Im Rahmen einer Überprüfung von Schul-Applikationen hat das IT-Sicherheitskollektiv „zerforschung“ eine massive Sicherheitslücke bei der Schul-App „scoolio“ offengelegt, durch die Hunderttausende von Datensätzen – zumeist von minderjährigen Nutzerinnen und Nutzern – offen und frei im Internet zugänglich waren. Durch das offengelegte Datenleck war es dem losen Kollektiv an Forscherinnen und Forschern über eine API, eine sog. Programmierschnittstelle, möglich, Zugriff auf Daten wie E-Mail-Adresse, Geburtsdatum, Standort, persönliche Interessen, aber auch zum Teil auf besonders schützenswerte Daten der Nutzenden zu erhalten. Medienberichten zufolge waren mindestens 400.000 User von dem Datenleck betroffen. Mag man den Angaben der Entwicklerfirma Glauben schenken, könnte die Betroffenenanzahl potenziell sogar höher liegen, denn: Auf der eigenen Website werden die Downloadzahlen mit rund 1,8 Millionen angegeben. Die Schul-App „scoolio“ nutzt den dortigen Angaben des Betreibers zufolge „jeder 8. Schüler in Deutschland“ und soll diesen beim Organisieren des Schulalltags, dem Kennenlernen von Freunden und dem Finden einer Ausbildung helfen.

Schwerwiegende Vorwürfe

Die Offenlegung der Sicherheitslücke ist nicht der einzige schwerwiegende Kritikpunkt, dem sich das Betreiberunternehmen nun stellen musste. In einem veröffentlichten Blogbeitrag hat das Kollektiv weitere kritische Punkte zusammengefasst. Die publizierten Vorwürfe wiegen – nicht nur mit aufgesetzter Datenschutz-Brille – schwer und hinterlassen einen faden Beigeschmack. Auch aufgrund der Tatsache, dass von staatlichen Investoren ein siebenstelliger Betrag in die Entwicklung der Schul-App geflossen ist.

Dem Blogbeitrag ist zu entnehmen, dass die verarbeiteten Daten nicht nur über Jahre frei zugänglich waren, sondern zeitgleich von den Nutzerinnen und Nutzern weitreichende personenbezogene Daten mittels Persönlichkeitsspielen gesammelt wurden, um gegenüber diesen dann entweder gezielt Werbung auszuspielen oder die erhobenen Daten weiter an potenzielle Arbeitgebende zur sog. „Leadgenerierung“ zu veräußern. Dazu heißt es im Beitrag wörtlich: „Durch Persönlichkeitstests in Form von Jobquizzes und anderen lustigen Mini-Games werden gezielt immer mehr Informationen über die Schüler*innen gesammelt. Diese Daten werden aber nicht nur zum gezielten Ausspielen von Werbung verwendet. Die Ergebnisse der Persönlichkeitstests werden auch direkt an Arbeitgeber*innen zur sogenannten Leadgenerierung verkauft.“ Die Ausspielung von personalisierter Werbung an Nutzende und die Weitergabe von personenbezogenen Daten sei nicht nur aus datenschutzrechtlicher Sicht kritisch, sondern stellt zugleich einen Grundsatzbruch der werbefreien Schule dar. So wurde die Schul-App in einigen Schulen zum festen Bestandteil im Unterricht. Damit war die Nutzung der App für die betroffenen Schülerinnen und Schüler nicht freiwillig, da sie zum digitalen schulbezogenen Austausch und zur Bearbeitung von schulischen Aufgaben genutzt wurde.

Ferner kritisiert das Kollektiv die mangelnde Moderation innerhalb der App und den darin bestehenden Chatgruppen, in denen sich Schülerinnen und Schüler zu bestimmten Themen und Vorlieben untereinander austauschen. Besonders heikel ist, dass die Chaträume für jeden frei zugänglich sind und in diesen zum Teil besonders schützenswerte Inhalte, wie die eigene sexuelle Orientierung, die Religionszugehörigkeit oder die Herkunft, offenbart oder ausgetauscht werden. So war es dem Kollektiv möglich, ein Dummy-Profil mit dem Alter von 33 Jahren anzulegen und Gruppen wie “Verliebt euch 🥳”, “Grube für Singles 😂👑”, “Suche Freund zwischen 12 und 13” und “nur Mädchen bis 10” beizutreten.

Sicherheitslücke wurde mittlerweile geschlossen

Zwischenzeitlich veröffentlichte das Betreiberunternehmen von „scoolio“ eine Pressemitteilung, in der sich das Unternehmen zunächst ausdrücklich beim Kollektiv „zerforschung“ für die Aufdeckung der Sicherheitslücke bedankt und der breiten Öffentlichkeit vermeldet, dass die Sicherheitslücke inzwischen – nach sage und schreibe mehr als 30 Tagen –, unter Einbeziehung des Sächsischen Datenschutzbeauftragten, geschlossen werden konnte. Das Kollektiv hatte sowohl „scoolio“ und das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch den Sächsischen Datenschutzbeauftragten über die Sicherheitslücke in Kenntnis gesetzt. Aufgrund der langwierigen Behebung der Sicherheitslücke und zum Schutz der betroffenen Personen wurde allerdings mit der medienwirksamen Bekanntmachung gewartet.

Keine Verhängung eines Bußgeldes

Einem Medienbericht von MDR AKTUELL zufolge, in dem sich der Sächsische Datenschutzbeauftragte zu dem Vorfall geäußert hatte, wird gegen das betroffene Unternehmen kein Bußgeld ergehen, da sich das Unternehmen kooperativ gegenüber der Aufsichtsbehörde verhalten und erste informationstechnische Maßnahmen eingeleitet habe.

Einordnung & Ausblick

Der vorliegende Sachverhalt rund um die Sicherheitslücke in einer Schul-App zeigt wieder einmal die Bedeutsamkeit der Einhaltung der Datenschutz-Grundsätze „Privacy by Design“ und „Privacy by Default“ im Zusammenhang mit App-Entwicklungen auf. Gerade vor dem Hintergrund, dass die Schul-App primär von minderjährigen Schülerinnen und Schülern genutzt wird und die Finanzierung größtenteils aus öffentlicher Hand erfolgte, hinterlässt dieser Fall einen faden Beigeschmack. So können hier durchaus die Fragen in den Raum gestellt werden, ob die Behebung der Sicherheitslücke nicht schon viel früher hätte erfolgen müssen und ob personenbezogene Daten wie bspw. das Geburtsdatum oder der vollständige Name der User überhaupt erforderlich sind.

Ein kurzer Blick in die bereitgestellten Datenschutzbestimmungen der Schul-App „scoolio“ rundet das gezeichnete Bild ab. Abgesehen von der Sicherheitslücke, weist die Schul-App auch in diesem Punkt erhebliche Mängel auf und erfüllt nicht die datenschutzrechtlichen Anforderungen. Ein kursorisches Überfliegen der Bestimmungen ergab Folgendes:

  • Die Angaben in den Datenschutzbestimmungen sind teilweise in sich widersprüchlich.
  • Der Transparenzgrundsatz nach Art. 12 Abs. 1 DSGVO wird nicht gewahrt.
  • Die Informationspflichten nach Art. 13 und Art. 14 DSGVO sind nicht erfüllt.

Es bleibt abzuwarten und zu hoffen, dass das Betreiberunternehmen aus diesem Vorfall – im Sinne der Betroffenen – weitreichende Konsequenzen zieht und die Schul-App – mit Blick in die Zukunft – technisch so umgestaltet, dass nicht nur die oben genannten Datenschutz-Grundsätze berücksichtig werden, sondern auch dass die App künftig ohne jegliche Art von personalisierter Werbung auskommt. Denn die Daten von Minderjährigen müssen auch in diesem Kontext unantastbar bleiben und ein hohes Schutzniveau genießen.

Begrüßenswert ist die Tatsache, dass „scoolio“ zwischenzeitig erste Maßnahmen ergriffen hat und jetzt Teil des Forschungsprojekts „Directions“ des Karlsruher Instituts für Technologie ist. Das Forschungsprojekt setzt sich mit der Entwicklung einer neuen Datenschutz-Zertifizierung schulischer Informationssysteme ein. Spätestens hier eröffnet sich die Möglichkeit, aus begangenen Fehlern zu lernen und die Schul-App datenschutzkonform aufzustellen!