Indien: Daten von Hunderttausenden Schülern standen offen im Netz
In Indien waren persönliche Daten von fast 600.000 Schülerinnen und Schülern sowie mehr als einer Million Lehrkräfte für mehr als ein Jahr öffentlich zugänglich. Laut der Menschenrechtsorganisation Human Rights Watch (HRW) stammten sie aus einer App des indischen Bildungsministeriums und waren auf einem ungeschützten Server gespeichert.
Die App Diksha existiert bereits seit dem Jahr 2017. Als während der Corona-Pandemie Schulen auch in Indien schließen mussten, wurde Diksha verwendet, damit Schülerinnen und Schüler von zu Hause aus auf Unterrichtsmaterialien zugreifen konnten.
Wie HRW berichtet, enthielten die zugänglichen Datensätze die vollständigen Namen der Schüler und der Schulen, die sie besuchten. Auch der Bundesstaat in dem sie leben sei einsehbar gewesen, ebenso wie Testergebnisse. Ihre Telefonnummern und E-Mail-Adressen seien hingegen nicht vollständig im Klartext gespeichert gewesen.
Schüler und Lehrkräfte aus jedem indischen Bundesstaat seien von dem Datenleck betroffen.
Laut dem Magazin Wired waren im Fall der Lehrer vollständige Namen, Telefonnummern und E-Mail-Adressen gespeichert. Die Daten hätten von jedem entwendet und beispielsweise für Betrug missbraucht werden können.
Keine Bildung ohne App während Schulschließungen
Die Datensätze stammten laut HRW aus dem Zeitraum von März 2020 bis Dezember 2022. Während dieser Zeit seien Schulen teils geschlossen gewesen, sodass die Diksha-App für viele Kinder die einzige Möglichkeit zum Lernen gewesen sei. HRW kritisiert, die Regierung habe es den betroffenen Kindern somit unmöglich gemacht, sich vor dem Missbrauch ihrer Daten zu schützen. Hätten sie die App nicht verwendet, hätten sie auch auf Bildung verzichten müssen. Ihre Privatsphäre sei zu einer Zeit verletzt worden, als sich viele Familien einschränken mussten, um beispielsweise den Internetzugang bezahlen zu können.
Nach Angaben der Organisation hatten im Jahr 2020 über 10 Millionen Schülerinnen und Schüler die App heruntergeladen. Um die weitere Verbreitung zu fördern, hätten die Bildungsministerien einiger Bundesstaaten den Lehrern sogar Vorgaben gemacht, wie viele Schüler sie vom Download der App überzeugen sollen.
Laut UNICEF waren in Indien im Jahr 2020 insgesamt 247 Millionen Kinder von Schulschließungen betroffen. Online-Unterricht sei für viele aber keine Option gewesen: Nur eines von vier Kindern habe über Geräte wie Computer oder Smartphones verfügt. Vor der Pandemie hätten nur 24 Prozent der Haushalte überhaupt Zugang zum Internet gehabt.
Daten sind inzwischen offline
Entwickelt wurde die App von der indischen Stiftung EkStep. Diese teilte auf Anfrage von Wired mit, für die Datensicherheit sei das Bildungsministerium zuständig. Nachdem die Stiftung über den Vorfall informiert wurde, sei der offene Server nicht mehr erreichbar gewesen. Das Bildungsministerium habe auf eine Anfrage des Magazins nicht reagiert.
Auch HRW hatte das Bildungsministerium in der Vergangenheit mehrfach wegen der App kontaktiert, jedoch keine Antwort erhalten. Die Organisation hatte bereits im vergangenen Jahr kritisch über Diksha berichtet.
Eine Untersuchung der App hatte demnach gezeigt, dass Diksha die genauen Standortdaten von ihren Nutzerinnen und Nutzern sammelt – verknüpft mit Datum und Uhrzeit der jeweiligen Standorterfassung. In den Datenschutzrichtlinien sei jedoch nicht darauf hingewiesen worden.
Die Organisation hatte außerdem kritisiert, dass Daten offenbar zu Werbezwecken an Google übermittelt wurden.
Auf eine Anfrage des indischen Parlamentsabgeordneten Karti Chidambaram bezüglich der Vorwürfe bestritt das Bildungsministerium im November 2022, den genauen Standort der Kinder abzufragen. Es räumte jedoch ein, den Bundesstaat und Bezirk zu erfassen, in dem sich die App-Nutzer aufhalten. Diese Information werde erst nach einer Zustimmung der Nutzer gespeichert. Es würden außerdem keine Daten zu Werbezwecken gesammelt oder übermittelt.
Human Rights Watch fordert die indische Regierung auf, ein Datenschutzgesetz zu verabschieden, das auch Kinder umfassend schützt. Bei Datenschutzverstößen müssten Strafen verhängt werden.
Die Regierung arbeitet derzeit an einem neuen Datenschutzgesetz. HRW kritisiert jedoch, Kinder würden dadurch nicht ausreichend geschützt. Außerdem sehe der aktuelle Entwurf vor, dass sich die Regierung aus “vagen Gründen” wie etwa “Interessen der Souveränität und Integrität Indiens” nicht an die Bestimmungen halten muss. Nähere Definitionen der verwendeten Ausnahmen fehlten im Gesetzentwurf. HRW befürchtet, Überwachung und Privatsphäreverletzungen durch die Regierung würden dadurch erleichtert. (js)