Durch eine Sicherheitslücke in der Lern-App „Anton“ der Berliner Firma solocode GmbH war es für einen bislang nicht näher festgestellten Zeitraum möglich, auf verschiedene Daten der Schüler*innen, die die App nutzen, unbefugt über das Internet zuzugreifen. Dies geht aus einem Bericht des Bayerischen Rundfunks (BR) vom 10. März 2021 hervor.

Ungeschützter Zugang zu Schülerdaten

Unter anderem sollen Vor- und Nachnamen von Schüler*innen, Informationen zu Lernfortschritten, Klassen- und Schulzugehörigkeit, und zu welchem Zeitpunkt die Schüler*innen eingeloggt waren, ohne Passwort bzw. andere Sicherheitsmaßnahmen über das Internet zugänglich gewesen sein. Darüber hinaus soll es für Außenstehende theoretisch möglich gewesen sein, sich als Lehrkraft auszugeben und Nachrichten an Schüler in Lerngruppen einzustellen. Dem BR sei das Sicherheitsproblem bei einer Recherche aufgefallen. Mittlerweile sei die Sicherheitslücke nach Angaben des Herstellers der „Anton”-App geschlossen worden, unmittelbar nachdem man die Informationen vom BR erhalten habe.

Unklares Ausmaß des Vorfalls

Nach bisherigen Erkenntnissen des Herstellers sei es zu keinem Datenabfluss gekommen, es soll sich lediglich um die theoretische Möglichkeit des Zugriffs gehandelt haben. Wie viele Schüler*innen überhaupt betroffen waren, dazu hat der Hersteller bislang keine Aussagen gemacht. Derzeit werde allerdings noch tiefgreifend untersucht, ob die Sicherheitslücke nicht doch ausgenutzt worden sei. Der Vorfall sei rein vorsorglich an die Berliner Beauftragte für Datenschutz und Informationssicherheit gemeldet worden.

Meldung an die Datenschutzaufsicht?

Schulen mit Schul-Lizenz für die Nutzung der Anton-App schließen mit dem Hersteller einen Vertrag zur Auftragsverarbeitung ab. Damit ist sichergestellt, dass personenbezogene Daten von Schülern und Lehrkräften nur zu Zwecken der Schule verarbeitet werden. In diesen Fällen ist die Schule verantwortlich für die Datenverarbeitung, der Hersteller dient als Auftragsverarbeiter. Auch wenn hier der Hersteller betont, es sei zu keinem Abfluss der Daten gekommen, sollte der Sachverhalt den Aufsichtsbehörden vor dem Hintergrund der bloßen Möglichkeit des Zugriffs vorsorglich gemeldet werden. Diese Auffassung vertreten einige Aufsichtsbehörden momentan jedenfalls im Fall der kompromittierten Microsoft Exchange Server. Darüber hinaus kam es zumindest durch den BR zu einem Zugriff auf einen Teil der Daten.

Bei der Feststellung einer meldepflichtigen Datenpanne muss die zuständige Aufsichtsbehörde unverzüglich – d.h. möglichst binnen 72 Stunden nach Bekanntwerden der Datenschutzverletzung – informiert werden. Drüber hinaus sollten vorsorglich auch die Eltern der Schüler*innen über die Möglichkeit der Offenlegung der Daten ihrer Kinder informiert werden.

Update 15.03.2021

Mittlerweile hat der Hersteller der Anton-App reagiert und ein ein Statement zu dem Vorgang veröffentlicht:

https://anton.app/de/sicherheit/

Darin verweist der Hersteller darauf, dass es bis auf den Zugriff im Rahmen der Recherchearbeiten des BR zu keinen Zugriffen auf die Nutzerdaten der Schüler*innen gekommen sei.
Der Hersteller sichert aber zu, hier für weitere Aufklärung zu sorgen und die Nutzer über den Vorgang auf dem Laufenden zu halten.
Insofern ist aus datenschutzrechtlicher Sicht momentan eine Meldung an die Aufsichtsbehörden wohl eher nicht angeraten.