BookCreator – online Bücher erstellen

Lesezeit: 9 Minuten

Beschreibung

BookCreator Online ist eine Plattform zur einfachen Erstellung digitaler multimedialer Bücher und Comics. BookCreator Online  ist zu unterscheiden von der iOS App BookCreator, mit der es möglich ist, digitale Bücher komplett offline zu erstellen. Hier soll es um die Cloud Plattform BookCreator Online gehen. In BookCreator Online erstellte Bücher können sowohl zur Darbietung multimedialer Inhalte genutzt werden, als auch zur Erstellung von Büchern durch Schüler. Auch Mischformen sind möglich, in welchen Lehrer bestimmte Inhalte vorgeben, die dann von Schülern ergänzt werden. Multimedial sind die Bücher, da sie neben Text auch Audio-, Video- und Bildmaterial aufnehmen können. Bei Ton- und Bildmedien sind auch direkte Aufnahmen über Kamera und Mikrofon des Endgerätes möglich. Neben selbsterstellten Inhalten lassen sich zusätzlich externe Inhalte über eine Einbettungsfunktion (iFrames) integrieren. Dazu gehören z.B. Bilder von anderen Websites, Audiodateien wie auch YouTube Videos und Google Maps. Es gibt darüber hinaus eine Vorlesefunktion.

Lehrkräfte können Schüler zur Bearbeitung eines Buches einladen. Schüler benötigen dafür ein Konto. Dieses kann ohne E-Mail Adresse eingerichtet werden und mit einem Pseudonym als Kontoname. Danach können für die Schüler individuelle Links erzeugt werden oder QR-Codes, mittels derer sie sich einloggen. Die Bearbeitung von Büchern ist kollaborativ in Echtzeit möglich. Sollen Bücher nur konsumiert werden, ist kein Zugang erforderlich. Neben der Veröffentlichung von Büchern über die BookCreator Website gibt es noch die Option, Bücher als epub Bücher oder als PDF zu exportieren. In beiden Formaten gehen jedoch unter Umständen einige der multimedialen Inhaltsformate und Interaktivitäten verloren. Logins können auch über von der Schule genutzte Plattformen wie Office 365/ Microsoft 365 und Google Classroom erfolgen.

BookCreator kann kostenlos genutzt werden, ist dann allerdings in der Anzahl der Bücher limitiert. Trotzdem stehen alle Funktionalitäten zur Verfügung, um die Plattform ausgiebig zu testen. Schulen, welche die Plattform umfänglicher nutzen wollen, können ein kostenpflichtiges Schulkonto einrichten. Für diese Schulen gibt es die Möglichkeit einen Vertrag zur Auftragsverarbeitung mit BookCreator abzuschließen. Der nennt sich hier Data Processing Addendum, kann als PDF heruntergeladen werden und ist bereits vorunterzeichnet. Bei der Datenschutzerklärung müssen Nutzer sich an der Version für nicht-US Nutzer orientieren.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Der Anbieter kommt aus Großbritannien (Tools for Schools Limited, 31 – 34 High Street, Bristol, BS1 2AW, United Kingdom). BookCreator.com, die Domain des Anbieters, unter welcher das Produkt beworben wird und der Login für registrierte Nutzer erfolgt, hat als Serverstandort Großbritannien. Genutzt wird als Hoster Google. Dort werden nach eigenen Angaben sämtliche Daten gespeichert. Man hat mit Google dazu einen Vertrag zur Auftragsverarbeitung abgeschlossen, der die Standardvertragsklauseln enthält. Man versichert, dass man angemessene Maßnahmen getroffen hat, um die Daten der Nutzer zu schützen, wenn sie in die USA übertragen werden.1We take reasonable steps to protect your personal data when it is transferred to Google Cloud. Für app.bookcreator.com, die Domain unter welcher die Bücher laufen, wird eine Serveradresse in den USA angezeigt. Der Anbieter, Fastly, betreibt Server an verschiedenen Standorten in der Welt. Laufzeiten von Anfrage lassen es durchaus möglich erscheinen, dass für Nutzer in der EU Server mit EU Standorten verwendet werden. Die enge Anbindung an US Dienstleister macht vor allem vor dem Hintergrund, dass ein Großteil der Kunden in den USA zu finden sein werden, für den Anbieter Sinn.

Cookies, Tracking

Nach eigenen Angaben in der Datenschutzerklärung setzt der Anbieter Cookies ein, um Nutzern bestimmte Funktionen der Plattform bereitzustellen und zu optimieren und angemeldete Nutzer wiederzuerkennen. Eine genauere Analyse mit Webbkoll Dataskydd zeigt jedoch, dass auf einigen Bereichen der Plattform Daten abfließen dürften, die mit diesen Angaben des Anbieters nicht zu erklären sind. Bookcreator gibt an, dass man Daten der Nutzer mit Dritten nur teile, damit diese ihre Dienst für BookCreator erbringen können. Die Dritten müssen sich den in der Datenschutzerklärung gemachten Zusagen von BookCreator unterwerfen. Eine Liste der Drittanbieter findet sich unter third party service providers.

Bookcreator.com

Aus der Liste der Drittanbieter lassen sich nachweisen:

  • Intercom Sind Nutzer eingeloggt als Lehrkräfte taucht auf der rechten Seite der Website ein Dialogfenster auf, in welchem Nutzer über Neuigkeiten informiert werden und einen Chat Dialog starten können. Dieser Dienst läuft über Intercom, einen auf Dialoge dieser Art spezialisierten Dienstleister.
  • Google Firebase wird nach Angaben von BookCreator einmal zur Bereitstellung einer Datenbank für Metadaten der Bücher genutzt (Firebase Realtime Database) und zur Speicherung der Inhalte von Büchern – Texten, Bildern, Video, Audio – (Google Cloud Storage for Firebase)

Nicht aufgeführt sind in der Liste der Drittanbieter oder der Datenschutzerklärung:

  • Twitter, Facebook, LinkedIn sind mit Scripten und Cookies eingebunden, über welche Nutzerdaten an die Anbieter beim Besuch abfließen.
  • Doubelclick.net (Werbenetzwerk Google). Google Tagmanager, und Google Adservices sind über Scripte nachweisbar. An Google fließen damit Informationen, die eventuell identifizierbaren Personen zugeordnet werden können.
  • Google Analytics (siehe unten)
app.bookcreator.com wie auch Read.bookcreator.com

Entsprechend der Angaben zu Drittanbietern finden sich hier:

  • Intercom taucht auch hier auf, sofern Lehrkräfte als Nutzer eingeloggt sind. Ohne Login ist der Dienst nicht nachweisbar.
  • Google Firebase (siehe oben)

Nicht unter den Drittanbietern oder in der Datenschutzerklärung aufgeführt, findet sich hier:

  • Google Analytics (siehe unten) – lässt sich sowohl beim Aufruf eines Links mit Leseberechtigung nachweisen als auch wenn ein Schüler über einen Link oder QR Code zum Bearbeiten eines Buches eingeladen wird.

Google Analytics

Sowohl unter read.bookcreator.com als auch app.bookcreator.com ist Google Analytics nachweisbar. In beiden Fällen, so ergibt eine Überprüfung mit der Google-Analytics Prüfung der Uni Bamberg, wird der Dienst ohne Verkürzung der IP des Besuchers genutzt. Damit wird eine Identifizierung von Personen, die ein BookCreator Buch aufsuchen, auch ohne Anmeldung, durch Zusammenführung mit Daten aus anderen Quellen potentiell möglich. Einem möglicherweise bestehenden Profil kann die Information hinzugefügt werden – hat die BookCreator Website besucht.

Cookies – nicht BookCreator

BookCreator kann, wie beschrieben, neben eigenen Inhalten über die Einbettungsfunktion eine Vielzahl von Inhalten aufnehmen. Durch diese können weitere Cookies und Tracker auf den Browser des Nutzers zugreifen. Wird beispielsweise ein YouTube Video eingebettet, werden durch YouTube entsprechend Daten erhoben und gegebenfalls Cookies gesetzt, sobald dieses abgespielt wird.  Gleiches gilt auch für Bilder von externen Seiten oder auch Links, die im Anhang einen Verweis enthalten. Das ist bei BookCreator nicht anders als bei anderen Websites, etwa Blogs und Nachrichtenseiten, die externe Inhalte anzeigen bzw. auf diese verweisen.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

BookCreator ist ein britisches Unternehmen, erscheint jedoch in seinem ganzen Auftreten mehr wie ein US Unternehmen. Man berücksichtigt in den Angaben zum Datenschutz auch europäische Nutzer und die DS-GVO und bietet Schulen mit einem Schulkonto sogar einen Vertrag zur Auftragsverarbeitung (Data Processing Addendum) an, der sehr knapp ausfällt, aber auf den ersten Blick zumindest die minimalen Anforderungen nach Art. 28.  Abs. 3  DS-GVO erfüllt. Mit dem Subunternehmer Google hat man die Standardvertragsklauseln abgeschlossen. Unter aktuellen Bedingungen nach dem Schrems II Urteil des EUGH im September 2020 reichen diese nicht aus, wenn es um die Übermittlung von personenbezogenen Daten in die USA geht. Dieses ist bei den weiteren Betrachtungen zu berücksichtigen.

Lehrkräfte benötigen für die Nutzung mit Schülern immer ein Konto, egal ob es sich um ein persönliches kostenloses, kostenpflichtiges oder ein Schulkonto handelt. Schüler hingegen können BookCreator ohne eigenes Konto zumindest konsumierend nutzen, was auch die Nutzung von interaktiven Büchern meint, bei denen z.B. Dinge angehört werden können. Schülerkonten können mit Pseudonymen angelegt werden. Mehr ist nicht erforderlich, auch keine E-Mail Adresse. Sie brauchen sich damit auch nicht über bookcreator.com einloggen, sondern kommen direkt auf die Seite mit dem Buch, welches eine Lehrkraft für sie zum Bearbeiten freigegeben hat.

BookCreator nutzt auf den beiden Seiten, die für Schüler von Bedeutung sind, app.bookcreator.com zum Bearbeiten von Büchern, wie auch read.bookcreator.com zum Lesen von Büchern neben dem Cloud Speicher Firebase, welches in Bezug auf mögliche Risiken für Nutzer unbedenklich sein sollte, „nur“ Google Analytics. Welche möglichen Risiken vom Google Analyse Dienst ausgehen, hängt sehr vom Nutzungszenario ab. Mit sicheren Browsern wie Brave oder DuckDuckGo auf Mobilgeräten kann Google-Analytics leicht blockiert werden. Werden externe Inhalte eingebettet, kommen sichere Browser jedoch je nach Inhalten an ihre Grenzen und es werden Daten abfließen.

Nutzung in der Schule

Grundsätzlich sollte bei einer schulischen Nutzung darauf geachtet werden, dass Schüler keine persönlichen Informationen in ein BookCreator Buch einstellen, keine Fotos und Videos, die sie zeigen, keine Tonaufnahmen, bei denen sie zu hören sind und auch keine Texte mit eindeutig zuordenbaren persönlichen Inhalten, etwa komplette Namen. Bei einer Nutzung mit schulischen Endgeräten und ohne gleichzeitigen Login an anderen Online-Plattformen bzw. -diensten, können die im Hintergrund von Bookcreator aktiven Tracking Mechanismen und Drittanbieter keine für sie verwertbaren Daten von Schülern erheben. Entsprechendes trifft auch auf in ein BookCreator Buch eingebundene externe Inhalte und damit verbundene Datenabflüsse zu.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Auf privaten Endgeräten sind Nutzer in der Regel auch mit privaten Konten bei diversen Onlinediensten wie YouTube, Instagram und ähnlich angemeldet. Öffnen Schüler ein BookCreator Buch zum Lesen oder zum Bearbeiten von einem privaten Endgerät in der Schule auf (BYOD) oder von zu Hause aus, ruft Google Analytics Informationen wie die IP Adresse, Browsertyp, Betriebsystem und ähnlich ab, sofern Nutzer sich nicht durch einen sicheren Browser oder andere Mechanismen schützen. Durch zusätzliche in ein BookCreator Buch eingebundene externe Inhalte kann sich die Zahl von Tracking Mechanismen erhöhen, die je nach Inhalt auch nicht alle sicher von Nutzern blockiert werden können.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten

Gute Bedingungen, sowohl für ein konsumierende als auch eine produktive Nutzung, solange Schüler nicht gleichzeitig an anderen Online-Plattformen bzw. -diensten eingeloggt sind, wodurch für die im Hintergrund eines BookCreator Buches laufenden Tracking Mechanismen potentiell identifizierbar würden. Lehrkräfte sollten außerdem darauf achten, dass keine persönlichen Inhalte in ein Buch eingestellt werden, wenn es um die Bearbeitung von Büchern geht.

Konsumierende Nutzung auf privaten Endgeräten/BYOD
(keine externen Embeds)

Wenn Schüler auf BookCreator Bücher über einen Link zugreifen und dabei einen sicheren Browser nutzen, der Google Analytics zuverlässig blockiert, bestehen keine Risiken beim Abruf eines BookCreator Buches. Alle Inhalte des Buches müssen dafür jedoch direkt in ein Buch durch Hochladen eingebettet werden! Vier Sterne, da die sichere Nutzung aktives Handeln des Nutzers voraussetzt. Bei jungen Nutzern ohne Aufsicht besteht dadurch immer das Risiko, dass sie aus Unachtsamkeit keinen sicheren Browser verwenden.

Konsumierende Nutzung auf privaten Endgeräten/BYOD
(verschiedene externe Embeds, sicherer Browser)

Greifen Schüler auf ein BookCreator Buch zu, in welches externe Inhalte direkt von ihrem Ursprung eingebettet sind, erhöhen sich auch bei Nutzung eines sicheren Browsers die Risiken deutlich. Es entgehen den Schutzmechanismen der sicheren Browser je nach eingebettetem Inhalt Tracking Mechanismen, welche Daten der Nutzer abgreifen können, die sie potentiell identifizierbar machen. Es hängt sehr von den von extern  Seiten eingebetteten Inhalten ab. Kommen diese von vertrauenswürdigen Seiten, erhöht sich das Risiko im Vergleich zum Verzicht auf externe Embeds nicht wesentlich und läge bei drei bis vier Sternen. Ein Stern hier jedoch, da aktives Handeln der Nutzer vorausgesetzt wird, junge Nutzer aus Unachtsamkeit vielleicht keinen sicheren Browser nutzen und Lehrkräfte gerne Embeds in BookCreator Bücher eingebauen, etwa YouTube Videos, welche die Risiken für Nutzer deutlich erhöhen.

Produktive Nutzung auf privaten Endgeräten/BYOD
(keine externe Embeds, sicherer Browser)

Wird ein BookCreator Buch über eine persönlichen Link/ QR Code zur Bearbeitung freigegeben, es wird auf dem privaten Endgerät ein sicherer Browser genutzt und es werden keine persönlichen Inhalte eingestellt oder externe Inhalte über Einbettung integriert, ist das Risiko für Nutzer sehr gering, da eine Identifizierung über Google Analytics unterbunden wird. Drei Sterne, da immer das Risiko besteht, dass Nutzer, vor allem junge Nutzer, aus Unachtsamkeit keinen sicheren Browser nutzen.

Fazit

Während das BookCreator App auf iOS Geräten sehr sicher genutzt werden kann, da alle Funktionen auch offline zur Verfügung stehen und Bücher an schulischen Speicherorten abgelegt werden können, hängt bei der Online Version bezüglich möglicher Risiken für Nutzer sehr viel davon ab, wie die Plattform genutzt wird. Anders als bei der App sollten in der Online Version von BookCreator keine persönlichen Inhalte in ein Buch eingebracht werden, auch nicht mit Einwilligung der Schüler bzw. ihrer Eltern.

Solange Bücher nur mit Inhalten erstellt werden, die zum Einbetten hochgeladen werden, die Inhalte keine personenbezogenen Daten enthalten und auf einem schulischen Endgerät in der Schule und ohne Login an einer anderen nicht-schulischen Plattform gearbeitet wird, entstehen für Nutzer keine nenneswerten Risiken. Auch bei der Nutzung von privaten Endgeräten in der Schule oder von zu Hause aus, sind die Risiken gering, wenn ein sicherer Browser genutzt wird und keine externen Inhalte direkt von ihren Quellen eingebettet werden. Beachtet werden sollte jedoch, dass vor allem junge Nutzer der Grundschule und Sekundarstufe oft unachtsam sind, wenn sie zu Hause alleine arbeiten und dann eventuell keinen sicheren Browser nutzen.

Information und Einwilligung

Wenn eine Schule regelmäßgig mit digitalen Medien arbeitet, sollten die Eltern immer im Bild sein. Information ist wichtig, um Missverständnissen vorzubeugen, und Einwilligungen sind erfoderlich, wo personenbezogene Daten verarbeitet werden oder möglicherweise Risiken bestehen.

Information

Solange BookCreator in der Schule wie oben beschrieben auf schulischen Endgeräten sicher und konsumierend genutzt wird, reicht es, wenn die Eltern zu Beginn des Schuljahres informiert werden.

Einwilligung

Soll BookCreator mit pseudonymisierten Nutzern produktiv genutzt werden, braucht es eine Einwilligung der Betroffenen. Auch wenn BookCreator die von den Schülern eingebrachten Inhalte keiner identifizierbaren Person zuordnen kann, verarbeitet die Schule personenbezogene Daten. Die Lehrkraft kann den Pseudonymen unter Umständen Inhalte zuordnen, etwa wenn Schüler verschiedene Seiten in einem Buch zur Bearbeitung zugewiesen bekommen.

Eine Einwilligung ist auch sinnvoll, wenn es um die Nutzung von privaten Endgeräten in der Schule oder von zu Hause aus geht, vor allem wegen der möglichen Risiken, die aus einer Nutzung ohne sicheren Browser entstehen. Sehr wichtig ist dabei, dass Schüler wie Eltern für die Nutzung eines sicheren Browsers sensibilisiert werden. Dabei kann helfen, dass auch in der Schule sichere Browser zum Einsatz kommen.

Je nachdem ob ein privates kostenfreies Konto oder ein bezahltes schulisches Konto genutzt wird, sollte auch hierüber informiert werden.

Vertrag zur Auftragsverarbeitung

BookCreator bietet verschiedene Lizenzmodelle an. Lehrerkonten erlauben es, Co-Lehrer einzurichten. Schulen, die ein solches Konto nutzen, sollten den Vertrag zur Auftragsverarbeitung (Data Processing Addendum) abschließen, auch wenn keine personenbezogenen Daten von Schülern in BookCreator Bücher einfließen sollen.

Stand 09/2020

BookCreator geht DS-GVO konform

Lesezeit: 2 Minuten

BookCreator ist eine Plattform zur einfachen Erstellung digitaler multimedialer Bücher und vor allem in der iPad Version verbreitet an Schulen. Seit letztem Jahr bietet BookCreator außerdem eine Webplattform für die plattformunabhängige Nutzung mit dem Chrome Browser an, welche die Funktionalitäten der App nahezu gleichwertig abbildet und dazu noch Echtzeit-Kollaboration zulässt. Wer BookCreator nur lokal auf einem iPad nutzt, braucht sich um die Datenschutz Grundverordnung kaum Gedanken machen, solange die Speicherung von Projekten nicht in der iCloud erfolgt1Die iCloud Synchronisation muss zusätzlich deaktiviert werden..

Anders sieht das aus, wenn man die Webplattform nutzt. An diese kann auch das App angebunden werden für den Export von Büchern. Bei der Nutzung der Online Version landen in der Regel personenbezogene Daten von Schülerinnen und Schülern wie auch Lehrkräften in der Cloud. Das ist datenschutzrechtlich nur zulässig, wenn dieses im Auftrag der Schule erfolgt und dafür ist der Abschluss eines Vertrags zur Auftragsverarbeitung (AV Vertrag) zwischen Schule und BookCreator erforderlich. Die Schule ist dabei Auftraggeber (Controller) und BookCreator Auftragnehmer (Processor) und damit weisungsgebunden gegenüber der Schule.

BookCreator nutzt als Online Speicher die Google Cloud in den USA. Google arbeitet hier als Auftragnehmer von BookCreator. Der Vertrag regelt unter anderem, wie in Verträgen dieser Art üblich, dass Google dabei kein Recht hat, die Daten einzusehen. Der AV Vertrag zwischen Schule und BookCreator sollte auch für Nutzer aus Europa kein Problem darstellen, da Google sich dem EU-US Privacy Shield Abkommen verpflichtet hat und zusätzliche EU Modell Vertrags Klauseln unterzeichnet hat.2Weitere Informationen unter <a href=“https://bookcreator.com/gdpr/“>GDPR Compliance</a> BookCreator ist in Großbritannien zu Hause und damit (noch) EU.

Den AV Vertrag kann man laden unter Book Creator Data Processing Addendum.PDF Der gesamte Vertrag ist in englischer Sprache gehalten und bereits unterzeichnet. Schulen müssen ihn nur noch gegenzeichnen und an BookCreator3Der Vertrag wird an folgende E-Mail Adresse geschickt: gdpr@bookcreator.com schicken, damit er gültig ist.

Wird das Angebot nicht vollkommen anonymisiert genutzt, was viele kreative Einschränkungen mit sich bringt, müssen von Schülern und Lehrkräften darüber hinaus Einwilligungen vorliegen für die Nutzung ihrer personenbezogenen Daten auf der BookCreator Plattform.

Für die Nutzung der Online Version über den Chrome Browser müssen Schüler über einen Google Account (in der Regel ein G-Suite for Education Account) oder ein Office 365 Konto verfügen. Auch für die schulische Nutzung dieser beiden Angebote ist übrigens ein AV Vertrag erforderlich.

Die datenschutzfreundlichste Möglichkeit, die online Version von BookCreator mit Schülern zu nutzen besteht darin, anstelle des Chrome Browsers den auf Chrome basierenden Brave Browser4Brave gibt es für alle Betriebssysteme, auch für iOS. zu nutzen, und für den Login der Schüler QR Code Login für diese zu erstellen.

BookCreator hat seinen Sitz in Großbritannien. Das wird Auswirkungen auf die datenschutzrechtlichen Voraussetzungen für die Nutzung der online Version haben. Bis zum Ende des Übergangszeitraum am 31. Dezember 2020 gilt in GB noch die DS-GVO. Danach gilt britisches Datenschutzrecht. Dieses soll deutliche Abweichungen von der DS-GVO haben. Ohne einen sogenannten Angemessenheitsbeschluss der EU können dann dort personenbezogene Daten von EU Bürgern nicht länger ohne zusätzliche Absicherungen DS-GVO konform verarbeitet werden. Für Schulen in der EU wird eine Nutzung der online Version von BookCreator mit personenbezogenen Daten von Schülern ab Januar 2021 damit nicht länger möglich sein. Bereits angelegte Schülerkonten müssen bis dahin gelöscht werden und Projekte, die personenbezogene Daten enthalten, sind zu exportieren und ebenfalls zu löschen. Sollten die Anbieter von BookCreator bis dahin ein DS-GVO konforme Lösung in Form von Servern anbieten, auf welchen die Daten von EU Nutzern verarbeitet und gespeichert werden können, müsste ein entsprechender Wechsel vollzogen werden.

Letzte Bearbeitung 2020-02-22