Entzettelt – digitaler Zettelkasten für Lehrkräfte

Lesezeit: 9 Minuten

Beschreibung

Entzettelt ist eine Plattform, die für Lehrkräfte gedacht ist, um Informationen strukturiert zu sammeln. Der Anbieter beschreibt seine Plattform als

“Jeder Lehrer und jede Schule hat andere Listen und Strukturen. Darum kannst du mit entzettelt Listen so anlegen, wie du sie brauchst. Du kannst einzelne Beobachtungslisten machen, Kompetenzen erfassen, Ergebnisse von Klassenarbeiten detailliert und aussagekräftig notieren, Notizen zu Schülern machen oder Checklisten oder Rücklauflisten erstellen. Du hast bei entzettelt unzählige Möglichkeiten.”

Die Plattform versteht sich nicht als digitales Klassenbuch, hat aber viele Funktionen, die man auch in einem solchen wiederfinden würde. Unter Praktische Beispiele werden Verwendungsbeispiele vorgestellt. Über einen Demo-Zugang, der im Login-Bereich zu finden ist, lassen sich diese auch praktisch erproben.

In der Plattform lassen sich Schüler:innen, Klassen und Gruppen anlegen. Für Schüler besteht die Möglichkeit, eine Art Stammblatt anzulegen mit Nachname, Vorname, Geschlecht, Geburtsdatum, Anschrift, Konfession, Namen beider Elternteile und telefonische Erreichbarkeit.¹ Daten außer dem Namen sind optional. Öffnet man die WebApp auf einem Smartphone, kann man eingetragene Rufnummern direkt aus der Plattform heraus anwählen. Je Schüler:in gibt es dann fünf Register für die Ablage von Informationen, von denen eines die Stammdaten enthält. Die anderen sind pädagogische Akte, Benotung, Notizen und Kalender.

Über das Plus oben rechts kann eine neue Liste angelegt werden. Dazu werden eine große Zahl von Vorlagen angeboten, darunter einfachen Checklisten aber auch komplexere Vorlagen für Klassenarbeiten, Arbeitsverhalten, Zeugnisse, Elternkommunikation, Sozialverhalten, Förderbedarf Rechtschreiben usw.. Wird beispielsweise “Förderbedarf Rechtschreiben” ausgewählt, erscheint eine Listenvorlage, die dann mit eigenen Listenelementen und Zuordnungen zu Gruppen versehen werden kann. Die fertige Liste wird dann genutzt, um einzelne Schüler:innen bezüglich des Förderbedarfs Rechtschreibung zu dokumentieren. Bei Bedarf können Listen auch Stammdaten abrufen, etwa die Konfession, wenn das in dem Zusammenhang von Bedeutung ist. Auch bei Benotung ist das Verfahren das gleiche. Es werden Listen für Fächer angelegt, für welche dann die Spalten definiert werden können, etwa Klassenarbeiten, Mitarbeit usw. Listen lassen sich für einzelne Schüler:innen anlegen oder für ganze Klassen oder Gruppen. Das Prinzip setzt sich in den anderen Menüs vergleichbar fort. Im Büro gibt es eine Sammlung von Dokumenten mit Listen, die dort als XLS Datei exportiert werden können, sich als PDF ausdrucken lassen, für eine erneute Verwendung an einem weiteren Datum duplizierbar sind und Summen ausgeben können. Zusätzlich gibt es als neue Funktion die Möglichkeit, Feedback an Schüler zurückgeben, alternativ zum herkömmlichen Smiley-Stempel. Wechselt man die Liste von quer zu längs (Pfeil runter), wechselt die Ansicht und es lässt sich aus der Liste ein PDF mit Schnittmarkierungen erstellen, drucken, ausschneiden und an die Schüler verteilen.

Eine Besonderheit gibt es bei Notizen, die in der dreimonatigen kostenlosen Lightversion nicht verfügbar ist, aber in der Demoversion. Notizen können so abgelegt werden, dass sie erst bei Anklicken durch den Nutzer ihren Text anzeigen. Das soll vor unberechtigter Kenntnisnahme schützen.

Unter Einstellungen > Werkzeuge bietet die Plattform eine Möglichkeit, ein Sicherung der Daten zu erstellen und eine bestehende Sicherung wiederherzustellen. Die Speicherung der Sicherungen erfolgt auf den Servern des Anbieters. Für Support haben Nutzer dort auch die Möglichkeit, Remote-Logging zu aktivieren. Lokal im Browser anfallende “Log-Daten” bei der Nutzung der WebApp von Entzettelt, werden dann an den Anbieter übertragen. Es handelt sich dabei um Daten, die keinen Inhaltsbezug haben.²

Lehrkräfte registrieren sich auf der Plattform eigenständig. Jede Lehrkraft hat einen QR Code, über den andere Lehrkräfte sie zu ihrem Kollegium hinzufügen können. Danach ist es möglich, Listen mit anderen Lehrkräften zu teilen. Berechtigungen können generell und für einzelne Elemente gesteuert werden. So kann anderen Lehrkräften beispielsweise das Lesen von Listen mit Noten von Schüler:innen gestattet werden, ohne Möglichkeit, die Daten im Stammblatt einzusehen. Entzettelt bietet interessierten Nutzern eine kostenlose Probenutzung für 3 Montate an. Danach muss eine Jahreslizenz erworben werden. Es wird zwischen einer Basis und einer Pro Lizenz unterschieden, die sich in der Anzahl der Funktionen und bereitgestellten Vorlagen unterscheiden. Auch eine Schullizenz ist verfügbar. Anders als in der Einzelnutzerversion, gibt es in der Schulversion eine Möglichkeit, Schülerdaten zu importieren. Alle Felder der Stammdaten können dabei zugeordnet und die Klasse angegeben werden. Die Schulversion erlaubt zudem eine zentrale Rechtevergabe.

Die Erstellung eines Nutzerkontos erfordert die Angabe von E-Mail-Adresse
Vorname, Nachname, Schulname, PLZ & Ort der Schule, Benutzername und Passwort. Das gewählte Passwort wird geprüft. Eine Anmeldung mit nicht ausreichendem Passwort ist nicht möglich. Die Anmeldung an der Plattform erfolgt mit Nutzername und Passwort. Eine Absicherung mit 2Fa lässt sich unter Profil einrichten.

Entzettelt ist keine reine Online-Plattform. Die Daten werden auch auf dem Endgerät des Nutzers in einer mit den Zugangsdaten verschlüsselten Datenbank im Speicher des Browsers abgelegt. Damit sind die Daten auch verfügbar und können bearbeitet werden, wenn das WLAN gerade einmal streikt. Auch das Login an der App ist offline möglich, auch mit 2FA. Meldet sich ein Nutzer auf einem weiteren Gerät an Entzettelt an, werden die Daten zwischen Server und Gerät synchronisiert.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Entzettelt, ist seit April 2020 auf dem Markt. Anbieter ist Hill-Commerce GmbH, Heiligenstr. 84a, 40721 Hilden, vertreten durch Dipl.-Ing. Marc Plaßmeier. Die Plattform unter https://app.entzettelt.de/ wird auf Servern von myLoc managed IT AG in Berlin betrieben.

Datenschutzerklärung

Neben der Datenschutzerklärung zum Internetauftritt des Anbieters gibt es auch eine spezielle Datenschutzerklärung für die Web-App, auf welcher über die bei einer Nutzung der Online-Plattform anfallenden personenbezogenen Daten informiert wird. Es finden sich dort Informationen zu den Betroffenenrechten, zur Verarbeitung von Server-Log-Daten, von Daten bei einer Registrierung auf der Online-Plattform und von Daten zur Abwicklung des Zahlungsverkehrs bei Lizenzierung der Plattform. Dabei wird jeweils angegeben, um welche Art und Zweck der Verarbeitung es geht, auf welcher Rechtsgrundlage sie erfolgt, wer gegebenenfalls Empfänger der Daten ist, wie lange die Speicherung erfolgt, bzw. wie der Nutzer seine Daten löschen kann und ob die Bereitstellung der Daten in der Plattform vorgeschrieben oder erforderlich ist. Welche Dienstleister genutzt werden, wird nicht angegeben. Es wird außerdem darauf hingewiesen, dass die Übertragung der Daten verschlüsselt ist.

Vertrag zur Auftragsverarbeitung

Auf Nachfrage erklärt der Anbieter, Schulen auch einen Vertrag zur Auftragsverarbeitung anzubieten.

Cookies, Tracking

Zum aktuellen Zeitpunkt lassen sich keine Analyse- oder Tracking-Dienste Dritter bei der Nutzung der Plattform nachweisen. Das entspricht den Angaben die der Anbieter per E-Mail nachgereicht hat: “Auf www.entzettelt.de werden von uns keine Cookies verwendet, da wir sie einfach nicht brauchen.”

Sicherheit

Per E-Mail machte der Anbieter Angaben zum Thema Sicherheit: “Daten liegen nur entschlüsselt im RAM auf den Endgeräten vor. Die auf dem Endgerät dauerhaft gespeicherten Daten sind mit einem asymmetrischen Verfahren […] verschlüsselt. Wir haben die Schlüssel nicht und können die Schlüssel auch nicht rekonstruieren. Auf dem Weg zu uns sind die Daten nochmals TLS verschlüsselt. In unserer Datenbank sind die Daten absolut unlesbar mit den Schlüsseln der Anwender verschlüsselt. Die Server selbst sind durch Firewalls, DoS-Schutz und Verhaltensanalyse gesichert und in Deutschen zutrittskontrollierten Rechenzentren.”

Nach Angaben von Entzettelt sind auch die Sicherungen verschlüsselt, da bereits die Daten der Datenbank verschlüsselt vorliegen. Beide können vom Anbieter nicht entschlüsselt werden. Sicherungen werden täglich angelegt und der Datenbestand eines einzelnen Anwenders lässt sich so laut Anbieter “schnell und
gezielt auf einen der letzten Tage zurücksichern, sollte das notwendig sein.”

Der Zugang zur WebApp ist durch ein “sicheres” Passwort geschützt, dessen Regeln der Anbieter vorgibt. Nach der Registrierung wird wie auch im E-Mail des Anbieters beschrieben, darauf hingewiesen, dass die in Entzettelt verarbeiteten Daten mit einem persönlichen Schlüssel verschlüsselt werden. Für den Fall, dass das persönliche Passwort verlorengeht, gibt es eine zwölfstellige PUK, um Zugriff auf das Benutzerkonto zu erhalten. Diesen muss der Nutzer sich notieren und sicher verwahren. Zusätzlich lässt sich der Zugriff auf das Nutzerkonto per 2FA für Authenticator Apps absichern.

Laut Anbieter ist die Plattform gegenüber den üblichen Angriffsvektoren Portscan, DOS und SPAM-Angriffen resilient und blockt Angreifer automatisch und gezielt.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Entzettelt ist eine Plattform, mit der sich viele Verwaltungsarbeiten im Alltag von Lehrkräften abbilden lassen. Dazu gehören auch die Listen in den traditionellen roten Lehrerkalendern. Sie setzt auf individuelle Nutzer, die sich jedoch gegenseitig Zugang zu von ihnen angelegten Listen und Dokumenten geben können. In der Schulversion lassen sich die Stammdaten von Schüler:innen zentral importieren. Die Plattform beherrscht auch Schuljahreswechsel.

Die Plattform ist gedacht für die Verarbeitung von einer Vielfalt von Daten, von Schüler Stammdaten, Zeugnisdaten, Bemerkungen zum Sozialverhalten, Daten im Zusammenhang mit der Erstellung von individuellen Förderplänen. Auch wenn diese Daten mit einem Schlüssel des Nutzers verschlüsselt auf den Servern des Anbieters liegen, ist der Schutz durch den Schlüssel begrenzt. Wie sicher der Schlüssel ist, hängt von der Passwortkomplexität ab. Lehrkräfte sollten bei der Anmeldung einen Nutzernamen wählen, der nicht erraten werden kann und nicht schon an einer anderen Stelle verwendeten wird und außerdem ein sehr sicheres Passwort verwenden. Brute-Force-Angriffe, bei denen ein Computer wahllos Kombinationen von Nutzernamen mit zufälligen Passwörtern durchprobiert, blockt Entzettelt nach Angaben des Anbieters ab. Der Zugang sollte zur Sicherheit zusätzlich zum komplexen Passwort und einem pseudonymisierten Nutzernamen auch durch 2FA abgesichert werden, denn vor Zugriffen mit ausgespähten, gestohlenen oder erratenen Zugangsdaten schützen Nutzername und Passwort nicht. Vor allem bei der Verarbeitung von sehr sensiblen, besonders schützenswerten Daten ist eine zusätzliche Absicherung mit 2FA dringend zu empfehlen.

Insgesamt ist die Plattform sehr datenschutzfreundlich aufgestellt. Es werden nur personenbezogene Daten der Nutzer verarbeitet, die zum Bereitstellung des Angebotes erforderlich sind. Nutzer könnten auch mit erfundenen Daten arbeiten.

Die Plattform bietet keine Möglichkeit, alle Daten gesammelt außerhalb der Plattform selbst zu sichern. Eine Sicherung einzelner Listen als Excel Datei oder PDF scheint nicht zweckmäßig. Hier muss man sich auf die Zusage des Anbieters verlassen, dass aus den täglichen Sicherungen eine Wiederherstellung der Daten schnell und taggenau möglich ist.

Eine Nutzung von Entzettelt für die Verarbeitung von personenbezogenen Daten von Schüler:innen setzt einen Vertrag zur Auftragsverarbeitung (AVV) voraus, der zwischen Schule und Anbieter abgeschlossen wird. Auch wenn die Daten für den Anbieter selbst immer anonym bleiben, muss die Verarbeitung von personenbezogenen Daten aus der Schule durch einen AVV geregelt werden, um sicherzustellen, dass die Verantwortlichkeiten klar geregelt sind. Der Anbieter muss hierin für einen verlässlichen Betrieb der Plattform der Plattform einstehen. Dazu gehört unter anderem auch ein Konzept für Datenwiederherstellung im Fall eines Serverausfalls und eine Regelung für den Wechsel von Unterauftragnehmern des Anbieters.

Bei einer Nutzung auf Dienstgeräten dürften vom Prinzip her alle personenbezogenen Daten in der Plattform verarbeitet werden, die zur Erfüllung der dienstlichen Aufgaben zu verarbeiten sind. Werden private Endgeräte mit Genehmigung der Schulleitung genutzt, schränken sich die möglichen Daten zumindest in NRW deutlich ein und richten sich nach VO-DV I Anlage 3.

Während die Steuerung von Berechtigungen für Freigaben für andere Lehrkräfte in der Einzellizenz von den Nutzern selbst vorgenommen werden muss, ermöglicht die Schullizenz eine zentrale Rechtevergabe. Damit kann eine Schule sicherstellen, dass Zugriffsrechte entsprechend den schulrechtlichen Vorgaben eingestellt werden können und es nicht zu fehlerhaften “Freigaben” kommt.

Da Entzettelt die Daten, welche ein einzelner Nutzer anlegt, mit den “Schlüsseln” dieses Nutzers verschlüsselt, sind sie nur für den Nutzer selbst einsehbar. Das ist der Kern des Sicherheitskonzeptes der Plattform. Es kann jedoch auch zum Problem werden. Ist eine Lehrkraft, die Entzettelt intensiv nutzt, nicht mehr in der Lage, auf die Plattform zuzugreifen, die dort verarbeiteten Daten sind an keiner Stelle außerhalb gespeichert und die Zugangsdaten sind unbekannt und können von der Lehrkraft nicht mehr mitgeteilt werden, sind die Daten komplett verloren.

Um dieses Problem vermeiden, schlägt der Anbieter vor, dass jede Lehrkraft der Schulleitung ihren Benutzernamen und PUK der zur sicheren Verwahrung gibt. Zweckmäßig ist hier, dass diese Daten in eine Liste eingetragen werden, welche in einem feuersicheren Safe aufbewahrt wird. Im Fall der Fälle hat dann die Schulleitung die Möglichkeit, das Passwort zurückzusetzen, um an die im Konto gespeicherten Daten zu gelangen.³ Nutzt eine Lehrkraft 2FA, erfordert ein Rücksetzen des Passwortes eine Meldung beim Support des Anbieters.

Nutzung auf Dienstgeräten

Entzettelt kann mit Blick auf Sicherheit der Verarbeitung auf Dienstgeräten ohne Risiken genutzt werden, wenn die verfügbaren Sicherheitsmaßnahmen vollumfänglich umgesetzt und Vorkehrungen für den Fall getroffen werden, dass ein Nutzer nicht mehr in der Lage ist auf eine Daten zuzugreifen.

Nutzung auf Privatgeräten

Entzettelt kann mit Blick auf Sicherheit der Verarbeitung unter Berücksichtigung der für Dienstgeräte beschriebenen Maßnahmen auch auf Privatgeräten ohne Risiken genutzt werden. Einschränkungen für Privatgeräte zur Verarbeitung von personenbezogenen Daten aus der Schule sind je nach Bundesland zu beachten.

Bewertung insgesamt

Die Plattform Entzettelt ist datensparsam und schützt dank eines durchdachten Sicherheitskonzeptes die darin verarbeiteten schulischen Daten sehr gut, so dass auch eine Verarbeitung von besonders schützenswerten Daten möglich sein sollte. Das Sicherheitskonzept zwingt Schulen und Nutzer jedoch auch zu Kompromissen, die so nicht sein sollten. Dazu gehören die Themen Datensicherung und Notfallzugriff auf die von den einzelnen Nutzern verarbeiteten schulischen Daten. Da eine eigenständige Datensicherung außerhalb der Plattform nicht möglich ist⁴, muss man sich hier auf den Anbieter und seinen Dienstleister verlassen. ⁵ Für einen Notfallzugriff gibt es keine Möglichkeit, über ein Admin Konto auf die in den einzelnen Nutzerkonten gespeicherten schulischen Daten zuzugreifen. So bleibt hier nur die Behelfslösung der Liste mit Nutzername und PUK und Kontaktierung des Supports, sofern 2FA genutzt wird.

Stand 02/2022