Collaboard – Kollaboratives Online Whiteboard

Lesezeit: 7 Minuten

Disclaimer: Der Anbieter von Collaboard ist von sich aus an mich herangetreten und hat um eine Einschätzung gebeten. Da ich Collaboard für eine unterrichtliche Nutzung sehr interessant finde, bin ich dieser Bitte nachgekommen, um Schulen eine Entscheidungsgrundlage für eine Nutzung zu geben. Um alle Features ausprobieren zu können wurde mir ein Organisationskonto, wie es Schulen in Deutschland erhalten können, für einen Testzeitraum kostenlos zur Verfügung gestellt.

Beschreibung

Collaboard ist ein browserbasiertes online Whiteboard, welches kollaboratives Arbeiten im Team unterstützt. Das Whiteboard ist in der Größe unbegrenzt und kann neben Text, Zeichnungen, Grafiken und Karten auch Medien verschiedener Art aufnehmen. Dazu gehören Bilddateien, Textdateien und Präsentationen. Externe Medien wie Videos lassen sich über URL und Embed Code einbetten. YouTube können auch über die Mediensuche direkt aus Collaboard heraus in ein Board eingebettet werden. Sie werden dann in einem Player abgespielt, während über Link eingebettete Videos nur im jeweiligen Einbettungsrahmen laufen. Fotos und Videos können mit einem geeigneten Gerät über die integrierte Kamera direkt aus der Plattform heraus aufgenommen werden. Einzelne Elemente in einem Board lassen sich durch Linien miteinander verbinden, etwa um Beziehungen darzustellen. Projekte lassen sich zur Sicherung oder Weitergabe als Bild, PDF und Text exportieren. Zum Ausprobieren gibt es einen kostenlosen Zugang, der jedoch in seinen Funktionen beschränkt ist. Es ist dort beispielsweise nicht möglich, andere Personen ohne Nutzerkonto zur Mitarbeit einzuladen. Um die ganze Funktionsvielfalt zu erproben, gibt es auf Anfrage einen 14-tägigen Vollzugang. Collaboard bietet individuelle Nutzerkonten und spezielle Schullizenzen. Letztere kommen mit einer Nutzerverwaltung und Anbindung an andere Plattformen über Single Sign-on (SSO SAML und oAuth2) Integration. Individuelle Konten werden mit E-Mail Adresse, Passwort und Name erstellt. Die E-Mail Adresse muss bestätigt werden. Alternativ ist eine Anmeldung über bestehende Konten bei Google, Microsoft oder Apple möglich. Die eigentliche Plattform findet sich unter web.collaboard.app, de.collaboard.app und ch.collaboard.app.

In Collaboard werden einzelne Whiteboards als Projekte bezeichnet. Daneben gibt es noch die sogenannten Räume. Mitarbeiter können zu Projekten wie auch Räumen eingeladen werden. Einladungen erfolgen per E-Mail oder Link. Der Link lässt sich zusätzlich durch einen von der Plattform erstellten QR-Code weitergeben. Die Einladung per E-Mail ist vor allem für Nutzer mit einem Konto in der Plattform gedacht. Beim Einladen wird zwischen registrierten Nutzern und Gast Nutzern unterschieden. Der Einladende entscheidet jeweils, welche Rechte er den Eingeladenen geben möchte. Soll es nur Lese- oder auch Schreibrechte geben? Außerdem lässt sich der Zugangslink mit einem Passwort schützen und die Gültigkeit zeitlich begrenzen. Dabei kann gewählt werden von 1, 4 und 12 Stunden und 1, 2, 5 und 10 Tagen. Um Missbrauch durch Dritte zu vermeiden kann eine Nutzeridentifikation eingeschaltet werden. Gast Nutzer müssen dann einen Namen und eine E-Mail Adresse angeben. Diese erhält die einladende Person und stellt keine Registrierung dar. Nutzerrechte können jederzeit verändert werden. Der Besitzer eines Whiteboards (Projekts) kann dieses so bei Bedarf vor Veränderung schützen, auch wenn der Link zum Projekt noch nicht abgelaufen ist. In einer Übersicht über eingeladene Gast-Nutzer kann der Besitzer die Rechte je Nutzer verändern und Nutzer auch löschen und von der Mitarbeit ausschließen.

Werden Gast-Nutzer mit Verpflichtung zur Nutzeridentifikation eingeladen, sehen sie auch die Option, dem Erhalt von Neuigkeiten und Updates zu Collaboard zuzustimmen und sich mit den eingegebenen Daten bei der Plattform zu registrieren.

Räume stellen eine Art von Gruppenfunktion bereit. Personen können Räumen zugeordnet werden. Voraussetzung ist jedoch, dass die Personen, die eingeladen werden sollen, über eine Basis Lizenz verfügen. Im Fall einer Lizenz für Schulen bedeutet dieses, dass sie registrierte Nutzer der Instanz sein müssen. Mitglieder von Räumen haben automatisch Zugriff auf die einem Raum zugeordneten Projekte. Welche Rechte Mitglieder innerhalb eines Raumes haben, bestimmt der Besitzer bzw. eine Person mit den entsprechenden Rechten. Möglich sind hier: Lesen, Schreiben und Moderator.

Collaboard verfügt außerdem über eine Abstimmungsfunktion und kann in Zoom und Webex Videokonferenzen eingebunden werden. In Abstimmungssitzungen können Personen, die als Teilnehmer oder Mitarbeiter auf ein Whiteboard Zugriff haben, über die Inhalte abstimmen. Der Besitzer des Boards legt zuvor den Typ, die Dauer und das Abstimmungslimit fest. Abstimmungslimit meint dabei die Anzahl der Stimmen, die vergeben werden kann. Das Ergebnis kann anschließend in das Board integriert werden.

Wichtig bei Collaboard ist zu wissen, dass es unterschiedliche Versionen gibt, die auch darüber entscheiden, wie die datenschutzrechtlichen Belange aussehen. Die Version, welche man als Interessent über den Internetauftritt des Anbieters erreicht, läuft unter der URL https://web.collaboard.app/. Hier kann man sich kostenlos anmelden und erhält ein funktional eingeschränktes Konto. Neben einer reduzierten Anzahl von Projekten ist hier die wichtigste Einschränkung, dass nur registrierte Nutzer zu Projekten eingeladen werden können, nicht jedoch Gast-Nutzer. Bei der Gestaltung eines Projektes sind den kostenlosen Konten jedoch keine wesentlichen Grenzen gesetzt. Diese Version ist wegen der genutzten Dienstleister für die Bereitstellung der Server wie auch integrierte Drittanbieter Tools für eine unterrichtliche Nutzung nicht geeignet.

Bei der Version für Schulen unter de.collaboard.app sieht dieses anders aus. Im Folgenden geht es deshalb nur um die für Schulen bereitgestellte Version.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Anbieter von Collaboard ist IBV Informatik, Beratungs und Vertriebs AG aus der Schweiz. Es gibt eine deutsche Geschäftsstelle, IBV GmbH in Lörrach. Zur Bereitstellung des Angebotes für Schulen in Deutschland werden Open Telekom Cloud mit deutschem Standort eingesetzt. Die Beweggründe dafür erläutert der Anbieter in einem Beitrag mit dem Titel “Collaboard – Hosting in Deutschland, DSGVO konform und unabhängig.”

Datenschutzerklärung

Die Datenschutzerklärung beschreibt sowohl die Datenverarbeitung für den Internetauftritt wie auch die eigentliche Plattform selbst. Sie berücksichtigt dabei neben schweizer Datenschutzrecht auch die DS-GVO. In den verschiedenen Abschnitten wird jeweils darauf hingewiesen, für welchen Bereich bzw. welche zur Bereitstellung der Plattform genutzten Serveranbieter (Open Telekom Cloud, Microsoft Azure Schweiz, Microsoft Azure Holland) die dort aufgeführten Aussagen zutreffen bzw. nicht zutreffen. Die für die unter web.collaboard.app eingesetzte Version beschriebenen Drittanbieter Tools wie Google-Analytics, Stripe und Hubsport werden in der für deutsche Schulen angebotenen Version nicht eingesetzt.

Ein ergänzendes Security Whitepaper, in welchem der Anbieter für Nutzer der Open Telekom Cloud erklärt, wo Collaboard die Daten der Nutzer speichert und mit welchen Mechanismen diese geschützt werden, wird auf Anfrage zur Verfügung gestellt. Man betont dort, wie auch an anderen Stellen im Internetauftritt, dass Sicherheit schon bei der Entwicklung der Plattform höchste Priorität hatte. Im Whitepaper gibt es Informationen zur Datenspeicherung in der Open Telekom Cloud, zur Verschlüsselung der Daten im ruhenden Zustand wie in Bewegung, zur Häufigkeit und Speicherdauer von Backups, zu Authentifizierungsoptionen für Nutzer, zu Sicherheitsoptionen für Gastnutzer und weiteren Punkten.

Cookies, Tracking

In der Datenschutzerklärung weist der Anbieter die Nutzung von Cookies aus. Nachweisen lässt sich bei einem Zugriff als Gast-Nutzer ohne Authentifizierung auf ein Projekt ohne von extern eingebettete Inhalte die Ablage von funktionalen Cookies im Local Storage (theme-ui-color-mode – Farbeinstellung; i18nextLng – Spracheinstellung) und im Session Storage (welcome-video-closed – Status des Begrüßungsvideos; auth-v2 – Parameter des Zugriffs: Gast, Registrierung, Einladung, Token, Gültigkeitsdauer). Bei Login als Gast-Nutzer mit Authentifizierung gibt es keine wesentlichen Änderungen.

Wird ein Projekt aufgerufen, in welches ein YouTube Video über einen Embed Link eingebettet ist, werden von YouTube eigene Cookies abgelegt (3rd Party Cookies), auch wenn das Video noch nicht abgespielt wurde. Wird das YouTube Video über die Medienrecherche von Collaboard eingefügt, werden diese Cookies erst gesetzt, wenn das Video angeklickt und der Player sich öffnet.

Sicherheit

Die Plattform bietet für registrierte Nutzer die Möglichkeit, den Zugang mit Zwei-Faktor-Authentifizierung (2FA) abzusichern. Dafür können Authenticator Apps wie z.B. Google Authenticator oder Microsoft Authenticator oder auch entsprechende Funktionen von Passwortmanagern genutzt werden. Für die Erstellung von Passwörtern gibt die Plattform Regeln und eine Mindestlänge vor.

Bei Anmeldung mit Passwort, ohne die Aktivierung von 2FA, wird für den Login automatisch ein Verfizierungs-Code per E-Mail geschickt, ohne den ein Login nicht möglich ist.

Zum Schutz von Boards können diese mit einem Passwort versehen werden. Die Gültigkeit eines geteilten Links für den Zugriff auf ein Board lässt sich zeitlich begrenzen, auf registrierte Nutzer einschränken und bei Gastnutzern kann eine Authentifizierung über Name und E-Mail eingerichtet werden. Außerdem lässt sich über Rechte für Nutzer steuern, welche Nutzungsrechte diese erhalten. Dabei kann zwischen den Rechten für registrierte Nutzer und Gast-Nutzer differenziert werden.

Vertrag zur Auftragsverarbeitung

Ein Vertrag zur Auftragsverarbeitung (AVV) wird angeboten und kann auf der Website unter Vereinbarung zur Auftragsverarbeitung eingesehen werden.

Hier sichert der Anbieter zu, dass ohne Zustimmung des Auftraggebers keine Datenverarbeitung außerhalb der EU, des EWR oder der Schweiz stattfindet.

(1) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder in der Schweiz statt.

Damit wäre es für den Anbieter theoretisch möglich, einen Wechsel von der Open Telekom Cloud zu Microsoft Azure Deutschland oder Niederlande vorzunehmen. Der Auftraggeber hätte hier jedoch ein Recht auf Einspruch, denn der Anbieter verpflichtet sich, den Auftraggeber zu informieren.

(2)Der Auftragnehmer informiert den Auftraggeber im Hinblick auf Änderungen bei den Unterauftragsverarbeitern, die für die Auftragsverarbeitung maßgeblich sind.” Ein Wechsel von der Telekom zu Microsoft sollte auch unter “unter Beachtung der Grundsätze von Treu und Glauben sowie der Angemessenheit und Billigkeit” ein ausreichender Grund für einen Einspruch sein.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Mit der Deutschland Version von Collaboard steht Schulen in Deutschland eine datenschutzkonforme Lösung zur kollaborativen Arbeit mit medienangereicherten online Whiteboards zur Verfügung. Die Plattform lässt sich sehr datensparsam nutzen und verzichtet in der Deutschland Version auf den Einsatz von umstrittenen Drittanbietern. Lehrkräfte können mit Schülerinnen und Schülern arbeiten, ohne dass diese ein eigenes Konto in der Plattform benötigen. Schülerkonten sind jedoch möglich und der Nutzerlogin lässt sich über SSO Optionen vereinfachen.

Beachtet werden sollte, dass sich das Datenverhalten von Collaboard in dem Moment verändert, wenn externe Inhalte über ein Embed in ein Board eingebunden werden. Wie bei anderen Plattformen, die diese Form der Integration externer Inhalte erlauben, werden Cookies gesetzt und fließen Daten an diese Dritten ab, so wie wenn die entsprechende Ursprungsseite direkt besucht wird. Über eine Einbettung von YouTube Videos über die Medienrecherche in Collaboard kann der Datenabfluss solange verhindert werden solange das Video nicht angeklickt wird.

Arbeitet man im Unterricht als Lehrkraft mit Gast-Nutzern, empfiehlt es sich, auf die Nutzeridentifikation zu verzichten, außer es gibt Gründe, diese zu nutzen. Schüler sollten darauf hingewiesen werden, bei der Nutzeridentifikation keine der beiden Optionen (E-Mails vom Anbieter, Registrierung) auszuwählen.

Kommt man in der Schule zu dem Schluss, dass man mit Nutzerkonten arbeiten möchte, dann sollte man die SSO Optionen nutzen. Die meisten Schulen verfügen mittlerweile für Schüler wie Lehrkräfte über die Möglichkeit.

Die folgende Bewertung geht davon aus, dass bei der unterrichtlichen Nutzung keine externen Inhalte über Embed eingebunden werden, aus denen sich durch unkontrollierte Datenabflüsse Risiken für die Nutzung ergeben können. Außerdem berücksichtigt diese Bewertung nur die für Schulen in Deutschland bereitgestellte Version unter de.collaboard.app.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten

Da die Plattform sehr datensparsam arbeitet, gut abgesichert ist und keine umstrittenen Drittanbieter Dienste nutzt, ist eine Nutzung ohne essentielle Risiken möglich.

Nutzung auf privaten Endgeräten/BYOD

Auch bei einer Nutzung mit privaten Endgeräten in der Schule, privaten Endgeräten mit Mobilfunkzugang und vom heimischen Internetanschluss aus, ergeben sich keine essentiellen Risiken bei einer Nutzung von Collaboard.

Fazit

Collaboard ist eine Plattform, die aus Sicht von Datenschutz sehr gut für eine schulische Nutzung geeignet ist. Da die Plattform keine Möglichkeiten für die Überwachung von Nutzerverhalten bietet, außer dass ein Team-Besitzer den letzten Login eines Team Mitglieds sehen kann, sollte Collaboard ohne Probleme an einer Schule für eine verpflichtende Nutzung eingeführt werden können.1Für eine verpflichtende Nutzung sind weitere Voraussetzungen zu erfüllen. In NRW muss die Plattform durch Beschluss der Schulkonferenz eingeführt worden sein und die Verpflichtung zur Nutzung besteht nur soweit Schülern wie Lehrkräften von Seiten der Schule oder des Schulträgers digitale Endgeräte zur Verfügung stehen. Die schweizer Plattform erinnert in ihren Funktionen etwas an die US Plattform miro, die unter Lehrkräften beliebt, leider aber in Bezug auf Datenschutz nicht unproblematisch ist. Mit Collaboard hat man hier eine sehr gute Alternative. Über die Teilen-Funktion für Gäste könnte man ein Board ähnlich wie bei miro im Prinzip auch veröffentlichen. Eine kostenlose Nutzung wie bei miro gibt es bei Collaboard nicht, wenn man datenschutzkonform und mit vollem Funktionsumfang arbeiten möchten. Qualität hat ihren Preis. Wie dieser sich für Schulen gestaltet, erfährt man beim Anbieter auf Anfrage.