Schulische Nutzung von KI Plattformen

Lesezeit: 9 Minuten

Im November 2022 ging OpenAI mit seinem generativen Sprachmodell ChatGPT an die Öffentlichkeit. Mehr als ein Jahr ist seither vergangen und die Entwicklung der “KI Plattformen” ist rasant fortgeschritten. ChatGPT und vergleichbare Plattformen wie Google Bard oder Claude von Anthropic haben sich weiterentwickelt, sind leistungsstärker geworden und haben neue Funktionen erhalten. Neben den großen Sprachmodellen (LLM), den textgenerierenden KI, entstanden auch bildgenerierende KI wie DALL-E von OpenAI oder Midjouney und Stable Diffusion. Aus einigen textgenerierenden KI wurden im Laufe der Monate so multimodale KI, Plattformen, die nicht nur textbasierte Inhalte erstellen können, sondern auch Bilder, Videos, Musik und Sprache, und neben Prompts im Textformat, auch Eingaben in Form von Bildern, Sprache, Ton und Video verarbeiten. Ergänzend zu API Schnittstellen haben Anbieter wie OpenAI neue Möglichkeiten geschaffen, die Funktionen ihrer Plattformen zu nutzen. Bei OpenAI ist das beispielsweise die Möglichkeit, eigene GPTs zu erstellen und anderen Nutzern zur Verfügung zu stellen. Einige dieser GPT integrieren dazu externe Dienste anderer Anbieter. Schon bevor es diese Möglichkeit gab nutzten zahlreiche Drittanbieter die API Schnittstellen der großen Anbieter, um darauf aufbauend eigene Produkte zu entwickeln. Die Palette reicht hier von Microsoft, wo ChatGPT und andere OpenAI KI Plattformen in eigene Produkte wie Microsoft  365 und Bing integriert wurden, über Apps für Mobilgeräte mit KI Funktionen bis zu Anbietern im Bildungsbereich, welche KI Funktionalitäten für Lehrkräfte und Schüler entwickelten Plattformen bereitstellen. Neben Anbietern, die auf die großen KI Plattformen der großen Anbieter setzen, kommen auch immer mehr Angebote auf den Markt, welche auf eigene KI Plattformen oder die Open Source Plattformen anderer Akteure setzen. Ergänzt werden diese Entwicklungen durch Anwendungen und spezialisierte Chips, die es ermöglichen, KI Plattformen jeglicher Art lokal auf Computern und digitalen Endgeräten wie Smartphones laufen zu lassen.

Schüler wie auch Lehrkräfte erkannten schon im November 2022 die Möglichkeiten, welche eine KI Plattform für die eigene Arbeit bringen kann, sei es für die Anfertigung von Hausaufgaben oder die Vorbereitung von Unterricht. Schnell war den am Bildungsprozess beteiligten Akteuren klar, dass Schule sich vor KI Plattformen nicht verschließen kann, sowohl mit Blick auf Medienerziehung wie auch als Werkzeug im Unterricht. Das Ministerium für Schule und Bildung (MSB) veröffentlichte nur drei Monate später im Februar 2023 seinen Handungsleitfaden Umgang mit textgenerierenden KI-Systemen. Andere Bundesländer folgten. Neben den Möglichkeiten zur unterrichtlichen Nutzung standen und stehen bei allen Handreichungen immer auch zwei rechtliche Aspekte im Fokus, Urheberrecht und Datenschutz.

ChatGPT, momentan im Zentrum aller Aufmerksamkeit und vermutlich der bislang meistgenutzte Anbieter, stand eine Zeit lang im Fokus der Aufsichtsbehörden. Italien verbot OpenAI gar die Bereitstellung seines Dienstes für Nutzer in Italien, bevor nicht einige Mängel abgestellt worden sind. Es ging u.a. um die Aufklärung italienischer Nutzer, dass ihre Daten möglicherweise zu Trainingszwecken verwendet und sachlich falsch von ChatGPT wiedergegeben werden könnten. Auch deutsche Aufsichtsbehörden wandten sich wiederholt mit Fragenkatalogen an den US Anbieter. ChatGPT ist in Italien wieder verfügbar und deutsche Aufsichtsbehörden kamen bisher nicht zu dem Schluss, zu vergleichbaren drastischen Maßnahmen greifen zu müssen. Auf Schulen hatte all das ohnehin keine Auswirkung. Auch eine Änderung der Geschäftsbedingungen von OpenAI bezüglich der Nutzung der KI Dienste via API im Januar wirkte sich nicht auf die Nutzung in Schulen aus. Der Anbieter hatte seine Nutzungsbedingungen im November 2023 um eine Passage ergänzt, die Drittanbieter verpflichten soll, von den Eltern von Schülerinnen und Schülern unter 16 Jahren vor Nutzung eine Einwilligung einzuholen. Vom Landesdatenschutzbeauftragte von Rheinland-Pfalz, Dieter Kugelmann, kam hier Entwarnung. Nach seiner Einschätzung ist eine Zustimmung von Eltern minderjähriger Schülerinnen und Schülern nicht erforderlich. 

Mit der Entwicklung der textgenerierenden KI hin zu multimodalen KI mit neuen Ein- und Ausgabeformaten haben sich auch neue datenschutzrechtliche Herausforderungen ergeben. Wie sich im Verlauf der weiteren Betrachtungen zeigen wird, hat sich an den bisherigen Empfehlungen zu einer datenschutzfreundlichen schulischen Nutzung von KI Plattformen nichts wesentlich verändert. Ergänzt werden müssen die Empfehlungen jedoch vor allem mit Blick auf neue Eingabeformate, das meint hier vor allem Prompts in Form von Bild und Ton, also Spracheingaben sowie Fotos und Videos als Eingaben.

Beschränkt auf textgenerierende KI wie ChatGPT und die Eingabe von Prompts ausschließlich in Form von digitalem Text, konnten bisher als datenschutzfreundlich folgende Nutzungsszenarien empfohlen werden:

  • Die Lehrkraft hat einen privaten Zugang, kostenlos oder kostenpflichtig, und nimmt die Prompts der Lerngruppe an, gibt sie selbst ein und teilt die Ergebnisse mit der Lerngruppe. Für Schülerinnen und Schüler bestehen keine Risiken, da sie nicht direkt mit der Plattform interagieren.
  • Die Lehrkraft verfügt über einen Drittanbieterzugang, der von der Schule/ dem Träger/ Bundesland/ Medienzentrum bereitgestellt wird, und die Schule hat einen Vertrag zur Auftragsverarbeitung (AVV) mit dem Anbieter abgeschlossen. Über den Drittanbieterzugang kann die Lehrkraft anonyme Schülerzugänge erstellen. Für Schülerinnen und Schüler entstehen bei Einhaltung zuvor festgelegter Spielregeln keine Risiken bei einer Interaktion mit der Plattform.
  • Die Schule hat einen eigenen Zugang, API Schlüssel und AVV mit dem Anbieter abgeschlossen und erstellt mit Oberstufenschülern eine eigene Plattform zur Nutzung der KI via API. Sind die Spielregeln klar, ist eine Nutzung mit älteren Schülerinnen und Schülern ab 16 Jahren möglich. Die Risiken sind begrenzt.
  • Die Schule hat lokal als App auf Computern oder Tablets laufende KI Anwendungen. Eine Nutzung ist für Schülerinnen und Schüler ohne Risiken möglich, da keine Daten an Dritte abfließen. Trotzdem sollte es zuvor abgesprochene Spielregeln geben.

Risiken für Nutzer von KI Plattformen von Anbietern wie OpenAI, Microsoft, Google, Anthropic usw. ergeben sich vor allem aus den Inhalten von Prompts, wenn diese einen Personenbezug herstellen lassen. In Kombination mit einem individuellen Nutzerkonto beim KI Anbieter nehmen die Risiken noch einmal deutlich zu.  Weitere Risiken können sich prinzipiell aus den Metadaten wie Gerätekennungen, Standortdaten, Cookies und Trackern ergeben, die es erlauben, einen Nutzer zu identifizieren. Werden Dateien wie Bild- und Tonaufnahmen  zu Bestandteilen von Prompts, können mit diesen zusätzliche Metadaten übermittelt werden. Fotos und Videos, die Personen abbilden oder Spracheingaben enthalten weitere Daten, die einen Personenbezug herstellen lassen, wenn sie an die Anbieter der KI Plattformen übermittelt werden.

Auch wenn die großen US Anbieter in ihren Datenschutzerklärungen, Geschäftsbedingungen und Verträgen zur Auftragsverarbeitung mittlerweile ausschließen, von Nutzern eingegebene Prompts und andere Daten zu Trainingszwecken zu verwenden, bleibt die Übermittlung von personenbezogenen oder -beziehbaren Daten auf die Server von US Anbietern problematisch und ist im Rahmen unterrichtlichen Nutzung von KI Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags von Schulen nicht vertretbar.

Bei einer Nutzung via API über einen Drittanbieter reduzieren sich mögliche Risiken aus der Interaktion von Nutzer mit einer KI Plattform deutlich. Das individuelle Nutzerkonto und Metadaten der Geräte, mit welchen der Zugriff erfolgt, entfallen und erlauben es den KI Anbietern nicht, darüber den Bezug zu einer identifizierbaren Person herzustellen. Risiken könnten jetzt nur noch entstehen, wenn Prompts persönliche oder auf eine Person beziehbare Informationen enthalten. Diese Informationen können Teil von eingegebenen Texten wie auch von Bild- und Tondaten sein, bei Stimmeingaben die Stimme selbst und bei Prompts in Form von Bild- und Tonmedien die mit ihnen verbundenen Metadaten. Welche Risiken sich im Einzelnen ergeben können, hängt jeweils vom KI Plattform Anbieter ab, der Ausgestaltung der API und der Art und Weise, wie bzw. in welcher Form der Drittanbieter die Daten der Prompts an den Plattformanbieter übermittelt. Werden die Daten beim Drittanbieter bereits aufbereitet, wie dieses bei Prompts in Form von Texteingaben in der Regel der Fall ist, oder werden die Inhalte der Prompts wie im Fall von Bilddateien  weitestgehend unverändert auf die Server des Plattformanbieters übertragen, wo dann die KI Anwendung mit ihnen interagiert?

Im Tätigkeitsbericht der Aufsichtsbehörde Baden Württemberg für 2023 findet sich auch ein kurzer Bericht zu einer Beratungstätigkeit, deren Gegenstand ein in der Entwicklung befindliches Moodle-Modul fAIrchat war. Dieses Modul nutzt ChatGPT von OpenAI über die vom Anbieter bereitgestellte API und zu den dazu gehörenden Terms of Use, die zusichern, dass Nutzerdaten nicht zu Weiterentwicklung oder Verbesserung von ChatGPT verwendet werden. Metadaten der einzelnen Nutzer werden durch den Zugriff auf ChatGPT über die API nicht an den Anbieter übermittelt. Eine Nutzungsordnung für fAIrchat untersagt Nutzern die Eingabe von personenbezogenen Daten. Ein individuelles Konto beim KI Anbieter gibt es nicht. Außerdem gibt fAIrchat Lehrkräften die Möglichkeit, Eingaben der Lernenden nachträglich einzusehen. Die Aufsichtsbehörde kommt zu dem Schluss  „Sofern zusätzlich die jeweilige Lehrkraft die Schüler_innen auch ausdrücklich und für sie verständlich darüber aufklärt, dass sie keine personenbezogenen Daten in das System eingeben dürfen, und die Lehrkraft die Eingaben der Schüler_innen nachträglich überprüfen kann, die nachträgliche Kontrolle durch die Lehrkraft auch tatsächlich risikoangemessen zumindest stichprobenhaft erfolgt, scheint uns unter diesen Voraussetzungen eine Verwendung dieser KI im Rahmen des Unterrichts datenschutzrechtlich vertretbar.1Eltern müssen einer schulischen Anwendung von Künstlicher Intelligenz nicht zustimmen. Das gilt auch für minderjährige Schüler. So sieht das jedenfalls der Datenschutzbeauftragte von Rheinland-Pfalz, Dieter Kugelmann. Der Datenschützer mischt sich damit in eine Diskussion um die Nutzung von ChatGPT über Dritt-Accounts durch Lehrkräfte und Schüler ein. Eine Änderung der „terms of business“ von OpenAI für Drittanbieter hatte verlangt, dass bei der Nutzung durch Minderjährige die Eltern zustimmen müssen. (Table.Media berichtete)

Das bedeutet, sind die folgende Bedingungen erfüllt:

  • Nutzung durch Schülerinnen und Schülern via API entsprechend den Terms of Use,
  • Nutzungsordnung, welche die Verwendung von personenbezogenen Daten untersagt,
  • Aufklärung der Schülerinnen und Schülern über die Nutzungsregel – keine Eingabe von personenbezogenen Daten,
  • Möglichkeit der stichprobenhaften nachträglichen Kontrolle von Eingaben durch die Lehrkraft und tatsächliche Umsetzung dieser Maßnahme durch die Lehrkräfte,

sieht man von Seiten der Aufsichtsbehörde keine datenschutzrechtlichen Probleme bei einer unterrichtlichen Nutzung. 

Das lässt sich auch auf die unterrichtliche Nutzung multimodaler KI Plattformen via API und Drittanbieter übertragen. Es müssen hierzu allerdings vergleichbare Bedingungen hergestellt werden. 

Fotos und Bilder als Bestandteile von Prompts

  • Selbst angefertigten Fotos hängen in der Regel neben GPS Daten auch Gerätedaten als Metadaten an, über die Nutzer potentiell immer identifizierbar sind, sofern es sich dabei um private Endgeräte handelt. Um die Übertragung dieser Daten zu vermeiden, sollten selbst angefertigte Fotos für Prompts immer nur mit schulischen Endgeräten aufgenommen werden. Gleiches gilt, wenn Zeichnungen angefertigt werden, die einer bildgenerierenden KI Plattform als Vorlage für eine Ausarbeitung dienen sollen. 
  • Soll ein auf einem privaten Endgerät angefertigtes Foto oder Bild für einen Prompt genutzt werden, muss es über eine entsprechende Software/ App von den Metadaten befreit werden. Ist dies nicht möglich, ist eine Verwendung für einen Prompt nicht zu empfehlen.
  • Analog zu Texteingaben dürfen Prompts in Form von Fotos oder Zeichnungen und ähnlich keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden. Dabei ist es unerheblich, ob diese Fotos oder Zeichnungen speziell für einen Prompt angefertigt werden oder aus anderen Quellen stammen. 
  • Die Eingabe von Fotos mit handschriftlich bearbeiteten Aufgaben, etwa Aufsätzen oder Rechenaufgaben, sollte keine Risiken für Schülerinnen und Schüler erzeugen, solange die abfotografierten Blätter keine Daten wie Namen und Klasse enthalten, welche, eine Identifizierung ermöglichen. Die Identifizierung einer Person über ihre Handschrift setzt voraus, dass andere Handschriftproben öffentlich abrufbar online vorliegen und dort mit weiteren die Person identifizierenden Daten verknüpft ist. Bei Kindern und Jugendlichen ist das sehr unwahrscheinlich.

Videos als Bestandteile von Prompts

  • Werden Videos auf privaten Endgeräten angefertigt, bestehen durch die mit ihnen verbundenen Metadaten bei einer Nutzung für Prompts die gleichen Probleme wie bei Fotos und Bildern. Entsprechend sollten auch hier neutrale Schulgeräte für die Anfertigung genutzt werden.
  • Für die Inhalte von Videos gelten die gleichen Vorgaben wie für Fotos und Bilder. Sie dürfen keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden, egal ob sie speziell für einen Prompt angefertigt wurden oder aus einer anderen Quelle stammen. Videos dürfen auch keine Inhalte zum Gegenstand haben, welche es ermöglichen, die genannten Personen zu identifizieren.

Tonaufnahmen als Bestandteile von Prompts

  • Bei Tonaufnahmen über private Endgeräte besteht unabhängig vom Inhalt der Aufnahme auch hier das Problem der Metadaten. Welche dieses sind, hängt vom Endgerät, der genutzten App und vom Betriebssystem ab. Um Risiken zu vermeiden, sollten auch sie nicht über Prompts übermittelt werden.
  • Enthalten die Tonaufnahmen Stimmen, so lassen sich darüber Personen potentiell identifizieren. Wie bei Fotos, Bildern und Videos dürfen Tonaufnahmen keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden und auch keine Inhalte haben, welche es erlauben, diese Personen zu identifizieren, egal ob sie speziell für einen Prompt angefertigt wurden oder aus einer anderen Quelle stammen.
  • Direkte Spracheingaben von Prompts durch Nutzer sollten nur dann erfolgen, wenn der Drittanbieter die Umwandlung von Sprache zu Text auf eigenen Servern vornimmt. Das ist möglich, da Whisper AI, die Plattform von OpenAI, als Open Source Lösung auch selbst betrieben werden kann. Da die Anwendung sehr rechenintensiv ist, nutzen nicht alle Drittanbieter diese Möglichkeit. Es reicht nicht, wenn Drittanbieter die Sprachaufnahmen auf eigenen Servern speichern und dann zur Transkription an den KI Plattformanbieter übermitteln. Schülerinnen und Schüler, welche die Spracheingabe nutzen wollen oder müssen, sollten stattdessen die Diktierfunktion des Endgerätes nutzen. 

Die Regeln für die Eingabe von Prompts in Form von Fotos, Bildern, Videos und Ton sollten in einer Nutzungsordnung festgehalten werden und Schülerinnen und Schüler müssen darüber aufgeklärt sein. Lehrkräfte sollten die Möglichkeit haben, die Prompts ihrer Schülerinnen und Schüler stichprobenhaft zu kontrollieren und diese Möglichkeit auch nutzen. Für Drittanbieter aus Deutschland, welche die beschriebenen Voraussetzungen erfüllen, sind beispielhaft Fobizz und SchulKI zu nennen. Beide lassen sich entsprechend datenschutzfreundlich nutzen und bieten die für Schulen wichtigen Verträge zur Auftragsverarbeitung an. Bei Fobizz ist es zusätzlich möglich, in den Einstellungen zwischen verschiedenen KI Plattformanbietern zu wählen. Das heißt, wer ChatGPT nicht nutzen möchte, kann auf Alternativen wechseln, darunter auch EU Anbieter. Einige Bundesländer haben bei den Anbietern Landeslizenzen erworben.

Schulen in NRW sollte außerdem beachten, dass die Verarbeitung von Bild- und Tonaufnahmen durch die Schule nach der aktuellen Rechtslage einer Einwilligung bedarf. Sollen sie als Prompts verwendet werden (100% EU Anbieter, lokal laufende KI App), ist ein entsprechender Verarbeitungszweck in der Einwilligung anzugeben.

Nutzung durch Lehrkräfte

KI Plattformen sind nicht nur für den Unterricht von Interesse, sondern auch für die Vor- und Nachbereitung von Unterricht. Während die Erstellung von Unterrichtsmaterialien mittels KI in der Regel unproblematisch ist, da es hier zumeist nicht um personenbezogene Daten geht, können diese bei der Nachbereitung von Unterricht durchaus relevant sein.

Soll eine KI Plattform genutzt werden, um individuelles Feedback zu Schülerarbeiten zu erstellen oder um sie für eine Bewertung analysieren zu lassen, ist es erforderlich, die Schülerarbeiten als Prompt in die Anwendung zu laden. Es gelten hier für Lehrkräfte letztlich die gleichen Spielregeln, die auch für Schülerinnen und Schüler gelten. Solange die Prompts keine personenbezogenen oder -beziehbaren Daten enthalten, ob direkt als Inhalt oder in Form von Metadaten, entstehen bei einer Nutzung als Bestandteile von Prompts keine Risiken für Betroffene. Für die Eingabe von Sprachaufnahmen, etwa zur Auswertung von durch Schülerinnen und Schüler erstellte Podasts oder anderen gesprochenen Lernprodukten, gelten die bereits beschriebenen Einschränkungen. Auch die Erstellung von auf einzelne Lernende zugeschnittenen individuellen Unterrichtsmaterialien ist unproblematisch, solange dazu keine personenbezogenen Daten in Prompts eingegeben werden. Hier reicht in der Regel der Verzicht auf Namen und weitere biographische Daten, um mögliche Risiken auszuschließen.

Perspektiven schulischer KI Nutzung

Verglichen mit den ersten Monaten nachdem OpenAI mit ChatGPT die KI Welle losgetreten hatte, haben sich die Bedingungen für eine schulische Nutzung eindeutig verbessert und tendenziell werden die Bedingungen mit den ersten sich am Markt etablierenden ernstzunehmenden europäischen Anbietern mit eigenen KI Modellen und Plattformen sogar noch besser. Auch wenn die KI Plattformen von US Anbietern durch die vermittelnden Dienste von Drittanbietern mittlerweile datenschutzfreundlich nutzbar sind, ist die unterrichtliche Nutzung mit deutlichen Einschränkungen verbunden. Persönliche Inhalte müssen außen vor bleiben. Die Optimierung eines Lebenslaufes oder das Verfremden eines Portraits ist so unter keinen Umständen möglich. Schülerinnen und Schüler müssen wissen, warum das so ist, die Risiken kennen und sich an die vereinbarten Spielregeln halten. Mit europäischen Anbietern, die einen Vertrag zur Auftragsverarbeitung anbieten und bezüglich ihres Modells ausreichende Transparenz herstellen, sollten diese Grenzen in Zukunft fallen. Perspektivisch werden es auch die Plattformen dieser Anbieter sein, welche dauerhafter Bestandteil von schulischen Landesplattformen sind. Die voranschreitende Optimierung von KI Anwendungen und die gleichzeitige Entwicklung von immer leistungsfähigeren Prozessoren sowohl für stationäre wie auch mobile Endgeräte erlaubt es zunehmend, diese KI Anwendungen als Apps lokal laufen zu lassen. Auch das wird für Schulen neue Möglichkeiten bieten, da in Prompts eingegebene Daten dann die Schule nie verlassen, sondern auf den Endgeräten gespeichert werden.

Edpuzzle – Videos mit Interaktivität versehen (Quick-Check)

Lesezeit: 5 Minuten
Hinweis! Es handelt sich hier um einen Quick-Check, der nicht ganz so umfangreich ist, wie die anderen. Bei Zeit und Gelegenheit werde ich das eventuell zu einem normalen Datenschutz Check erweitern. Sie sollten hier jedoch auch schon ausreichend Informationen über mögliche Risiken bei einer Nutzung finden, die es Ihnen erlauben, sich eine eigene Meinung zu bilden.

Stand: 2020-09-15

Art von Plattform: Videos mit Interaktivitäten verbinden. Lehrer können die Interaktivitäten von Schülern mit Videos und die Antworten in Quizzen einsehen und für sich auswerten.

URL: https://edpuzzle.com/

Anbieter: Edpuzzle, San Francisco, California, United States

Monetarisierung: Freemium Modell. Es gibt kostenlose Konten mit Speicherbegrenzung (Mehr Infos unter Free vs Pro und Pricing). Die Firma wurde laut Crunchbase 2014 und 2016 über Investitionskapital finanziert.

Datenschutzerklärung: Die Datenschutzerklärung findet sich in einfacher Form unter Privacy und in ausführlicher Form unter Privacy Für einen Datenschutzbeauftragten ist eine spanische Adresse angegeben.
EDpuzzle, Inc.
Av. Pau Casals 16, Ppal. 2B
Barcelona, Spain 08021

In der Datenschutzerklärung sind verschiedene für Bildungsseiten wichtige rechtliche Vorgaben (COPPA, FERMPA, CSPC, Student Privacy Pledge) aufgeführt und wie man diese einhält.

Bezüglich der EU wird einmal auf den EU-US Privacy Shield verwiesen, der mittlerweile jedoch obsolet ist, und dann auf das Mindestalter von 16 Jahren. Hingewiesen wird außerdem, dass in Deutschland eine Einwilligung der Eltern erforderlich ist, solange Schüler unter 16 Jahren alt sind und die Schule Verantwortlicher ist.

Ob ein Data Processing Addendum, welches dann eventuell die Standard Vertragsklauseln enthält, für Schulen verfügbar ist, ist aus den Informationen auf der Seite nicht ersichtlich. Da ein solches auch bei den recht ausführlichen Informationen zur Datenverarbeitung und den FAQ nicht erwähnt ist, muss davon ausgegangen werden, dass ein solches nicht erhältlich ist.

Edpuzzle selbst gibt an, “Edpuzzle does not use any kind of tracking technology to track its users over time and across third party websites to provide any kind of targeted advertising.” – “Edpuzzle verwendet keine Art von Tracking-Technologie, um seine Benutzer im Laufe der Zeit und über Websites Dritter hinweg zu verfolgen, um irgendeine Art von zielgerichteter Werbung bereitzustellen.” An anderer Stelle heißt es “We don’t sell or rent anyone’s personal information to third parties for any reason – including for advertising or marketing purposes.” – “Wir verkaufen oder vermieten keine persönlichen Daten an Dritte aus irgendeinem Grund – auch nicht zu Werbe- oder Marketingzwecken.”

Es ist sicherlich glaubhaft, dass Edpuzzle hier zu seinem Wort steht. Allerdings nutzt man trotzdem Analyse und Tracking Tools zumindest für eigene Zwecke.

:exclamation: Eine Analyse mit WebbKoll Dataskydd ergibt, dass auf der Seite Google Dienste im Hintergrund laufen (Google-Analytics, Google Fonts und Google API) und Mixpanel, ein Analyse Dienst. Ein Google NID Cookie ist vorhanden, welches von Google genutzt wird, um Nutzerpräferenzen (Sprache, Anzahl Suchergebnisse, etc.) verknüpft mit einer spezifischen ID zu speichern.

Einer Überprüfung von Google-Analytics mit dem Tool der Uni Bamberg ergibt “Diese Seite definiert Tracker für die Verwendung von Google Analytics ohne IP-Anonymisierung, hat jedoch bei der Prüfung keine Anfragen an Google geschickt. Möglicherweise werden die Anfragen erst bei bestimmten Benutzeraktionen ausgelöst.”

Server Standort(e): Es scheint, Edpuzzle nutzt Amazon Web Services (AWS), da der Dienst Cloudfront.net nachweisbar ist. Die IP der Server deutet auf einen Standort in den USA, Ping-Laufzeiten lassen vermuten, dass auch europäische Server von AWS genutzt werden.

Als US Anbieter unterliegt Edpuzzle der US Gesetzgebung und ist verpflichtet, Daten von Nutzern aus dem EU Raum an Ermittlungsbehörden auf Verlangen herauszugeben. Nutzern aus der EU stehen dabei keine Betroffenrechte vergleichbar denen unter der DS-GVO zu, auch wenn ein Datenschutzbeauftragter mit Sitz in der EU benannt ist.

YouTube: Um Videos in Edpuzzle mit Interaktivitäten zu versehen, werden YouTube Videos eingebunden und mit Markern versehen, an denen dann die Aktivitäten eingebaut werden, etwa eine Frage. Die Einbettung von YouTube Videos bringt in Bezug auf Datenabflüsse alles mit, was auch beim Aufruf von Videos direkt von YouTube anfällt. Hinzu kommt noch DoubleClick.net, ein Cookie des Werbenetzwerkes von Google.

Thema Nutzerkonten: Zur Nutzung von Edpuzzle benötigen Lehrkräfte ein Nutzerkonto. Auch für Schüler können Konten eingerichtet werden. Die Plattform ist so eingerichtet, dass eine Verknüpfung zum LMS wie Moodle möglich ist. Auch eine Koppelung an Google Classroom ist verfügbar.

Von der Lehrkraft erstellte Edpuzzles, also Videos mit Interaktivitäten, können über öffentliche Links geteilt werden. Die Lehrkraft kann dann allerdings nicht sehen, wer ein Video angesehen hat und wer welche Interaktionen bzw. Antworten gegeben hat. Dafür braucht es Schüler Konten. Für diese sind Vorname, Nachname, Benutzername, Passwort und eine E-Mail Adresse erforderlich, wenn die Anmeldung nicht über ein LMS oder Google Classroom erfolgt.

Common Sense Privacy hat Edpuzzle 2019 getestet und ein Bestanden vergeben, auch wenn es bemängelt, dass Daten für Analyse mit Dritten geteilt werden, Dritten Datenzugriffe gestattet werden, von Dritten Daten zugekauft werden und Verhaltensdaten von Schülern erzeugt werden.

Edpuzzle und personenbezogene Daten
Wird Edpuzzle mit Nutzerkonten für Schüler genutzt, werden alle Interaktionen der Schüler mit den Edpuzzles der Lehrkraft quantitativ erfasst und die Ergebnisse von Quizzen aufgezeichnet. Sie können dann in der Plattform sogar bewertet werden, um die Bewertungen später in eine andere schulische Plattform, etwa ein LMS zu übernehmen.

(A) Nutzung auf einem schulischen Endgerät
Erfolgt die Nutzung von Edpuzzle

  • über einen öffentlichen Link,
  • auf einem schulischen Endgerät,
  • am Standort der Schule,
  • ohne gleichzeitigen oder vorherigen Login an einer anderen nicht-schulischen Plattform und
  • es werden keine persönlichen oder personenbeziehbaren Informationen abgefragt,

so sollte es weder für die im Hintergrund von Edpuzzle laufenden Dienste Dritter noch für die über die eingebetteten YouTube Videos und dort im Hintergrund laufende Dienste möglich sein, einzelne Nutzer einer identifizierbaren Person zuzuordnen. Das Risiko einer Nutzung durch Schüler sollte so vertretbar gering sein.

(B) Nutzung auf einem privaten Endgerät
Bei Nutzung auf einem privaten Endgerät in der Schule (BYOD) oder zu Hause (wie auch bei der Nutzung eines schulischen Endgerätes von zu Hause aus) werden Nutzer potentiell über Gerätekennungen und die IP Nummer des Mobilzugangs oder Hausanschlusses wie auch Logins an im Privatbereich genutzten nicht-schulischen Plattformen identifizierbar – auch wenn Edpuzzle nur über einen öffentlichen Link genutzt wird und ohne ein Schülerkonto. Die im Hintergrund von Edpuzzle laufenden Dienste Dritter und vor allem die mit dem Einbetten von YouTube Videos verbundenen Datenabflüsse setzen Nutzer einem gewissen Risiko aus.

Soll Edupuzzle in dieser Art und Weise genutzt werden, braucht es eine Information der Betroffenen über die dabei entstehenden Risiken und eine Einwilligung durch die Eltern, sofern die Schüler das 16. Lebensjahr noch nicht vollendet haben.

Durch die Nutzung von sicheren Browsern wie Brave, FireFox oder DuckDuckGo auf Mobilgeräten lassen sich Trackingmechanismen von Edupuzzle und genutzten YouTube Videos zumindest ein Stück weit einschränken. Bei einer geplanten Nutzung mit privaten Endgeräten sollten Nutzer diesen Hinweis erhalten.

(C ) Nutzung mit Schülerkonten
Eine Nutzung mit Schülerkonten ist sicherlich für Lehrkräfte von Interesse, da sie Aufschluss darüber erhalten, wie ihre Schüler mit den Edpuzzles interagieren. Aus Sicht des Datenschutz ist dieses jedoch nicht zu empfehlen (auch wenn solches mit einer informierten Einwilligung der Betroffenen nicht völlig unmöglich wäre). Eventuell vorstellbar wäre, wenn überhaupt, eine Nutzung mit pseudonymisierten Schülerkonten, die dann aber nur von schulischen Endgeräten in der Schule und ohne gleichzeitigen oder vorherigen Login an anderen nicht-schulischen Plattformen erfolgt. Eine informierte Einwilligung der Betroffenen wäre erforderlich und setzt Freiwilligkeit voraus. Die Schule würde sich dabei jedoch schon in einem rechtlichen Graubereich bewegen, da sie keine rechtlich verbindliche Kontrolle im Sinne der DS-GVO über die Daten der Schüler hat.

Fazit:
Eine Nutzung von Edpuzzle als Plattform eines US Anbieters unterliegt all den Problemen, die sich durch Nationalität und Standort des Anbieters ergeben. Eine saubere Rechtsgrundlage für ein vollumfängliche Nutzung wie bei einem vergleichbaren Anbieter aus der EU fehlt. Es kommt hinzu dass die Plattform nicht nur konsumierend genutzt wird, sondern durch die Interaktivitäten, die mit den Edpuzzles verbundenen Abfragen, weitaus mehr Daten der Schüler erhoben werden.

Solange Schüler für die Plattform anonym bleiben, ist eine Nutzung unproblematisch. Die Schüler haben einen Lern- und Übungseffekt, wobei die Lehrkraft dann aber keine Auswertung sehen kann.

Sollen Schüler Edpuzzles von zu Hause aus nutzen oder auf privaten Endgeräten, kann dieses nur freiwillig und informiert erfolgen. Wer regelmäßig YouTube Videos auf seinen privaten Endgeräten ansieht, für den stellt eine Nutzung von Edpuzzle auf den selben Geräten kein größeres Risiko dar. YouTube erfährt über seine Tracking Mechanismen lediglich, dass der Schüler auch Edpuzzle nutzt.

Hinweis: Edpuzzles lassen sich auch über Embedd Codes in andere Websites und LMS einbinden. Sie bringen transportieren dabei die ganzen datenschutzrechtlichen Probleme mit in die Plattform, in welche sie eingebettet werden. Anders als bei YouTube Videos, bei denen man über Dienste Dritter viele Tracking Mechanismen des Anbieters deaktivieren kann, ist dieses bei Edpuzzle nicht möglich.

Bußgeld für einen norwegischen Schulträger wegen Verstoß gegen DS-GVO

Lesezeit: 2 Minuten

Im norwegischen Bergen wurde jetzt ein Schulträger wegen eines massiven Verstoßes gegen die DS-GVO zu einer Geldstrafe in Höhe von umgerechnet 170.000 € verurteilt. In dem Fall geht es um die Zugangsdaten von 35.000 Schülern und Angestellten an den Schulen der Stadt, welche durch unzureichende Sicherheitsmaßnahmen offen zugänglich waren. Mittels dieser Zugangsdaten war es für jedermann möglich, sich in das Computersystem der Schule einzuloggen und Zugriff auf personenbezogenen Daten zu erhalten, darunter auch Noten und Bewertungen durch Lehrkräfte in einer Lernplattform. Die norwegische Aufsichtsbehörde war zu dem Schluss gekommen, dass der Schulträger gegen Art. 5 Abs. 1 lit. f (Grundsätze für die Verarbeitung personenbezogener Daten1“Personenbezogene Daten müssen
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);”
) und Art. 32 (Sicherheit der Verarbeitung) der DS-GVO verstoßen hat.

Erschwerend kam in diesem Fall hinzu, dass es sich bei den betroffenen Personen vor allem um Kinder handelt. Diese genießen in der DS-GVO einen besonderen Schutzstatus. Außerdem war der Schulträger mehrfach auf die unzureichenden Sicherheitsmaßnahmen hingewiesen worden, auch von der Aufsichtsbehörde. In Orientierung an Art. 83 DS-GVO wurde dann eine Strafe verhängt, die nach Ansicht der Aufsichtsbehörde der Sachlage angemessen, abschreckend und wirksam ist.

Könnte es einen solchen Fall in Deutschland geben?

Möglich wäre ein vergleichbarer Verstoß gegen die DS-GVO in Deutschland durchaus, wenngleich es auch definitiv Unterschiede gäbe. Dass personenbezogene Daten von Schülern und Lehrkräften in dem Maße wie im norwegischen Bergen beim Schulträger verarbeitet werden, ist in Deutschland nur im Rahmen einer Auftragsverarbeitung vorstellbar. Das heißt, die Schule als Verantwortlicher wäre hier in einem solchen Fall rechtlich mit in der Verantwortung. Eine Schule wird sich natürlich auf den Schulträger verlassen und im Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO wird auch festgelegt, dass der Auftragnehmer entsprechend Abs. 3 lit. c “alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;“. Ein Vertrag ist die eine Sache. Rechtlich gesehen muss der Verantwortliche auch sicher sein, dass der Auftragnehmer die Bedingungen erfüllt. Wie sich dieses bei der Verhängung eines Bußgeldes bei einem ähnlichen Fall in Deutschland auswirken würde, bliebe abzuwarten, da es vergleichbare Fälle bisher vermutlich nicht gibt.

Der zweite Unterschied zum norwegischen Fall ist die Verhängung des Bußgeldes2Siehe auch Mögliche rechtliche Folgen eines Datenschutzverstoßes für Schulen. In Deutschland würde das Bußgeld gegen Personen verhängt und nicht gegen den Schulträger. Da letzteres nur ein Umschichten von Steuergeldern bewirken würde, werden gegen öffentliche Stellen in Deutschland keine Bußgelder verhängt. Wen genau es in Deutschland treffen würde, lässt sich schwer sagen. Wäre es der Bürgermeister oder ein IT Verantwortlicher?

Fazit für Schulen in Deutschland

Wenn man als Schule aus dem Fall eines lernen kann, dann dass die Sicherheit bei der Verarbeitung von personenbezogenen Daten durch entsprechende Maßnahmen höchste Priorität haben sollte. Wer hier nachlässig handelt, setzt eventuell die Rechte und Freiheit von Schülern und Lehrkräften einem unnötigen Risiko aus und riskiert dafür eine Geldbuße und weitergehende rechtliche Konsequenzen.

Quelle: Administrative fine of 170.000 € imposed on Bergen Municipality, Datatilsynet, 12.04.2019

Datenschutz – ein Quiz mit Kahoot für Fortbildungen

Lesezeit: < 1 Minute

Für Fortbildungen von Lehrkräften und zur Sensibilisierung für datenschutzrechtliche Fragen im Schulalltag gibt es nun ein Kahoot Quiz mit 25 Fragen.

Ergänzend dazu gibt es zu jeder Frage Erläuterungen mit den rechtlichen Hintergründen, bezogen auf die Rechtslage in NRW. Der Quiz kann auch in anderen Bundesländern genutzt werden, da die Rechtslage überwiegend ähnlich ist. Die Erläuterungen als PDF und in anpassbaren Versionen.

Sollte sich die Rechtslage durch Anpassungen des Schulgesetzes oder der Verordnungen zur Datenverarbeitung ändern, werden Quiz und Erläuterungen aktualisiert.

Hinweis:

Wer eine datenschutzfreundlichere Version des Quiz für Moodle erstellen möchte, kann auf Nachfrage eine Sicherungsdatei der Aktivität erhalten, welche eine Kollegin für Logineo NRW LMS erstellt hat.

Moodle Logo unter  GNU General Public License, Quelle: Wikimedia