Wenn ANTON Schuldaten preisgibt
Bei der Lern-App „Anton“ wurde eine schwere Sicherheitslücke entdeckt. Wie gehen Schweizer Schulen damit um? Lehrpersonen und Datenschützer antworten.
Originalbeitrag von inside-it Bewilligung zum Abdruck mit Verlinkung durch Urheber
Die Lern-App „Anton“ ist beliebt. Seit Ausbruch der Corona-Pandemie wird sie in Schweizer Medien regelmässig Eltern für den Heimunterricht oder als Schulergänzung empfohlen. „Anton“ richtet sich an Schülerinnen und Schüler der Klassen 1 bis 8. Die App bietet Übungen für Deutsch und Mathematik, dazu auch für Biologie, Musik und Deutsch als Zweitsprache an.
Entwickelt wird „Anton“ vom Berliner Startup Solocode, das unter anderem vom Europäischen Fonds für regionale Entwicklung finanziell unterstützt wird. Die App ist gratis und werbefrei für Android und iOS verfügbar. Zusätzlich werden Schullizenzen mit Zusatzfunktionen und erweiterte, kostenpflichtige Pakete für Familien und Lehrpersonen angeboten.
Informationen zu Tausenden Schülern frei einsehbar
Mitte März meldete der ‚Bayerische Rundfunk‘ (‚BR‘): „Gravierende Sicherheitslücke bei beliebter Schul-App“. Datenjournalisten sei es gelungen, bei „Anton“ persönliche Daten von Tausenden Schülern und Schülerinnen einzusehen. Unter anderem sollen Vor- und Nachnamen von Schülern, Informationen zu Lernfortschritten, Klassen- und Schulzugehörigkeit einfach über das Internet einsehbar gewesen sein. Darüber hinaus wäre es für Aussenstehende theoretisch möglich gewesen, sich als Lehrkraft auszugeben und Nachrichten an Schüler in Lerngruppen einzustellen, so der ‚BR‘.
Die Journalisten machten Solocode auf die Lücke aufmerksam, die vom Unternehmen umgehend geschlossen wurde. In einem Statement verwies der Hersteller anschliessend darauf, dass es bis auf den Zugriff im Rahmen der ‚BR‘-Recherchearbeiten zu keinen Zugriffen auf die Nutzerdaten gekommen sei. „Sollten wir Anzeichen für einen Missbrauch finden, werden wir betroffene Schulen, Nutzer/innen und die Datenschutzbeauftragten umgehend informieren“, so Solocode.
Nicht nur von Eltern, auch an Schweizer Schulen wird „Anton“ zum Teil eingesetzt. So wurden zum Beispiel auf der Website der Volksschule der Stadt Luzern bereits 2019 Tutorials für die App veröffentlicht und es hiess: „Seit einiger Zeit haben wir Anton auf dem Radar; in einigen Schulen wird bereits intensiver damit gearbeitet.“ Angeboten werde vor allem Schulstoff für die Primarklassen 1 bis 6. „Das aufgeräumte, aber vielfältige Angebot stimmt uns schon einmal zufrieden.“
„Nur mit Nicknames benutzen“
Wie reagieren nun Schweizer Lehrpersonen und Datenschutzbehörden auf die gemeldete Sicherheitslücke? Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte antwortet auf unsere Anfrage: „Wir kennen diese Lern-App nicht und uns sind bislang auch keine Beschwerden oder Hinweise auf Unregelmässigkeiten bekannt.“ Öffentliche Schulen seien zudem in der Zuständigkeit der Kantone und deren Datenschutzaufsichtsbehörden. Würden Lehrpersonen ihren Schülerinnen und Schülern die Verwendung solcher Apps auf freiwilliger Basis empfehlen, „sollten sie nur vertrauenswürdige Anbieter wählen“, so der EDÖB.
Konkreter zum Thema „Anton“ wird die Datenschutzbeauftragte des Kantons Zürich Dominika Blonski. Sie habe verschiedene Applikationen und Plattformen für den Fernunterricht summarisch geprüft und beurteilt, erklärt sie gegenüber inside-it.ch. „Die Plattform Anton kann während der Corona-Krise eingesetzt werden, wenn mit Nicknames gearbeitet wird und keine Kontaktdaten oder Schulen erfasst werden.“ Würde „Anton“ so genutzt, könnten bei einem Vorfall, wie er vom ‚BR‘ dokumentiert wurde, auch keine heiklen Personendaten bekannt werden.
Bis anhin nichts von der Sicherheitslücke wusste man bei der Volksschule der Stadt Luzern (VSLU). „Die VSLU hat die Arbeit mit der Lern-App Anton erst begonnen und kann noch nicht auf Erfahrungen zurückgreifen“, schreibt uns Thomas Buchmann, Bereichsleiter Unterricht und Pädagogik. Im Unterricht würden verschiedene Lernprogramme eingesetzt, die von der Dienststelle Volksschulbildung oder der Pädagogischen Hochschule Luzern empfohlen wurden. „Verantwortlich für die Verwendung der Apps im Unterricht sind die Lehrpersonen selber. Die Verwendung von Lern-Apps ist noch im Aufbau.“ Neben einzelnen Lern-Apps arbeite die gesamte VSLU mit Office 365.
Lehrpersonen wünschen sich sichere Applikationen
Auch der Dachverband Lehrerinnen und Lehrer Schweiz (LCH) verfügt über keine genauen Daten zur Verbreitung von „Anton“ in der Schweiz, man wisse aber, dass diese an verschiedenen Primarschulen im Einsatz sei. „Der LCH gibt selbst keine Empfehlungen zu Lern-Apps heraus, ausser der Warnung, Whatsapp nicht zu verwenden“, erklärt Beat Schwendimann für den Verband. Die Nutzung von Lern- und Kommunikation-Apps sei zudem an Schweizer Schulen sehr uneinheitlich.
Dem Thema Datenschutz bei solchen Apps werde aber verstärkt Gewicht beigemessen. „Die Fachagentur EDUCA plant momentan eine neue Fachstelle zum Datenschutz in der Schule. Der LCH begrüsst eine solche Fachagentur, da sich Lehrpersonen auf sichere Applikationen verlassen können müssen“, so Schwendimann weiter.
Die Volksschule der Stadt Luzern thematisiere ebenfalls den Datenschutz, schreibt Thomas Buchmann. „Im Rahmen der Einführung des Lehrplans 21 wurden die Lehrpersonen mit verbindlichen Weiterbildungen geschult.“ Unterstützt vor Ort würden die Lehrpersonen von den zuständigen Medien & Informatik Betreuungspersonen (MIB). „Rückmeldungen aus der Praxis haben gezeigt, dass bei der Verwendung von Lern-Apps künftig vermehrt auf die Qualität und insbesondere auf den Datenschutz geachtet werden muss“, betont Buchmann. Weiter „werden unsere Schülerinnen und Schüler angehalten, nur die absolut notwendigen Daten zu erfassen. Normalerweise reicht ein Nickname.“