Daten-Skandal an Dänemarks Schulen: Chromebooks saugen Daten ab
Red. In Dänemark nutzen Schulen im Unterricht Computer und die Softwareangebote von Google. Das mag gut gemeint sein, aber das Problem ist, dass die Daten von Schulkindern offensichtlich illegal an Google weitergegeben werden. Im Rahmen des so genannten «Chromebook-Falls» wehren sich Eltern seit vier Jahren dagegen. Im Folgenden gibt Jesper Graugaard seine Sicht auf die jüngsten Entwicklungen wieder. Er ist der Vater dreier Kinder und «Vater des Falles».
Ende 2019 meldete ich die Gemeinde Helsingør bei der dänischen Datenschutzbehörde, weil der Umgang mit personenbezogenen Daten von Kindern bei der Nutzung von Chromebooks in öffentlichen Schulen nicht den GDPR-Vorschriften, also den Normen der Datenschutz-Grundverordnung der Europäischen Union, entsprach. Die Gemeinde hat zwar sofort darauf reagiert und den Fehler abgestellt. Allerdings hat sie versäumt, die betroffenen Personen innerhalb von drei Tagen zu informieren.
Je mehr ich mich seitdem mit dem Chromebook beschäftige, die Stadtverwaltung auf weitere dokumentierte Fehler hinweise und mit ihr kommuniziere, desto mehr stelle ich fest, dass sie die Konfiguration der Chromebooks unter Berücksichtigung der GDPR-Normen nicht im Griff hat. So hat sie keine Risiko- und Folgenabschätzungen durchgeführt, obwohl eine solche vor der Einführung der Technologie in Schulen gesetzlich vorgeschrieben wäre.
Nicht nur eine einzelne Gemeinde betroffen, sondern es sind 53
Ich nahm daher an, dass es sich nicht um einen Einzelfall handle, sondern um einen allgemeinen Verfahrensfehler, der leicht mehrere dänische Gemeinden betreffen könnte. Daher sammelte ich die erforderlichen Unterlagen, meldete den Fall und leitete das Material an die Medien weiter. Denn ich bin der Meinung, dass der grundlegende Charakter des Falles – illegaler Umgang mit personenbezogenen Daten von Kindern in öffentlichen Schulen – von öffentlichem Interesse ist.
Daraufhin veröffentlichte die dänische Zeitung Politiken im Januar 2020 ihren ersten Artikel – und in den folgenden Monaten weitete sich der Fall dramatisch aus. Immer mehr Gemeinden meldeten sich mit ähnlichen Problemen. Schliesslich fasste die dänische Datenschutzbehörde «meinen Fall» in einem so genannten «Sammelverfahren» zusammen, das 53 Gemeinden einbezog. Es erreichte am 10. September 2021 einen ersten Höhepunkt, als die Gemeinde von der dänischen Datenschutzbehörde heftig kritisiert wurde: Sie hatte nicht die erforderliche Bewertung des Risikos für die Rechte der betroffenen Personen vorgenommen.
In der Folge wurden die Chromebooks in Schulen vorübergehend verboten. Am 14. Juli 2022 nahm der Fall mit der zweiten Entscheidung der dänischen Datenschutzbehörde sogar noch eine ernstere Wendung. Sie verhängte ein Datenverarbeitungsverbot, unterband die Übermittlung in Drittländer und untersagte die Nutzung von Google-Workspace in der betroffenen Schule. Es war nicht klar, ob die Datenübermittlung ins Ausland rechtmässig war. Auf dieser Basis hätten die Schüler nach den Sommerferien keine Chromebooks mehr verwenden dürfen.
Paukenschlag für den Umgang mit Personen- und Nutzerdaten
Im September 2022 setzte die dänische Datenschutzbehörde das Verbot der Nutzung von Google-Workspace in der Gemeinde Helsingør zwar aus, ordnete aber gleichzeitig die Legalisierung der Nutzung an. Die Übertragung bestimmter Daten in Drittländer sollte dokumentiert und die Rechtmässigkeit geklärt werden. Daraufhin delegierte die Gemeinde den Fall an den Verband der Gemeindeverwaltungen, da er in ihren Augen nicht auf lokaler Ebene behandelt werden konnte. Die erforderlichen Unterlagen waren so umfangreich, dass die Einreichungsfrist immer wieder verschoben wurde. Schliesslich wollte die Datenschutzbehörde am 30. Januar 2024 eine endgültige Entscheidung in der Sache treffen.
Stattdessen gab sie bekannt, es gebe bei der Nutzung von Google-Workspace in Grundschulen und Schulen der Sekundarstufe I keine Rechtsgrundlage für die Weitergabe personenbezogener Daten an Google in dem Umfang, in dem diese stattgefunden hatte. Sie forderte die Gemeinden auf, die Datenverarbeitung in Einklang mit den Vorschriften zu bringen, und zeigte verschiedene Möglichkeiten dafür auf. Das ist nach Einschätzung des Verbands der Gemeindeverwaltungen ein Paukenschlag für den Umgang mit Personen- und Nutzerdaten – nicht nur für den Bildungssektor, sondern für den gesamten öffentlichen Bereich.
Im vorgelegten Material stellen die Gemeinden fest, dass persönliche Daten weitergegeben wurden, die Google für seine eigenen Zwecke nutzte. Die dänische Datenschutzbehörde schloss die Weitergabe zwar nicht grundsätzlich aus, hielt die Gemeinden jedoch nicht für hinreichend ermächtigt, die Daten der Schüler für die Wartung und Verbesserung des Dienstes Google-Workspace for Education, ChromeOS und des Chrome-Browsers oder für die Messung der Leistung und die Entwicklung neuer Funktionen und Dienste in ChromeOS und dem Chrome-Browser offenzulegen.
Legale Lösungen sind gefragt
Daher untersagte sie den Gemeinden zum 1. März 2024, personenbezogene Daten für diesen Zweck an Google weiterzuleiten. Der Software- und Internetriese müsste also technische Möglichkeit entwickeln, um die fraglichen Datenströme zu unterbinden. Sie verlangt zudem, dass Google auf die Verarbeitung solcher Daten verzichtet und sie fordert, dass das dänische Parlament eine ausreichend klare Rechtsgrundlage für die Weitergabe von Informationen mit diesem Zweck schafft.
Der Gemeindeverband sah daher keine andere Lösung, als die derzeitige illegale Praxis zu legalisieren und forderte den Bildungsminister, den Minister für Digitalisierung und den Justizminister im Februar in einem offenen Brief zur Modernisierung der Gesetzgebung auf. Denn es gehe nicht nur um die Nutzung von Chromebooks an den Schulen, sondern um den Umgang des gesamten dänischen öffentlichen Sektors mit Daten. Es handle sich zwar nur um die Weitergabe anonymisierter Nutzerdaten. Aber wenn es bei den Chromebooks Probleme gebe, dann wohl bald auch im gesamten öffentlichen Bereich.
Bis jetzt ist offen, wie es weitergeht. Der Gemeindeverband hat trotz weiterem Nachhaken keine Reaktion auf seinen Vorstoss erhalten. Da er keine alternativen Vorschläge machte, scheint nicht ausgeschlossen zu sein, dass es zum Beginn des neuen Schuljahres am 16. August zu «schwarzen Bildschirmen» in den Schulen kommen wird. Denn Gesetzesänderungen brauchen Zeit und können möglicherweise mit den EU-Menschenrechten kollidieren. Daher sind nun 25 Gemeinden bereit, eine Voranalyse durchzuführen und Alternativen zu untersuchen. Die nötige Studie könnte eine Million dänische Kronen kosten.
Chromebook-Fall wird zu einem peinlichen politischen Problem
Längst ist der Chromebook-Fall zu einem politischen Problem geworden, mit dem sich in der Regierung offensichtlich niemand wirklich befassen will. Das ist peinlich für ein Land, das sich zwar rühmt, eines der am besten digitalisierten Länder der Welt zu sein. Dabei ist es punkto Infrastruktur unheimlich abhängig von den beiden Tech-Riesen Google und Microsoft geworden, und es hat das Recht der Schulkinder auf Privatsphäre in öffentlichen Schulen vernachlässigt.
Nun bleibt abzuwarten, ob die Chromebooks in den dänischen Grundschulen demnächst stillgelegt werden oder ob es Ausnahmeregelungen geben wird – und ob die öffentliche Infrastruktur in Dänemark umgebaut werden wird. Sicher ist nur eines: Was im Jahr 2019 als lokaler Datenschutz-Verstoss in der Gemeinde Helsingør begann, stellt heute die weitere Digitalisierung der Gesellschaft und die Art und Weise infrage, wie personenbezogene Daten der Bürger im öffentlichen Sektor des Landes behandelt werden.
Google und Co. sammeln auch in der Schweiz Schülerdaten
Manche Schweizer Schulen nutzen die Software amerikanischer Firmen. Doch was diese mit den Daten anstellen, ist unklar. Mit Programmen wie «Lernlupe» oder «Mindsteps» absolvieren Schülerinnen und Schüler in Fächern wie Mathematik oder Deutsch Tests, die sich laufend ihren Fähigkeiten anpassen und die ihren Lernstand analysieren sollen. Pädagogen sind allerdings skeptisch, ob das die Schüler wirklich weiterbringt. Die Systeme seien geprägt von der Grundphilosophie des Silicon Valley, alles zu messen, was sich messen lasse. Tatsächlich aber hülfen solche Technologien nur weiter, wenn sie in pädagogische Konzepte eingebettet seien.
Diese Art von Skepsis ändert nichts daran, dass sich die amerikanischen Tech-Giganten längst in den Schweizer Klassenzimmern breitgemacht haben. Microsofts Office 365 ist weit verbreitet. Google seinerseits stellt neben Mail, Kalender, Textverarbeitung, Browser, Tabellenkalkulation und Präsentationen auch die Lernplattform Google-Classroom zur Verfügung. Das Problem: Die Daten, die Schüler dort hinterlassen, landen auf Google-Servern. Was das Unternehmen damit anstellt, ist unklar, obwohl Rahmenverträge verhindern sollen, dass Persönlichkeitsprofile von Schülern erstellt werden.
Themenbezogene Interessenbindung der Autorin/des Autors
Keine
_____________________
Meinungen in Beiträgen auf Infosperber entsprechen jeweils den persönlichen Einschätzungen der Autorin oder des Autors.
Stichworte wie «Internet der Dinge» und «Big Data» sind vielen bestens bekannt. Der Treiber «Big Business» wird jedoch in diesem Zusammenhang oft verdrängt.
Daten wie Schulleistungen, Suchbegriffe im Web, Likes, Aufenthaltsorte, Treffen mit anderen Personen, Ladenbesuche, Einkäufe, aber auch Herzfrequenz, Schrittzähler, etc. werden in Kennerkreisen «Das Gold der Zukunft» genannt.
Wissenschaftliche Institute wie z.B. Cambridge Analytica werten diese Daten aus und erstellen von uns Beeinflussbarkeitsprofile für Politik und Verkaufsorganisationen, Informationen für HR-Abteilungen grosser Konzerne, etc.
Das ist eigentlich schon länger bekannt, aber der Aufwachprozess grosser Bevölkerungskreise ist noch ausstehend. Die Aussage «Ich habe doch nichts zu verbergen» ist noch weit verbreitet und die Datensammler wie Twint, Smart Cities, viele Handy-Apps, Kundenkarten, etc. werden bestens bedient.
Warum nur, wundert mich das nicht.
Es vergeht kein Tag, da nicht irgendwo her ein illegaler (nach Schweizer Standards illegal) Scan gegen meinen Server läuft. Das rangiert von Typen die nach Sicherheitslücken suchen (aktuell ist gerade phpMyAdmin in Mode), über Copycats die Produkte auslesen bis hin zum klassischen Spammer der nach Kommentarfelder sucht.
Es grast sogar eine (inländische) Stiftung namens SWITCH sämtliche .ch und .swiss -Domains ab, und sie sind dabei auch noch stolz auf den selbst programmierten Roboter und stolz auf die «hohe Qualität Schweizer Domains».
Eine Rechtsgrundlage dafür haben sie nicht. Dafür kann ich eine anbieten: Verbotene «verdeckte Ermittlungen» (BGer 1C_653/2012 + Medienmitteilung aus 2014). Wenn jetzt jemand meint, die Staatsanwaltschaft lege sich ins Zeug deswegen, der irrt. Der Saftladen ist nicht nur in Dänemark oder bei Google; der ist auch bei uns, und das überall – man muss nur hinschauen. Bis ins innerste Mark der Demokratie alles faul.
Leider wird Digitalisierung forciert auch von der SP (etwa von Jon Pult und Neo-Nationalrat Islam Alijaj, Inklusionsinitiative-Initiant). Trotz 1) Mikrowellenstrahlung, 2) «Internet of Things (IoT) ist die Bezeichnung für das Netzwerk physischer Objekte («Things»), die mit Sensoren, Software und anderer Technologie ausgestattet sind», und 3) noch ganz anderen Gefahren.
Beispiele:
10 Things They’re NOT Telling You About The New AI (Youtube)
watson.ch (21.2.2024) titelt: Elon Musk: Patient mit Neuralink-Chip im Hirn kann Computermaus steuern
Ich bin gegen die zunehmende Digital-Nötigung beim ÖV, Einkauf/Bargeld etc. und ich vermisse die grundlegende Überlegung, was die Urheber mit dem Ganzen letztlich bezwecken. Meine Analyse: Für uns gar nichts Gutes.