Missbräuchliche Nutzung von Videokonferenzen – Handreichung

Noch immer befinden sich fast alle Schulen im Distanzunterricht und Videokonferenzen sind weit verbreiteter und integraler Bestandteil des Unterrichtsgeschehens. Lernende und Lehrkräfte sammeln täglich neue Erfahrungen im Umgang mit den eingesetzten Werkzeugen, und die Nutzung unseres solidarischen BigBlueButton-Hostings steigt.

Selbstverständlich sind auch auf Online-Plattformen Schülerstreiche, Regelbrüche und Unterrichtsstörungen an der Tagesordnung. In dieser und vieler anderer Hinsicht bestehen nur wenig Unterschiede zwischen Online- und Offline-Formaten, und je natürlicher die Nutzung wird, desto mehr hält auch der normale Schulalltag mit allen seinen Facetten Einzug.

Ein wichtiger Unterschied dabei sind jedoch die Asynchronität und Dezentralität: Mitschüler und Lehrkräfte haben meistens nicht alle Teilnehmenden im Blick und Kommunikation untereinander findet, anders als "Flüstern" im Klassenraum, unsichtbar statt. Technische Möglichkeiten, wie die Nutzung so genannter "virtueller Webcams", also das Einspielen von aufgezeichneten Videos anstelle eines echten Kamerabildes, und die Nutzung von Avataren und Nicknames gibt es auch mehr "kreative" Möglichkeiten der Störung, die von harmlosen Scherzen bis hin zu strafrechtlich relevanten Aktivitäten reichen können.

Einige wichtige Fragen und Antworten haben wir nun als Handreichung für Lehrkräfte und auch Mitschüer zusammengefasst.

Ist die Gefahr auf manchen Plattformen größer?

Grundsätzlich besteht auf allen Online-Plattformen die Möglichkeit, Identitäten zu fälschen oder unerwünschte Inhalte einzuspielen. Ein relevanter Unterschied zwischen Plattformen liegt hier darin, ob reine Zugangs-Links oder aber personenbezogene Benutzerkonten verwendet werden. Der Eindruck, dass z.B. auf Microsoft Teams weniger häufig Fälle missbräuchlicher Nutzung vorkommen, entsteht dadurch, dass hier immer personenbezogene Zugänge verwendet werden. Dies wirkt abschreckend auf die Verursacher, da eine Rückverfolgung sehr wahrscheinlich ist.

Grundsätzlich lassen sich aber alle Plattformen so konfigurieren, dass sie die Teilnahme nur mit einem personenbezogenen Account erlauben. Während dies bei Zoom z.B. gegen den Kauf eines Premium-Paketes für Unternehmen möglich ist (das Schulen wegen des nur in Kombination erhältlichen Vertrags zur Auftragsverarbeitung sowieso abgeschlossen haben müssen, sofern sie Zoom einsetzen), kann der Zugang bei BigBlueButton beliebig z.B. an einzelne Greenlight-Accounts, an Moodle, Nextcloud, AlekSIS oder sogar externe Accounts von Google oder Microsoft geknüpft werden.

Nutzer unserer Plattformen beraten wir gerne wie immer per E-Mail.

Handelt es sich z.B. beim Einspielen von Videos um einen "Hack"?

Im weitesten Sinne: ja. Denn der Begriff "Hack" bzw. "Hacker" bezieht sich auf die, aus der entsprechenden Perspektive, "kreative" Nutzung von technischen Werkzeugen zu einem anderen als dem beabsichtigten Zweck. Der Begriff sagt zunächst nichts darüber aus, ob diese Nutzung gut oder schlecht ist oder sogar die böswillige Ausnutzung von Sicherheitslücken oder ähnliches beinhaltet.

In den allermeisten Fällen handelt es sich bei derartigen Vorfällen nicht um einen "Hack" in dem Sinne, dass sich ein Zugang erschlichen wurde. Es werden Zugangslinks, Benutzernamen oder Passwörter verwendet, die für die Nutzung vorgesehen sind, entweder durch die Besitzer selber oder indem diese im Bekanntenkreis oder sogar in sozialen Netzwerken weitergegeben werden, so dass Dritte diese dann nutzen können. Dies lässt sich also nur schwer verhindern, da jede Form von Zugangsdaten grundsätzlich weitergegeben werden kann, wenn der rechtmäßige Beistzer das willentlich tut.

Sollte die Überwachung der Teilnehmer verstärkt werden?

Wie auch auf physischen Schulgeländen und in der Öffentlichkeit sind wir grundsätzlich der Ansicht, dass eine erhöhte Überwachung keine objektive, erhöhte Sicherheit bietet. Bestenfalls handelt es sich dabei um Mitigationen, also das Reagieren auf die Methoden der "Unruhestifter" und die Unterbindung schon bekannter Methoden. Daraus ergibt sich, dass Vertrauen der Teilnehmenden, die in überwiegender Anzahl keine Störungen verursachen, aufs Spiel gesetzt wird und viel Energie, die für guten Unterricht und Beziehungsarbeit und Aufklärung mit den Verursachern und Betroffenen verwendet werden könnte, stattdessen in ein regelrechtes "Wettrüsten" investiert wird.

Ferner ist es auch fraglich, ob durch Überwachungsmaßnahmen das Problem gelöst wird oder vielmehr nur aus dem Blickfeld gerät. Es besteht die Gefahr, dass zwar der Missbrauch der eigenen Plattform reduziert wird, dieser dann aber auf anderen, schulfremden Plattformen gleich oder sogar umfangreicher fortgesetzt wird. Damit wäre dann jede Möglichkeit für eine pädagogische Begleitung der Betroffenen oder Verursacher verspielt.

Ebenso wie in der Schule selber empfehlen wir daher, den Dialog mit den Lernenden zu suchen und Themen wie Datensicherheit, Datenschutz, Accountsicherheit, aber auch die Wirkung von missbräuchlichem Verhalten auf Mitschüler zu thematisieren. Hierzu können auch Experten externer Organisationen eingeladen werden, die wir gerne vermitteln.

Was kann ich tun, wenn ich Missbrauch in meiner Videokonferenz feststelle?

Sollte in einer Videokonferenz eine missbräuchliche Nutzung auffallen, gilt es, drei wichtige Punkte in der richtigen Reihenfolge zu beachten:

  1. Indizien sichern — fertigen Sie Notizen und Screenshots an, aus denen hervorgeht:
    • Wann (genaues Datum und Uhrzeit) ereignete sich der Vorfall?
    • Auf welchem Server fand die Konferenz statt (gesamte Adresse aus dem Browser kopieren)?
    • Welche Personen bzw. Nicknames waren zum Zeitpunkt im Raum (Screenshot der Teilnehmerliste)?
    • Bilder des missbräuchlichen Inhalts
  2. Verursacher aus der Konferenz entfernen.
  3. Den Zwischenfall mit den Betroffenen thematisieren:
    • Handelte es sich um einen harmlosen Scherz? Lassen Sie sich nicht verunsichern.
    • Handelte es sich um einen schwerwiegenden Fall, z.B. mit verstörenden, gewaltverherrlichenden oder sexuellen Inhalten oder direkte Angriffe gegen Personen? Thematisieren Sie den Inhalt, versichern Sie, der Sache auf den Grund zu gehen und bieten Sie den Betroffenen Unterstützung und Gesprächsbereitschaft auch im Einzelgespräch an.

Nach dem Unterricht empfiehlt es sich, ein reflektiertes Kurzprotokoll anzufertigen. Hier sollte dann klar sein, ob es sich um einen harmlosen Scherz oder mehr handelt und es können entsprechend weitere Personen hinzugezogen werden, z.B. die Schulleitung oder die Schulsozialarbeit.

Wann sollten Maßnahmen wie Strafanzeigen in Erwägung gezogen werden?

Obwohl der Wunsch nach einer endgültigen Verfolgung von Vorfällen verständlicherweise groß ist, sollte eine Strafanzeige gut überdacht sein und mit einem gewissen Abstand durch Reflektion und Rücksprache mit Schulleitung und Schulsozialarbeit erfolgen.

Grundsätzlich kommen unter anderem die folgenden Straftatbestände in Betracht:

  • § 201 Verletzung der Vertraulichkeit des Wortes
  • § 202a Ausspähen von Daten
  • § 303b Computersabotage
  • § 185 Beleidigung, § 186 Üble Nachrede, § 187 Verleumdung
  • § 166 Beschimpfung von Bekenntnissen, Religionsgesellschaften und Weltanschauungsvereinigungen
  • § 184 Verbreitung pornographischer Inhalte
  • § 184i Sexuelle Belästigung

Sollte der Verdacht eines solchen Straftatbestandes bestehen, kann eine Strafanzeige in Erwägung gezogen werden. Um zu bewerten, ob ein Straftatbestand vorliegen könnte, muss vorher beantwortet werden:

  • Wurde ein Zugangslink oder Zugangsdaten an Unberechtigte weitergegeben?
  • Ja, die Person war definitiv eine andere als die Berechtigte → die Vertraulichkeit des Wortes wurde verletzt
  • Nein, die Person war die Berechtigte und in der richtigen Konferenz → keine Straftat
  • Hat eine Person mit ihren korrekten Zugangsdaten an einer fremden Konferenz teilgenommen?
  • Ja, die Zugangsdaten gehörten der Person, aber sie durfte nicht in die Konferenz → Nicht für die Person bestimmte Daten wurden ausgespäht
  • Nein, die Person war für die Konferenz berechtigt → keine Straftat
  • Wurden Zugangsdaten erschlichen oder Sicherheitsmechanismen umgangen?
  • Ja, es handelte sich nicht um die reine Weitergabe legimiter Zugangsdaten → Computersabotage liegt u.U. vor
  • Nein, es wurden nur legitime Zugangsdaten verwendet → keine Straftat
  • Erfüllte der eingespielte Inhalt einen der aufgeführten oder einen anderen Straftatbestand?
  • Ja, es wurden Personen direkt strafrechtlich relevant angegrffen → Strafanzeige möglich
  • Nein, es handelte sich um einen Streich und/oder war nicht gegen bestimmte Personen gerichtet → keine Straftat

Sollte eine oder mehrere dieser Fragen klar mit "Ja" beantwortet werden, sollten die sinnvollen Maßnahmen überlegt werden. Hierbei empfiehlt es sich, die Maßnahmen daran auszurichten, welche Maßnahmen bei einem entsprechenden Vorfall in Präsenz in der Schule ergriffen würden. Meistens ist es nicht sinnvoll, härtere Maßnahmen zu ergreifen als üblich, nur weil die Vorfälle online stattfanden und eventuell durch das Stattfinden auf unbekannterem Terrain furchteinflößend wirkten. Bei Anonymität der Verursacher kann eine Ermittlung der "Täter" wünschenswert sein, sollte aber auch abgewogen werden.

Schlussendlich sollte dann an einer ähnlichen Grenze wie in Präsenz eine Linie gezogen werden: Beispielsweise wäre es eher unüblich, eine einzelne Beleidigung im Unterricht zur Anzeige zu bringen; oft werden im Einzelfall auch noch keine disziplinarischen Maßnahmen ergriffen. Anders kann das bei gezielten Beleidigungen gegen religiöse oder politische Sichtweisen, biologische Eigenschaften oder den ethnischen Hintergrund aussehen; definitiv umgehend und mit uneingeschränkter Härte verfolgt werden sollten Verstöße gegen die sexuelle Selbstbestimmung, sexuelle Belästigung oder sexueller Missbrauch.

Nicht zuletzt spielt auch eine Rolle, wie groß die Wahrscheinlichkeit einer Strafverfolgung wäre, z.B. durch das Unterschreiten des Strafmündigkeitsalters.

Kann der Anbieter der Plattform selber Missbrauch verfolgen?

Damit der Anbieter der Online-Plattform bei einer Verfolgung helfen kann, müssen gewisse Voraussetzungen erfüllt sein. Grundsätzlich sind alle Anbieter von Online-Plattformen an das Datenschutzrecht sowie das Brief- und Fernmeldegeheimnis gebunden. Eine Herausgabe von personenbezogenen Daten darf also nur auf richterliche Anordnung erfolgen (eine Anfrage der Schule oder gar der Polizei ohne richterliche Anordnung ist nicht ausreichend).

Allerdings kann der Anbieter natürlich jederzeit um Rat gebeten werden. Ohne umfangreichen Servicevertrag und/oder ohne den notwendigen pädagogischen Hintergrund wird dies bei großen Anbietern kaum Erfolg haben; der Teckids e.V. bemüht sich jedoch, im Einzelfall beratend zur Seite zu stehen. In der Vergangenheit haben wir bspw. nach entsprechendem Hinweis und Recherche bei uns die Verursacher in weniger schlimmen Fällen auch direkt kontaktiert, ohne personenbezogene Daten herausgeben zu müssen.

Fazit

Zusammenfassend möchten wir noch einmal betonen, dass zwischen Online- und Offline-Formaten in vielerlei Hinsicht nur geringe Unterschiede bestehen. Wir werben daher für einen reflektierten, unaufgeregeten Umgang mit Vorfällen und dafür, auf diese genau so im pädagogischen Rahmen einzugehen wie im regulären Schulalltag.

Unabhängig von einzelnen Vorfällen empfiehlt es sich, Themen wie Nutzung von Computersystemen, Datensicherheit, Konsequenzen der Weitergabe von Zugangsdaten, uvm. in einer Unterrichtseinheit mit externen Experten zu thematisieren.

Für Anfragen, die nicht direkt mit der Nutzung unserer Plattformen, sondern mit allgemeiner Beratung zusammenhängen, stehen das schul-frei-Projekt für technische sowie die pädagogische Koordination des LEOPARD-Projektes zur Verfügung.