WhatsApp in der Schule: „Der Elternabend to go“

Inhaltsverzeichnis

  1. Der Gruppenchat - über die datenschutzrechtliche Schattenseite von WhatsApp
  2. Das passiert beim Erstellen eines Gruppenchats
  3. Exkurs: Ist eine WhatsApp-Gruppe eine öffentliche Einrichtung ebenso wie ein Museum oder Theater?
  4. Rechtliche Relevanz: Telefonnummern sind personenbezogene Daten?
  5. Die datenschutzrechtliche Einwillung als Lösung?
  6. WhatsApp unter der datenschutzrechtlichen Lupe: Ende-zu-Ende-Verschlüsselung
  7. WhatsApp unter der datenschutzrechtlichen Lupe: Metadaten
  8. WhatsApp unter der Lupe: Privacy Shield
  9. Fazit
  10. Von nun an die Hausaufgaben faxen?
  11. Praxistipp: Der Umgang mit Metadaten

Via „Whats-App“ in einer Gruppe zu chatten ist bei Deutschen beliebt. Das wundert kaum, schließlich werden durch das einmalige Versenden einer Nachricht alle Gruppenmitglieder in Echtzeit erreicht und informiert. Das ist unkompliziert, komfortabel und entspricht dem Zeitgeist. Klar, dass der Instant Messenger Dienst unlängst auch in Schulen und anderen Bildungseinrichtungen seinen Siegeszug fortgesetzt hat.

Wenn jedoch Lehrer für Schüler oder deren Eltern einen Gruppenchat über „Whats-App“ erstellen, in denen über Hausaufgaben, zu schulischen Veranstaltungen oder gar Vorkommnissen aus der engen Privatsphäre der Kinder kommuniziert wird, ist dies datenschutzrechtlich unzulässig. Das jedenfalls behauptet Maja Smoltczyk, die Berliner Beauftragte für Datenschutz und Informationssicherheit. In unserem Beitrag wollen wir diesem Vorwurf auf den Grund gehen.

Für Furore im Netz sorgt aktuell der Jahresbericht 2016 der Berliner Beauftragten für Datenschutz und Informationsfreiheit Maja Smoltczyk.  

Darin wird über einen Fall berichtet, bei dem

„…ein besorgter Vater mitteile, dass der Klassenlehrer seines Kindes auf Anregung anderer Eltern für die Klasse eine gemeinsame „WhatsApp“-Gruppe eingerichtet habe, für die dieser die ihm bekannten privaten Mobilfunknummern nutzte. Dadurch sollte der Informationsfluss vom Klassenlehrer in die Gruppe (z. B. bei Hausaufgaben, Übungen oder Änderungen im Ablauf schulischer Veranstaltungen), aber auch der zwischen den Eltern untereinander sowie mit dem Klassenlehrer (für Nachfragen bei unklaren Aufgabenstellungen oder Unstimmigkeiten etc.) erleichtert werden.“

An vielen Schulen längst Normalität: Lehrer kommunizieren via WhatsApp mit Schülern und Lehrern
An vielen Schulen längst Normalität: Lehrer kommunizieren via WhatsApp mit Schülern und Lehrern

 

Das passiert beim Erstellen eines Gruppenchats

Richtet ein Lehrer für die Schüler einer Klasse einen Gruppenchat ein, fügt er nicht nur Mitglieder der Gruppe zu, sondern gibt in gleichem Zug die Mobilfunknummern unter allen Gruppenmitgliedern bekannt.

Sobald die Kommunikation startet, wird es nicht ausbleiben, dass in der Gruppe „öffentlich“ auch Angaben über Schüler, Eltern und Lehrkräfte gemacht werden.

 

Exkurs: Ist eine „Whats-App“-Gruppe eine öffentliche Einrichtung ebenso wie ein Theater oder Museum?

Eine öffentliche Einrichtung ist eine Einrichtung, die durch Widmung einem bestimmten Kreis der Öffentlichkeit zur Benutzung zur Verfügung gestellt wird. Beispiele hierfür sind Altenheime, Bibliotheken, Museen, Schulen, Sportplätze, Stadthallen und Theater. Stellt man sich die „WhatsApp“-Gruppe als einen virtuellen Raum oder Forum der Kommunikation vor, kann man sich gedanklich erschließen, was die juristische Subsumtion längst verrät: die „WhatsApp“-Gruppe ist eine öffentliche Einrichtung.

Das hat zur Folge, dass es einen gerichtlich durchsetzbaren Rechtsanspruch auf Zugang zu öffentlichen „WhatsApp“-Gruppen gibt.

Zur Bestimmung der Anspruchsgrundlage ist zwischen dem personellen und dem sachlichen Schulträger zu unterscheiden. Während der sachliche Bereich (zum Beispiel Bereitstellung des Schulgebäudes) der Gemeinde zugeordnet wird und daher dem Landesrecht unterfällt, gehört der Lehrer zur personellen Schulträgerschaft. Als Angestellter des jeweiligen Bundeslandes gehört der Lehrer nicht mehr der Gemeinde an, so dass ein Anspruch aus den landesrechtlichen Vorschriften ausscheidet. (§ 10 Abs. 2 SächsGemO, Art. 21 Abs . 1 S. 1 BayGO, § 8 Abs. 2 GO NRW; § 14 Abs. 1 ThürKO; § 18 Abs. 1 GO SH, § 10 GemO BW, § 19 HGO, § 30 Abs. 1 NKomVG)

Es handelt sich also um eine öffentliche Einrichtung des (Bundes-)Landes, für deren Zugang ein Anspruch auf ermessensfehlerfreie Entscheidung nach Artikel 3 Abs. 1 GG besteht.  

Das heißt, der Lehrer darf einzelne Eltern oder Schüler nicht ohne berechtigten Grund aus der „WhatsApp“-Gruppe ausschließen. Ein solches Verhalten wäre rechtswidrig und würde einen Anspruch aus Artikel 3 Abs. 1 GG zur Aufnahme in die Gruppe begründen.

 

Der WhatsApp-Gruppenchat und die Stolperfalle Schule.
Der WhatsApp-Gruppenchat und die Stolperfalle Schule.

Rechtliche Relevanz: Telefonnummern sind personenbezogene Daten

Bei Mobilfunknummern handelt es sich um personenbezogene Daten im Sinne des § 3 Abs. 1 Bundesdatenschutzgesetzes sowie des Artikel 2 Ziffer a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

3 Abs. 1 BDSG: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“

Damit sind vom Gesetz alle Informationen umfasst, die über eine Person etwas aussagen können. Diese Informationen müssen sich nicht zwingend auf eine bereits bestimmte Person beziehen, wie das beispielsweise beim Klarnamen oder einem Foto des Betroffenen der Fall ist. Ausreichend ist vielmehr, dass zu der jeweiligen Person theoretisch ein Bezug hergestellt werden kann („absolute Bestimmbarkeit“). So können - zumindest bei entsprechendem Zusatzwissen - auch Telefonnummern personenbeziehbare und damit datenschutzrelevante Informationen sein.

Rechtliche Relevanz: Die datenschutzrechtliche Einwilligung als Lösung?

Möchte man der virtuellen Gruppenkommunikation dennoch frönen, stellt sich die Frage, wie das datenschutzkonform möglich wird. Dazu kann es doch reichen, wenn alle einverstanden sind - oder etwa nicht?

Eine Variante könnte die informierte Einwilligung sein.

Die Mitglieder eines Gruppenchats müssten also einwilligen, dass ihre Mobilfunknummer dazu verwendet wird, über einen Messengerdienst zu kommunizieren. Weiterhin muss die datenverarbeitende Stelle, in dem Fall die Schule beziehungsweise deren Träger, umfassend über die Datenverarbeitungsvorgänge des Messengerdienstes unterrichten. Damit soll über die Bedeutung und die Tragweite der Einwilligungserklärung aufgeklärt werden.

Das „WhatsApp Encryption Overview Technical White Paper“ gibt Aufschluss darüber, welche Datenverarbeitungsvorgänge “WhatsApp” vornimmt und welcher Aufwand zum Datenschutz dabei betrieben wird. Im Abgleich mit dem europäischen Datenschutzrecht können insoweit Rückschlüsse über die Bedeutung und Tragweite einer informierten Einwilligung gezogen werden.

 

 „Whats-App“ unter der datenschutzrechtlichen Lupe

Dabei ist zunächst zwischen dem Inhalt einer Chatnachricht und deren Metadaten zu unterscheiden. Hinsichtlich Ersterem bestehen keine datenschutzrechtlichen Bedenken.

A | „Whats-App“ macht dicht: Ende-zu-Ende-Verschlüsselung

Mit der seit 31.03.2016 aktiven Ende-zu-Ende-Verschlüsselung über den Anbieter „Open Whisper Systems“ zog der Messenger-Dienst alle Zäune hoch und schottet die Daten seiner Nutzer gegen wissbegierige Dritte nach dem Stand der Technik ab.

“Whats-App Messenger allows people to exchange messages (including chats, group chats, images, videos, voice messages and files) and make WhatsApp calls around the world. WhatsApp messages, voice and video calls between a sender and receiver that use WhatsApp client software released after March 31, 2016 are end-to-end encrypted.”

Die Technik sichert damit nicht nur einzelne Chats von „WhatsApp“-Nutzern, sondern auch Gruppenchats, Bilder, Sprachnachrichten und Anrufe. Dabei wird bei der Ende-zu-Ende-Verschlüsselung die Information direkt auf dem Gerät des Nutzers verschlüsselt und erst beim Gegenüber wieder entschlüsselt. Eventuelle Zugriffe durch kompromittierte Endgeräte sind damit natürlich nicht ausgeschlossen, betreffen aber zumindest nicht mehr den Übertragungsvorgang.

Die Verschlüsselungsfunktion ist standardmäßig aktiviert. Einzige Voraussetzung: Alle Kommunikationspartner müssen die aktuelle Version der Messenger-App installiert haben. Ist das der Fall, blendet „WhatsApp“ im Chat-Fenster automatisch die Meldung ein, dass ab sofort alle Nachrichten und Anrufe in diesem Chat mit Ende-zu-Ende-Verschlüsselung geschützt sind. Darüber hinaus besteht die Möglichkeit, den jeweiligen Chatpartner per Sicherheitsnummer zu authentifizieren.

Die bestehende Ende-zu-Ende-Verschlüsselung schafft es also, dass selbst „WhatsApp“ kaum eine Chance hat, an den Inhalt der Nachrichten seiner Nutzer zu kommen. Doch bleiben dadurch nicht alle relevanten Daten verborgen, denn „WhatsApp“ erfährt zwangsläufig die sogenannten Metadaten, die bei jeder Kommunikation anfallen. Der Umgang mit diesen personenbezogenen (Meta-)Daten ist datenschutzrechtlich eine echte Herausforderung.

 

B | Zeig mir Deine Metadaten und ich sag Dir, was Du machst…und auch wer du bist“- Was taugt die Ende-zu-Ende-Verschlüsselung?

Unter Metadaten oder Metainformationen versteht man technische und/oder organisatorische Details, die andere Informationen begleiten, zum Beispiel Kommunikationsvorgänge. Es handelt sich also nicht um den eigentlichen Inhalt der Kommunikation, sondern um Zusatzinformationen.

Auf eine Person bezogen, liefern Metadaten detaillierte Informationen unter anderem zu Freundes-, Bekannten- und Arbeitskreis der Betroffenen mit teilweiser namentlicher Nennung, Arbeitsstelle sowie Position, Hobbys und Interessen, Aufenthaltsort und tägliche Bewegungen und können Rückschlüsse auf politische und religiöse Anschauungen ermöglichen. „WhatsApp“ behält sich vor, diese Daten unbegrenzt lange protokollieren und auswerten zu können. Was ansonsten mit diesen Daten passiert, insbesondere wie sie verwertet werden, ist bislang unklar.

 

C | WhatsApp-Server in den USA – Schutz durch den Privacy Shield

Datenschutzrechtliche Bedenken bestehen weiterhin auch, weil die Server des Messengerdienstes der WhatsApp Inc., mit Sitz in Kalifornien, nach Angaben der Facebook-Tochter ebenfalls in den USA stehen. Zwar wird das Bundesdatenschutzgesetz damit nicht ausgehebelt, doch lässt man sich mit der „WhatsApp“-Nutzung auf das US-amerikanische Datenschutzniveau ein, von dem die Berliner Datenschutz- und Informationsfreiheitsbeauftragte trotz des EU-US-Privacy Shield der Meinung ist:

„Da nicht auszuschließen ist, dass US-amerikanische Einrichtungen und Behörden auf den Datenbestand des Unternehmens zugreifen können, kann der Anbieter von „WhatsApp“ die Einhaltung eines angemessenen Schutzniveaus im Sinne der europäischen Datenschutzregelungen nicht garantieren.“

Ergebnis: Die Bedeutung und Tragweite einer Einwilligung können auf diese Weise gerade nicht mehr abgeschätzt werden, sodass eine informierte Einwilligung durch Eltern kaum möglich ist.

Weitere Voraussetzung einer informierten Einwilligung ist, dass die Einwilligung ausdrücklich, in der Regel schriftlich und vor allem freiwillig erfolgt. An letzterem bestehen insbesondere Zweifel, weil sich Eltern, um mögliche Nachteile für ihre Kinder durch eine Verweigerung der Einwilligung abzuwenden, dem Gruppenzwang einer schulischen „Einrichtung“ (offizielle WhatsApp-Gruppe der Schule) wohl fügen würden.

 

Fazit: Datenschutzrechtlich einwandfrei? – Nichts ist unbedenklich, wenn es um geltendes Datenschutzrecht geht.


„WhatsApp“ verarbeitet trotz Ende-zu-Ende-Verschlüsselung auch weiterhin unverschlüsselte personenbezogene Daten. Dies betrifft zum einen Metadaten, die sowohl von „WhatsApp“ als auch von Strafverfolgungsbehörden ausgewertet werden können. Zum anderen liest „WhatsApp“ auch beim Installieren und beim Neustart der App automatisch die Telefonnummern aller Kontakte aus dem Adressbuch des Smartphones aus. Diese werden auf den Servern von „WhatsApp“ in den USA gespeichert und mit den Daten anderer Nutzer abgeglichen, um zu prüfen, wer von den Kontakten auch bei „WhatsApp“ angemeldet ist. Allerdings landen auch Daten von Personen bei „WhatsApp“, die sich dort nicht registriert haben. Zumindest auf iOS-Geräten kann der Zugriff aber unter Einstellungen – Datenschutz – Kontakte untersagt werden.
Das Fazit ist ganz klar: Das Einrichten einer „WhatsApp“-Gruppe durch Lehrer zur Kommunikation mit mehreren Schülern ist - wenn auch praktisch - wegen seinen unüberwindbaren datenschutzrechtlichen Hürden nach geltendem europäischen Datenschutzrecht unzulässig.

 

Ich faxe meinen 20 Schülern jetzt mal die Hausaufgabe für morgen? 

Als Alternativen sehen Datenschützer aktuell lediglich Telefon und Fax oder die verschlüsselte E-Mail-Kommunikation beziehungsweise die persönliche Kommunikation.

Dabei sind die Daten beim Fax keineswegs sicher. Die Informationen werden grundsätzlich "offen" (unverschlüsselt) übertragen. Eine Telefaxübersendung kann deshalb mit dem Versand einer offenen Postkarte verglichen werden. Der Telefaxverkehr ist wie ein Telefongespräch abhörbar. Darüber hinaus hinkt der Verweis auf Telefon, Fax oder E-Mail gewaltig, da diese Medien die Funktionen eines Messengerdienstes nicht erfüllen können.

Sollten Sie trotz aller datenschutzrechtlichen Bedenken Messengerdienste nutzen wollen, empfehlen wir solche Messenger, die beim Thema Datenschutz bereits einige Schritte weiter sind, als WhatsApp, so zum Beispiel „Signal“, „Wire“ oder „Threema“.

 

Praxistipp: Umgang mit Metadaten

  • Machen Sie sich bewusst, dass ihre täglichen digitalen Aktivitäten Spuren hinterlassen. Schenken Sie dem Thema „Metadaten“ daher mehr Aufmerksamkeit.
  • Denken Sie bei Dokumenten und Bildern daran, dass diese persönlichen Daten, wie zum Beispiel Angaben über den Autor enthalten können. Auch angebrachte Kommentare und das Arbeiten im Überarbeitungsmodus geben Auskunft über den jeweiligen Verfasser.
  • Ändern Sie, sofern möglich, bei vertraulichen Informationen die Metadaten.

Einen Kommentar schreiben

Tags

Education § 5 UWG Filesharing Telefon Know How #emd15 Bestandsschutz Datenschutzrecht Schadensfall Vergütung Aufsichtsbehörden Erbe Polen Urheberrechtsreform Schadenersatz LMIV ransom Tipppfehlerdomain Sponsoren Hotelkonzept c/o Gesamtpreis brexit Kinder Annual Return Arbeitsrecht Reisen drohnengesetz Referendar kinderfotos Suchalgorithmus Preisangabenverordnung gdpr Berlin handel verbraucherstreitbeilegungsgesetz Algorithmus Transparenz Informationspflicht Auftragsdatenverarbeitung Beleidigung Content-Klau #bsen Linkhaftung EU-Kommission Medienrecht technology Löschungsanspruch Einzelhandel Einwilligungsgestaltung Travel Industry Anonymisierung Impressumspflicht data security Marke Internetrecht gesellschaftsrecht Datenpanne Stellenausschreibung Crowdfunding Resort Ferienwohnung Vertrauen data Meinung Customer Service Kartellrecht Spirit Legal Niederlassungsfreiheit Ring Einstellungsverbot Markenrecht Journalisten Hackerangriff Hotelvermittler Werktitel Alexa Tracking Künstliche Intelligenz ADV München Trademark Werbekennzeichnung messenger § 5 MarkenG Vertragsrecht gezielte Behinderung Radikalisierung Presse Deep Fake WLAN Verfügbarkeit DSGVO total buy out Gepäck informationspflichten Namensrecht Distribution Evil Legal Geschäftsgeheimnis HipHop Bestpreisklausel wallart events Geschäftsanschrift Flugzeug Bildung Kundendaten E-Mail-Marketing Boehmermann data privacy Hotelsterne Osteopathie TikTok Class Action SSO FTC selbstanlageverfahren Vergleichsportale Microsoft §75f HGB Website Home-Office Insolvenz Consent Management Wettbewerbsbeschränkung Notice & Take Down handelsrecht Verbandsklage ITB Diskriminierung Digitalwirtschaft Unterlassungsansprüche Unterlassung Hotel Data Breach 2014 Amazon Beacons Produktempfehlungen unternehmensrecht Spielzeug Medienstaatsvertrag SEA Vergütungsmodelle Extremisten Informationsfreiheit Booking.com Vertragsgestaltung Unionsmarke Leaks Authentifizierung Datenschutz PPC anwaltsserie html5 Textilien GmbH Unlauterer Wettbewerb Email § 24 MarkenG Mitarbeiterfotografie drohnen Data Protection Reise geldwäsche Limited Facial Recognition bgh urheberrechtsschutz Infosec Meldepflicht Kunsturhebergesetz Arbeitsvertrag Pressekodex Team Schleichwerbung Direktmarketing Löschung Onlineplattform YouTube Kleinanlegerschutz Gesundheit Bundeskartellamt Bußgeld informationstechnologie Finanzaufsicht Bots Custom Audiences TeamSpirit Hack Erschöpfungsgrundsatz Pseudonomisierung Check-in kündigungsschutz Selbstverständlichkeiten Weihnachten Prozessrecht Messe Recht Auslandszustellung

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2024, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: