PowerSchools 17,25-Millionen-Dollar-Vergleich wegen Naviance-Schüler-Tracking

PowerSchools 17,25-Millionen-Dollar-Vergleich wegen Naviance-Schüler-Tracking

Ein 17,25 Millionen Dollar schwerer Sammelklagevergleich gegen PowerSchool lenkt erneut die Aufmerksamkeit auf eine Praxis, von der viele Familien nie wussten, dass es sie gibt: die stille, kontinuierliche Überwachung von Schülern über genau die Plattformen, die ihnen von der Schule zugewiesen werden. Die Klage richtete sich gegen Naviance, ein weit verbreitetes Tool zur Studien- und Berufsvorbereitung, und behauptete, die Plattform habe Tracking-Software von Drittanbietern eingebettet, die von 2021 bis 2026 ohne Einwilligung Tastenanschläge, Klicks und private Kommunikation der Schüler sammelte. Dieser Fall ist eines der bisher deutlichsten Beispiele dafür, wie Missstände beim Datenschutz von Schülern in der Bildungstechnologie jahrelang fortbestehen können, bevor jemand zur Rechenschaft gezogen wird.

Was Naviance tatsächlich sammelte – und wie lange

Naviance ist kein Nischen-Tool. Von Millionen Highschool-Schülern in den gesamten Vereinigten Staaten genutzt, dient es als zentrale Anlaufstelle für die Nachverfolgung von College-Bewerbungen, Karriere-Assessments und die akademische Planung. Da die Schulen es vorgeben, haben Schüler und Familien in der Regel keine andere Wahl, als es zu nutzen.

Laut der Klage ging das in Naviance eingebettete Tracking weit über übliche Analysen hinaus. Die Drittanbieter-Software erfasste angeblich Daten auf Tastenanschlag-Ebene, was bedeutet, dass jedes von einem Schüler eingegebene Zeichen aufgezeichnet werden konnte. Klicks, Navigationsmuster und private Kommunikation sollen ebenfalls abgeschöpft worden sein. Diese Art der Datenerfassung ist nicht passiv. Sie ist granulär, verhaltensbasiert und in vielen Fällen weitaus aufschlussreicher als ein einfacher Login-Datensatz.

Besonders auffällig ist der Zeitraum. Das mutmaßliche Tracking erstreckte sich von 2021 bis 2026 – ein Zeitfenster von fünf Jahren, in dem möglicherweise von Millionen Schülern sensible Daten ohne ihr Wissen oder das ihrer Eltern oder Erziehungsberechtigten gesammelt wurden. Es wurde keine Einwilligung eingeholt. Es gab keine klare Offenlegung. Die Überwachung war, dem Design nach, unsichtbar.

Warum von Schulen zugewiesene Plattformen ein blinder Fleck für den Datenschutz von Schülern sind

Wenn ein Unternehmen eine Verbraucher-App verkauft und Tracker einbettet, haben Nutzer zumindest theoretisch die Möglichkeit, dies abzulehnen. Wenn eine Schule eine Plattform vorschreibt, entfällt diese Möglichkeit. Schüler müssen das Tool nutzen, um Aufgaben zu erledigen, Bewerbungen einzureichen oder auf Ressourcen zuzugreifen. Daraus entsteht ein grundlegendes Einwilligungsproblem, das die bestehenden Gesetze nur schwer vollständig adressieren können.

Bundesgesetze wie FERPA (Family Educational Rights and Privacy Act) und COPPA (Children’s Online Privacy Protection Act) bieten gewisse Basisschutzmaßnahmen, wurden jedoch nicht mit der Komplexität moderner Edtech-Ökosysteme im Hinterkopf entworfen. Eine Schule kann einen Vertrag mit einem Anbieter schließen. Dieser Anbieter kann Code von Drittanbietern einbetten. Diese Drittanbieter können Daten sammeln. Jeder Schritt mag technisch mit den bestehenden Regeln konform sein, obwohl die Daten von Schülern dennoch an Organisationen fließen, von denen Familien noch nie gehört haben.

Genau diese Dynamik macht den PowerSchool-Fall über den reinen Geldbetrag hinaus bedeutsam. Er ist ein dokumentiertes Beispiel für die Kluft zwischen rechtlicher Konformität und echter Transparenz. Dass das Tracking mutmaßlich fünf Jahre lang ohne öffentliche Bekanntmachung andauerte, unterstreicht, wie wenig Eltern und Schüler in der Regel mitbekommen, was Schulplattformen tatsächlich tun.

Dieses Problem beschränkt sich nicht auf passives Tracking. Wie der ShinyHunters-Angriff auf Canvas gezeigt hat, erstreckt sich die Gefährdung von Schülerdaten sowohl auf verdeckte Überwachung als auch auf aktive Cyberangriffe. Als durch diesen Vorfall annähernd 275 Millionen Schülerdatensätze gefährdet wurden, verdeutlichte dies, dass der Edtech-Sektor gleichzeitig Verwundbarkeiten aus mehreren Richtungen ausgesetzt ist.

Wie verdecktes Tracking von Tastenanschlägen und Kommunikation funktioniert

Für Leser, die mit den technischen Abläufen nicht vertraut sind, ist es wichtig zu verstehen, wie diese Art von Tracking in der Praxis funktioniert. Skripte für das Tracking durch Dritte werden in der Regel von den Plattformentwicklern während des Build-Prozesses eingebettet. Wenn ein Nutzer eine Seite lädt, führen sich diese Skripte automatisch im Hintergrund aus. Der Nutzer bemerkt nichts Ungewöhnliches.

Skripte für Tastenanschlag-Protokollierung können Eingaben in Echtzeit aufzeichnen und erfassen, was jemand tippt, noch bevor er auf „Absenden“ klickt. Session-Replay-Tools können Mausbewegungen, Scrollverhalten und Klickmuster aufzeichnen, um genau zu rekonstruieren, was ein Nutzer während einer Sitzung getan hat. Kommunikationsabfangung kann auftreten, wenn Nachrichten, die über das interne System einer Plattform gesendet werden, vor Erreichen ihres Ziels eine Drittanbieter-Infrastruktur durchlaufen.

Nichts davon erfordert einen besonderen Zugriff auf ein Gerät. Es passiert innerhalb des Browsers, in der Plattform selbst. Herkömmliche Antivirensoftware schlägt hier nicht an. Kindersicherungen blockieren es nicht. Selbst datenschutzorientierte Browser-Erweiterungen erkennen es möglicherweise nicht, wenn die Skripte tief in den eigenen Code der Plattform integriert sind.

Deshalb sind Einwilligung und Offenlegung auf Vertragsebene – zwischen Schulen und Anbietern – so entscheidend. Wenn ein Schüler Naviance öffnet, ist die Daten-Pipeline bereits etabliert.

Was Familien gegen Edtech-Überwachung tun können

Der PowerSchool-Vergleich wird nicht der letzte seiner Art sein. Die Nutzung von Bildungstechnologie nimmt weiter zu, und die finanziellen Anreize, Verhaltensdaten zu monetarisieren, bleiben stark. Dennoch sind Familien nicht völlig ohne Handlungsmöglichkeiten.

Fragen Sie nach dem Dateninventar. Nach FERPA haben Eltern von Schülern unter 18 Jahren das Recht, Zugang zu Bildungsdaten zu verlangen. Schulen sollten auch in der Lage sein, eine Liste aller Drittanbieter vorzulegen, mit denen sie Schülerdaten teilen. Diese Liste anzufordern, signalisiert den Schulen, dass Familien aufmerksam sind.

Überprüfen Sie jährlich die Technologie-Richtlinien der Schule. Viele Bezirke aktualisieren ihre Richtlinien zur akzeptablen Nutzung und zum Datenschutz zu Beginn jedes Schuljahres. Diese Dokumente zu lesen, selbst nur in zusammengefasster Form, kann Aufschluss darüber geben, welche Plattformen verwendet werden und welche Datenpraktiken offengelegt werden.

Nutzen Sie, wo möglich, Schutzfunktionen auf Browser-Ebene. Auch wenn Familien sich von zugewiesenen Schulplattformen nicht immer abmelden können, können Schüler, die für die Schulaufgaben eigene Geräte nutzen, von datenschutzfreundlichen Browsern oder Erweiterungen profitieren, die die Ausführung von Drittanbieter-Skripten einschränken, sofern solche Tools die erforderliche Plattformfunktionalität nicht beeinträchtigen.

Treten Sie mit Schulbehörden und Verwaltungen in Kontakt. Der effektivste langfristige Schutz entsteht durch institutionelle Rechenschaftspflicht. Von Eltern initiierte Fragen auf Schulbeiratssitzungen zu Anbieterverträgen und Daten-Audits erzeugen Druck für stärkere Aufsicht.

Bleiben Sie über Edtech-Vorfälle informiert. Der PowerSchool-Fall und der ShinyHunters-Canvas-Vorfall sind Teil eines breiteren Musters. Zu verstehen, dass Datenschutzverletzungen und Überwachung von Schülern wiederkehrende Probleme und keine Einzelfälle sind, ist die Grundlage, um besseren Schutz einzufordern.

Der Vergleich in Höhe von 17,25 Millionen Dollar gegen PowerSchool ist ein bedeutendes Ergebnis, aber die eigentliche Bedeutung liegt darin, was er über gängige Branchenpraktiken offenbart. Wenn eine Plattform, die von Millionen Schülern fünf Jahre lang genutzt wurde, nicht offengelegte Tracking-Software einbetten konnte, dann ist die Frage, die sich stellt, nicht nur, was Naviance getan hat, sondern was andere Edtech-Plattformen vielleicht gerade jetzt tun. Familien, Pädagogen und politische Entscheidungsträger sind alle gleichermaßen gefragt, Antworten zu fordern – vor dem nächsten Vergleich, nicht erst danach.