BookCreator geht DS-GVO konform

Lesezeit: 2 Minuten

BookCreator ist eine Plattform zur einfachen Erstellung digitaler multimedialer Bücher und vor allem in der iPad Version verbreitet an Schulen. Seit letztem Jahr bietet BookCreator außerdem eine Webplattform für die plattformunabhängige Nutzung mit dem Chrome Browser an, welche die Funktionalitäten der App nahezu gleichwertig abbildet und dazu noch Echtzeit-Kollaboration zulässt. Wer BookCreator nur lokal auf einem iPad nutzt, braucht sich um die Datenschutz Grundverordnung kaum Gedanken machen, solange die Speicherung von Projekten nicht in der iCloud erfolgt1Die iCloud Synchronisation muss zusätzlich deaktiviert werden..

Anders sieht das aus, wenn man die Webplattform nutzt. An diese kann auch das App angebunden werden für den Export von Büchern. Bei der Nutzung der Online Version landen in der Regel personenbezogene Daten von Schülerinnen und Schülern wie auch Lehrkräften in der Cloud. Das ist datenschutzrechtlich nur zulässig, wenn dieses im Auftrag der Schule erfolgt und dafür ist der Abschluss eines Vertrags zur Auftragsverarbeitung (AV Vertrag) zwischen Schule und BookCreator erforderlich. Die Schule ist dabei Auftraggeber (Controller) und BookCreator Auftragnehmer (Processor) und damit weisungsgebunden gegenüber der Schule.

BookCreator nutzt als Online Speicher die Google Cloud in den USA. Google arbeitet hier als Auftragnehmer von BookCreator. Der Vertrag regelt unter anderem, wie in Verträgen dieser Art üblich, dass Google dabei kein Recht hat, die Daten einzusehen. Der AV Vertrag zwischen Schule und BookCreator sollte auch für Nutzer aus Europa kein Problem darstellen, da Google sich dem EU-US Privacy Shield Abkommen verpflichtet hat und zusätzliche EU Modell Vertrags Klauseln unterzeichnet hat.2Weitere Informationen unter <a href=“https://bookcreator.com/gdpr/“>GDPR Compliance</a> BookCreator ist in Großbritannien zu Hause und damit (noch) EU.

Den AV Vertrag kann man laden unter Book Creator Data Processing Addendum.PDF Der gesamte Vertrag ist in englischer Sprache gehalten und bereits unterzeichnet. Schulen müssen ihn nur noch gegenzeichnen und an BookCreator3Der Vertrag wird an folgende E-Mail Adresse geschickt: gdpr@bookcreator.com schicken, damit er gültig ist.

Wird das Angebot nicht vollkommen anonymisiert genutzt, was viele kreative Einschränkungen mit sich bringt, müssen von Schülern und Lehrkräften darüber hinaus Einwilligungen vorliegen für die Nutzung ihrer personenbezogenen Daten auf der BookCreator Plattform.

Für die Nutzung der Online Version über den Chrome Browser müssen Schüler über einen Google Account (in der Regel ein G-Suite for Education Account) oder ein Office 365 Konto verfügen. Auch für die schulische Nutzung dieser beiden Angebote ist übrigens ein AV Vertrag erforderlich.

Die datenschutzfreundlichste Möglichkeit, die online Version von BookCreator mit Schülern zu nutzen besteht darin, anstelle des Chrome Browsers den auf Chrome basierenden Brave Browser4Brave gibt es für alle Betriebssysteme, auch für iOS. zu nutzen, und für den Login der Schüler QR Code Login für diese zu erstellen.

BookCreator hat seinen Sitz in Großbritannien. Das wird Auswirkungen auf die datenschutzrechtlichen Voraussetzungen für die Nutzung der online Version haben. Bis zum Ende des Übergangszeitraum am 31. Dezember 2020 gilt in GB noch die DS-GVO. Danach gilt britisches Datenschutzrecht. Dieses soll deutliche Abweichungen von der DS-GVO haben. Ohne einen sogenannten Angemessenheitsbeschluss der EU können dann dort personenbezogene Daten von EU Bürgern nicht länger ohne zusätzliche Absicherungen DS-GVO konform verarbeitet werden. Für Schulen in der EU wird eine Nutzung der online Version von BookCreator mit personenbezogenen Daten von Schülern ab Januar 2021 damit nicht länger möglich sein. Bereits angelegte Schülerkonten müssen bis dahin gelöscht werden und Projekte, die personenbezogene Daten enthalten, sind zu exportieren und ebenfalls zu löschen. Sollten die Anbieter von BookCreator bis dahin ein DS-GVO konforme Lösung in Form von Servern anbieten, auf welchen die Daten von EU Nutzern verarbeitet und gespeichert werden können, müsste ein entsprechender Wechsel vollzogen werden.

Letzte Bearbeitung 2020-02-22

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.