WhatsApp in der Schule: „Der Elternabend to go“

Inhaltsverzeichnis

  1. Der Gruppenchat - über die datenschutzrechtliche Schattenseite von WhatsApp
  2. Das passiert beim Erstellen eines Gruppenchats
  3. Exkurs: Ist eine WhatsApp-Gruppe eine öffentliche Einrichtung ebenso wie ein Museum oder Theater?
  4. Rechtliche Relevanz: Telefonnummern sind personenbezogene Daten?
  5. Die datenschutzrechtliche Einwillung als Lösung?
  6. WhatsApp unter der datenschutzrechtlichen Lupe: Ende-zu-Ende-Verschlüsselung
  7. WhatsApp unter der datenschutzrechtlichen Lupe: Metadaten
  8. WhatsApp unter der Lupe: Privacy Shield
  9. Fazit
  10. Von nun an die Hausaufgaben faxen?
  11. Praxistipp: Der Umgang mit Metadaten

Via „Whats-App“ in einer Gruppe zu chatten ist bei Deutschen beliebt. Das wundert kaum, schließlich werden durch das einmalige Versenden einer Nachricht alle Gruppenmitglieder in Echtzeit erreicht und informiert. Das ist unkompliziert, komfortabel und entspricht dem Zeitgeist. Klar, dass der Instant Messenger Dienst unlängst auch in Schulen und anderen Bildungseinrichtungen seinen Siegeszug fortgesetzt hat.

Wenn jedoch Lehrer für Schüler oder deren Eltern einen Gruppenchat über „Whats-App“ erstellen, in denen über Hausaufgaben, zu schulischen Veranstaltungen oder gar Vorkommnissen aus der engen Privatsphäre der Kinder kommuniziert wird, ist dies datenschutzrechtlich unzulässig. Das jedenfalls behauptet Maja Smoltczyk, die Berliner Beauftragte für Datenschutz und Informationssicherheit. In unserem Beitrag wollen wir diesem Vorwurf auf den Grund gehen.

Für Furore im Netz sorgt aktuell der Jahresbericht 2016 der Berliner Beauftragten für Datenschutz und Informationsfreiheit Maja Smoltczyk.  

Darin wird über einen Fall berichtet, bei dem

„…ein besorgter Vater mitteile, dass der Klassenlehrer seines Kindes auf Anregung anderer Eltern für die Klasse eine gemeinsame „WhatsApp“-Gruppe eingerichtet habe, für die dieser die ihm bekannten privaten Mobilfunknummern nutzte. Dadurch sollte der Informationsfluss vom Klassenlehrer in die Gruppe (z. B. bei Hausaufgaben, Übungen oder Änderungen im Ablauf schulischer Veranstaltungen), aber auch der zwischen den Eltern untereinander sowie mit dem Klassenlehrer (für Nachfragen bei unklaren Aufgabenstellungen oder Unstimmigkeiten etc.) erleichtert werden.“

An vielen Schulen längst Normalität: Lehrer kommunizieren via WhatsApp mit Schülern und Lehrern
An vielen Schulen längst Normalität: Lehrer kommunizieren via WhatsApp mit Schülern und Lehrern

 

Das passiert beim Erstellen eines Gruppenchats

Richtet ein Lehrer für die Schüler einer Klasse einen Gruppenchat ein, fügt er nicht nur Mitglieder der Gruppe zu, sondern gibt in gleichem Zug die Mobilfunknummern unter allen Gruppenmitgliedern bekannt.

Sobald die Kommunikation startet, wird es nicht ausbleiben, dass in der Gruppe „öffentlich“ auch Angaben über Schüler, Eltern und Lehrkräfte gemacht werden.

 

Exkurs: Ist eine „Whats-App“-Gruppe eine öffentliche Einrichtung ebenso wie ein Theater oder Museum?

Eine öffentliche Einrichtung ist eine Einrichtung, die durch Widmung einem bestimmten Kreis der Öffentlichkeit zur Benutzung zur Verfügung gestellt wird. Beispiele hierfür sind Altenheime, Bibliotheken, Museen, Schulen, Sportplätze, Stadthallen und Theater. Stellt man sich die „WhatsApp“-Gruppe als einen virtuellen Raum oder Forum der Kommunikation vor, kann man sich gedanklich erschließen, was die juristische Subsumtion längst verrät: die „WhatsApp“-Gruppe ist eine öffentliche Einrichtung.

Das hat zur Folge, dass es einen gerichtlich durchsetzbaren Rechtsanspruch auf Zugang zu öffentlichen „WhatsApp“-Gruppen gibt.

Zur Bestimmung der Anspruchsgrundlage ist zwischen dem personellen und dem sachlichen Schulträger zu unterscheiden. Während der sachliche Bereich (zum Beispiel Bereitstellung des Schulgebäudes) der Gemeinde zugeordnet wird und daher dem Landesrecht unterfällt, gehört der Lehrer zur personellen Schulträgerschaft. Als Angestellter des jeweiligen Bundeslandes gehört der Lehrer nicht mehr der Gemeinde an, so dass ein Anspruch aus den landesrechtlichen Vorschriften ausscheidet. (§ 10 Abs. 2 SächsGemO, Art. 21 Abs . 1 S. 1 BayGO, § 8 Abs. 2 GO NRW; § 14 Abs. 1 ThürKO; § 18 Abs. 1 GO SH, § 10 GemO BW, § 19 HGO, § 30 Abs. 1 NKomVG)

Es handelt sich also um eine öffentliche Einrichtung des (Bundes-)Landes, für deren Zugang ein Anspruch auf ermessensfehlerfreie Entscheidung nach Artikel 3 Abs. 1 GG besteht.  

Das heißt, der Lehrer darf einzelne Eltern oder Schüler nicht ohne berechtigten Grund aus der „WhatsApp“-Gruppe ausschließen. Ein solches Verhalten wäre rechtswidrig und würde einen Anspruch aus Artikel 3 Abs. 1 GG zur Aufnahme in die Gruppe begründen.

 

Der WhatsApp-Gruppenchat und die Stolperfalle Schule.
Der WhatsApp-Gruppenchat und die Stolperfalle Schule.

Rechtliche Relevanz: Telefonnummern sind personenbezogene Daten

Bei Mobilfunknummern handelt es sich um personenbezogene Daten im Sinne des § 3 Abs. 1 Bundesdatenschutzgesetzes sowie des Artikel 2 Ziffer a der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

3 Abs. 1 BDSG: „Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“

Damit sind vom Gesetz alle Informationen umfasst, die über eine Person etwas aussagen können. Diese Informationen müssen sich nicht zwingend auf eine bereits bestimmte Person beziehen, wie das beispielsweise beim Klarnamen oder einem Foto des Betroffenen der Fall ist. Ausreichend ist vielmehr, dass zu der jeweiligen Person theoretisch ein Bezug hergestellt werden kann („absolute Bestimmbarkeit“). So können - zumindest bei entsprechendem Zusatzwissen - auch Telefonnummern personenbeziehbare und damit datenschutzrelevante Informationen sein.

Rechtliche Relevanz: Die datenschutzrechtliche Einwilligung als Lösung?

Möchte man der virtuellen Gruppenkommunikation dennoch frönen, stellt sich die Frage, wie das datenschutzkonform möglich wird. Dazu kann es doch reichen, wenn alle einverstanden sind - oder etwa nicht?

Eine Variante könnte die informierte Einwilligung sein.

Die Mitglieder eines Gruppenchats müssten also einwilligen, dass ihre Mobilfunknummer dazu verwendet wird, über einen Messengerdienst zu kommunizieren. Weiterhin muss die datenverarbeitende Stelle, in dem Fall die Schule beziehungsweise deren Träger, umfassend über die Datenverarbeitungsvorgänge des Messengerdienstes unterrichten. Damit soll über die Bedeutung und die Tragweite der Einwilligungserklärung aufgeklärt werden.

Das „WhatsApp Encryption Overview Technical White Paper“ gibt Aufschluss darüber, welche Datenverarbeitungsvorgänge “WhatsApp” vornimmt und welcher Aufwand zum Datenschutz dabei betrieben wird. Im Abgleich mit dem europäischen Datenschutzrecht können insoweit Rückschlüsse über die Bedeutung und Tragweite einer informierten Einwilligung gezogen werden.

 

 „Whats-App“ unter der datenschutzrechtlichen Lupe

Dabei ist zunächst zwischen dem Inhalt einer Chatnachricht und deren Metadaten zu unterscheiden. Hinsichtlich Ersterem bestehen keine datenschutzrechtlichen Bedenken.

A | „Whats-App“ macht dicht: Ende-zu-Ende-Verschlüsselung

Mit der seit 31.03.2016 aktiven Ende-zu-Ende-Verschlüsselung über den Anbieter „Open Whisper Systems“ zog der Messenger-Dienst alle Zäune hoch und schottet die Daten seiner Nutzer gegen wissbegierige Dritte nach dem Stand der Technik ab.

“Whats-App Messenger allows people to exchange messages (including chats, group chats, images, videos, voice messages and files) and make WhatsApp calls around the world. WhatsApp messages, voice and video calls between a sender and receiver that use WhatsApp client software released after March 31, 2016 are end-to-end encrypted.”

Die Technik sichert damit nicht nur einzelne Chats von „WhatsApp“-Nutzern, sondern auch Gruppenchats, Bilder, Sprachnachrichten und Anrufe. Dabei wird bei der Ende-zu-Ende-Verschlüsselung die Information direkt auf dem Gerät des Nutzers verschlüsselt und erst beim Gegenüber wieder entschlüsselt. Eventuelle Zugriffe durch kompromittierte Endgeräte sind damit natürlich nicht ausgeschlossen, betreffen aber zumindest nicht mehr den Übertragungsvorgang.

Die Verschlüsselungsfunktion ist standardmäßig aktiviert. Einzige Voraussetzung: Alle Kommunikationspartner müssen die aktuelle Version der Messenger-App installiert haben. Ist das der Fall, blendet „WhatsApp“ im Chat-Fenster automatisch die Meldung ein, dass ab sofort alle Nachrichten und Anrufe in diesem Chat mit Ende-zu-Ende-Verschlüsselung geschützt sind. Darüber hinaus besteht die Möglichkeit, den jeweiligen Chatpartner per Sicherheitsnummer zu authentifizieren.

Die bestehende Ende-zu-Ende-Verschlüsselung schafft es also, dass selbst „WhatsApp“ kaum eine Chance hat, an den Inhalt der Nachrichten seiner Nutzer zu kommen. Doch bleiben dadurch nicht alle relevanten Daten verborgen, denn „WhatsApp“ erfährt zwangsläufig die sogenannten Metadaten, die bei jeder Kommunikation anfallen. Der Umgang mit diesen personenbezogenen (Meta-)Daten ist datenschutzrechtlich eine echte Herausforderung.

 

B | Zeig mir Deine Metadaten und ich sag Dir, was Du machst…und auch wer du bist“- Was taugt die Ende-zu-Ende-Verschlüsselung?

Unter Metadaten oder Metainformationen versteht man technische und/oder organisatorische Details, die andere Informationen begleiten, zum Beispiel Kommunikationsvorgänge. Es handelt sich also nicht um den eigentlichen Inhalt der Kommunikation, sondern um Zusatzinformationen.

Auf eine Person bezogen, liefern Metadaten detaillierte Informationen unter anderem zu Freundes-, Bekannten- und Arbeitskreis der Betroffenen mit teilweiser namentlicher Nennung, Arbeitsstelle sowie Position, Hobbys und Interessen, Aufenthaltsort und tägliche Bewegungen und können Rückschlüsse auf politische und religiöse Anschauungen ermöglichen. „WhatsApp“ behält sich vor, diese Daten unbegrenzt lange protokollieren und auswerten zu können. Was ansonsten mit diesen Daten passiert, insbesondere wie sie verwertet werden, ist bislang unklar.

 

C | WhatsApp-Server in den USA – Schutz durch den Privacy Shield

Datenschutzrechtliche Bedenken bestehen weiterhin auch, weil die Server des Messengerdienstes der WhatsApp Inc., mit Sitz in Kalifornien, nach Angaben der Facebook-Tochter ebenfalls in den USA stehen. Zwar wird das Bundesdatenschutzgesetz damit nicht ausgehebelt, doch lässt man sich mit der „WhatsApp“-Nutzung auf das US-amerikanische Datenschutzniveau ein, von dem die Berliner Datenschutz- und Informationsfreiheitsbeauftragte trotz des EU-US-Privacy Shield der Meinung ist:

„Da nicht auszuschließen ist, dass US-amerikanische Einrichtungen und Behörden auf den Datenbestand des Unternehmens zugreifen können, kann der Anbieter von „WhatsApp“ die Einhaltung eines angemessenen Schutzniveaus im Sinne der europäischen Datenschutzregelungen nicht garantieren.“

Ergebnis: Die Bedeutung und Tragweite einer Einwilligung können auf diese Weise gerade nicht mehr abgeschätzt werden, sodass eine informierte Einwilligung durch Eltern kaum möglich ist.

Weitere Voraussetzung einer informierten Einwilligung ist, dass die Einwilligung ausdrücklich, in der Regel schriftlich und vor allem freiwillig erfolgt. An letzterem bestehen insbesondere Zweifel, weil sich Eltern, um mögliche Nachteile für ihre Kinder durch eine Verweigerung der Einwilligung abzuwenden, dem Gruppenzwang einer schulischen „Einrichtung“ (offizielle WhatsApp-Gruppe der Schule) wohl fügen würden.

 

Fazit: Datenschutzrechtlich einwandfrei? – Nichts ist unbedenklich, wenn es um geltendes Datenschutzrecht geht.


„WhatsApp“ verarbeitet trotz Ende-zu-Ende-Verschlüsselung auch weiterhin unverschlüsselte personenbezogene Daten. Dies betrifft zum einen Metadaten, die sowohl von „WhatsApp“ als auch von Strafverfolgungsbehörden ausgewertet werden können. Zum anderen liest „WhatsApp“ auch beim Installieren und beim Neustart der App automatisch die Telefonnummern aller Kontakte aus dem Adressbuch des Smartphones aus. Diese werden auf den Servern von „WhatsApp“ in den USA gespeichert und mit den Daten anderer Nutzer abgeglichen, um zu prüfen, wer von den Kontakten auch bei „WhatsApp“ angemeldet ist. Allerdings landen auch Daten von Personen bei „WhatsApp“, die sich dort nicht registriert haben. Zumindest auf iOS-Geräten kann der Zugriff aber unter Einstellungen – Datenschutz – Kontakte untersagt werden.
Das Fazit ist ganz klar: Das Einrichten einer „WhatsApp“-Gruppe durch Lehrer zur Kommunikation mit mehreren Schülern ist - wenn auch praktisch - wegen seinen unüberwindbaren datenschutzrechtlichen Hürden nach geltendem europäischen Datenschutzrecht unzulässig.

 

Ich faxe meinen 20 Schülern jetzt mal die Hausaufgabe für morgen? 

Als Alternativen sehen Datenschützer aktuell lediglich Telefon und Fax oder die verschlüsselte E-Mail-Kommunikation beziehungsweise die persönliche Kommunikation.

Dabei sind die Daten beim Fax keineswegs sicher. Die Informationen werden grundsätzlich "offen" (unverschlüsselt) übertragen. Eine Telefaxübersendung kann deshalb mit dem Versand einer offenen Postkarte verglichen werden. Der Telefaxverkehr ist wie ein Telefongespräch abhörbar. Darüber hinaus hinkt der Verweis auf Telefon, Fax oder E-Mail gewaltig, da diese Medien die Funktionen eines Messengerdienstes nicht erfüllen können.

Sollten Sie trotz aller datenschutzrechtlichen Bedenken Messengerdienste nutzen wollen, empfehlen wir solche Messenger, die beim Thema Datenschutz bereits einige Schritte weiter sind, als WhatsApp, so zum Beispiel „Signal“, „Wire“ oder „Threema“.

 

Praxistipp: Umgang mit Metadaten

  • Machen Sie sich bewusst, dass ihre täglichen digitalen Aktivitäten Spuren hinterlassen. Schenken Sie dem Thema „Metadaten“ daher mehr Aufmerksamkeit.
  • Denken Sie bei Dokumenten und Bildern daran, dass diese persönlichen Daten, wie zum Beispiel Angaben über den Autor enthalten können. Auch angebrachte Kommentare und das Arbeiten im Überarbeitungsmodus geben Auskunft über den jeweiligen Verfasser.
  • Ändern Sie, sofern möglich, bei vertraulichen Informationen die Metadaten.

Tags

Messe Bildrechte Informationsfreiheit Impressumspflicht britain Gastronomie Foto Selbstverständlichkeiten Hotelsterne Geschäftsanschrift Arbeitsrecht Tracking Urteil Custom Audiences News Technologie DSGVO Asien geldwäsche Microsoft Barcamp Kennzeichnung Berlin Presse Hotelvermittler USPTO Ofcom TeamSpirit Internet of Things recht am eigenen bild Polen Suchmaschinenbetreiber Authentifizierung Bußgeld Konferenz Ruby on Rails Markensperre Kartellrecht Gaming Disorder GmbH bgh OLG Köln Schleichwerbung FTC Erschöpfungsgrundsatz Limited Wettbewerb Urheberrechtsreform Freelancer Künstliche Intelligenz Gesichtserkennung Hacking schule fotos EC-Karten Geschmacksmuster ReFa § 24 MarkenG Jahresrückblick wallart Voice Assistant Flugzeug Rabattangaben HSMA Check-in Human Resource Management Telefon data privacy Pressekodex Fotografie Datengeheimnis Markeneintragung Kreditkarten Consent Management Linkhaftung Keyword-Advertising nutzungsrechte Suchalgorithmus arbeitnehmer Sperrwirkung Suchmaschinen Class Action Beacons Algorithmus Transparenz fake news Unterlassungsansprüche A1-Bescheinigung Evil Legal Instagram Mindestlohn gender pay gap technik EU-Textilkennzeichnungsverordnung Bundesmeldegesetz Mitarbeiterfotografie Personenbezogene Daten Verlängerung Single Sign-On Social Media Reisen Scam kündigungsschutz Direktmarketing PSD2 Produktempfehlungen Kleinanlegerschutz § 15 MarkenG Buchungsportal Team Spirit Double-Opt-In wetteronline.de Vertrauen Job Lohnfortzahlung Lebensmittel Namensrecht Beschäftigtendatenschutz entgeltgleichheit Kapitalmarkt Recap Weihnachten urheberrechtsschutz Social Engineering transparenzregister Adwords #bsen Finanzaufsicht Zustellbevollmächtigter Data Protection Leipzig Aufsichtsbehörden Vergütung Videokonferenz Großbritannien Datenschutzgrundverordnung Deep Fake Annual Return Hausrecht Vergütungsmodelle Spirit Legal Sampling Twitter Online-Portale Werbekennzeichnung ransom Überwachung gesellschaftsrecht ADV Domainrecht Sitzverlegung Wettbewerbsrecht Dark Pattern Datenschutzbeauftragter Alexa Exklusivitätsklausel Hotel Medienprivileg NetzDG ePrivacy Hotelrecht YouTube Arbeitsunfall technology Infosec USA gezielte Behinderung Know How Einwilligung Unternehmensgründung Restaurant SEA Interview Informationspflicht E-Mail-Marketing Plattformregulierung Datenportabilität Gesundheit Neujahr § 5 MarkenG Leaks Recht brexit hate speech CNIL Bildung EU-Kosmetik-Verordnung Stellenangebot Urlaub Facial Recognition Data Breach right of publicity Spielzeug LG Hamburg Trademark html5 §75f HGB Booking.com verlinkung Influencer § 5 UWG

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2024, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: