Kialo – Diskussions-Plattform (Quick-Check)

Lesezeit: 6 Minuten
Hinweis! Es handelt sich hier um einen Quick-Check, der nicht ganz so umfangreich ist, wie die anderen. Bei Zeit und Gelegenheit werde ich das zu einem normalen Datenschutz Check erweitern. sollten Sie hier jedoch auch schon ausreichend Informationen über mögliche Risiken bei einer Nutzung finden, die es Ihnen erlauben, sich eine eigene Meinung zu bilden.

Stand: 2020-08-23

Art von Plattform: Diskussions Plattform

URL: https://www.kialo.com/ (Hauptseite – Angebot für private Nutzung)

URL: https://www.kialo-edu.com/ (Bildungsangebot)

Anbieter: Kialo; Brooklyn, New York, United States

Monetarisierung: Wird auf Crunchbase als: for profit (gewinnorientiert) geführt – beschreibt das Bildungsangebot unter kialo-edu.com aber als Kialo-edu.com ist eine kostenlose Website, die keine Einnahmen erwirtschaftet. Sie enthält weder Werbung, noch werden Benutzerdaten missbraucht oder weiterverkauft.

Kialo-edu.com is a free, non-revenue generating site. It has no ads, nor is user data being abused or resold.

Datenschutzerklärung: Die Datenschutzerklärung findet sich für das Bildungsangebot unter https://www.kialo-edu.com/privacy und stammt von 2017. Man gibt oberhalb der Datenschutzerklärung in roter Farbe an, dass man sie gerade überarbeitet, um eine den Vorgaben von DS-GVO, CCPA und FERPA konforme Nutzung der Dienste zu ermöglichen. (Wie aktuell diese Hinweis ist, geht aus dem Statement nicht hervor.)

Ein Vergleich der beiden Datenschutzerklärungen von Kialo für das Angebot für Privatnutzung und Nutzung im Bildungsbereich ergibt, dass diese im Wortlaut identisch sind. Lediglich die Links verweisen auf das jeweilige Angebot.

:question: Von daher ist nicht klar, ob es einen Unterschied im Umgang mit Daten von Betroffenen bei der Nutzung des Dienstes zwischen dem Angebot für Privatnutzung und Bildungsbereich gibt.

Es wird angegeben, dass man folgende Dienste Dritter nutzt: AWS, Zendesk, Sentry, Google Analytics, Loggly, Slack, PagerDuty, und Postmark. Die Liste ist den Formulierungen nach nicht unbedingt abschließend – “The third-party services we use to provide Kialo includes …”

Für Google Analytics wird angegeben, dass im EU Raum die IP Adressen verkürzt werden, sofern die Funktion auf der Website von Kialo aktiviert ist

In case IP anonymisation is activated on this website, your IP address will be truncated within the area of Member States of the European Union or other parties to the Agreement on the European Economic Area. Only in exceptional cases the whole IP address will be first transferred to a Google server in the USA and truncated there. IP anonymisation is active on this website…

:exclamation: Bei der Überprüfung mit Tools wie WebbKoll.Dataskydd sind bei einem Login unter https://www.kialo-edu.com keine der beschriebenen Dienste Dritter nachweisbar. Es erscheinen lediglich Cookies/ Tracker von Kialo selbst und einem finnischen Dienst Wistia.com. Der Dienst beschreibt sich selbst als eine Plattform für Videomarketing und wird vermutlich für die Videos genutzt, mit welchen Kialo seine Plattform erklärt. Die Plattform erlaubt neben dem Hosting von Videos auch die Auswertung der Nutzerinterkation mit den Videos.

Server Standort(e): Augenscheinlich nutzt Kialo Amazon Web Services (AWS), um das Angebot zu hosten. Inwieweit Daten dabei in der EU oder in den USA gespeichert werden, ist auf Anhieb nicht zu erkennen.

Nach Angaben von Kialo ist man um Datenschutz bemüht und versucht, diesen stetig zu verbessern.

Als US Anbieter unterliegt Kialo der US Gesetzgebung und ist verpflichtet, Daten von Nutzern aus dem EU Raum an Ermittlungsbehörden auf Verlangen herauszugeben. Nutzern aus der EU stehen dabei keine Betroffenrechte vergleichbar denen unter der DS-GVO zu.

Nutzung und Funktionen:
Kialo setzt zur Nutzung individuelle Nutzerkonten voraus, sowohl für Lehrkräfte als auch für Schüler. Für die Erstellung eines Nutzerkontos gibt es mehrere Optionen. Eine davon ist die Anmeldung über ein Google Konto oder über einen Nutzernamen und ein Passwort. Die Angabe einer E-Mail Adresse ist optional. Damit ist es durchaus möglich, sich mit selbstgewählten Nutzernamen, die keinen Rückschluss auf den Nutzer zulassen anzumelden. Ohne Angabe einer E-Mail Adresse besteht allerdings keine Möglichkeit, einen verloren Zugang zum Nutzerkonto wiederherzustellen.

Nutzerkonten werden von den Nutzern individuell erstellt und sind von daher nicht unter Kontrolle der Schule. Lehrkräfte können (wie jeder Nutzer) ein Team erstellen und Schüler dazu einladen. Genauso können sie Schüler zu Diskussionen einladen. Bestehen Teams, können diese als Gruppe zu einer Diskussion eingeladen werden.

Im roten Text über der Datenschutzerklärung wird angegeben, dass es auch ein Kontrollzentrum für Organisationen gibt, welches einer Organisation die volle Kontrolle über ihre Nutzerkonten und Daten gibt, einschließlich der Löschung und des Exports.

We also offer an organization dashboard that allows those responsible at an organization to take full control of their users’ accounts and data, including deleting and exporting it.

Über Organisationen erfährt man nur etwas in den Release Notes. Demnach gibt es das Konzept der Organisation seit dem 15. April 2020

The concept of organizations has been introduced for Kialo Edu. Users become part of an organization if their associated email addresses match domains the organization is authorized to manage. Organizations are very useful for schools, school districts and universities that want to view and manage their students’ data themselves.

Demnach können Schulen ein Konto als Organisation haben und Nutzer werden der Schule zugeordnet, wenn ihre E-Mail Adressen der Domain der Schule angehören, welche in Kialo-Edu hinterlegt ist.

Es ist möglich, Diskussionen in einige LMS wie z.B. Moodle einzubetten. Dabei besteht jedoch keine direkte Datenverbindung zwischen beiden Systemen. Um z.B. in Moodle an einer Diskussion auf Einladung teilnehmen zu können, müssen Schüler gleichzeitig auch in Kialo eingeloggt sein.

Von den Funktionen her unterstützt Kialo verschiedene Arbeitsweisen, auch kollaboratives Arbeiten, wobei Teilnehmer einer Diskussion Argumente gemeinsam zusammentragen.

In Ergänzung zur Diskussion gibt es eine Chat Funktion für die Teilnehmer an einer Diskussion. Darüber kann ein Austausch neben der eigentlichen Sammlung von Argumenten für und wider stattfinden.

Kialo kann direkt in Diskussionen anzeigen, wer welche Aussage/ welchen Beitrag getätigt hat. Die Plattform bietet eine Reihe von Analysetools, die es erlauben, Informationen über Teilnehmer der Diskussion zu erhalten bezüglich von Aussagen, Beiträgen zu Diskussionen und abgegebenen Stimmen bei Abstimmungen.

Quelle: Tipps for Grading Kialo Assignements

Das ist unter anderem als eine Möglichkeit gedacht, um durch Schüleraktivitäten eine Bewertungsgrundlage zu erhalten. Von einer derartigen Nutzung durch Lehrkräfte ist dringend abzuraten.

Kialo und personenbezogene Daten
Kialo ist eine Plattform die sowohl für persönliche Diskussionen wie auch strukturiertes Zusammentragen von Argumenten für und wider eine Aussage genutzt werden kann. Je nach Art und Weise der Nutzung können so auch höchst persönliche Überzeugungen politischer oder religiöser Art wie auch sexuelle Orientierungen einfließen. Auch wenn Nutzer mit einem Pseudonym an Kialo angemeldet sind, können ihre Aussagen und Abstimmungen in der Plattform unter Umständen einer identifizierbaren Person zugeordnet werden, wenn die Nutzung über ein privates Endgerät erfolgt oder wenn sich auf dem genutzten Zugangsgerät an einer anderen nicht-schulischen Plattform eingeloggt wurde.

(A) Nutzung auf einem schulischen Endgerät
Erfolgt die Nutzung von Kialo

  • auf einem schulischen Endgerät
  • am Standort der Schule
  • ohne gleichzeitigen oder vorherigen Login an einer anderen nicht-schulischen Plattform und
  • es werden keine persönlichen oder personenbeziehbaren Informationen in eine Diskussion eingebracht,

und wird ein Nutzerkonto

  • mit pseudonymisiertem Nutzernamen und
  • ohne E-Mail Adresse angelegt,

so sollte es für die im Hintergrund der Plattform laufenden Dienste Dritter nicht möglich sein, einzelne Nutzer einer identifizierbaren Person zuzuordnen. Das Risiko einer Nutzung durch Schüler sollte so vertretbar gering sein.

(B) Nutzung auf einem privaten Endgerät
Bei Nutzung auf einem privaten Endgerät in der Schule (BYOD) oder zu Hause (wie auch bei der Nutzung eines schulischen Endgerätes von zu Hause aus) werden Nutzer potentiell über Gerätekennungen und die IP Nummer des Mobilzugangs oder Hausanschlusses wie auch Logins an im Privatbereich genutzten nicht-schulischen Plattformen identifizierbar.

Sofern die unter Kialo-edu.com tatsächlich keine der in der Datenschutzerklärung aufgeführten Drittanbieter wie Google-Analytics zum Einsatz kommen, sollte das Risiko für Betroffene begrenzt sein. Voraussetzung dafür ist jedoch:

  • ein Nutzerkonto ohne Verwendung einer E-Mail Adresse und mit einem Pseudonym
  • es werden keine persönlichen Inhalte eingebracht und
  • es werden in Diskussionen oder der Sammlung von Argumenten keine Inhalte eingebracht, die auf persönliche Überzeugungen politischer oder religiöser Art wie auch sexuelle Orientierung schließen lassen.

Eine sichere Beurteilung des Risikos für Nutzer in beschriebenen Setting ist nicht möglich, da zu viele Unbekannte verbleiben.

Handlungsempfehlungen
Soll Kialo-edu in der Schule genutzt werden, so hängt einiges vom Setting und der geplanten Nutzung ab.

  1. Grundsätzlich ist zur Vermeidung von Risiken von einer Nutzung der Plattform für Themen, in welchen es um persönliche Überzeugungen politischer oder religiöser Art wie auch sexuelle Orientierungen geht, abzuraten. Es besteht bei Diskussionen mit derartigen Themen, die Möglichkeit, dass Schülerinnen und Schüler hier in ihren Beiträgen oder Abstimmungen politische Gesinnungen, religiöse Überzeugungen oder auch sexuelle Präferenzen offenbaren.
  2. Eine Nutzung im Szenario (A) sollte das geringste Risiko darstellen und die bevorzugte Methode der Nutzung in Schulen der Sekundarstufe 1 sein.
  3. Bei einer Nutzung im Szenario (A) sollten bei Schülerinnen und Schülern vor Vollendung des 16. Lebensjahres die Eltern auf jeden Fall informiert werden.
  4. Eine Nutzung im Szenario (B) setzt voraus, dass die Betroffenen über mögliche Risiken informiert werden und eine Zustimmung der Erziehungsberechtigten, sofern die Schülerinnen und Schüler unter 18 Jahren alt sind.
  5. Eine Nutzung der Plattform kann in beiden Settings nur freiwillig sein.
  6. Vor der Nutzung sollten die Spielregeln vermittelt werden. Wichtig ist dabei, dass Schülerinnen und Schüler in der Lage sind, mögliche Risiken nachzuvollziehen, die sich für sie ergeben können, wenn sie die Plattform mit ungeeigneten Inhalten/ Äußerungen/ Beiträgen nutzen.
  7. Schülern sollte auch klar sein, dass Lehrkräfte eine Möglichkeit haben, über Auswertungswerkzeuge in der Plattform ihre Beiträge und Abstimmungen quantitativ auszuwerten.
  8. Es empfiehlt sich außerdem, Schülerinnen und Schüler dazu anzuhalten, einen sicheren Browser zu nutzen, etwa Brave Browser oder Firefox und auf Mobilgeräten den DuckDuckGo Browser, da diese in der Lage sind, einen Teil der genutzten Tracking Mechanismen von Webdiensten zu blockieren, ohne ihre Funktion zu beeinträchtigen.

Außerdem
Wenn Schulen ein Organisations Konto beantragen, haben sie deutlich mehr Zugriff auf Nutzerdaten. Es bräuchte dann einen Vertrag zur Auftragsverarbeitung (engl. Processor Agreement oder Data Processing Addendum) zwischen Schule und Kialo. Ob ein solcher Vertrag angeboten wird, ist aus dem Online Auftritt und Support Angebot nicht zu entnehmen. Falls es einen entsprechenden Vertrag gibt, wäre zu prüfen, ob dieser den Vorgaben von Art. 28 Abs. 3 DS-GVO gerecht wird und ob es eventuell geeignete Garantien gemäß Art. 46 DS-GVO gibt. Die Nutzung eines Organisations Kontos würde bedeuten, Schüler müssen sich mit einer schulischen E-Mail Adresse anmelden. Welche Risiken dadurch möglicherweise entstehen, ist schwierig abzuschätzen. Ob eine informierte Einwilligung auf der Grundlage von Art. 49 Abs. 1 lit. a DS-GVO eine Möglichkeit darstellt, um die mit der Nutzung von Kialo einhergehende Übermittlung von personenbezogenen Daten zu legitimieren, von den Aufsichtsbehörden akzeptiert wird, bleibt abzuwarten.