Reihe fragwürdiger Praktiken auf, darunter die exzessive Weitergabe von Standortdaten an Dritte und die Offenlegung personenbezogener Schüler/innendaten.[1]
Welche Gesetze regeln den Schutz von Schüler/innendaten in den USA?
In den Vereinigten Staaten gibt es kein umfassendes Datenschutzgesetz. Wie die Daten von Schüler/innen verarbeitet werden dürfen, ist also durch eine Vielzahl von Gesetzen auf Bundestaaten- sowie auf Bundesebene geregelt. Diese Gesetze variieren in ihrer Reichweite und darin, welche Art von Daten sie überhaupt abdecken; ihre Vielfalt und Vielzahl zeigt auch die Grenzen des Datenschutzes für Schüler/innen auf.
Grundlage für den Schutz von Schüler/innendaten in den Vereinigten Staaten ist der Federal Family Educational Rights and Privacy Act (FERPA), der die Vertraulichkeit von bildungsbezogenen Schüler/innendaten schützen soll.[2] Erlassen wurde FERPA 1974 als Reaktion auf Befürchtungen, dass Schulen wahllos und stillschweigend dauerhafte detaillierte Aufzeichnungen über ihre Schüler/innen erstellen. Das Gesetz räumt Familien das Recht ein, ihre eigenen bildungsbezogenen Datensätze einzusehen und zu überprüfen, Korrekturen zu beantragen und bestimmte Offenlegungen ihrer Datensätze einzuschränken.[3] Die Offenlegung von Schüler/innendaten aus solchen bildungsbezogenen Aufzeichnungen ist generell ohne schriftliche Zustimmung verboten.
FERPA hat jedoch wesentliche Mängel. Zum einen bezieht sich das Gesetz auf eine längst überholte Lernumgebung, in der „bildungsbezogene Datensätze“ in Aktenschränken und nicht digital in der Cloud lagen. Das Gesetz erlaubt den Datenaustausch mit „offiziellen Schulvertreter/innen“, die ein „berechtigtes pädagogisches Interesse“ an den Schüler/innendaten haben.[4] Der Gesetzgeber konnte jedoch nicht ahnen, dass Schulen eines Tages Edtech-Plattformen wie Google Classroom als „offizielle Schulvertreter/innen“ einstufen würden. Das Problem ist, dass FERPA nur für Schulen gilt und somit Schutzlücken aufweist, sobald private Edtech-Firmen an Bildung beteiligt sind. Dies hat erhebliche Auswirkungen auf die Durchsetzung des Gesetzes. Die gängige Sanktion für Nichteinhaltung ist der Entzug von Bundesmitteln für Schulen. Das für die Durchsetzung des Gesetzes zuständige Erziehungsministerium der USA hat aber Bedenken, ohnehin schon unterfinanzierten Schulen wegen Datenschutzverletzungen, die ja durchaus von EdTech-Anbietern verursacht worden sein könnten, weitere Mittel zu verweigern.
Zwar hat der US-Kongress Bemühungen unternommen, FERPA zu reformieren, doch wird der Schutz von Schüler/innendaten in erster Linie durch bundesstaatliche Gesetze geregelt. Bedenken der Eltern über exzessive Datenerfassung lösten rege Gesetzgebungsaktivitäten aus: 41 Bundesstaaten verabschiedeten seit 2013 insgesamt 126 neue Gesetze zum Schutz von Schüler/innendaten. Diese Gesetze zielen darauf ab, Sicherheitsvorkehrungen zu stärken oder Datenschutzbeauftragte an Schulen und weitere Regelungsmechanismen für Schüler/daten einzuführen. Außerdem haben Bundesstaaten ihre eigenen Gesetze zur Regulierung von Edtech-Anbietern erlassen, allen voran Kalifornien mit seinem Student Online Personal Information Protection Act (SOPIPA).
Angesichts zahlreicher Beschwerden von Pädagog/innen, sie seien von Edtech-Dienstleistungen und Praktiken überfordert, erarbeitete Common Sense Media in Zusammenarbeit mit Gesetzgebern SOPIPA, das im Jahr 2014 eingeführt wurde. Edtech-Websites und -Dienste erhoben immer mehr Schüler/daten, weil Schüler/innen diese Dienste auf Aufforderung ihrer Lehrkraft hin nutzten, und zwar ohne Verträge mit den örtlichen Schulämtern. Die Schulen standen also vor der Wahl, entweder ihre eigene Lernsoftware oder Dienstleistungen zu entwickeln oder aber Anbieter zu nutzen, die nicht verpflichtet waren, die Anforderungen an schüler/innenbezogenen Datenschutz zu erfüllen bzw. Schüler/innendaten zu sichern. In Zusammenarbeit mit kalifornischen Gesetzgeber/innen, darunter auch dem Urheber des Gesetzentwurfs Senator Darrell Steinberg, machen wir heute Edtech-Unternehmen für den Schutz und die Sicherheit von Schüler/innendaten verantwortlich.
SOPIPA gilt für Edtech-Anwendungen, -Websites und -Dienste, unabhängig davon, ob vertragliche Einschränkungen bestehen. Es verbietet Edtech-Anbietern, die erhobenen Daten für gezielte Werbeanzeigen, die Erstellung von Werbe- oder kommerziellen Schüler/innenprofilen oder den Verkauf von Schüler/innendaten zu verwenden.[5] Eine gewisse Besonderheit im amerikanischen Datenschutzrecht ist dabei, dass das Gesetz pauschale Verbote anstelle von Regeln festlegt, die Unternehmen dann umgehen oder aushebeln können, indem sie oft verwirrende „Zustimmungen“ von überforderten Eltern oder Schüler/innen einholen. Viele Bundesstaaten im ganzen Land haben sich wesentliche Grundsätze von SOPIPA zu eigen gemacht.
Edtech unterliegt außerdem noch weiteren allgemeinen Datenschutzgesetzen, wie dem Children’s Online Privacy Protection Act (COPPA) und dem neuen kalifornischen Consumer Privacy Act (CCPA). Sogar die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) hat die Diskussion darüber angeheizt, wie Schulen und ihre Edtech-Anbieter die von ihnen verarbeiteten Schüler/innendaten schützen sollten. Vorschläge für allgemeine Datenschutzgesetze in den Vereinigten Staaten sehen jedoch häufig Ausnahmen für Daten vor, die im Rahmen von schüler/innenbezogenen Datenschutzgesetzen erhoben werden, oder setzen unter Umständen bestehende Schutzmaßnahmen außer Kraft.
Gesetzliche Schutzmaßnahmen sind wichtig, doch tragen sie nicht allen Faktoren Rechnung, die schüler/innenbezogenen Datenschutz für die Schulen so komplex machen. Technische Probleme und Altsysteme lassen sich nicht ohne Weiteres mit all den komplexen, verwirrenden und sich überlagernden Gesetzen und Vorschriften vereinbaren. Hinzu kommen noch die sich schnell wandelnden Bedürfnisse und Erwartungen von Pädagog/innen, Schüler/innen und Eltern.
Datenschutz an Schulen ist eine Herausforderung
Ob es um Datensicherheit oder Datenschutz geht, Schulen sind seit langem unterfinanziert und sehen sich mit konkurrierenden Prioritäten konfrontiert. Die meisten Gesetze zum Schutz von Schüler/innendaten sehen weder Finanzmittel noch Schulungen für die Umsetzung vor. Im Vergleich zu Großunternehmen verfügen Schulen über weniger finanzielle Mittel und technisches Fachwissen (obwohl sie oft über die gleiche Menge an sensiblen Daten verfügen, wenn nicht sogar mehr). Selbst große Schulbezirke haben es schwer, mit den ständigen Sicherheitswarnungen, Patches und Aktualisierungen Schritt zu halten, die zur Sicherung ihrer eigenen Systeme erforderlich sind. Pädagog/innen sind für grundlegende schulische Aufgaben zunehmend auf Anbieter von Edtech-Produkten angewiesen.
Es ist eine Herausforderung, Edtech-Anwendungen in Breite und Umfang richtig zu bewerten. Lehrer/innen, Eltern und Schüler/innen werden von App-Marketing überflutet und Schulbezirke nutzen bereits Dutzende verschiedener Bildungsplattformen. Darüber hinaus hat COVID-19 Schulen, Eltern, Technologieanbieter sowie Schüler/innen dazu gezwungen, Online-Alternativen zum Präsenzunterricht zu suchen. Beim hastigen Übergang zu benutzerfreundlichen Diensten, die eigentlich für ein allgemeines Publikum und nicht für Bildungsdaten oder Daten von Kindern gedacht waren, blieb der Datenschutz manchmal auf der Strecke.
Die Plattform Zoom, die sich in erster Linie an Verbraucher/innen und Unternehmen richtet, wurde zum Aushängeschild für diese Verschiebung. Seine Benutzer/innenfreundlichkeit täuschte darüber hinweg, dass der Dienst nicht für Datenschutz oder Sicherheit konzipiert wurde. Die Nutzer/innen waren verwirrt, als das Unternehmen eilig neue Service-Updates durchführte. Schulbezirke reagierten oft mit einem vollständigen Verbot des Dienstes. Für Fernunterricht geeignete Anwendungen und Dienste mussten ihre Produkte und Datenschutzrichtlinien rasch an die Bedürfnisse von Schüler/innen und Lehrer/innen anpassen. Schulen und Schulbezirke setzten Fernunterrichtstechnologien, von der Fernaufsicht bei Prüfungen bis hin zu neuen Geräten, ohne die üblichen Sicherheitsvorkehrungen oder Überlegungen ein, die einem solchen datenschutzrelevanten Schritt normalerweise vorangehen. Datenschutzgruppen auf der ganzen Welt schlugen Alarm.
Der Edtech-Sektor muss besser kontrolliert werden
Die Realität ist, dass die Schulen hier auf verlorenem Posten stehen. Sie brauchen nicht nur mehr Ressourcen und Personal, um sich Themen wie Datenschutz und -sicherheit zu widmen, sondern auch mehr Unterstützung bei der Aufsicht und Überwachung von Edtech-Unternehmen im Allgemeinen. In den laufenden Bemühungen um bessere Datenverarbeitungspraktiken in der Edtech-Industrie sind vor allem zivilgesellschaftliche Organisationen vorangegangen.
Common Sense bemühte sich nicht nur um rechtliche Schutzmaßnahmen, sondern startete als Reaktion auf die immer wieder von Pädagog/innen geäußerten Datenschutzbedenken im Jahr 2016 auch ein umfassendes Edtech-Datenschutzprogramm. In Zusammenarbeit mit einem Konsortium von Schulbezirken evaluiert Common Sense Datenschutzrichtlinien, damit Eltern und Lehrkräfte sachkundige Entscheidungen über Lernmittel treffen und Schulen somit aktive Partner bei der Verbesserung der Datenpraktiken ihrer Edtech-Anbieter sein können.[6] Wir hören immer wieder von Schulen, dass die Aushandlung individualisierter Datenschutzvereinbarungen schwierig und zeitaufwändig ist. Basierend auf einer breiten Palette gesetzlicher Anforderungen, einschließlich COPPA, FERPA und SOPIPA, sowie auf best practices der Tech-Industrie schlüsseln unsere Evaluationen komplexe Richtlinien so auf, dass Pädagog/innen Sicherheit, Datenschutz und Gesetzeskonformität von EdTech-Anwendungen, -Plattformen und -Diensten besser einschätzen können. Wir sind überzeugt, dass unsere Evaluierungen einheitlichere Voraussetzungen schaffen, indem wir Schulen und Bezirke aller Größenordnungen mit besseren und standardisierten Informationen über potenzielle Edtech-Produkte versorgen.
Common Sense hat eine Reihe von Fragen und Praktiken identifiziert, die automatisch Warnungen zur Datenverwendung auslösen, wie etwa Verkauf von Daten, Marketing durch Dritte, Erstellung von Profilen, die nicht mit einem Bildungszweck verbunden sind, und/oder gezielte Werbung.
Kurz gesagt, wir sind der Meinung, dass personenbezogene Schüler/innendaten niemals dazu verwendet werden sollten, Schüler/innen irgendeiner Form von Werbung auszusetzen. Ebenso wenig sollten sie an Dritte verkauft, vermietet oder lizenziert werden sollten. Ein Bildungsprodukt, bei dem junge Menschen zu Werbe- oder Marketingzwecken von Drittfirmen kontaktiert werden, birgt außerdem die Gefahr, dass Kinder unangemessen beeinflusst werden und dass ihre Unerfahrenheit ausgenutzt wird. Unternehmen sollten Dritten nicht gestatten, die Daten von Kindern oder Schüler/innen zur Erstellung eines Profils, zur Datenanreicherung oder für Werbung auf Sozialen Medien oder gezielte Werbeanzeigen zu verwenden. Edtech-Firmen müssen folglich dafür sorgen, dass ihre Produkte nicht von Dritten zur Verfolgung von Aktivitäten der Kinder oder Schüler/innen im Zeitverlauf sowie über Online-Dienste und -Geräte hinweg verwendet werden. Unternehmen, die der Öffentlichkeit nicht wenigstens ein grundlegendes Verständnis ihrer Datenschutzpraktiken vermitteln, fallen bei unserer Bewertung von vorneherein durch. Wir untersuchen insbesondere, ob das Edtech-Produkt
- über eine öffentlich zugängliche Datenschutzrichtlinie verfügt,
- bei angemeldeten Benutzer/innen Verschlüsselung unterstützt und anwendet und
- Online-Tracker verwendet.
Von den 150 Richtlinien, die Common Sense im Jahr 2019 bewertet hat, bestanden etwa 20 Prozent der untersuchten Anwendungen unsere Bewertung. Bei sechzig Prozent hatten wir Vorbehalte oder Bedenken. Weitere 20 Prozent der Anwendungen fielen in unserer Bewertung völlig durch, was auf grundlegende Datenschutz- und Sicherheitsmängel hindeutet. Immerhin ist das eine Verbesserung gegenüber 2018, was darauf hinweist, dass neu eingeführte Standards zur Beschränkung von Schüler/innendaten und neue behördliche Aufsicht durchaus Wirkung zeigen. Dennoch wiesen die Mehrheit der von uns evaluierten Edtech-Produkte, von denen viele an Schulen und Schüler/innen auf der ganzen Welt verteilt werden, weiterhin problematische Aspekte auf. Das ist vor allem deshalb besorgniserregend, weil sich unsere Evaluierungen auf grundlegende Transparenz und öffentliche Darstellungen konzentrieren, Grundvoraussetzungen, um das Vertrauen in die Datenschutzpraktiken eines Unternehmens zu gewährleisten.
Der allgemeine Mangel an Transparenz ist besonders beunruhigend, da wir festgestellt haben, dass Transparenz ein zuverlässiger Qualitätsindikator ist: Anwendungen und Dienste, die transparenter sind, haben tendenziell auch qualitativ bessere Datenschutz- und Sicherheitspraktiken.
Trends bei Edtech-Plattformen
Edtech-Produkte bedienen eine Vielzahl schulischer Bedürfnisse, von spezifischen Anwendungen bis hin zu umfassenden Lernplattformen. Große Technologieunternehmen wie Apple und Google dominieren hier immer mehr. Doch auch traditionelle Bildungsunternehmen wie McGraw-Hill und Neueinsteiger wie Edmodo[7] bieten Lehrkräften Plattformen für Kommunikation, Zusammenarbeit, Lernmanagement, die Bereitstellung von Inhalten und Benotung.
Wir ermitteln regelmäßig in Gesprächen mit Pädagog/innen in den Vereinigten Staaten die beliebtesten Edtech-Plattformen, die schul- oder bezirksweit eingesetzt werden. Das folgende Diagramm zeigt unsere vollständigen Wertungen für Microsoft Teams, Google Classroom und Apple School Manager, unsere umfassenden Bewertungen sowie deren Richtlinien in Bezug auf die oben diskutierten risikoträchtigen Datenschutzpraktiken. Je höher die Punktzahl (bis zu 100), desto transparenter die Datenschutzrichtlinie des Produkts und desto besser die darin dargestellten Datenschutzverfahren. Die Punktzahl ist ein guter Indikator dafür, wie viel zusätzlicher Aufwand erforderlich ist, um eine informierte Entscheidung über ein Produkt zu treffen.
|
Aspekte |
Microsoft Teams |
Google Classroom |
Apple School Manager |
|
Datenerhebung: Schutz personenbezogener Daten |
65 |
50 |
65 |
|
Weitergabe von Daten: Schutz der Daten vor Dritten |
95 |
90 |
90 |
|
Datensicherheit: Schutz vor unberechtigtem Zugriff |
95 |
95 |
95 |
|
Datenrechte: Kontrolle der Datenverwendung |
95 |
95 |
95 |
|
Verkauf von Daten: Verhinderung des Verkaufs von Daten |
45 |
70 |
60 |
|
Datensicherheit: Förderung verantwortungsvoller Nutzung |
75 |
60 |
80 |
|
Werbung & Tracking: Verbot, den Entscheidungsfindungsprozess der Benutzer/innen zu verwerten |
60 |
65 |
85 |
|
Einwilligung der Eltern: Schutz personenbezogener Daten von Kindern |
60 |
80 |
100 |
|
Schulischer Zweck: Einhaltung der Datenschutzgesetze in Bezug auf Schüler/innen |
35 |
70 |
70 |
|
Gesetze |
|
|
|
|
California Online Privacy Protection Act (CalOPPA) |
77 |
79 |
81 |
|
Children’s Online Privacy Protection Act (COPPA) |
69 |
72 |
83 |
|
Family Educational Rights and Privacy Act (FERPA) |
63 |
69 |
79 |
|
Student Online Personal Information Protection Act (SOPIPA) |
63 |
76 |
80 |
|
Datenschutz-Grundverordnung (DSGVO) |
84 |
85 |
86 |
Apple und Google erhielten beide die Bezeichnung „bestanden“, da ihre Richtlinien klar erkennen ließen, dass sie Schüler/innendaten weder verkaufen noch für Zwecke wie Marketing, Werbung, Tracking oder Anzeigen-Profiling verwenden. Für Microsoft Teams haben wir eine Warnung ausgesprochen, weil die Microsofts Richtlinien Praktiken offenbaren, um gezielt von Benutzerdaten zu profitieren, wie z. B. Marketing durch Drittanbieter, gezielte Werbung und die Nachverfolgung von Kindern und Schüler/innen, die das Produkt nutzen.
Allgemeine Compliance-Trends
Diese kleine Momentaufnahme einiger der wichtigsten Edtech-Dienste veranschaulicht, wie groß die Bandbreite an Transparenzpraktiken ist und wie uneinheitlich und unklar die an Kinder und Schüler/innen gerichteten Praktiken von Edtech-Anwendungen und -Diensten sind. Allerdings geht der Trend in Richtung Verbesserung. Die Datenschutzgesetze der einzelnen US-Bundesstaaten, wie SOPIPA und nachfolgende Gesetze, haben eine rechtliche Grundlage geschaffen, die den Verkauf von personenbezogenen Schüler/innendaten und deren Verwendung für verhaltensbezogene Werbung, zumindest ohne deutliche, ausdrückliche Zustimmung der Eltern, ganz klar verbietet.
Seit 2018 beobachtet Common Sense auch, dass die Datenrechte der Benutzer/innen immer besser vermittelt werden, wodurch die Benutzer/innen diese auch besser wahrnehmen können: Datenzugriff, Datenänderung, Benutzerlöschung, Benutzerexport und Zustimmung mit der Option eines späteren Widerrufs. Wir schreiben diese Trends einem wachsenden Bewusstsein für neue Datenschutzgesetze zu, wie die DSGVO der EU und CCPA in Kalifornien. Die DSGVO sieht klare Datenrechte vor und ermöglicht es Nutzer/innen, ihre Einwilligung zurückzuziehen oder einer risikobehafteten Datenverarbeitung zu widersprechen. CCPA definiert dabei auch Datensätze aus dem Bildungsbereich, wie im FERPA festgelegt, als personenbezogene Daten und deckt allgemein alle Daten ab, die mit Einzelpersonen in Verbindung stehen. CCPA umfasst auch einige in der EU geltenden individuellen Rechte und schreibt für den Verkauf personenbezogener Daten Minderjähriger unter sechzehn Jahren an Dritte eine ausdrückliche Zustimmung vor.
Von den 157 Fragen, die wir zur Beurteilung der Datenschutzrichtlinien der Unternehmen verwenden, berühren 60 spezifische DSGVO-Anforderungen oder Bestimmungen.[8] Zum Beispiel beurteilen wir nicht nur, wie in den Richtlinien individuelle Datenrechte behandelt werden, sondern auch, ob der Anbieter sich selbst als Datenverantwortlicher oder Datenverarbeiter kategorisiert und zur DGSVO-Compliance eine/n Datenschutzbeauftragte/n benennt. Die Fragen zielen ferner darauf ab, wie Unternehmen Auskunft zu Elementen der DSGVO geben, einschließlich der Nennung des Zwecks, besonderer Datenkategorien, und zur möglichen Nutzung von Profiling und automatisierter Entscheidungsfindung. Diese Themen machen etwa 40 Prozent der Bewertungen der Common Sense aus. Unsere Analyse deutet darauf hin, dass die Mehrheit der von uns evaluierten Unternehmen im Jahr 2018 Aktualisierungen ihrer Datenschutzrichtlinien vorgenommen hat, um qualitativ bessere Praktiken offenzulegen, die es Benutzer/innen ermöglichen, auf personenbezogene Daten zuzugreifen, sie zu überprüfen, zu ändern, zu löschen und zu exportieren.
Datenschutz und Sicherheit für Kinder stärken
Common Sense ist zwar der Meinung, dass größere Transparenz im Bereich Edtech Schulvertreter/innen helfen würde, die Privatsphäre von Schüler/innen und jungen Menschen in der Schule zu schützen. Es muss aber noch mehr getan werden. Dazu gehört auch die Aufklärung der Lehrkräfte über die allgemeine Bedeutung von Datenschutz. Schulen brauchen jedoch auch Ressourcen und Möglichkeiten, datenschutzförderliche Technologien im Unterricht einzusetzen. Das gilt insbesondere für die grundlegenden Funktionen, die Produkte für die breite Öffentlichkeit ganz selbstverständlich anbieten—und von denen Lehrkräfte nur träumen können.
Ergänzend zu unserer Prüfung, was Edtech-Unternehmen in ihren Richtlinien überhaupt öffentlich vermitteln, müssen auch die tatsächlichen Datenschutz- und Sicherheitspraktiken von Edtech-Plattformen von Expert/innen untersucht werden. Nur wenige US-Schulbezirke verfügen über diese Möglichkeit. Andere Datenschutzforscher/innen haben jedoch bereits entsprechende Anstrengungen in die Wege geleitet, z. B. der International Digital Accountability Council und AppCensus.[9] Initiativen wie der Digital Standard von Consumer Reports könnten auch im Bildungssektor von Nutzen sein.
Weiterhin sind aktive behördliche Aufsicht und letztlich auch Durchsetzung erforderlich. Bemühungen zur freiwilligen Selbstregulierung, wie der „Student Privacy Pledge“ in den USA, mögen das Bewusstsein für Datenschutz geschärft und bei Schulen die Erwartung geweckt haben, dass verantwortungsbewusste Anbieter diese Selbstverpflichtung eingehen. Doch verfolgen viele Unterzeichner des „Pledge“ nach wie vor viele fragwürdige Geschäftspraktiken, einschließlich der Lizenzierung von Schüler/innendaten und deren Verwendung zur Erstellung anonymer Profile. Datenschutzexpert/innen und Interessenverbände fordern seit Jahren regulatorische Maßnahmen und weitere Leitlinien. Obwohl es bereits fast drei Jahre her ist, dass das US-Bildungsministerium und die Federal Trade Commission weitere Leitlinien vorgeschlagen haben, haben bislang kaum neue Regulierungsaktivitäten stattgefunden. Darüber hinaus hat noch kein US-Bundesstaat je eine öffentliche Untersuchung gegen einen Edtech-Anbieter im Rahmen schüler/innenbezogener Datenschutzgesetze eingeleitet.
Leider müssen Pädagog/innen und Eltern sowie politische Entscheidungsträger/innen und Regulierungsbehörden den Datenschutz- und Sicherheitspraktiken von Technologieplattformen immer noch mehr Aufmerksamkeit widmen, denn sie betreffen täglich Dutzende Millionen Kinder, die in und außerhalb der Schule Lernsoftware und andere Anwendungen nutzen. Die andauernde COVID-19-Pandemie wird dieses Problem wahrscheinlich noch verschärfen. Dennoch ist es ist wichtig, dass Pädagog/innen, Eltern und politische Entscheidungsträger/innen in einen offenen Dialog mit Anbietern treten und Lösungen erarbeiten, die Datenschutz und Sicherheit für unsere Kinder stärken.
Dieser Artikel ist Teil unseres Dossiers "Digitale Schule: Lektionen aus der Pandemie - Ein transatlantischer Erfahrungsaustausch".
Aus dem Englischen übersetzt von Kerstin Trimble.
[1] IDAC verfügt über ein Team von Jurist/innen und Techniker/innen, die in Zusammenarbeit mit Entwickler/innen, Plattformen und Regulierungsbehörden die Datenschutzpraktiken im gesamten App-Ökosystem verbessern. Vorstandsmitglieder von IDAC sind unter anderem Vertreter/innen des German Marshall Fund, der Brookings Institution und des Future of Privacy Forum. https://digitalwatchdog.org/about/
[2] Der Protection of Pupil Rights Amendment (PPRA) regelt die Handhabung von Umfragen unter Schüler/innen und bestimmter schulärztlicher Untersuchungen. Siehe 20 U.S.C. § 1232h.
[3] 20 U.S.C. § 1232g.
[4] 34 CFR § 99.31.
[5] SOPIPA enthält auch neue Offenlegungsbeschränkungen, Anforderungen an Datensicherheit und -löschung sowie Kontrollen des Datenaustauschs mit Bildungsforschern und Bildungsagenturen, die schulische Funktionen ausüben. Student Online Personal Information Protection Act, CAL. BUS. & PROF. CODE § 22584.
[6]Heute arbeiten wir zusammen mit Produktentwickler/innen in über 250 US-amerikanischen Schulen und Schulbezirken USA daran, Datenschutzrichtlinien allgemein transparenter zu gestalten.
[7] Edmodo wurde 2018 von einer chinesischen Firma übernommen, was zusätzliche internationale Datenschutzprobleme aufwirft.
[8] In unserer Bewertung wird die DSGVO insgesamt 175 Mal zitiert.
[9] AppCensus ist die Kulmination mehrerer akademischer Forschungsprojekte zum Thema Datenschutz und Sicherheit mobiler Anwendungen unter der Leitung von Nathan Good und Serge Egelman.
