Disclaimer: Der Anbieter von OrgPad ist von sich aus an mich herangetreten und hat, da er auf der Seite ähnliche Plattformen fand, um eine Einschätzung gebeten. Da ich OrgPad für eine unterrichtliche Nutzung sehr interessant finde, bin ich dieser Bitte nachgekommen, um Schulen eine Entscheidungsgrundlage für eine Nutzung zu geben. Um alle Features ausprobieren zu können wurde mir ein Standard Konto kostenlos zur Verfügung gestellt.
Beschreibung
OrgPad ist eine webbasierte Plattform, die es erlaubt, Ideen und Wissen kollaborativ zu sammeln, zu strukturieren und zu präsentieren. Der Anbieter beschreibt sein Plattform selbst wie folgt:
“Das Werkzeug OrgPad hat gegenüber TaskCards, Prezi, Flinga, Padlet usw. einige Vorteile. Es bietet deutlich mehr Freiheit als nur klassische, baumartige MindMaps oder Karten zu erstellen. Dabei versucht es aber mit vorsichtig gewählten, eingeschränkten Einstellungen dem Nutzer helfen sich auf den Inhalt und eine schlichte visuelle Präsentation zu konzentrieren. Alles von den physikalischen Animationen bis hin zu der Farbpalette ist auf “rundes”, langfristiges und ästhetisches Lernen und Arbeiten fokussiert.”
Aktuell stehen drei Module in der Plattform zur Verfügung, Notizen, OrgSeiten und Präsentationen. Während die Module Notizen und Präsentationen nur Einzelnutzern zur Verfügung stehen, lassen sich OrgSeiten kollaborativ bearbeiten. OrgSeiten ist das Herz der Plattform. Es ist ein Mindmapping Tool, mit welchem sich inhaltlich angereicherte Wissensnetze anlegen lassen. Einzelne Knoten können dabei unter einer Knoten-Überschrift Informationen in Form von Text, Links, Bildern, Videos und Tabellen aufnehmen, die dann direkt im Knoten angezeigt werden. Über einen Mini-Editor lassen sich die Texte umfangreich formatieren. Außerdem ist es möglich eine Vielzahl von Seiten in einem Knoten anzulegen. Andere Dateiformate lassen sich als Anhang zu einem Knoten hinzufügen und werden dann ja nach Typ im Browser angezeigt oder heruntergeladen, um über ein geeignetes Programm angezeigt zu werden. Es ist auch möglich, externe Inhalte über einen iframe in einem Knoten einzubetten.
Um mit OrgPad arbeiten zu können, ist ein Nutzerkonto erforderlich. Für dieses werden eine E-Mail Adresse und ein Passwort benötigt. Das Basis Konto ist kostenlos nutzbar und auf 3 OrgSeiten und 100 MB beschränkt. Schon in dieser Version ist es möglich weitere Personen zur Mitarbeit an einer OrgSeite oder Präsentation einzuladen. Alternativ kann auch nur ein Lesezugriff gegeben werden. Zum Teilen einer OrgSeite oder einer Präsentation gibt es mehrere Möglichkeiten. Die einfachste Möglichkeit, ist das Teilen eines Links, der von der Plattform automatisch erstellt wird und sich ändert, wenn man die Berechtigung (Lesen oder Bearbeiten) umstellt. Bestehende Links zum Lesen und Bearbeiten lassen sich im gleichen Menü löschen. Sollen eine OrgSeite oder Präsentation erneut geteilt werden, hat sie dann jeweils einen neuen Link für Lesen und Bearbeiten. OrgSeiten lassen sich außerdem über einen Einbettungscode mittels iframe in andere Plattformen einbinden. Auch hierbei lassen sich Rechte setzen. In Ergänzung zum Teilen eines Links können auch Nutzer über ihre E-Mail Adresse eingeladen werden. Ist ein Nutzer bereits in OrgPad registriert, wird er in der Plattform eingeladen. Nutzer ohne Konto erhalten eine Einladung per E-Mail. Lässt das Konto die Erstellung von Teams zu, kann eine OrgSeite auch direkt mit einem Team geteilt werden, auch hier mit der Anpassung der Rechte. OrgSeiten lassen sich außerdem mit allen Nutzern der Plattform teilen. Auch dabei gibt es neben der Möglichkeit, diese Freigabe mit Leserechten zu versehen, die Option einen Schreibzugriff zu erteilen.
Neben der eingeschränkten kostenlosen Version gibt es verschiedene kostenpflichtige Angebote, die sich durch zusätzliche Features unterscheiden. Ein Feature, welches nur in kostenpflichtigen und Organisations- bzw. Schulkonten zur Verfügung steht, ist Teams. Diese bestehen aus mehreren in der Plattform registrierten Personen. Der Besitzer des Teams kann Personen zum Team hinzufügen und diesen bei Bedarf zusätzliche Admin Rechte (Teilen und Löschen) geben. Teams erleichtern, wie oben beschrieben, die gemeinsame Nutzung von OrgSeiten, da es so möglich ist, anstelle von Einzelnutzern, mehrere Nutzer gleichzeitig zur Mitarbeit einzuladen.
Konten für Schulen verfügen über weitere Funktionen. Nutzer werden hier primär über die E-Mail Domain zugeordnet, die dann identisch ist zu der der Schule oder einer oder mehreren von der Schule angegebenen. Weitere Funktionen, etwa für Lehrkräfte zum Zurücksetzen des Passworts von Schülern sind angedacht. Nach Angaben des Anbieters befindet man sich hier noch in der Entwicklung.
OrgPad wird als Webanwendung auf den Servern des Anbieters bereitgestellt. Für große Kunden ist der Anbieter gegebenenfalls bereit auch on-premise Installationen zu ermöglichen. Das könnte unter Umständen für Schulträger von Interesse sein, welche die Plattform allen ihren Schulen zur Verfügung stellen wollen.
Datenschutz, Sicherheit
Serverstandort, Anbieter
Der Anbieter von OrgPad ist die tschechische Firma OrgPad s.r.o. aus Prag. Die Plattform wird auf Servern der Firma Hetzner Online GmbH in Falkenstein und Nürnberg betrieben.
Für Backup und Wiederherstellung im Notfall wird das Produkt Spaces von Digital Ocean eingesetzt. Laut Anbieter sind die “Disaster Recovery Sicherungen/ Backups zu Digital Ocean (DO) vor dem Absenden bereits verschlüsselt und werden über verschlüsselte Verbindung übertragen. DO hat als amerikanische Firma also keinen Zugriff auf Daten/ Metadaten” der Nutzer der Plattform.
Datenschutzerklärung
Die Datenschutzerklärung liegt aktuell nur in englischer Sprache vor. Sie fällt recht knapp aus und differenziert nicht zwischen dem Internetauftritt, mit welchem das Angebot beworben wird und der Plattform selbst. Nach Angaben des Anbieters wurde die Datenschutzerklärung mit dem Ziel guter Lesbarkeit erstellt. Sie Enthält neben Informationen zu den Verarbeitungszwecken, Rechtsgrundlagen der Verarbeitung und Rechten der Betroffenen auch Informationen zu Logdateien des Hosting Anbieters (hier Hetzner) und dass diese zu Analysezwecken genutzt werden. Die im Folgenden beschriebenen Daten “die Anzahl der Klicks und ihre Position, die Bewegung Ihrer Maus und die Tastaturinteraktionen” gehen aber deutlich über das hinaus, was Server Logdateien normalerweise hergeben und gehören eher in den Bereich der Analyse durch Drittanbieter Tools. Als Zweck der Verarbeitung wird angegeben: “die Analyse von Trends, die Verwaltung der Website, die Verfolgung der Bewegungen der Nutzer auf der Website, die Untersuchung des Nutzerverhaltens innerhalb des Tools und die Erfassung demografischer Daten.” Es folgt ein Hinweis auf Cookies, die nicht weiter spezifiziert werden. Als Verarbeitungszweck wird Verbesserung der Nutzererfahrung angegeben. Auch in den Nutzungsbedingungen findet sich eine Angabe zu Cookies. Demnach handelt es sich um funktionale Cookies, die Besuchern die Nutzung der Website erleichtern sollen Bezüglich des Einsatzes von Drittanbietern auf OrgPad wird angegeben, dass jeweils die Datenschutzerklärungen dieser Anbieter gelten. Um welche Anbieter es sich handelt wird jedoch bis auf den Anbieter Stripe für Zahlungabwicklung nicht näher spezifiziert.
Sicherheit
Einen kompletten Überblick über das technische Sicherheitskonzept hat der Anbieter in einer öffentlichen OrgSeite bereitgestellt (engl.) – Security & Privacy. Zusätzlich gibt es noch Informationen zur IT Architektur von OrgPad.
Weitere Infos zur Datenverarbeitung
Per E-Mail hat der Anbieter weitere Informationen zur Datenverarbeitung mitgeteilt.
Logdaten
Demnach führt der Anbieter auf der Grundlage der IP Adressen intern eine grobe Standortzuweisung auf Landesebene durch für eine bessere Einschätzung der Last-Entwicklung, Support, die Priorisierung von Übersetzungen der Plattform und ähnlich. Die IP Adressen werden dabei nicht an Dritte weitergegeben.
E-Mail Versand durch OrgPad
Zum Versand von E-Mails über die Plattform, etwa beim Einladen von Personen in ein Team, werden Google SMTP Relay Server im Rahmen
von Google Workspace verwendet. Die Verbindung dorthin ist
verschlüsselt. Persönliche Anfragen der Nutzer (auf support@orgpad.info)
werden ebenfalls über eine bei Google Workspace gehostetes E-Mail Konto
beantwortet.
Schutz der Nutzerdaten
Nach Angaben des Anbieters sind alle OrgSeiten eines Nutzers, wie auch seine E-Mail-Adresse standardmäßig privat. Mach ein Nutzer im Profil oder bei der Anmeldung Angaben zu Vor- und Nachnamen, kann man Nutzer darüber suchen. Dabei ist dann auch ein Profilbild sichtbar, falls ein solches eingestellt wurde.
Löschen von Nutzerdaten
Nutzer haben die Möglichkeit, ihr Konto in den Einstellungen zu löschen. Mit der Löschung eines Kontos werden nach Information des Menüs auch alle OrgSeiten und darin enthaltene Daten gelöscht.
Vertrag zur Auftragsverarbeitung
Aktuell verfügt OrgPad nach Angaben des Anbieters über keine eigene Vorlage für einen Vertrag zur Auftragsverarbeitung. Auf Anfrage sei man jedoch bereit, einen solchen Vertrag mit Kunden abzuschließen.
Cookies, Tracking
Mittels WebbKoll DataSkydd und Funktionen des Browsers lassen sich Cookies und Tracking Tools des Anbieters und von Drittanbietern wie folgt nachweisen:
Direkter Aufruf einer OrgSeite
Wird eine OrgSeite über einen Link direkt aufgerufen, werden bei Nutzern insgesamt 3 Cookies gesetzt. Bei diesen handelt es sich allesamt um sogenannte 1st Party Cookies, also Cookies, die über die Domain des Anbieters gesetzt werden. Über ein device-id Cookie wird eine einmalige Nutzer ID (uuid) mit einem Ablaufdatum von 6 Monaten gespeichert. Es wird darüber hinaus eine secure-ring-session Cookie gespeichert, welches am Ende der Sitzung wieder gelöscht wird. Außerdem gibt es ein consent-popup-closed Cookie, welches das Speichern der Cookie Benachrichtigung festhält, um dieses nicht erneut anzuzeigen bei einem Neuladen oder späteren Besuch der Seite.
Aufruf der Login Seite
Ruft ein Nutzer die Login Seite unter https://orgpad.info/login auf, werden dort zunächst 2 Cookies (device_id, secure-ring-session) gesetzt und nach Schließen der Cookie Nachricht das consentpopup-closed Cookie. Logt sich ein Nutzer mit E-Mail und Passwort ein und wählt dabei die Option “Anmeldung merken”, wird zusätzlich ein access-token Cookie gesetzt, welches eine weitere, von der ersten verschiedene uuid enthält.
Auf der Login Seite befinden sich auch Links für einen Login via Google und Facebook. Diese Links leiten direkt zu den Anbietern für einen Login über ein bestehenden Google- oder Facebook-Konto weiter. Bei Google und Facebook erhalten nach Angaben des Anbieters beim Login via OAuth2 nur eine Berechtigung zum Abruf von Name und Profilbild.
Aufruf der Registrierungs-Seite
Es werden die gleichen 3 Cookies gesetzt wie auch auf der Login Seite. Wird die Option “Mit E-Mail registrieren” gewählt, werden keine neuen Cookies gesetzt. Sobald die Anmeldung ausgefüllt und abgesendet ist, wird auch hier ein access-token Cookie gesetzt. Dieses ändert sich auch nicht nach der Bestätigung der E-Mail Adresse durch Klicken eines Links in einem Bestätigungs-E-Mail.
Aufruf des Internetauftritts von OrgPad
Diese Seite, erreichbar unter https://orgpad.com zeigt zunächst einen Datenschutzhinweis mit Links, über welche Nutzer sich informieren können. Sie landen dann auf der eigentlichen Seite, wo sie einen Button “Login” und “Register” finden. Nutzer werden über eine Suche vor allem auf dieser Startseite landen und von dort zum Login gehen, wenn sie den direkten Link nicht kennen. Auf dieser Landing Page werden mehrere Cookies gesetzt. Laut WebbKoll DataSkydd gibt es 38 Anfragen von Drittanbietern von 8 verschiedenen Stellen. Sie stehen im Zusammenhang mit dem in diese Seite eingebetteten YouTube Video und Google Fonts. Laut Anbieter setzt man jetzt auf “vermehrt youtube-nocookie.com.” Es werden einige Informationen im Zusammenhang mit youtube-nocookie.com von Google Servern abgerufen und im Local Storage abgelegt. Diese werden sämtlich in dem Moment aus dem Local Storage geleert, wenn auf “Anmelden” geklickt wird.1Auch wenn diese Daten, aus dem Local Storage verschwinden, scheint es “Rückstände” im Speicher des Browsers zu geben.
OrgSeite mit Inhalten
Eine OrgSeite verhält sich wie jede Website, wenn in diese Inhalte von externen Quellen eingebettet werden. Nutzt man beispielsweise die Möglichkeit, ein Video von YouTube einzubetten, zieht dieses Cookies und Tracking Tools von Google nach sich. Werden Inhalte direkt auf die Server von OrgPad geladen, fallen diese Cookies von Dritten nicht an.
Datenschutz Bewertung Übersicht
OrgPad ist eine Plattform, die sich durch eine recht einfache und datensparsame Nutzbarkeit auszeichnet. Das eigentliche Angebot verzichtet auf den Einsatz von Drittanbieter Diensten, um Nutzerverhalten zu verfolgen und auszuwerten. Hier beschränkt man sich auf die Informationen, welche die Logdateien des Hosters hergeben. Zur Anlage eines Nutzerkontos sind aktuell zumindest eine E-Mail Adresse und ein Passwort erforderlich. Geht es nur um die Mitarbeit an einer OrgSeite, reicht ein einfacher Link, über den auch die Berechtigung zum Lesen oder Bearbeiten differenziert vergeben und widerrufen werden kann. Da der Anbieter nach eigenen Angaben die IP der Nutzer nicht mit Daten aus anderen Quellen zusammenführt, bleiben Schüler so für den Anbieter anonym, solange sie nur Mitarbeiter ohne eigenes Konto sind. Erfolgt der Zugriff via Link auf eine OrgSeite aus der Schule, sind einzelne Schüler auch nicht mehr einer individuellen IP zuzuordnen. Beiträge in einer OrgSeite lassen sich keinem individuellen Nutzer zuordnen, auch nicht, wenn dieser ein eigenes Konto hat.
Gehen Nutzer zur Anmeldung über die Landing Page des Anbieters unter orgpad.com, so werden darüber nun keine Drittanbieter Cookies mehr gesetzt. Durch das dort eingebettete YouTube Video mit der nocookie Option werden keine Google Cookies gesetzt. Das ist noch nicht ideal, aber die bestmögliche Option, ein YouTube Video einzubetten.
Angemeldete Nutzer entscheiden selbst, ob sie eine OrgSeite öffentlich machen, so dass sie für jeden Nutzer in der Plattform sichtbar ist oder nicht. Ergänzen Nutzer ihr Profil um einen Namen, ist der Nutzer aktuell für alle Nutzer der Plattform über die Suche auffindbar. Auch ein eventuell eingestelltes Profilbild ist sichtbar. Weitere Informationen, wie beispielsweise die E-Mail Adresse, sind von anderen Nutzern nicht einsehbar. Momentan erscheinen noch alle Nutzer in der Suche. Die Anzeige ist jedoch nach Angaben von OrgPad nicht enumerativ, zeigt also nur einige Nutzer. Laut Anbieter kann er schulische Nutzer, die zu einer Schule mit Schulkonto gehören, zukünftig jedoch aus dieser Suche herausnehmen.
Auch wenn der Anbieter bezüglich der Verarbeitung von personenbezogenen Daten sehr transparent ist, reicht die Datenschutzerklärung in der aktuellen Form momentan nicht aus, um die bei einer Nutzung der Plattform stattfindende Datenverarbeitung sicher beurteilen zu können. Ergänzenden Informationen und eine deutschsprachige Version wären hier wünschenswert. Der Anbieter spricht Deutsch und wird hier sicher nachliefern.
Für Schulen gut ist auch die Bereitschaft des Anbieters, einen Vertrag zur Auftragsverarbeitung abzuschließen. Schulen müssen hier momentan jedoch selbst einen Vertrag vorlegen. Auch wenn das mit Blick auf die DS-GVO das übliche Verfahren ist, dürfte Schulen dieses schwerfallen. Es wäre von daher für Schulen aus Bundesländern, die keinen Vertrag von Seiten des Schulministeriums vorschreiben, hilfreich, wenn der Anbieter hier eine eigene Vorlage zum Abruf bereitstellt.
Hinweise zur Nutzung durch Schulen
Grundsätzliches
OrgPad ist eine Plattform, die sich sehr datensparsam und sicher nutzen lässt. Lehrkräfte, die sich ein privates kostenloses Konto einrichten, können Schüler:innen über einen Link zum Ansehen und Erkunden oder zur kollaborativen Mitarbeit einladen.
Auch bei einer eigenständigen Anmeldung von Schüler:innen, etwa um Teams bilden zu können, sind keine Risiken erkennbar. Solange eine Schule kein Schulkonto hat, sollte die Anmeldung für eine unterrichtliche Nutzung nach Möglichkeit mit einer schulischen E-Mail Adresse erfolgen. Ist die E-Mail Adresse pseudonym, bleiben die Schüler:innen für den Anbieter anonym, falls gewünscht. Die Angabe eines Namens ist nicht erforderlich und kann auch mit Pseudonym erfolgen, auch wenn das bei diesem Anbieter nicht erforderlich sein sollte.
Es sollte darauf geachtet werden, dass Zugriffe zum Login aktuell immer über die Login Seite https://orgpad.info/login erfolgen und auch Registrierungen über den Link dort. So vermeidet man so, dass Daten bei Google landen, bis der Anbieter hier nachgebessert hat.
Eine Nutzung von OrgPad zur Mitarbeit an einer OrgSeite oder Präsentation über einen Link setzt Freiwilligkeit voraus, kann jedoch auf eine zusätzliche Einwilligung in die Nutzung durch die Eltern verzichten, solange sie aus der Schule auf schulischen Endgeräten erfolgt und keine persönlichen Inhalte eingestellt werden. Eltern sollten jedoch über die Nutzung informiert werden. Sollen Schüler eigene Konten erstellen, setzt dieses Freiwilligkeit voraus und bei jüngeren Schüler:innen eine Einwilligung der Eltern. Ältere Schüler können ein Konto spätestens ab Vollendung des 16. Lebensjahres eigenständig erstellen.
Inhalte
Bei der Einbettung von externen Inhalten in eine OrgSeite durch Einbettung erhalten die Seiten, von denen die Inhalte kommen und dort aktive Drittanbieter Zugriff auf personenbezogene und -beziehbare Daten der Nutzer. Im Minimum erhalten sie IP Nummern. Meist erhalten sie über Cookies und Tracker weitaus mehr Daten. Bezüglich YouTube Videos beabsichtigt der Anbieter die Einbettung in der gesamten Plattform durch eine no-cookie Einbettung datenschutzfreundlicher zu gestalten.
Auch wenn OrgPad von seiner IT Architektur her sicher sein sollte, ist es nicht dafür gedacht, hier persönliche Inhalte zu hinterlegen, also keine biographischen Daten und auch keine Medien, welche Nutzer in Bild und Ton darstellen. Mit einem Vertrag zur Auftragsverarbeitung und einer klaren Regelung der Verantwortlichkeiten, würde hingegen nichts dagegen sprechen, auch persönlichere Informationen in der Plattform zu hinterlegen.
Nutzung in der Schule
Werden Schüler:innen auf OrgPad über einen Link zur kollaborativen Mitarbeit an einer OrgSeite oder Präsentation eingeladen und nutzen dabei ein schulisches Endgeräten in der Schule, bleiben sie für den Anbieter anonym, solange dabei keine persönlichen Informationen eingestellt werden.
Nutzung zu Hause/ auf privaten Geräten/ BYOD
Rufen Schüler eine OrgSeite über einen Link von zu Hause aus auf oder über das Mobilnetz mit ihrem Smartphone, so erhält der Anbieter nur die üblichen Log Daten, die jedoch nur anonym ausgewertet werden. Beim Aufruf über ein privates Endgerät über das WLAN Netz der Schule fallen nur Log Daten an, die Aufschluss über das verwendete Endgerät geben können, jedoch keinen Rückschluss auf den Nutzer zulassen.
Die nachfolgenden Bewertungen gehen immer davon aus, dass bei der Mitarbeit an einer OrgSeite keine persönlichen Informationen eingestellt werden bei der Nutzung einer OrgSeite zur Bereitstellung von Informationen keine Inhalte von externen Seiten eingebettet werden, die zu riskanten Datenabflüssen über damit verbundene Drittanbieter Tools führen.
Nutzung in der Schule mit schulischen Endgeräten
Bei einer Nutzung in der Schule mit schulischen Endgeräten kann die Plattform ohne Risiken sowohl zur Bereitstellung von Informationen als auch zur kollaborativen Erstellung eines Wissensnetzes oder einer Ideensammlung genutzt werden.
Nutzung auf privaten Endgeräten/BYOD
Auch bei einer Nutzung von privaten Endgeräten in der Schule (BYOD) oder vom heimischen Internetanschluss aus wie auch von mobilen Endgeräten aus bestehen für Schüler:innen keine Risiken.
Nutzung durch Lehrkräfte – Boards erstellen und teilen
Die Nutzung von OrgPad ist auch für Lehrkräfte sehr datensparsam möglich.
Fazit
OrgPad ist eine vielversprechende Plattform, die sehr datensparsam genutzt werden kann und sich von daher auch für eine spontane Nutzung im Unterricht eignet. Der Anbieter hat Pläne seine Plattform in ihrer Funktionalität deutlich zu erweitern. Man darf gespannt sein. Dem Anbieter geht es nach eigenen Worten darum, “ein besseres Werkzeug zum Lernen und Arbeiten anzubieten und sicher[zu]stellen, dass eine Nutzung ohne Sorgen bzgl. DSGVO-Konformität stattfinden kann.” Wenn er dabei diesem Ansatz weiterhin folgt, hat sie ein gutes Potential, den Weg in viele Klassenzimmer zu finden. Helfen könnte dabei auch, dass OrgPad Partner bei Vidis geworden ist und damit eine Option für ihn besteht, eine Anmeldung über diesen Vermittlungsdienst zu schulischen Identitätsprovidern in seine Plattform zu integrieren.
Stand 02/2022