WordPress zur Datensparsamkeit zwingen

Lesezeit: < 1 Minute

Momentan liest man an vielen Stellen von der Sorge, mit dem eigenen Blog oder der Schulhomepage nicht konform zur DS-GVO zu sein1Blogs und Schulhomepages für die DSGVO fit machen und damit womöglich Abmahnungen zu risikieren. Abgesehen davon, dass es ohnehin nicht so schlimm kommen wird, wie von vielen befürchtet, ist es trotzdem keine schlechte Idee, die eigene Webseite in Bezug auf die Erhebung von Nutzerdaten sparsamer zu machen.

Eine schöne Anleitung dazu findet sich unter anderem, bezogen auf das weitverbreitete WordPress, in dem Beitrag “Geschützte Daten – geschützter Webmaster” von Arne Paulsen.

Apple verkauft sich mit mehr Datenschutz

Lesezeit: < 1 Minute

Apple hat einen Bildungsevent in Chicago abgehalten, iOS wurde auf 11.3 aktualisiert und Mac OS auf 10.13.4. Datenschutz und das bevorstende Inkrafttreten der DS-GVO waren dabei ein Thema, das alle drei Ereignisse gemeinsam haben. Pünktlich zum Inkrafttreten sollen Datenschutz Features kommen, das Herunterladen der gespeicherten Daten wie das einfachere Deaktivieren eines Accounts beinhalten. In Mac OS wie iOS soll vom System darauf hingewiesen werden, wenn eine Apple Funktion Nutzerdaten erhebt. Gleichzeitig verpflichtet man sich Datensparsamkeit. Wo möglich will man die Verarbeitung von Daten on device durchführen und nicht in der Cloud.

Das klingt gut, ob es jedoch gerade in Schule ausreichend ist, die bestehenden Datenschutz Problematiken, welche mit der Nutzung von Apple Produkten im Unterricht verbunden sind, zu lösen, bleibt abzuwarten.

Wie sieht es bei einer Website mit dem Datenschutz aus?

Lesezeit: 2 Minuten

Mit der anstehenden Einführung der DSGVO kommt auch bei manchen bloggenden Lehrkräften große Unsicherheit auf. Kann man bestimmte Inhalte überhaupt noch einbinden, ohne gegen die datenschutzrechtlichen Vorgaben zu verstoßen? Liegt das Angebot in Europa oder auf einem US amerikanischen Server? Werden über den Embed/ iFrame Daten erhoben von den Besuchern meiner Webseite, auf die ich keinen Einfluss habe?

Manches lässt sich über die Datenschutzangaben auf der Webseite selbst ermitteln. Wenn das nicht weiterhilft, dann kann man sich selbst schlau machen.

Wie kann man Informationen über Webseiten bekommen?

Dafür gibt es diverse Tools, online und kostenlos. Sehr nützlich ist dafür eine Seite wie PingEU. Dort kann man diverse Abfragen machen.

  • Über eine Country-by-IP kann man ermitteln, in welchem Land der Server steht, auf dem die Website gehostet ist.
  • Über Traceroute lassen sich Informationen über den Weg zwischen eigenen Rechner und dem Webserver der Website ermitteln und dabei oft auch Informationen zum Server selbst.
  • Eine WHOIS Abfrage gibt Informationen über die Eigentümer der Webseite und den Hoster.
  • Einen sehr umfassenden Check über die Maßnahmen, welche eine Webseite zum Schutz der personenbezogenen Daten von Besuchern getroffen hat oder auch nicht liefert die schwedische Seite Webkkoll. Hier erfährt man, wo der Server vermutlich steht, ob die Verbindung sicher ist (SSL) und besonders wichtig, ob durch die Einbindung von Ressourcen aus Fremdquellen ein Risiko, für Sicherheit und Privatsphäre gegeben sein könnte. Das Angebot ist englischsprachig.

Wo ist das Problem mit der Integration von Inhalten über Embeds und Verlinkungen?

Wenn eine Website  über die Integration von Analysetools, Werbung, verlinkten Bildern und Grafiken, Youtube Videos, Embedds von Seiten wie Pinterest oder ähnlichen Diensten zulässt, dass jede Menge Daten von den Besuchern erhoben werden, dann könnte das mit der Einführung der DSGVO für den Betreiber der Webseite zu Problemen führen. Der Grund ist einfach. Besucher der Seite haben ein Recht darauf, über die Erhebung ihrer Daten informiert zu werden, möglichst bevor diese Daten erhoben werden. Bindet man Elemente einer fremden Website ein, hat man keinerlei Kontrolle über die Erhebung von Daten durch Dritte.

Welche Lösungen sind denkbar?

  1. Man verzichtet auf alle Embeds, die man nicht einschätzen kann und die dadurch ein Risiko für Sicherheit und Datenschutz darstellen könnten.
  2. Man erstellt eine Startseite, die nicht mehr enthält als Informationen über die auf der eigentlichen Website eingebetten externen Inhalte und die möglichen Risiken. Mit dem Anklicken eines Links zur eigentlichen Website erklärt sich der Besucher mit der Datenerhebung durch Dritte einverstanden. Die Datenschutzerklärung wird entsprechend angepasst. Außerdem muss die Website so eingestellt werden, dass Besucher, die über einen Link von außen kommen oder über eine Suchmaschine, zunächst einen Screen sehen mit den Informationen wie auf der Startseite, den die anklicken müssen, bevor sie die Website sehen.

Das ist alles recht umständlich und für den Betreiber des Blogs nicht schön. Man wird abwarten müssen, wie sich die Sache nach dem 25. Mai 2018 entwickelt.

Apple iWork kann Kollaboration – Datenschutz?

Lesezeit: 2 Minuten

Kollaboration, die in Echtzeit abläuft, setzt immer einen Abgleich zwischen den verschiedenen Nutzern voraus, die an einem Produkt arbeiten. Dafür gibt es eine zentrale Instanz, die für den Abgleich und die Versionsverwaltung sorgt. Diese liegt in der Regel in einer Cloud. Sie sorgt dafür, dass jeder, der an einem gemeinsamen Produkt arbeitet, den gleichen Arbeitsstand hat.

Am 27.03.2018 hat Apple nun für sein iWork (Pages, Numbers, and Keynote) neue Funktionen vorgestellt. Dazu gehört auch eine Echtzeitkollaboration über die Apps. Diese läuft über Apples iCloud, ist jedoch auch über den Anbieter Box möglich.  Letzteres ist ein Dienst, der an US Schulen häufig genutzt wird, vermutlich da der kostenlose Speicherplatz in iCloud für Schulen bisher sehr begrenzt war, der Anbieter günstiger ist und außer Apple auch Office 365 und G-Suite unterstützt.

Die neue Kollaborationsfunktion, ist definitiv sehr nützlich und für zeitgemäßes Lernen gewinnbringend. Was aber ist mit dem Datenschutz? Die Zusammenarbeit in Pages, Numbers und Keynote setzt Apple IDs und iCloud voraus. Damit ergibt sich jedoch ein Problem. Bisher ist die Nutzung von iCloud mit personenbezogenen Daten, auch wenn Apple sogar eine Datenverarbeitung im Auftrag anbietet und die Einhaltung aller möglicher Standards anführt, in Deutschland nicht datenschutzkonform möglich (siehe FAQ RLP).

Hier könnte unter Umständen Box.com ins Spiel kommen, denn dieser Anbieter bietet anders als Apple zwei Serverstandorte in Deutschland (Frankfurt, Magdeburg) an, und ist sogar vom TÜV Rheinland zertifiziert. Entscheidend wird für Schulen neben der Einhaltung datenschutzrechtlicher Vorgaben (z.B. Treuhandmodell?) jedoch auch der Preis sein.

Was bedeutet das nun für die schulische Praxis?

Da die neue Kollaborationsfunktion von iWork nur mit iCloud (oder Box) genutzt werden kann, muss für eine datenschutzkonforme Nutzung eine der beiden folgenden Bedingungen erfüllt sein:

  • die Schule arbeitet ohne personenbezogene Daten (z.B. mit pseudonymisierten Apple IDs) und regelt über die Benutzerordnung, dass auch bei der Arbeit mit iWork keinerlei personenbezogene Daten von den Schülern genutzt werden, oder
  • die Schule arbeitet mit  personenbezogenen Daten (z.B. Klarnamen für die Apple IDs) und die Nutzer haben ihre Einwilligung dazu gegeben und es besteht mit Apple (oder eventuell Box) ein Vertrag zur Datenverarbeitung im Auftrag.

Bevor beurteilt werden kann, ob Box.com für die Nutzung der Kollaborationsfunktion von  iWork genutzt werden kann, muss zunächst geklärt werden, ob dieses tatsächlich datenschhutzkonform möglich ist.

Datenschutz wird auch für Schulwebseiten durch die DSGVO wieder ein Thema

Lesezeit: 2 Minuten

Der 25. Mai 2018 rückt näher und damit auch der Termin, mit welchem sich in Bezug auf das Thema Datenschutz und Schulhomepage noch einmal ein paar Dinge etwas verändern.

Schon jetzt waren die Betreiber von Schulhomepages gehalten, ein Impressum zu führen. Auch zu einer Datenschutzerklärung war von verschiedenen Stellen geraten worden. Mit der Europäischen Datenschutz Grundverordnung (DSGVO) werden diese Dinge nun Pflicht. Fehlen Impressum und Datenschutzerklärung können Schulen nicht nur potentielle Opfer von Abmahnern werden, sondern geraten auch in Gefahr, von Besuchern der Webseite wegen Verletzung des Datenschutzes angezeigt zu werden.

Nach der DSGVO hat jederman das Recht, über die Erhebung und Verarbeitung von Daten aufgeklärt zu werden (siehe Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person). Der Betrieb von Webseiten ist fast immer mit der Erhebung und Verarbeitung von Daten der Besucher verbunden.

Bei der Abgabe eines Kommentars werden eventuell Nutzername, E-Mail Adresse und IP Nummer gespeichert. IP Nummern werden auch abgespeichert, wenn eine Webseite Tools benutzt, um Zugriffsstatistiken zu erstellen, z.B. Google Analytics. Dabei landen Nutzerdaten nicht nur in der Datenbank der Webseite, sondern eben auch bei Dritten, etwa Google.

Die Integration von Facebook Like Buttons, Teilen auf Twitter und ähnliche Social Media Share Funktionalitäten funktionieren, indem sie Daten der Webseitenbesucher erheben.

Das Abonnement von E-Mail Benachrichtigungen über neue Blogeinträge und ähnlich sind mit der Erhebung von Nutzerdaten verbunden.

Mit der DSGVO ist dieses nicht plötzlich verboten. Man kann es weiterhin nutzen, muss die Nutzer jedoch darüber aufklären und ihre Einwilligung einholen. Dieses kann z.B. durch das Setzen eines zusätzlichen Hakens erfolgen.

Aktuell findet man zahlreiche Hinweise, worauf man als Webseitenbetreiber achten muss und wie man die neuen Vorgaben der DSGVO erfüllen kann. Zwei davon möchte ich hier empfehlen.

Windows 10 in der Schule

Lesezeit: < 1 Minute

Windows 10 ist aus sicht des Datenschutzes nicht unbedenklich. Trotz vollständiger Abschaltung von Online-Services verschickt das Betriebssystem weiterhin Datensätze an Microsoft. Da diese verschlüsselt sind, ist ihr Inhalt unklar. Aktuell ist Windows 10 nur in wenigen Behörden im Einsatz. In Schulen dürfte gegewärtig vor allem Windows 7 im Einsatz sein. Dessen Zeit wird jedoch irgendwann ablaufen. Dann bleibt nur noch der Einsatz von Windows 10. Laut Heise beschäftigt sich die Datenschutzkonferenz der deutschen Aufsichtsbehörden mit der Problematik.

Zum Einsatz von Windows 10 an Schulen gibt es bereits seit längerem eine eigene Arbeitsgruppe der Datenschutzkonferenz. Brink: “Derzeit liegen uns noch nicht alle Stellungnahmen, insbesondere des BSI vor.”

Quelle: https://m.heise.de/newsticker/meldung/Landes-Datenschutzaufsicht-Microsoft-muss-Datenuebertragung-in-Windows-10-abschalten-4003291.html

Wenn Schülerdaten auf dem Sperrmüll landen

Lesezeit: 2 Minuten

Lehrkräfte verarbeiten seit vielen Jahren persönliche Daten von Schülerinnen und Schülern auf ihren privaten Endgeräten. Kaum einer hat sich da viele Gedanken gemacht. An vielen Schulen lief das ohne eine spezielle Genehmigung durch die Schulleitung ab. Entsprechend waren viele Lehrkräfte auch nicht sensibilisiert für das Thema Datenschutz.

Was passieren kann, wenn eine Lehrkraft den Datenschutz vernachlässigt, zeigte vor einigen Jahren exemplarisch ein Fall in Köln. Hier hatte ein Mann auf dem Trödelmarkt eine gebrauchte Festplatte für drei Euro gekauft. Zu Hause fand er auf der Festplatte Zeugnisse, Gutachten zur Feststellung des sonderpädagogischen Förderbedarfs und Klassenfotos von Schülern einer Grundschule aus einer Nachbarkommune. Im Falle eines solchen Gutachtens von 2009 fanden sich dabei auch Namen, Adresse und Telefonnummer der Eltern.

Wie war es dazu gekommen? Der Ehemann einer Grundschullehrerin hatte den alten PC entsorgen wollen und in den Sperrmüll gegeben. Daran, dass noch Daten auf dem Rechner sein könnten, hatte er nicht gedacht.

Aus Sicht des Datenschutzes ist dieser Fall in mehrfacher Hinsicht problematisch.

  1. Die Grundschullehrerin hätte Fördergutachten mit persönlichen Daten niemals auf ihrem privaten Endgerät verarbeiten dürfen. Das widerspricht den datenschutzrechtlichen Vorgaben in NRW (Siehe VO-DV I).
  2. Auch Adressdaten durften 2009 nicht auf privaten Endgeräten verarbeitet werden.
  3. Die Daten sind durch Unachtsamkeit in fremde Hände gelangt und hätten im Prinzip überall landen können, um später wieder aufzutauchen und möglicherweise zu Problemen führen können für Betroffene.
  4. Auch die Fotos waren vermutlich ohne Einwilligung und Genehmigung auf dem privaten Rechner gespeichert.

Wie hätte man richtig gehandelt?

  1. Das Fördergutachten hätte ohne persönliche Daten verfasst werden müssen, um es dann in der Schule an einem Verwaltungsrechner mit den persönlichen Daten zu ergänzen.
  2. Vor der Entsorgung hätte die Festplatte des PC datenschutzgerecht gelöscht werden müssen. Alternativ hätte man sie ausbauen können, um sie zu verwahren.

Sollten Betroffene sich in dem Zeitungsbericht von 2015 erkannt haben, wäre eine Klage wegen Verletzung des Rechts auf informationelle Selbstbestimmung möglich. Die Strafen könnten dabei recht hoch ausfallen für die Lehrerin. Unter Umständen könnte so ein Fall auch rechtliche Konsequenzen für die Schulleitung nach sich ziehen.

Quelle: Datenschutz Schülerdaten für drei Euro vom Trödel gekauft, KSA, 05.08.2015

LDI NRW spricht sich gegen die Genehmigung der Verarbeitung schulischer Daten auf privaten Endgeräten von Lehrkräften aus

Lesezeit: < 1 Minute

Aktuell ist die Verunsicherung unter Lehrkräften und Schulleitungen in NRW groß, was die mit der Dienstanweisung vom 19.01.2018 verbindlich eingeführte Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken
auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II 
 angeht. Jetzt hat sich auch die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI), Helga Bock, eindeutig zu dieser Genehmigung positioniert.

Helga Bock, die Datenschutzbeauftragte, stellte gegenüber dieser Redaktion klar, dass die Schulleitungen dafür verantwortlich seien, dass sensible Informationen über Schüler geschützt sind. Weil aber die Risiken bei privaten Lehrer-Computern sehr groß seien, könnten die Schulleitungen gar nicht alle Sicherheitsaspekte überschauen und dürften daher die Nutzung nicht genehmigen.

Entsprechend gibt es für sie nur eine Lösung. Sie wird mit den Worten zitiert:

“Dienstliche Geräte zur ausschließlich dienstlichen Nutzung bereitstellen.”

Quelle: Westfalenpost, 22.03.2018