BookCreator – online Bücher erstellen

Lesezeit: 9 Minuten

Beschreibung

BookCreator Online ist eine Plattform zur einfachen Erstellung digitaler multimedialer Bücher und Comics. BookCreator Online  ist zu unterscheiden von der iOS App BookCreator, mit der es möglich ist, digitale Bücher komplett offline zu erstellen. Hier soll es um die Cloud Plattform BookCreator Online gehen. In BookCreator Online erstellte Bücher können sowohl zur Darbietung multimedialer Inhalte genutzt werden, als auch zur Erstellung von Büchern durch Schüler. Auch Mischformen sind möglich, in welchen Lehrer bestimmte Inhalte vorgeben, die dann von Schülern ergänzt werden. Multimedial sind die Bücher, da sie neben Text auch Audio-, Video- und Bildmaterial aufnehmen können. Bei Ton- und Bildmedien sind auch direkte Aufnahmen über Kamera und Mikrofon des Endgerätes möglich. Neben selbsterstellten Inhalten lassen sich zusätzlich externe Inhalte über eine Einbettungsfunktion (iFrames) integrieren. Dazu gehören z.B. Bilder von anderen Websites, Audiodateien wie auch YouTube Videos und Google Maps. Es gibt darüber hinaus eine Vorlesefunktion.

Lehrkräfte können Schüler zur Bearbeitung eines Buches einladen. Schüler benötigen dafür ein Konto. Dieses kann ohne E-Mail Adresse eingerichtet werden und mit einem Pseudonym als Kontoname. Danach können für die Schüler individuelle Links erzeugt werden oder QR-Codes, mittels derer sie sich einloggen. Die Bearbeitung von Büchern ist kollaborativ in Echtzeit möglich. Sollen Bücher nur konsumiert werden, ist kein Zugang erforderlich. Neben der Veröffentlichung von Büchern über die BookCreator Website gibt es noch die Option, Bücher als epub Bücher oder als PDF zu exportieren. In beiden Formaten gehen jedoch unter Umständen einige der multimedialen Inhaltsformate und Interaktivitäten verloren. Logins können auch über von der Schule genutzte Plattformen wie Office 365/ Microsoft 365 und Google Classroom erfolgen.

BookCreator kann kostenlos genutzt werden, ist dann allerdings in der Anzahl der Bücher limitiert. Trotzdem stehen alle Funktionalitäten zur Verfügung, um die Plattform ausgiebig zu testen. Schulen, welche die Plattform umfänglicher nutzen wollen, können ein kostenpflichtiges Schulkonto einrichten. Für diese Schulen gibt es die Möglichkeit einen Vertrag zur Auftragsverarbeitung mit BookCreator abzuschließen. Der nennt sich hier Data Processing Addendum, kann als PDF heruntergeladen werden und ist bereits vorunterzeichnet. Bei der Datenschutzerklärung müssen Nutzer sich an der Version für nicht-US Nutzer orientieren.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Der Anbieter kommt aus Großbritannien (Tools for Schools Limited, 31 – 34 High Street, Bristol, BS1 2AW, United Kingdom). BookCreator.com, die Domain des Anbieters, unter welcher das Produkt beworben wird und der Login für registrierte Nutzer erfolgt, hat als Serverstandort Großbritannien. Genutzt wird als Hoster Google. Dort werden nach eigenen Angaben sämtliche Daten gespeichert. Man hat mit Google dazu einen Vertrag zur Auftragsverarbeitung abgeschlossen, der die Standardvertragsklauseln enthält. Man versichert, dass man angemessene Maßnahmen getroffen hat, um die Daten der Nutzer zu schützen, wenn sie in die USA übertragen werden.1We take reasonable steps to protect your personal data when it is transferred to Google Cloud. Für app.bookcreator.com, die Domain unter welcher die Bücher laufen, wird eine Serveradresse in den USA angezeigt. Der Anbieter, Fastly, betreibt Server an verschiedenen Standorten in der Welt. Laufzeiten von Anfrage lassen es durchaus möglich erscheinen, dass für Nutzer in der EU Server mit EU Standorten verwendet werden. Die enge Anbindung an US Dienstleister macht vor allem vor dem Hintergrund, dass ein Großteil der Kunden in den USA zu finden sein werden, für den Anbieter Sinn.

Cookies, Tracking

Nach eigenen Angaben in der Datenschutzerklärung setzt der Anbieter Cookies ein, um Nutzern bestimmte Funktionen der Plattform bereitzustellen und zu optimieren und angemeldete Nutzer wiederzuerkennen. Eine genauere Analyse mit Webbkoll Dataskydd zeigt jedoch, dass auf einigen Bereichen der Plattform Daten abfließen dürften, die mit diesen Angaben des Anbieters nicht zu erklären sind. Bookcreator gibt an, dass man Daten der Nutzer mit Dritten nur teile, damit diese ihre Dienst für BookCreator erbringen können. Die Dritten müssen sich den in der Datenschutzerklärung gemachten Zusagen von BookCreator unterwerfen. Eine Liste der Drittanbieter findet sich unter third party service providers.

Bookcreator.com

Aus der Liste der Drittanbieter lassen sich nachweisen:

  • Intercom Sind Nutzer eingeloggt als Lehrkräfte taucht auf der rechten Seite der Website ein Dialogfenster auf, in welchem Nutzer über Neuigkeiten informiert werden und einen Chat Dialog starten können. Dieser Dienst läuft über Intercom, einen auf Dialoge dieser Art spezialisierten Dienstleister.
  • Google Firebase wird nach Angaben von BookCreator einmal zur Bereitstellung einer Datenbank für Metadaten der Bücher genutzt (Firebase Realtime Database) und zur Speicherung der Inhalte von Büchern – Texten, Bildern, Video, Audio – (Google Cloud Storage for Firebase)

Nicht aufgeführt sind in der Liste der Drittanbieter oder der Datenschutzerklärung:

  • Twitter, Facebook, LinkedIn sind mit Scripten und Cookies eingebunden, über welche Nutzerdaten an die Anbieter beim Besuch abfließen.
  • Doubelclick.net (Werbenetzwerk Google). Google Tagmanager, und Google Adservices sind über Scripte nachweisbar. An Google fließen damit Informationen, die eventuell identifizierbaren Personen zugeordnet werden können.
  • Google Analytics (siehe unten)
app.bookcreator.com wie auch Read.bookcreator.com

Entsprechend der Angaben zu Drittanbietern finden sich hier:

  • Intercom taucht auch hier auf, sofern Lehrkräfte als Nutzer eingeloggt sind. Ohne Login ist der Dienst nicht nachweisbar.
  • Google Firebase (siehe oben)

Nicht unter den Drittanbietern oder in der Datenschutzerklärung aufgeführt, findet sich hier:

  • Google Analytics (siehe unten) – lässt sich sowohl beim Aufruf eines Links mit Leseberechtigung nachweisen als auch wenn ein Schüler über einen Link oder QR Code zum Bearbeiten eines Buches eingeladen wird.

Google Analytics

Sowohl unter read.bookcreator.com als auch app.bookcreator.com ist Google Analytics nachweisbar. In beiden Fällen, so ergibt eine Überprüfung mit der Google-Analytics Prüfung der Uni Bamberg, wird der Dienst ohne Verkürzung der IP des Besuchers genutzt. Damit wird eine Identifizierung von Personen, die ein BookCreator Buch aufsuchen, auch ohne Anmeldung, durch Zusammenführung mit Daten aus anderen Quellen potentiell möglich. Einem möglicherweise bestehenden Profil kann die Information hinzugefügt werden – hat die BookCreator Website besucht.

Cookies – nicht BookCreator

BookCreator kann, wie beschrieben, neben eigenen Inhalten über die Einbettungsfunktion eine Vielzahl von Inhalten aufnehmen. Durch diese können weitere Cookies und Tracker auf den Browser des Nutzers zugreifen. Wird beispielsweise ein YouTube Video eingebettet, werden durch YouTube entsprechend Daten erhoben und gegebenfalls Cookies gesetzt, sobald dieses abgespielt wird.  Gleiches gilt auch für Bilder von externen Seiten oder auch Links, die im Anhang einen Verweis enthalten. Das ist bei BookCreator nicht anders als bei anderen Websites, etwa Blogs und Nachrichtenseiten, die externe Inhalte anzeigen bzw. auf diese verweisen.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

BookCreator ist ein britisches Unternehmen, erscheint jedoch in seinem ganzen Auftreten mehr wie ein US Unternehmen. Man berücksichtigt in den Angaben zum Datenschutz auch europäische Nutzer und die DS-GVO und bietet Schulen mit einem Schulkonto sogar einen Vertrag zur Auftragsverarbeitung (Data Processing Addendum) an, der sehr knapp ausfällt, aber auf den ersten Blick zumindest die minimalen Anforderungen nach Art. 28.  Abs. 3  DS-GVO erfüllt. Mit dem Subunternehmer Google hat man die Standardvertragsklauseln abgeschlossen. Unter aktuellen Bedingungen nach dem Schrems II Urteil des EUGH im September 2020 reichen diese nicht aus, wenn es um die Übermittlung von personenbezogenen Daten in die USA geht. Dieses ist bei den weiteren Betrachtungen zu berücksichtigen.

Lehrkräfte benötigen für die Nutzung mit Schülern immer ein Konto, egal ob es sich um ein persönliches kostenloses, kostenpflichtiges oder ein Schulkonto handelt. Schüler hingegen können BookCreator ohne eigenes Konto zumindest konsumierend nutzen, was auch die Nutzung von interaktiven Büchern meint, bei denen z.B. Dinge angehört werden können. Schülerkonten können mit Pseudonymen angelegt werden. Mehr ist nicht erforderlich, auch keine E-Mail Adresse. Sie brauchen sich damit auch nicht über bookcreator.com einloggen, sondern kommen direkt auf die Seite mit dem Buch, welches eine Lehrkraft für sie zum Bearbeiten freigegeben hat.

BookCreator nutzt auf den beiden Seiten, die für Schüler von Bedeutung sind, app.bookcreator.com zum Bearbeiten von Büchern, wie auch read.bookcreator.com zum Lesen von Büchern neben dem Cloud Speicher Firebase, welches in Bezug auf mögliche Risiken für Nutzer unbedenklich sein sollte, „nur“ Google Analytics. Welche möglichen Risiken vom Google Analyse Dienst ausgehen, hängt sehr vom Nutzungszenario ab. Mit sicheren Browsern wie Brave oder DuckDuckGo auf Mobilgeräten kann Google-Analytics leicht blockiert werden. Werden externe Inhalte eingebettet, kommen sichere Browser jedoch je nach Inhalten an ihre Grenzen und es werden Daten abfließen.

Nutzung in der Schule

Grundsätzlich sollte bei einer schulischen Nutzung darauf geachtet werden, dass Schüler keine persönlichen Informationen in ein BookCreator Buch einstellen, keine Fotos und Videos, die sie zeigen, keine Tonaufnahmen, bei denen sie zu hören sind und auch keine Texte mit eindeutig zuordenbaren persönlichen Inhalten, etwa komplette Namen. Bei einer Nutzung mit schulischen Endgeräten und ohne gleichzeitigen Login an anderen Online-Plattformen bzw. -diensten, können die im Hintergrund von Bookcreator aktiven Tracking Mechanismen und Drittanbieter keine für sie verwertbaren Daten von Schülern erheben. Entsprechendes trifft auch auf in ein BookCreator Buch eingebundene externe Inhalte und damit verbundene Datenabflüsse zu.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Auf privaten Endgeräten sind Nutzer in der Regel auch mit privaten Konten bei diversen Onlinediensten wie YouTube, Instagram und ähnlich angemeldet. Öffnen Schüler ein BookCreator Buch zum Lesen oder zum Bearbeiten von einem privaten Endgerät in der Schule auf (BYOD) oder von zu Hause aus, ruft Google Analytics Informationen wie die IP Adresse, Browsertyp, Betriebsystem und ähnlich ab, sofern Nutzer sich nicht durch einen sicheren Browser oder andere Mechanismen schützen. Durch zusätzliche in ein BookCreator Buch eingebundene externe Inhalte kann sich die Zahl von Tracking Mechanismen erhöhen, die je nach Inhalt auch nicht alle sicher von Nutzern blockiert werden können.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten

Gute Bedingungen, sowohl für ein konsumierende als auch eine produktive Nutzung, solange Schüler nicht gleichzeitig an anderen Online-Plattformen bzw. -diensten eingeloggt sind, wodurch für die im Hintergrund eines BookCreator Buches laufenden Tracking Mechanismen potentiell identifizierbar würden. Lehrkräfte sollten außerdem darauf achten, dass keine persönlichen Inhalte in ein Buch eingestellt werden, wenn es um die Bearbeitung von Büchern geht.

Konsumierende Nutzung auf privaten Endgeräten/BYOD
(keine externen Embeds)

Wenn Schüler auf BookCreator Bücher über einen Link zugreifen und dabei einen sicheren Browser nutzen, der Google Analytics zuverlässig blockiert, bestehen keine Risiken beim Abruf eines BookCreator Buches. Alle Inhalte des Buches müssen dafür jedoch direkt in ein Buch durch Hochladen eingebettet werden! Vier Sterne, da die sichere Nutzung aktives Handeln des Nutzers voraussetzt. Bei jungen Nutzern ohne Aufsicht besteht dadurch immer das Risiko, dass sie aus Unachtsamkeit keinen sicheren Browser verwenden.

Konsumierende Nutzung auf privaten Endgeräten/BYOD
(verschiedene externe Embeds, sicherer Browser)

Greifen Schüler auf ein BookCreator Buch zu, in welches externe Inhalte direkt von ihrem Ursprung eingebettet sind, erhöhen sich auch bei Nutzung eines sicheren Browsers die Risiken deutlich. Es entgehen den Schutzmechanismen der sicheren Browser je nach eingebettetem Inhalt Tracking Mechanismen, welche Daten der Nutzer abgreifen können, die sie potentiell identifizierbar machen. Es hängt sehr von den von extern  Seiten eingebetteten Inhalten ab. Kommen diese von vertrauenswürdigen Seiten, erhöht sich das Risiko im Vergleich zum Verzicht auf externe Embeds nicht wesentlich und läge bei drei bis vier Sternen. Ein Stern hier jedoch, da aktives Handeln der Nutzer vorausgesetzt wird, junge Nutzer aus Unachtsamkeit vielleicht keinen sicheren Browser nutzen und Lehrkräfte gerne Embeds in BookCreator Bücher eingebauen, etwa YouTube Videos, welche die Risiken für Nutzer deutlich erhöhen.

Produktive Nutzung auf privaten Endgeräten/BYOD
(keine externe Embeds, sicherer Browser)

Wird ein BookCreator Buch über eine persönlichen Link/ QR Code zur Bearbeitung freigegeben, es wird auf dem privaten Endgerät ein sicherer Browser genutzt und es werden keine persönlichen Inhalte eingestellt oder externe Inhalte über Einbettung integriert, ist das Risiko für Nutzer sehr gering, da eine Identifizierung über Google Analytics unterbunden wird. Drei Sterne, da immer das Risiko besteht, dass Nutzer, vor allem junge Nutzer, aus Unachtsamkeit keinen sicheren Browser nutzen.

Fazit

Während das BookCreator App auf iOS Geräten sehr sicher genutzt werden kann, da alle Funktionen auch offline zur Verfügung stehen und Bücher an schulischen Speicherorten abgelegt werden können, hängt bei der Online Version bezüglich möglicher Risiken für Nutzer sehr viel davon ab, wie die Plattform genutzt wird. Anders als bei der App sollten in der Online Version von BookCreator keine persönlichen Inhalte in ein Buch eingebracht werden, auch nicht mit Einwilligung der Schüler bzw. ihrer Eltern.

Solange Bücher nur mit Inhalten erstellt werden, die zum Einbetten hochgeladen werden, die Inhalte keine personenbezogenen Daten enthalten und auf einem schulischen Endgerät in der Schule und ohne Login an einer anderen nicht-schulischen Plattform gearbeitet wird, entstehen für Nutzer keine nenneswerten Risiken. Auch bei der Nutzung von privaten Endgeräten in der Schule oder von zu Hause aus, sind die Risiken gering, wenn ein sicherer Browser genutzt wird und keine externen Inhalte direkt von ihren Quellen eingebettet werden. Beachtet werden sollte jedoch, dass vor allem junge Nutzer der Grundschule und Sekundarstufe oft unachtsam sind, wenn sie zu Hause alleine arbeiten und dann eventuell keinen sicheren Browser nutzen.

Information und Einwilligung

Wenn eine Schule regelmäßgig mit digitalen Medien arbeitet, sollten die Eltern immer im Bild sein. Information ist wichtig, um Missverständnissen vorzubeugen, und Einwilligungen sind erfoderlich, wo personenbezogene Daten verarbeitet werden oder möglicherweise Risiken bestehen.

Information

Solange BookCreator in der Schule wie oben beschrieben auf schulischen Endgeräten sicher und konsumierend genutzt wird, reicht es, wenn die Eltern zu Beginn des Schuljahres informiert werden.

Einwilligung

Soll BookCreator mit pseudonymisierten Nutzern produktiv genutzt werden, braucht es eine Einwilligung der Betroffenen. Auch wenn BookCreator die von den Schülern eingebrachten Inhalte keiner identifizierbaren Person zuordnen kann, verarbeitet die Schule personenbezogene Daten. Die Lehrkraft kann den Pseudonymen unter Umständen Inhalte zuordnen, etwa wenn Schüler verschiedene Seiten in einem Buch zur Bearbeitung zugewiesen bekommen.

Eine Einwilligung ist auch sinnvoll, wenn es um die Nutzung von privaten Endgeräten in der Schule oder von zu Hause aus geht, vor allem wegen der möglichen Risiken, die aus einer Nutzung ohne sicheren Browser entstehen. Sehr wichtig ist dabei, dass Schüler wie Eltern für die Nutzung eines sicheren Browsers sensibilisiert werden. Dabei kann helfen, dass auch in der Schule sichere Browser zum Einsatz kommen.

Je nachdem ob ein privates kostenfreies Konto oder ein bezahltes schulisches Konto genutzt wird, sollte auch hierüber informiert werden.

Vertrag zur Auftragsverarbeitung

BookCreator bietet verschiedene Lizenzmodelle an. Lehrerkonten erlauben es, Co-Lehrer einzurichten. Schulen, die ein solches Konto nutzen, sollten den Vertrag zur Auftragsverarbeitung (Data Processing Addendum) abschließen, auch wenn keine personenbezogenen Daten von Schülern in BookCreator Bücher einfließen sollen.

Stand 09/2020

YouTube – Video Plattform

Lesezeit: 12 Minuten

Beschreibung

YouTube ist die wohl bekannteste Video Plattform des Internets. Auch für Schulen ist die Plattform von großem Interesse, einmal als Quelle für Inhalte und dann auch als eine Möglichkeit, eigene Inhalte zu veröffentlichen. Die Tochter von Google bzw. Alphabet besticht vor allem durch das kostenlose, nahezu endlose Angebot an Filmen in jeder Sprache und zu allen Themen. Auf Wunsch lassen sich zumeist maschinengenerierte, aber doch recht genaue Untertitel anzeigen. Damit können die Medienportale der Länder aus verschiedenen Gründen kaum konkurrieren. Und so finden YouTube Videos immer wieder Eingang in den Unterricht wie auch die häusliche Vorbereitung.

In diesem Datenschutz Check soll es nur um die konsumierende Nutzung von YouTube gehen ohne ein eigenes Nutzerkonto bei Google und damit auch ohne die Möglichkeit, eigene Inhalte zu veröffentlichen oder andere Inhalte zu kommentieren. Es sollen außerdem Möglichkeiten vorgestellt werden, YouTube datenschutzfreundlich(er) zu nutzen.

YouTube kann über den Browser genutzt werden. Videos lassen sich auch leicht in andere Webseiten einbetten. Viele Plattformen bieten dafür einfache Möglichkeiten. Für Mobilgeräte mit iOS und Android Betriebssystem gibt es YouTube Apps des Anbieters. Werden Videos direkt von YouTube.com aufgerufen, werden diese auf Mobilgeräten in der Regel über die installierte YouTube App abgespielt. Auf Websites eingebettete Videos lassen sich dagegen direkt im Browser abgespielen.

Beim Aufruf von YouTube Videos ohne ein eigenes Google Konto oder mit Login an einem Google Konto aber ohne Abonnement kann Werbung an verschiedenen Stellen im Video1Es wird zwischen pre-roll und mid-roll unterschieden. Pre-roll wird vor Beginn des eigentlichen Films gezeigt und lässt sich erst überspringen, wenn ein bestimmter Anteil der Werbung abgelaufen ist. Unterschieden wird außerdem nach Videowerbung und Bannerwerbung. Letztere erscheint als Overlay über dem Video und kann weggeklickt werden. angezeigt werden. Ob, welche und wie viel Werbung angezeigt wird, hängt von der Länge des Videos, den Inhalten, dem Nutzer und auch Inhaber des Kanals ab.

Es gibt keine spezielle Datenschutzerklärung zu YouTube. Stattdessen verweist der Link auf der YouTube Startseite auf die Datenschutzerklärung von Google, zu dem der Videodienst gehört. Die Datenschutzerklärung ist recht umfangreich und zur Erleichterung des Verständnisses mit Videos und Grafiken angereichert. Wer Ausdauer hat, findet über zahlreiches Links und zusätzliche Suche in der Dokumentation zu diversen Google Tools alle Informationen zur Datenerhebung und Verarbeitung durch Google Dienste. Zusätzlich von Interesse sind im Zusammenhang mit dem Einsatz von YouTube Videos noch die Nutzungsbedingungen, die unter anderem auch beschreiben, ab welchem Alter der Dienst genutzt werden kann. Dabei geht es in aller erste Linie um die Nutzung mit einem eigenen Konto.

Es gibt in der Dokumentation auch Hinweise, wie Nutzer die Datenerhebung durch Google beeinflussen können, sei es über Cookie Einstellungen im Browser oder Einstellungen im Nutzerkonto bei registrierten Nutzern.

Datenschutz, Sicherheit

Serverstandort, Anbieter

YouTube als Tochter von Google/ Alphabet ist ein US Unternehmen. Der europäische Sitz liegt in Irland. Zur Bereitstellung des Dienstes nutzt Youtube Google Serverfarmen mit Standorten in verschiedenen Ländern. Etwa die Hälfte aller Serverstandorte befindet sich in den USA, fast genauso viele Standorte sind in Europa angesiedelt. Daneben gibt es noch einige wenige Standorte in anderen Ländern.

Cookies, Tracking

Zur Bereitstellung der Dienste speichert YouTube eine Anzahl von Daten. Bei angemeldeten Nutzern werden diese dem Nutzerkonto zugeordnet verwertet. Daten werden jedoch auch, und das ist im Zusammenhang dieses Datenschutz Checks von Bedeutung, ohne Anmeldung erhoben und verwertet. In der Datenschutzerklärung heißt es dazu:

„Wenn Sie nicht in einem Google-Konto angemeldet sind, speichern wir die von uns erhobenen Daten mit eindeutigen Kennungen, die mit dem Browser, der App oder dem Gerät verknüpft sind, welche Sie verwenden. Damit können wir beispielsweise gewährleisten, dass Ihre Spracheinstellungen bei allen Browsersitzungen beibehalten werden.“

Diese eindeutigen Kennungen, eher bekannt als eindeutige IDs, werden wie folgt beschrieben:

Bei einer eindeutigen ID handelt es sich um eine Zeichenfolge, anhand derer ein Browser, eine App oder ein Gerät eindeutig identifiziert werden kann. Solche IDs haben eine unterschiedliche Verwendungsdauer und unterscheiden sich darin, ob sie durch den Nutzer zurückgesetzt werden können und wie der Nutzer auf sie zugreifen kann.“

Die verschiedenen eindeutigen IDs haben unterschiedliche Funktionen, die von der Speicherung von Einstellungen reichen bis zur Anzeige von „relevanter Werbung“. Relevant meint dabei personalisierte Werbung. Die Personalisierung kann dabei auch erfolgen, ohne dass Google die eindeutige ID einer identifizierbaren Person zuordnen kann. Es reicht bereits, wenn zu dieser ID Informationen aus dem Nutzerverhalten und Metadaten zum Gerät, System usw. gesammelt werden.

Wird ein Video ganz normal in eine Website eingebettet, werden nach einer Analyse mit WebbkollDatatskydd 13 Anfragen an 5 eindeutigen Hosts ermittelt, die alle Google bzw. YouTube zuzuordnen sind. Dazu gehört auch Doubleclick.net das Werbenetzwerk von Google. Unter Doubleclick.net findet sich ein Cookie mit dem Namen IDE. Bei diesem handelt es sich um das wichtigste Cookie, welches Google auf fremden Seiten nutzt, um relevante Werbung über verschiedene Websites hinweg anzuzeigen.2„Wir verwenden Cookies auch für Werbung, die wir an verschiedenen Stellen im Web anzeigen. Unser wichtigstes Cookie für Anzeigenvorgaben für Websites, die nicht zu Google gehören, heißt „IDE„. Es wird in Browsern unter der Domain doubleclick.net gespeichert. Ein weiteres Cookie wird unter der Domain google.com gespeichert und heißt “ANID”. Wir verwenden auch andere Cookies, wie z. B. „DSID“, „FLC“, „AID“, „TAID“ und „exchange_uid“. Andere Google-Produkte wie YouTube nutzen diese Cookies möglicherweise ebenfalls zur Auswahl relevanterer Werbung.“ Quelle: https://policies.google.com/technologies/types?hl=de-de
Eine schöne Übersicht über verschiedene Cookies, die Google im Zusammenhang mit YouTube und DoubleClick.net verwendet, findet sich unter https://www.digital.man/de/en/general/cookies.html
Das IDE Cookie im Testfall mit der Zeichenfolge AHWqTUm9dtyTA3xlZUv0dqjaYvtJNRdxyxnZ-FQ5c53n_dKDWqZaSQ2NMEAASzzV ist ein Beispiel für eine eindeutige ID, wie sie im Browser verwendet wird. Sie hat 10 Jahre lang Gültigkeit! Die Doubleclick.net Cookies dienen einmal der Steuerung der Anzeige von Werbung in Videos und dann der Anzeige von Werbung auf Websites. Beim Besuch auf Websites, welche im Hintergrund Dienste von Doubleclick.net laufen haben, wird der Nutzer anhand des Cookies wiedererkannt, auch wenn dieser Nutzer dabei nicht unbedingt einer identifizierbaren Person zugeordnet sein muss.

Brave Browser zeigt im Fall eines eingebetteten Videos beim Abspielen zumindest 12 websiteübergreifende Tracker3Die Zahl kann sich beim Anhalten und weiteren Abspielen eines Videos nach oben verändern. an und eine Instanz von websiteübergreifendem Fingerprinting.

Google-Analytics

Gibt es nicht, wenn YouTube Videos in eine Seite eingebettet werden, außer die Website selbst nutzt den Dienst. Da Google über das eingebettete Video bereits ausreichend Zugriff hat auf Nutzerdaten, braucht es kein Google Analytics.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Das Geschäftsmodell von YouTube bzw. Google/ Alphabet setzt in der Hauptsache auf die Erhebung und Verwertung von personenbezogenen Daten der Nutzer mit dem Ziel Werbung zu verkaufen. Der Nutzer ist das Produkt, sagt man nicht umsonst. Daran ändert auch ein kostenpflichtiges YouTube Abonnement nichts. Zwar kann der Nutzer dann Videos ohne Werbung ansehen, doch auch seine Daten werden verwertet, wie auch die Daten von Nutzern ohne eigenes Konto oder mit einem kostenfreien Zugang. Eine Ausnahme besteht nur, wenn Youtube bzw. YouTube Videos über ein schulisches G Suite for Education Konto4Die Nutzung von G Suite for Education ist in Bezug auf Datenschutz ein Thema für sich, das an dieser Stelle nicht weiter vertieft werden soll, da es nur um den Sachverhalt an sich geht. aufgerufen werden. Dann sagt Google zu, dass die erhobenen Daten nicht zur Profilbildung mit dem Ziel der Anzeige von Werbung verwendet werden.

Das heißt, selbst wenn es nur um das Konsumieren von Videos geht, werden durch verschiedene im Hintergrund laufenden Dienste Googles Daten erhoben, um wie oben beschrieben, Nutzerverhalten zu erfassen und Werbung anzuzeigen. Die Anzeige von Werbung muss nicht im Video selbst stattfinden, sondern kann auch auf einer anderen Website erfolgen, auf welcher Google Werbung geschaltet wird, die von einem Schüler nach Ansehen eines Videos besucht wird.

In Schule werden YouTube Videos oft eingesetzt. Je nach Situation werden Schüler gezielt aufgefordert, ein bestimmtes Video, z.B. ein Erklärvideo, anzusehen oder sie schauen sich ein Video während einer Recherche zu einem Thema an, weil es in ihren Suchergebnissen erscheint. Auch wenn YouTube aus dem Leben vieler junger Menschen heute kaum noch wegzudenken ist, hat die Schule eine Obhutspflicht und darf Schüler, zumindest jüngere Schüler, nicht schutzlos den Datenzugriffen Googles aussetzen. Während ältere Schüler spätestens ab Vollendung des 16. Lebensjahres in der Lage sein sollten, die Tragweite ihrer Entscheidung, ein YouTube Video mit einem privaten Endgerät anzuschauen, abschätzen können, kann davon bei jüngeren Schülern definitiv nicht ausgegangen werden.

Nutzung in der Schule

Konsumieren Schüler YouTube Videos in der Schule von schulischen Geräten aus ohne gleichzeitigen Login an anderen Online Plattformen, können die dabei im Hintergrund aktiven Trackingmechanismen keine für Google direkt verwertbaren Daten erheben. Es besteht jedoch die Möglichkeit, dass Google bei Nutzung eines persönlichen Zugangs im pädagogischen Netz, bei welchem auch Browsereinstellungen und Cookies gespeichert werden, ein anonymes Profil aus den Nutzungsdaten erstellt, gegen welches dann Werbung angezeigt werden könnte. Ob und inwieweit solches möglich ist, hängt von der Konfiguration des persönlichen Zugangs ab wie auch den Filter-/ Blockier-/ und Schutzmechanismen des pädagogischen Netzes.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Werden YouTube Videos von zu Hause aus aufgerufen oder von einem privaten Endgerät, ergeben sich für den Anbieter zahlreiche Möglichkeiten, die erhobenen Daten einer identifizierbaren Person zuzuordnen, sei es anhand der IP Adresse oder durch bereits auf dem Endgerät bestehende Logins an anderen Plattformen und bereits vorliegende Cookies. Bei mobilen Endgeräten kommen noch Geräte IDs und andere Merkmale hinzu. Im Falle von Geräten, die im Rahmen einer 1:1 Ausstattung genutzt werden, ist eine Zuordnung von erhobenen Daten zu einer identifizierbaren Person nicht ausgeschlossen, da z.B. die IP Adresse des Hausanschlusses ermittelbar ist und das Gerät über eine Geräte ID verfügen kann5Hinweis: Ab iOS 14 kann Tracking durch Werbeanbieter/ Analysedienste mittels Identifier for Advertisers (IDFA) über Apps und Websites hinweg auf App Basis gesteuert werden. Bis dahin ist diese IDFA auf 1:1 genutzten Geräten durchaus ein #Datenschutz Problem.. Zudem werden Geräte in 1:1 Ausstattung in der Regel in der Freizeit auch privat genutzt.

Wenn YouTube Videos auf privaten Endgeräten angeschaut werden sollen oder von zu Hause aus, kann dieses wegen der damit einhergehenden möglichen Risiken für die Nutzer nicht verpflichtend sein, auch wenn viele Jugendliche bereits YouTube Nutzer sind und die Eltern damit keine Probleme haben. Es sollte deshalb immer auch Alternativen geben. Außerdem sollten Nutzern Möglichkeiten aufgezeigt werden, wie sie die Zugriffe Googles auf ihre Daten unterbinden oder zumindest einschränken können. Alternativen sind in dem Moment, wo es sich nicht um von den Lehrkräften oder von Schülern erstellte Videos oder um solche unter freien Lizenzen handelt, kaum umsetzbar, ohne mit dem Urheberrecht in Konflikt zu kommen. Bei Videos, deren Nutzung nicht durch das Urheberrecht auf den Abruf über YouTube beschränkt ist, besteht immer noch die Möglichkeit, diese Videos auf einem Server der Schule oder dem Server eines europäischen Anbieters6Die Nutzung der Dienste eines solchen Anbieters setzt den Abschluss eines Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter voraus. zum Download zu bereitzustellen.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten (ohne Benutzerprofil oder mit Schutzmaßnahmen)

Solange Schüler nicht gleichzeitig an anderen nichtschulischen Online Plattformen eingeloggt sind oder zuvor stattgefundene Logins an solchen-Plattformen verwertbare Datenspuren hinterlassen haben, über welche sie für die beim Abruf von YouTube Videos im Hintergrund aktiven Tracking Mechanismen identifizierbar werden, entstehen dabei keine signifikanten Risiken für sie. Solches trifft zu, wenn in einer Lerngruppe iPads ohne Nutzerkonten oder über Temporary Sessions von verschiedenen Personen wechselnd genutzt werden. Werden nach Nutzung des Endgerätes alle im Zusammenhang mit der Internetnutzung gespeicherten Daten (Browserverlauf, Cookies) gelösch, sollte das Risiko auch bei Nutzung mit einen Benutzerprofil am Gerät gleichermaßen gering sein.

Nutzung in der Schule mit schulischen Endgeräten  (keine Schutzmaßnahmen)

Sobald Schüler mit einem eigenen Benutzerprofil an einem schulischen Endgerät angemeldet sind und dieses nicht geschützt ist, etwa durch automatisches Löschen von Cookies und Browserverlauf nach jedem Logout, kann Google dem schulischen Nutzer Informationen aus dem Nutzungsverhalten zuordnen, auch wenn dieser sich nie an einer Google Plattform oder einer anderen Plattform, über welche Google Daten erhebt, anmeldet. Solange der Nutzer sich vom schulischen Endgerät nicht an einer anderen nichtschulischen Online-Plattform anmeldet, über welche die Identität des Nutzers offenbar werden kann, sollte er für Google nicht identifizierbar sein. Für diesen Fall besteht für den Nutzer nur ein geringes Risiko. In dem Moment, wo der Nutzer sich an einem anderen nichtschulischen Online Dienst anmeldet, gleicht das Risko dem bei einer Nutzung auf einem privaten Endgerät ohne Schutzmaßnahmen (0 Sterne).

Nutzung auf privaten Endgeräten/BYOD (keine Schutzmaßnahmen)

Bei der Nutzung von privaten Endgeräten, ob zu Hause oder in der Schule, erfolgen Googles Zugriffe auf personenbezogene Daten der Nutzer ohne jegliche Einschränkung, sofern nicht Schutzmaßnahmen ergriffen werden. Vor allem Geräte mit Mobilfunkzugang sind in vielfacher Weise zu identifizieren und einem Nutzer zuzuordnen.7Nutzer von Android Geräten sind ohnehin, immer mit Google verbunden, sofern sie ihr Gerät nicht mit einem alternativen OS versehen haben.

Nutzung auf privaten Endgeräten/BYOD (mit Schutzmaßnahmen)

Bei der Nutzung von privaten Endgeräten, ob zu Hause oder in der Schule, lassen sich die Zugriffe Googles auf personenbezogene Daten  der Nutzer durch Verwendung eines sicheren Browsers wie Brave Browser oder DuckDuckGo auf Mobilgeräten deutlich einschränken aber vermutlich nicht komplett unterbinden. Mögliche Risiken, welche für Nutzer aus dem Aufruf von YouTube Videos entstehen, können damit stark reduziert werden.

Fazit

Die Nutzung von YouTube zur Anzeige von Videos in der Schule und im Zusammenhang mit Unterricht von zu Hause aus ist, von eventuellen Konflikten mit dem Urheberrecht abgesehen, auch aus Sicht des Datenschutz nicht unproblematisch. Anders als über in fremde Websites eingebettete Daten Tools wie Google-Analytics und Google Tag Manager erhält der Anbieter über die Anzeige von Videos auf dem eigenen Portal YouTube.com oder über Einbettung in fremde Websites nahezu ungehinderten Vollzugriff auf eine Vielzahl von Daten der Nutzer. Diese umfassen Informationen zum Internetzugang, verwendetem Browser, Betriebssystem und Gerät und können genutzt werden, um Nutzerverhalten zu sammeln, über verschiedene Websites und Apps zu verfolgen, um daraus ein Profil zu erstellen, gegen welches personalisierte Werbung angezeigt werden kann. Werbung kann bereits direkt im Video angezeigt werden. Auch das ist in Schule, sofern es nicht speziell um das Thema Werbung geht, nicht unbedenklich. Es gibt durchaus Wege, die Risiken zu minimieren oder sogar komplett auszuschalten, und Nutzer sollten diese kennen, wenn man ihnen YouTube Videos anbietet oder diese gar ein verpflichtender Bestandteil des Unterrichts sein sollen.

Auch vor dem Hintergrund, dass ein großer Teil junger Menschen heute, zumeist mit Billigung der Erziehungsberechtigten, regelmäßig YouTube Videos oder Musik des Anbieters konsumiert und Google dadurch in der Lage ist, umfangreiche Profile über diese Personen zu erstellen, steht Schule in einer Obhutspflicht. Das gilt vor allem für jüngere Schüler. Schulen, die YouTube nutzen, sollten die Risiken für das Recht auf informationelle Selbstbestimmung im Unterricht thematisieren und Möglichkeiten aufzeigen, wie Nutzer sich vor dem ungebremsten Zugriff des Anbieters auf ihre Daten schützen können.

Schulen, die YouTube Videos im Unterricht und für die häusliche Vor- und Nachbereitung einsetzen, sollten Eltern zuvor umfassend darüber wie auch über mögliche Risiken, welche sich daraus für ihre Kinder ergeben können, informieren. Wenn Schulen keine Möglichkeit haben, YouTube Videos ohne Werbung anzeigen zu lassen oder die Schüler durch die oben beschriebenen Maßnahmen vor den Zugriffen Googles zu schützen, sollten sie vorab eine Zustimmung der Eltern einholen. Diese kann nur freiwillig sein, und damit dieses möglich ist, muss die Schule Alternativen bieten können.

Sollen Videos mit jüngeren Schülern genutzt werden, empfiehlt es sich grundsätzlich, Videos entweder so anzubieten, dass der Zugriff Googles komplett unterbunden wird, oder auf alternative Plattformen zu setzen. Dafür gibt es verschiedene Möglichkeiten.

Empfehlung

YouTube Videos nicht direkt von YouTube.com aufrufen

Die Zugriffe durch Google reduzieren sich, wenn ein Video nicht direkt über YouTube.com aufgerufen wird. Wird ein Video in eine Website eingebettet, ist es auf mobilen Endgeräten wie Smartphones und Tablets möglich, die Videos direkt im Browser abzuspielen. Das geht bei einem Aufruf über YouTube.com nicht! Geräte mit iOS wie Android öffnen Video, die von YouTube.com aufgerufen werden, direkt in der YouTube App, die in ihren Datenzugriffen ohne Anpassung der Datenschutzeinstellungen der Website YouTube.com in nichts nachstehen dürften.

YouTube Videos über Dienste von Tracking befreien

invidio.us

Die andere Möglichkeit ist, man nutzt den Dienst invidio.us , der keine Daten abgreift. Dazu nimmt man den Link des Videos bei YouTube, z.B. https://www.youtube.com/watch?v=m5hobLax9bM und kopiert davon den Endteil watch?v=m5hobLax9bM Diesen Endteil setzt man an https://invidio.us/ , so dass man den Link https://invidio.us/watch?v=m5hobLax9bM erhält. Diesen könnte man dann in ein Padlet einbinden. Man sollte wissen, dass der Dienst invidio.us schon mal etwas träge läuft. Es kann also einen Augenblick dauern, bis das Video erscheint. Manchmal kommt auch ein Hinweis, das Video wäre eventuell geblockt. Dann hilft es, wenn man den Link mehrmals lädt. Es kann auch schon helfen, wenn die Lehrkraft den Link selbst mindestens einmal aufruft – bis das Video bei invidio.us angezeigt wird. Danach sollte es bei den Schülern schneller gehen.

viewpure.com

Der Anbieter viewpure.com verspricht ähnliche Funktionen und blockiert tatsächlich Zugriffe Googles via YouTube auf die Daten der Nutzer. Dafür laufen bei Viewpure jedoch zumindest bei der kostenfreien Version zahlreiche Dienste Dritter im Hintergrund, welche die Aussicht auf eine risikofreie Nutzung von YouTube Videos direkt wieder zunichtemachen. Unter den im Hintergrund laufenden Diensten Dritter finden sich solche von Twitter, Facebook, Doubleclick.net (Google Werbenetzwerk) und Google-Analytics. Ob sich dieses bei Nutzung eines Bezahlkontos ändert, wäre zu prüfen.

safeyoutube.com

Auch safeyoutube.net verspricht eine datenschutzfreundliche Nutzung von YouTube Videos und spricht damit gezielt Schule an, ist bei näherer Betrachtung aber auch nicht wirklich die alternative Lösung. Im Hintergrund Google doch wieder mit im Boot über Google-Analytics8Die Goole-Analytics Prüfung der Uni Bamberg ergibt hier: „Diese Seite sendet sowohl Anfragen an Google mit IP-Anonymisierung, als auch Anfragen ohne IP-Anonymisierung. Die Anfragen mit IP-Anonymisierungen stammen dabei ausschließlich von Google Remarketing mit aktivierten Google Analytics Feature.“ und Doubleclick.net.

Schutz über sichere Browser und Apps

Die dritte Möglichkeit ist, wenn man den sicheren Brave Browser nutzt, den es für Desktop, Tablets und Smartphones gibt und dort ein “neues privates Fenster” oder ein “neues privates Fenster mit Tor” öffnet. Dort werden die Datenabgriffe von YouTube recht gut blockiert und man schaut das Video sicher an. Auch der Mozilla Browser Firefox bietet recht gute Optionen, Tracking über verschiedene Websites hinweg zu blockieren. Auf mobilen Geräten kann man den DuckDuckGo Browser nutzen, ein App, welches Nutzer vor Datenzugriffen sehr gut schützt. Wie oben beschrieben, funktioniert dieser Ansatz am sichersten, wenn YouTube Videos nicht über YouTube.com abgerufen werden, sondern in eine Website eingebettet werden. Das könnte die Schulhomepage sein oder eine Lehrerseite. 

Alternative Video Portale

PeerTube Netzwerk

Es gibt darüber hinaus auch noch die Möglichkeit, andere Videoportale zu nutzen. Eine solche Alternative stellt das freie Videoportal PeerTube dar. PeerTube beschreibt sich selbst wie folgt:

„PeerTube, entwickelt von Framasoft, ist die kostenlose und dezentralisierte Alternative zu Videoplattformen und bietet Nutzern über 200.000 Videos, die von 30.000 Benutzern veröffentlicht und über 10 Millionen Mal angesehen wurden.“

Als ein förderiertes System voneinander unabhängiger aber mit einander verbundener Videoplattformen lebt PeerTube davon, dass sich Nutzer/ Video Produzenten mit eigenen Instanzen beteiligen, um die Last der gespeicherten und gestreamten Videos  ähnlich wie in einem BitTorrent Netz zu verteilen. Dabei sind verschiedene Instanzen auf unterschiedliche Themen spezialisiert, ganz nach den Themen, mit welchen sich die jeweiligen Betreiber beschäftigen. Es gibt so auch Instanzen, die Bildungsinhalte aufnehmen. Die Instanzen sind in verschiedenen Ländern zu Hause und haben deshalb auch unterschiedliche Sprachen. Schulen können die Plattform nutzen, um selbst erstellte Videos zu veröffentlichen, sei es dass es sich um Erklärvideos handelt oder von Schülern erstellte Videos. Man kann das Netzwerk durch Spenden unterstützen und sollte dieses tun, wenn man selbst Videos über einen der beteiligten Anbieter bzw. Betreiber einer Instanz veröffentlichen möchte. Die Vorteile von PeerTube liegen ganz eindeutig in der Offenheit der Systeme, die ohne Datenschnüffelei betrieben werden. Von Nachteil ist das deutlich eingeschränktere Angebot an Videos. Wer Schülern eigene Videos oder solche, die unter freien Lizenzen verfügbar von YouTube heruntergeladen werden können, über eine datenschutzfreundliche Videoplattform zum Streaming bereitstellen möchte, ist mit dem Netzwerk der PeerTube Instanzen am besten beraten, sollte dann aber auch bereit sein, den Anbieter der gewählten Instanz mit regelmäßigen Spenden zu unterstützen. 

Vimeo

Vimeo ist in der kostenfreien Version defininitiv keine solche Alternative, da auch hier zahlreiche Dienste Dritter im Hintergrund laufen9Dazu gehören: Social Media Tracker von LinkedIn und Facebook, sowie Cross-Site Tracking Cookies von verschiedenen Google Diensten, Facebook, LinkedIn, Twitter, Microsoft. Ob die kostenpflichtige Version aus Sicht des Datenschutz besser zu nutzen ist, wäre zu überprüfen.

Nutzung über Google Classroom / G Suite for Education

Schulen, die G Suite for Education bzw. Google Classroom nutzen, haben anderen Schulen gegenüber einen Vorteil. Sobald Schüler über ihr schulisches Google Konto auf YouTube zugreifen, wird ihnen keine Werbung angezeigt. Google sichert Bildungsinstitutionen mit einer G Suite for Education Instanz außerdem zu, dass keine Profile der Nutzer zur Anzeige von Werbung erstellt werden. Was aus Sicht des Datenschutz zunächst sehr gut klingt, hat jedoch einen Haken. G Suite for Education ist ein Angebot von Google/ Alphabet und bezüglich der Datenschutzkonformität der Plattform gehen hier die Meinungen der Aufsichtsbehörden, Kultusministerien und Fachjuristen auseinander.10Das Thema soll hier nicht weiter vertieft werden. Die Möglichkeit ist nur der Vollständigkeit wegen genannt.

Bereitstellung über eigenen Server

Schulen steht immer auch die Möglichkeit offen, selbsterstellte Videos und solche mit freien Lizenzen, die von anderen Quellen stammen, auf einem eigenen Server für die Schülerinnen und Schüler der eigenen Schule bereitzustellen. Ein eigener Server kann im Schulgebäude stehen oder angemietet sein. Im letzteren Fall ist der Abschluss eines Vertrag zur Auftragsverarbeitung mit dem Hoster erforderlich. Je nach Kompetenz, Serverleistung und Internetanbindung des Servers können die bereitgestellten Videos zum Download oder zum Streaming angeboten werden. Es ist dann jedoch darauf zu achten, dass der Nutzerkreis auf schulische Nutzer beschränkt bleibt, um die Serverkapazitäten und Datenvolumen nicht zu überschreiten. Die Schule ist als Betreiber des Servers auch für die Einhaltung des Urheberrechts verantwortlich und kann bei Verstößen haftbar gemacht werden.

Nutzung der Medienportale der Länder

Die Medienportale der Länder, in NRW die Plattform EDMOND NRW, sind aus Sicht des Datenschutz eine zu bevorzugende Lösung. Von Nachteil ist, dass hier keine eigenproduzierten Videos aufgenommen werden und die geringe Auswahl an Titeln. Zu vielen Themen sind aber auch hier öffentlich verfügbare Titel im Programm, etwa die Produktionen des Schulfernsehens. Welche anderen Titel für die einzelnen Schulen verfügbar sind, hängt von der Finanzkraft der Kommunen ab, die für die Lizenzen zahlen müssen.

Stand 07/2020

Wakelet – digitale Sammelmappe

Lesezeit: 7 Minuten

Beschreibung

Wakelet ist eine Art digitale Sammelmappe, mit der sich Multimedia Ressourcen wie Websites, Videos, Bilder kollaborativ sammeln, strukturieren und teilen lassen. Dadurch ergeben sich vielfältige Einsatzmöglichkeiten für den Unterricht, die von der Bereitstellung von Inhalten, über die Erstellung von Portfolios bis zu digitalem Storytellung reichen. Die Plattform ist kostenlos nutzbar und der Anbieter verspricht, dass dieses auch dauerhaft so bleiben soll. Man behält sich jedoch die Möglichkeit vor, zukünftig zusätzlich zu den kostenlosen Konten eine Premiumversion anzubieten.

Zur Anmeldung an der Plattform sind eine E-Mail Adresse und ein Passwort erforderlich. Schüler benötigen zur Mitarbeit an einem Wakelet kein eigenes Konto. Sie können über einen Link, Code oder QR Code Zugriff auf ein freigegebenes Wakelet erhalten, wählen dann einen freien Namen und können direkt loslegen. Die Plattform bietet auch die Möglichkeit, per E-Mail einzuladen. Wakelet Boards können privat sein oder öffentlich, je nach Einstellung durch den Ersteller. Bei ‚öffentlich‘ kann noch unterschieden werden zwischen vollkommen öffentlich oder ungelistet. Private Wakelets können nicht geteilt werden mit anderen. Der Ersteller kann bezüglich eines Wakelets sehen, welche anderen registrierten Nutzer ein öffentliches Board  für sich kopiert haben.

Als eine Plattform mit der Zielgruppe Schule bietet Wakelet Schnittstellen zu zahlreichen dort genutzten Lern- und Arbeitsplattformen wie z.B. Microsoft Teams, Google Drive, Google Classroom, Microsoft OneNote Classnotebook und Flipgrid. Social Media Plattformen können zum Teilen von Wakelet Boards genutzt werden. Dazu gehören Twitter, Reddit und Facebook. Darüber hinaus finden sich auf jeder Wakelet Seite noch Social Media Buttons mit Links zu den Auftritten des Anbieters bei Facebook, Twitter, Instagram und YouTube.

Wakelet kann über den Browser genutzt werden, ein iOS und Android App und eine Chrome Erweiterung.

Um die Barrierefreiheit zu verbessern, ist in Wakelet Boards der Microsoft Immersive Reader (dt. Plastischer Reader) integriert. Dieser kann die Textinhalte eines Boards vorlesen, wobei der Immersive Reader auf den Nutzer nach Sprache, Vorlesegeschwindigkeit, Zeilenabstand, Kontrast etc. eingestellt werden kann.

Die Datenschutzerklärung von Wakelet ist nur in englischer Sprache verfügbar und berücksichtigt Nutzer in der EU wie auch weltweit. Der größte Markt des Anbieters dürfte in den USA liegen. Entsprechend gibt es auch datenschutzrechtliche Information dafür. Ein Data Processing Addendum bzw. Vertrag zur Auftragsverarbeitung wird nicht angeboten.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Der Anbieter kommt aus Großbritannien und nutzt Server von Amazon (AWS). Zum Betrieb von Wakelet werden eine Vielzahl von Diensten des Anbieters von verschiedenen Servern genutzt. Die erste Anfrage beim Aufruf eines Boards läuft über einen AWS Server in Irland. Weitere Komponenten werden dann von AWS Servern (cloudfront.net) aus den USA geladen.

Cookies, Tracking

Zur Bereitstellung der Funktionalitäten von Wakelet wird eine Reihe von Cookies durch den Anbieter selbst gesetzt (1st Part Cookies). Zu diesen kommen erwartungsgemäß auch Cookies Dritter hinzu, die mit der Einbindung der oben beschriebenen Funktionalitäten zu tun haben. So finden sich in einem über einen Freigabelink aufgerufenen Wakelet Board auch Cookies von Facebook, Twitter (platform.twitter.com) und Microsoft (teams.microsoft.com). Wird der Plastische Reader (immersive Reader) von Microsoft aufgerufen, um sich Inhalte vorlesen zu lassen, kommen noch weitere Cookies von Microsoft hinzu (wk-immersive-reader.cognitiveservices.azure.com), um die Vorlesefunktionalität bereitzustellen, und außerdem Cookies von Google. Eine genauere Analyse mit WebbKoll Dataskydd ergibt bei Nutzung des Plastischen Readers so acht 1st Party Cookies, drei 3rd Party Cookies und die riesige Anzahl von 47 Verbindungen/ Abfragen von 27 verschiedenen Drittanbietern. Dazu gehören neben den genannten Facebook, Microsoft, Twitter und Google auch der Analyse Dienst Mixpanel und Zendesk zur Bereitstellung von Inhalten. Google tritt überwiegend zur Bereitstellung von Inhalten auf, ist aber auch mit Analyse Tools (googletagmanager und google-analytics) und dem Werbedienst Doublecklick.net vertreten. Auch Screencastify, ein Tool zur Erstellung von Erklärvideos, ist mit einem Dienst vertreten.

In der Datenschutzerklärung wird unter 3.3 Service Providers und 3.2 Third-party Widgets über diese informiert. Zu den Third-party Widgets heißt es dabei:

„Unsere Dienste umfassen eine Vielzahl von Widgets und Social-Media-Funktionen, wie z. B. Social Media Login-Buttons (z. B. Facebook, Google), Einbettungen (z. B. Tweets, Instagram-Posts) und Suchintegrationen (z. B. YouTube API Services, weitere Informationen finden Sie unter YouTube Nutzungsbedingungen, Google-Datenschutzbestimmungen und Google-Sicherheitseinstellungen). Dazu gehört in der Regel auch ein Software Development Kit (SDK) oder iFrame von der Website des Drittanbieters. Diese Widgets erfassen Ihre IP-Adresse, die Seite, die Sie auf dem Dienst besuchen, und setzen möglicherweise ein Cookie, damit die Funktionalität der Funktion ordnungsgemäß ausgeführt werden kann. Ihre Interaktionen mit diesen Funktionalitäten unterliegen der Datenschutzrichtlinie des Unternehmens, das diese zur Verfügung stellt.“1Übersetzt mit Hilfe von www.DeepL.com/Translator (kostenlose Version)

Damit erhalten Anbieter wie Facebook oder Twitter Informationen über die Besucher eines Wakelet Boards, die zumindest in Teilen dem entsprechen, was diese Dienste erfahren würden, wenn man ihre Webauftritte direkt besucht.

Der Effekt ist, dass beim Aufruf eines Wakelet Boards, selbst wenn dieses ohne eigenes Konto und nur über einen Link mit Freigabe zur Kollaboration erfolgt, umfangreich personenbezogene bzw. personenbeziehbare Daten an eine Vielzahl von Dritten abfließen.

Wakelet gibt in der Datenschutzerklärung an, dass diese auch für die vom Anbieter in Anspruch genommenen Dienstleister gilt2„This policy only applies to us and to our Agents and how we will use your personal information.“ Agents definiert man wie folgt: „‚Agents‚ means service providers, consultants and other third-parties and agents not employed by us.“. Gleichzeitig verweist man, soweit es um die oben genannten Widets und Social Media Funktionen geht, auch auf die Datenschutzbestimmungen dieser Anbieter.

Was bisher beschrieben wurde, gilt für den Zugriff auf ein freigegebenes Board, ohne Anmeldung des Nutzers. Nutzt man Wakelt als registrierter User, etwa als Lehrkraft, die die Plattform als Kollaborationstool mit Schülern im Unterricht nutzen möchte oder auch einfach nur, um Informationen bereitzustellen, dann erhöht sich der Anteil Cookies und Dienste von Dritten noch einmal signifikant. Im Chrome Browser werden beim Anzeigen eines Boards 131 Cookies angezeigt. Ganze 12 davon sind Wakelet selbst zuzuordnen.3Webbkoll Dataskydd zeigt 11 Cookies an (8 First-Party; 3 Third-Party) und 47 Anfragen an 27 einzigartige Hosts.

Google-Analytics

Nach einer Analyse des Verhaltens von Google-Analytics mit der Google-Analytics Prüfung der Universität Bamberg ergibt sich, dass es sowohl eine Anfrage mit IP Anonymisierung gibt als auch ohne.

„Diese Seite sendet sowohl Anfragen an Google mit IP-Anonymisierung, als auch Anfragen ohne IP-Anonymisierung. Die Anfragen mit IP-Anonymisierungen stammen dabei ausschließlich von Google Remarketing mit aktivierten Google Analytics Feature.“

Das heißt, Google erhält bei jedem Aufruf eines Boards die komplette IP Nummer des Nutzers.

Eingebundene externe Inhalte

Wie bei vergleichbaren Diensten, die es ermöglichen, Inhalte von externen Seiten wie Bilder, Audio oder Videodateien einzubinden, entstehend durch diese Einbindungen (Embedds) weitere Datenzugriffe von Dritten. Über die Einbindung eines YouTube Videos erhält YouTube auch Zugriff auf Mitarbeiter oder Besucher eines Wakelet Boards.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Wie die Beschäftigung mit Wakelet zeigt, nutzt der Anbieter, der sich mit seiner Plattform speziell an Schulen richtet, eine Vielzahl von Diensten Dritter. Diese dienen einerseits dazu Funktionalitäten bereitzustellen, helfen andererseits aber auch, dem Anbieter Informationen über Nutzer des Dienstes zu erlangen. Viele Betreiber nutzen vergleichbare Dienste, um Nutzern das Teilen über Social Media – wie Twitter und Facebook – und andere Plattformen – wie Microsoft Teams und Google Classroom –  so einfach wie möglich zu machen. Dass dabei Daten ausgetauscht werden, ist unumgänglich. Gerade in Schule ist das nicht unbedingt wünschenswert. Mag das beim Teilen eines Boards über Microsoft Teams, wenn die Schule Microsoft 365 nutzt4Das ist jetzt unabhängig davon betrachtet, ob eine Nutzung von Mircrosoft 365 für sich aus Datenschutzsicht OK ist oder nicht., noch in Ordnung sein, so kommt man bei Datenabflüssen an Facebook schon an eine Grenze, die in Schule nicht überschritten werden sollte.

Nutzung in der Schule

Wird Wakelet mit schulischen Endgeräten und ohne gleichzeitigen Login an anderen Online-Plattformen genutzt, können die im Hintergrund von Wakelet aktiven Trackingmechanismen und Drittanbieter keine für sie verwertbaren Daten erheben. Das gilt sowohl für die konsumierende Nutzung eines Boards als auch die aktive Arbeit an einem Board bei einer Einladung über QR Code, Code oder Einladungs Link für nicht registrierte Nutzer.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Rufen Schüler ein Wakelet Board von zu Hause aus auf, über das Mobilnetz mit ihrem Smartphone oder mit einem privates Endgerät über das WLAN Netz der Schule, so greifen die verschiedenen im Hintergrund laufenden Dienste Daten der Nutzer ab, die diese über Zusammenführung mit eigenen Daten oder solchen aus anderen Quellen identifizierbar machen. Damit wird es möglich, den Aufruf eines Wakelet Boards einer identifizierbaren Person zuzuordnen. Auch über in ein Board eingebettete externe Inhalte kann solches möglich sein.

Wird Schülern ein Wakelet Board zum Abruf auf privaten Endgeräten oder vom heimischen Internetanschluss angeboten, so sollten sie vorab über die möglichen Risiken informiert werden. Es sollten ihnen außerdem Möglichkeiten gezeigt werden, wie sie sich zumindest in Teilen schützen können, etwa durch Nutzung von Brave Browser oder von DuckDuckGo Browser auf Mobilgeräten.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten

Solange Schüler nicht gleichzeitig an anderen Online-Plattformen eingeloggt sind, wodurch für die im Hintergrund eines Wakelte Boards aktiven Tracker potentiell identifizierbar würden, kann die Plattform sowohl zur Bereitstellung von Informationen als auch zur kollaborativen Erstellung einer Sammlung genutzt werden. Wichtig ist, dass allen klar ist, dass keine personenbezogenen Daten in eine Sammlung eingestellt werden dürfen.

Nutzung auf privaten Endgeräten/BYOD

Die umfangreich im Hintergrund eines Wakelet Boards laufenden Dienste Dritter lassen sich durch Einsatz von sicheren Browsern wie Brave Browser oder DuckDuckGo auf Mobilgeräten nur begrenzt reduzieren. Da die Datenabflüsse recht umfangreich sind und mit eingebetteten externen Inhalten nicht weniger werden, kann eine Nutzung auf privaten Endgeräte von zu Hause aus oder in der Schule, wenn überhaupt, nur ein Angebot sein und setzt voraus, dass die Nutzer umfangreich über die Risiken und Möglichkeiten, sich zu schützen, informiert werden. Empfohlen werden kann ein solches Nutzungsszenario aber definitiv nicht. Erwachsene Schüler sollten über eine ausreichende Einsicht verfügen, die Tragweite ihres Handelns abschätzen zu können, wenn sie Wakelet nutzen.

Nutzung durch Lehrkräfte – Boards erstellen und teilen

Lehrkräfte müssen selbst entscheiden, ob sie Wakelet für ihren Unterricht nutzen möchten. Sie tun es auf eigenes Risiko und müssen die Zugriffe von im Hintergrund laufenden Diensten in Kauf nehmen.

Fazit

Wakelet ist eine Plattform, die einfach zu nutzen ist und eine schöne Möglichkeit bietet, im Internet gefundene Inhalte zu kuratieren. Auch für die kollaborative Arbeit im Unterricht ist Wakelet von Interesse. Es gibt viele Lehrkräfte, die auf die Plattform schwören. Leider ist die Plattform aber nicht wirklich datenschutzfreundlich, obwohl sie sich ausdrücklich an den Bildungsbereich wendet. Während beispielsweise Padlet5Siehe Padlet – digitale Pinnwand – Datenschutz Check , welches weitaus mehr Funktionalitäten bietet, von seiner Plattform her in sehr viel geringerem Umfang auf die Daten der Nutzer zugreift bzw. Dritten dieses ermöglicht, bindet Wakelet schon in der Plattform sehr viele Dienste Dritter ein und gewährt diesen Zugriff auf die Daten der Benutzer. Oben drauf kommen dann wie bei Padlet noch die durch Einbindung von externen Inhalten entstehenden Zugriffe auf Nutzerdaten. Während man letztere weitestgehend ignorieren kann, da sie auch entstehen würden, wenn Nutzer die Inhalte direkt auf den Herkunftsseiten aufrufen, so kann man über die doch sehr umfangreichen Zugriffe, welche Wakelet Dritten auf die Daten von Nutzern erlaubt, nicht hinwegsehen.

Empfehlung

Während eine Nutzung in der Schule mit schulischen Endgeräten ohne gleichzeitigen Login an anderen Plattformen für Schüler im Unterricht problemlos möglich ist, kann eine Nutzung über private Endgeräte in einem BYOD Setting oder von zu Hause aus nicht empfohlen werden, weder zur Bereitstellung von Inhalten, noch zur Mitarbeit an einem Board. Es gibt bei Wakelet jedoch eine schöne Alternative, wenn es um die Bereitstellung von Inhalten geht. Diese besteht im Export als PDF. In diesen PDF funktionieren alle Einbettungen als Links. Das heißt, Schüler können darüber die in einem Wakelet Board gesammelten Inhalte ansehen und lesen und auch die Seiten besuchen, von denen die Inhalte stammen. YouTube Videos können so datenschutzfreundlich angeboten werden. Daten fließen erst, wenn der Nutzer über den Link das Video auf der YouTube Seite öffnet.

Stand 07/2020

Trello – digitales Board

Lesezeit: 6 Minuten

Beschreibung

Trello erlaubt die Erstellung von sogenannten Boards. Innerhalb dieser lassen sich Listen erstellen, denen Karten zugeordnet werden, die ihrerseits Text aufnehmen können und Dateien als Anhänge. Dokumente und Bilder können angezeigt werden, Audiodateien lassen sich abspielen. Mitunter wird Trello als eine Alternative zu Padlet angeführt. Boards können privat sein oder öffentlich. Letztere können durch Suchmaschinen wie Google gefunden und indiziert werden. In Trello registrierte Nutzer können zur Mitarbeit eingeladen werden. Das heißt, ohne ein Trello Konto ist keine aktive Mitarbeit an einem Board möglich.

Für die Erstellung eines Kontos sind eine E-Mail  Adresse und ein Passwort erforderlich. Zusätzlich können Nutzer sich über bestehende Konten bei Google oder Microsoft anmelden. Nutzer müssen bei Kontoerstellung die Nutzungsbedingungen und Datenschutzrichtlinie akzeptieren “Mit Ihrer Anmeldung bestätigen Sie, dass Sie unsere Nutzungsbedingungen und Datenschutzbestimmungen gelesen und akzeptiert haben.” Angemerkt werden sollte an dieser Stelle auch, dass sich das Angebot nicht an Kinder und Jugendliche unter 16 Jahren richtet. „The Services are not directed to individuals under 16.“1Siehe https://www.atlassian.com/legal/privacy-policy – Our policy towards children

Datenschutz, Sicherheit

Serverstandort, Anbieter

Trello ist nur eines von verschiedenen Produkten des US Unternehmens Atlassian, das sich mit seinen Produkten vorwiegend an Unternehmen richtet. Die Server, auf denen Trello und verbundene Dienste laufen, haben ihre Standorte vorwiegend in den USA. Entsprechend hat sich der Anbieter für den europäischen Markt EU-US Privacy Shield zertifiziert, wodurch der Transfer von personenbezogenen Daten zumindest formell DS-GVO konform abgesichert ist. Atlassian bietet Kunden aus der EU ein Data Processing Addendum, welches als PDF heruntergeladen werden kann. Es ist vorunterzeichnet. Im Data Processing Addendum sind die Standard Contractual Clauses (Standardvertragsklauseln) enthalten. Da Trello nur ein Teil der von Atlassian angebotenen Dienste ist, bezieht sich das Data Processing Addendum nicht nur auf Trello alleine.

Cookies, Tracking

Zumindest in der kostenlosen Version ist Trello alles andere als datensparsam. In Datenschutzerklärung werden zahlreiche Dienste beschrieben, sowohl eigene als auch solche von Dritten, über welche Daten der Nutzer erhoben werden. Alleine im Browser werden so bereits ohne Login 69 Cookies angezeigt. Nach Login mit einem kostenlosen Konto und öffnen eines Boards werden daraus 71, zu denen unter anderem Googles Werbenetz Doubleclicknet, Googleadeservices und Facebook gehören. Eine genauere Analyse mit Webbkoll Dataskydd findet 9 Cookies, von denen 8 zu Trello selbst gehören (1st party cookies) und eines zu Google (third party cookie). Es folgt dann eine Auflistung weiterer Tracking Dienste, 30 insgesamt, von denen 23 Trello selbst zuzuordnen sind und 7 Google (u.a. googletagmanager, google-analytics). In der Datenschutzerklärung gibt der Anbieter an, dass man selbst wie auch Drittpartner (meint Werbe- und Analysepartner) Cookies und andere Tracking-Technologien einsetze, um Nutzer über verschiedene Dienste und Geräte hinweg zu erkennen.2Cookies and Other Tracking Technologies: Atlassian and our third-party partners, such as our advertising and analytics partners, use cookies and other tracking technologies (e.g., web beacons, device identifiers and pixels) to provide functionality and to recognize you across different Services and devices. For more information, please see our Cookies and Tracking Notice, which includes information on how to control or opt out of these cookies and tracking technologies. Übersetzung: Cookies und andere Tracking-Technologien: Atlassian und unsere Drittpartner, wie z.B. unsere Werbe- und Analysepartner, verwenden Cookies und andere Verfolgungstechnologien (z.B. Web Beacons, Gerätekennungen und Pixel), um Funktionalität bereitzustellen und Sie über verschiedene Dienste und Geräte hinweg zu erkennen. Weitere Informationen finden Sie in unserem Hinweis zu Cookies und Tracking, der Informationen darüber enthält, wie diese Cookies und Tracking-Technologien kontrolliert oder deaktiviert werden können.

Google-Analytics

Der Einsatz von Google Analytics erfolgt laut Google-Analytics-Prüfung der Uni Bamberg ohne IP Nummern Verkürzung. Im Test kann eine Übermittlung an Google nachgewiesen werden. Allerdings könnte diese nach Benutzeraktionen auf einem Trello Board möglich sein.3Zusammenfassung
Diese Seite definiert Tracker für die Verwendung von Google Analytics ohne IP-Anonymisierung, hat jedoch bei der Prüfung keine Anfragen an Google geschickt. Möglicherweise werden die Anfragen erst bei bestimmten Benutzeraktionen ausgelöst.

Weitere Informationen zur Datenverarbeitung durch Trello

Atlassian erhebt nicht nur selbst Daten der Besucher und gibt seinen Werbe- und Analysepartnern die Möglichkeit dazu, sondern kombiniert diese Daten mit weiteren Daten aus einer Vielzahl von Quellen. Der Beschreibung in der Datenschutzerklärung nach scheint dieses recht umfangreich zu erfolgen. Es geht dabei nicht nur um die bei fast allen Anbietern übliche Verbesserung des Dienstes, sondern auch um personalisierte Werbung.4Information we receive from other sources
We receive information about you from other Service users, from third-party services, from our related companies, social media platforms, public databases, and from our business and channel partners. We may combine this information with information we collect through other means described above. This helps us to update and improve our records, identify new customers, create more personalized advertising and suggest services that may be of interest to you. Übersetzung: Informationen, die wir aus anderen Quellen erhalten
Wir erhalten Informationen über Sie von anderen Nutzern des Dienstes, von Diensten Dritter, von unseren verbundenen Unternehmen, Social-Media-Plattformen, öffentlichen Datenbanken und von unseren Geschäfts- und Vertriebspartnern. Wir können diese Informationen mit Informationen kombinieren, die wir durch andere oben beschriebene Mittel sammeln. Dies hilft uns dabei, unsere Datensätze zu aktualisieren und zu verbessern, neue Kunden zu identifizieren, personalisiertere Werbung zu erstellen und Dienste vorzuschlagen, die für Sie von Interesse sein könnten. Informationen, die man dazu von den Partnern erhält, meint Aktivitäten innerhalb von Trello und außerhalb, über Interessen und Engagement bezüglich Trello und anderer Dienste von Atlassian und Reaktion auf Werbung.5 Other Partners: We receive information about you and your activities on and off the Services from third-party partners, such as advertising and market research partners who provide us with information about your interest in and engagement with, our Services and online advertisements. Übersetzung:  Andere Partner: Wir erhalten Informationen über Sie und Ihre Aktivitäten innerhalb und außerhalb der Dienste von Drittpartnern, wie z.B. Werbe- und Marktforschungspartnern, die uns Informationen über Ihr Interesse an und Ihr Engagement für unsere Dienste und Online-Werbung zur Verfügung stellen.
Und damit noch nicht genug. Informationen, welche man von Drittanbietern erhalten kann, erstrecken sich sogar auf postalische Anschriften, Telefonnummern und mehr, soweit öffentlich über Websites oder Social Media verfügbar.6Third Party Providers: We may receive information about you from third party providers of business information and publicly available sources (like social media platforms), including physical mail addresses, job titles, email addresses, phone numbers, intent data (or user behavior data), IP addresses and social media profiles, for the purposes of targeted advertising of products that may interest you, delivering personalized communications, event promotion, and profiling. Übersetzung: Drittanbieter: Wir erhalten unter Umständen Informationen über Sie von Drittanbietern von Geschäftsinformationen und öffentlich zugänglichen Quellen (wie Social-Media-Plattformen), einschließlich physischer Postadressen, Stellenbezeichnungen, E-Mail-Adressen, Telefonnummern, Absichtsdaten (oder Daten zum Nutzerverhalten), IP-Adressen und Social-Media-Profilen, zum Zweck der gezielten Werbung für Produkte, die Sie interessieren könnten, der Zustellung personalisierter Mitteilungen, der Promotion von Veranstaltungen und der Erstellung von Profilen.

Es wird klar, dass Atlassian sehr daran gelegen ist, möglichst viel über seine Nutzer in Erfahrung zu bringen, um höchst persönliche Profile zu erstellen, die dann genutzt werden können, um personalisierte Angebote und Werbung für eigene Dienste erstellen zu können. Dafür bedient man sich Daten, die man selbst erhebt und zu deren Erhebung man Partnern Zugang zu den eigenen Diensten gestattet. Die so erhobenen Daten werden dann mit Daten aus weiteren Quellen kombiniert. Selbst mit einem Fake Account sollte es dem Anbieter bzw. den Partnern so leicht möglich sein, Nutzer zu identifizieren.

Inwieweit zahlende Nutzer hiervon nicht betroffen sind, ist schwierig abzuschätzen, denn im Data Processing Addendum behält man sich vor, die bei der Nutzung der Cloud Dienste des Anbieters erhobenen Daten für „legitime interne Zwecke zu verwenden, wie zum Beispiel …7Customer acknowledges and agrees that as part of providing the Cloud Products and services, Atlassian has the right to use data relating to or obtained in connection with the operation, support or use of the Cloud Products for its legitimate internal business purposes, such as to support billing processes, to administer the Cloud Products, to improve, benchmark, and develop our products and services, to comply with applicable laws (including law enforcement requests), to ensure the security of our Cloud Products and to prevent fraud or mitigate risk. To the extent any such data is personal data, Atlassian warrants and agrees that: (i) it will process such personal data in compliance with Data Protection Law and only for the purposes that are compatible with those described in this Section 7.1; (ii) it will not use Customer Personal Data for any other purpose or disclose it externally unless it has first aggregated and anonymised the data so that it does not identify the Customer or any other person or entity. Eigentlich sollten Nutzer, deren Organisation das Data Processing Addendum abgeschlossen haben, geschützt sein, da ihre Daten dann nur für Zwecke der Organisation verarbeitet werden dürfen. Das schließt jedoch nicht aus, dass Anbieter Nutzer beim Anlegen oder ersten Login in ihr Konto in einer darüber hinausgehende Datenverarbeitung durch den Anbieter einwilligen lassen. Mangels eines entsprechenden Kontos kann dieses hier nicht überprüft werden.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Atlassian, der Anbieter von Trello, greift zumindest bei Nutzern mit einem kostenlosen Konto und bei Besuchern eines öffentlichen Boards selbst viele Daten ab und gibt darüber hinaus sogenannten Werbe- und Analysepartnern Zugriff auf die Daten von Nutzern und Besuchern. Das ist nicht unüblich, in Schulen aber doch problematisch, vor allem, wenn ein Anbieter wie Atlassian, dann diese Daten noch mit Daten aus einer Vielzahl von anderen Quellen kombiniert und anreichert, um damit personalisierte Werbung zu erstellen und Nutzern mit einem Konto, weitere eigene Dienste schmackhaft zu machen.

Man sollte eigentlich erwarten können, dass mit einem Bezahl-Konto und Abschluss des Data Processing Addendum keine Erhebung und Verarbeitung von personenbezogenen Daten zu eigenen Zwecken des Anbieters (von Nutzung zur Bereitstellung des Dienstes, Gewährleistung der Sicherheit, … abgesehen) erfolgt, sofern Nutzer diesen nicht zugestimmt haben, da das dem Data Processing Addendum widersprechen würde. Solches wäre jedoch noch zu prüfen. Offen bleibt auch, wie genau Atlassian seine eigenen“legitime Interessen“ genau definiert, wenn es um die Einräumung von Nutzungsrechten an den personenbezogenen Daten der Nutzer geht.

Nutzung in der Schule

Bei einer Nutzung mit schulischen Endgeräten und ohne gleichzeitigen personalisierten Login an anderen Online-Plattformen und am Standort Schule, können die im Hintergrund von Trello aktiven Dienste des Anbieters und von Drittanbieten keine für sie verwertbaren Daten erheben. Die Nutzung beschränkt sich dabei jedoch auf reinen Konsum. Eine aktive Mitarbeit an einem Board ist ohne eigenes Konto nicht möglich und die Erstellung eines solchen kommt in Schule nicht in Frage.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Rufen Schüler von zu Hause aus oder über das Mobilnetz mit ihrem Smartphone ein Trello Board auf, greifen die verschiedenen auf der Seite im Hintergrund laufenden Dienste Daten der Nutzer ab, die diese über Zusammenführung mit eigenen Daten oder solchen aus anderen Quellen identifizierbar machen. Der Aufruf eines Trello Boards kann einer identifizierbaren Person dann recht einfach über Zusammenführung mit Daten aus anderen Quellen zugeordnet werden.

Wenn Schüler ein Trello Board zum Auruf von privaten Endgeräten oder vom heimischen Internetanschluss aus angeboten wird, sollten sie vorab über die möglichen Risken informiert werden. Außerdem sollten ihnen Möglichkeiten gezeigt werden, wie sie sich zumindest in Teilen schützen können, etwa durch Nutzung von Brave Browser oder auf Mobilgeräten DuckDuckGo.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten

Für eine Nutzung zur Bereitstellung von Inhalten und Links kann Trello durchaus verwendet werden, wenn die Schüler (a) ohne eigene Konten, (b) als konsumierende Besucher auf die Trello Boards (c) über schulische Endgeräte (d) ohne gleichzeitigen Login an sonstigen Drittanbieter-Plattformen (e) am Standort Schule darauf zugreifen. Mehr ist leider nicht möglich.

Nutzung auf privaten Endgeräten/BYOD

Wenn Lehrkräfte ihren Schülern Inhalte über ein Trello Board zur Nutzung von einem privaten Endgerät oder vom heimischen Internetanschluss aus bereitstellen wollen, kann dieses nur ein Angebot sein. Nutzer müssen vorweg über mögliche Risiken informiert werden und es muss Alternativen geben, an die gleichen Inhalte zu gelangen, ohne Trello nutzen zu müssen.

Mit ausreichendem Selbstschutz kann das Risiko gemindert, aber keinesfalls komplett beseitigt werden. Eine Nutzung von Trello auf Smartphones und anderen privaten Endgeräten bzw. vom heimischen Anschluss ist von daher ganz sicher nicht zu empfehlen.

Nutzung durch Lehrkräfte – Boards erstellen und teilen

Lehrkräfte nutzen Trello mit einem kostenlosen Konto auf eigenes Risiko. Sie willigen bei der Erstellung ihres Nutzerkontos in die Datenvereinbarung und die Nutzungsbedingungen ein.

Fazit

Trello wird oft als eine datenschutzfreundliche Alternative zu Padlet empfohlen. Im Vergleich zu Padlet schneidet Trelle jedoch eindeutig schlecher ab, wenn es um Datenschutz geht.8Siehe Datenschutz Check – Padlet Trello ist definitiv keine Alternative, da wenn überhaupt nur eine passive Nutzung durch Schüler vertretbar ist und diese auch nur in der Schule mit schulischen Geräten und ohne gleichzeitigen Login an anderen Plattformen. Für Schulen ist eine Nutzung zur Bereitstellung von Informationen, auf die von zu Hause oder mit privaten Endgeräten zugegriffen werden soll, nicht vertretbar, da der Anbieter selbst wie auch durch Dritte zu viele Daten abgreift, die dann zur Erstellung von umfangreichen Profilen zwecks Anzeige von Werbung genutzt werden. Darüber hinaus hat der Anbieter Trello wie auch seine anderen Plattformen nicht für Nutzer vor Vollendung des 16. Lebensjahres gedacht.

Wem das Format der Trello Boards gefällt, der kann eine vergleichbare Darstellung von Inhalten z.B. mit Decks von NextCloud erzielen. Alternativ käme auch Padlet in Frage, das sehr viel mehr kann und zumindest innerhalb der Schule mit schuleigenen Geräten und ohne gleichzeitigen Login an anderen Plattformen sehr datenschutzfreundlich genutzt werden kann. Siehe dazu Datenschutz Check – Padlet – digitale Pinnwand

Stand 06/2020

Padlet – digitale Pinnwand

Lesezeit: 8 Minuten

Beschreibung

Padlet ist eine digitale Pinnwand, die sich vor allem dadurch auszeichnet, dass sie sehr vielseitig und trotzdem einfach zu bedienen ist. Aus diesem Grund erfreut sie sich bei Lehrkräften und Schülern großer Beliebtheit. Eine Nutzung ist über den Browser wie auch Apps für Tablets und Smartphones möglich. Dabei läuft Padlet komplett online. Eine Nutzung ohne Internet ist deshalb nicht möglich. Nutzerkonten sind lediglich für die Ersteller von Padlets, meist die Lehrkräfte, erforderlich. Schüler können über einen Link und auf iOS über eine Broadcast Funktion zur Mitarbeit eingeladen werden. Eine Stärke von Padlet neben der Fähigkeit, eine Vielzahl von Medien (Text, Ton, Bild, Video, Zeichnungen, Links, …) aufzunehmen, ist die Möglichkeit zur synchronen Kollaboration. Das heißt, es können mehrere Personen zeitgleich an einem Padlet arbeiten. Padlet kann kostenlos mit bis zu drei Pinnwänden genutzt werden. Es gibt darüber hinaus kostenpflichtige Konten für Einzelnutzer (Padlet Pro), für Unternehmen (Padlet Briefcase) und für Schulen (Padlet Backpack – als Schullizenz), die über zusätzliche Funktionen verfügen. Dazu gehört auch ein Data Processing Addendum, mit welchem Schulen ihrer Pflicht zum Abschluss eines Vertrag zur Auftragsverarbeitung, die sich aus den umfangreicheren Funktionen ergeben, zumindest formell nachkommen können.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Der Anbieter kommt aus den USA und nutzt Server in den USA. Padlet nutzt unter anderem Server von Amazon (AWS), Fastly und Cloudlflare (auch als CDN).

Cookies, Tracking

Padlet setzt zur Erbringung seiner Dienste eine Vielzahl von Cookies und Trackingmechanismen ein. 10 davon werden in der Analyse mittels Webbkoll Dataskydd als eigene Cookies (First Party Cookies), die unter anderem der Personalisierung der Nutzung dienen dürften, angezeigt. Aus Sicht des Datenschutz sollten diese genauso unproblematisch sein wie 19 weitere, die Dritten zugeordnet werden, da die beiden zugehörigen Hosts (padlet.pics und padlet.net) andere Domainendungen haben als die Hauptdomain padlet.com. Eindeutig Dritten zuzuordnen sind dann noch 10 Cookies von 5 einmaligen Hosts. Dazu zählen Indicative.com (api.indicative.com, cdn.indicative.com), Amazon (certify.alexametrics.com) und Google (google-analytics.com, googletagmanager.com).

  • Indicative ist ein Analysetool, welches Website Betreibern Aufschluss über Nutzungsverhalten gibt und wird in der Regel zur Optimierung des eigenen Angebotes eingesetzt. Indicative nutzt seine Technologien nicht, um für eigene Zwecke Nutzerprofile zu erstellen. Das Data Processing Addendum, welches Indicative Kunden wie Padlet zur Verfügung stellt, orientiert sich an den Standardvertragsklauseln bezüglich Kunden in der EU. Die Betreiber von Padlet nutzen Indicative, um Google Analytics Daten auszuwerten.
  • Hinter Alexametrics verbirgt sich ein Analysetool (Tracking Pixel), mit welchem Besucherstatistiken erstellt werden können.1Entsprechend der Datenschutzinformationen von Amazon zu Alexa werden dabei folgende Informationen verarbeitet: „Beispiele für automatische Informationen, die wir von Websites Dritter im Auftrag von Website-Betreibern für deren Verkehrsanalyse sammeln, umfassen die Kontokennung des Website-Betreibers, die URLs der besuchten Webseiten, alle verweisenden URLs auf diese Webseiten, die IP-Adressen und Browserinformationen wie Browsertyp, Browser-Engine, Betriebssystem und Version der Website-Besucher sowie eine eindeutige Kennung für jeden Website-Besucher. Quelle: https://www.alexa.com/help/privacyy – Automatic Information We Collect From Other Websites
  • Google Analytics wird von Padlet ohne Anonymisierung durch IP Verkürzung eingesetzt2getestet mit https://checkgoogleanalytics.psi.uni-bamberg.de/ am 2020-06-11. Wie oben beschrieben, nutzt Padlet mittels Plugin Indicative, um die Google Analytics Daten über die Möglichkeiten dieses Anbieters auszuwerten.
  • Google Tag Manager leitet Informationen über Nutzerverhalten über verschiedene Padlet Seiten hinweg an Google Analytics zur Auswertung weiter. Es dient ebenfalls der Optimierung des Angebotes.

Padlet nutzt alle vier Angebote als Auftragsverarbeiterdienste3Google listet hier seine Auftragsverarbeiterdienste – https://privacy.google.com/intl/de/businesses/adsservices/ . In seinem Data Processing Addendum (vergleichbar einem Vertrag zur Auftragsverarbeitung) werden diese nicht explizit genannt. Google Analytics ist jedoch in der Datenschutzerklärung erwähnt.

In der Datenschutzerklärung wird angegeben, wofür man Cookies einsetzt:

  • Benutzer authentifizieren
  • Benutzer eingeloggt lassen, während sie den Dienst nutzen
  • das Verhalten auf dem Dienst zu verfolgen (z.B. welche Seite der Benutzer nach der Startseite besucht hat)
  • Benutzereinstellungen merken (z.B. Zeitzone)
  • Anzeigen über Padlet außerhalb des Dienstes anzeigen (z.B. auf LinkedIn)

Cookies – nicht Padlet

Als digitale Pinnwand nimmt Padlet, wie beschrieben, eine Vielzahl von Inhalten auf. Dazu gehören auch verlinkte oder eingebettete Inhalte. Wird beispielsweise ein YouTube Video eingebettet, werden durch YouTube entsprechend Daten erhoben und gegebenfalls Cookies gesetzt. Gleiches gilt auch für Bilder von externen Seiten oder auch Links, die im Anhang einen Verweis enthalten. Das ist bei Padlet nicht anders als bei anderen Websites, etwa Blogs und Nachrichtenseiten, die externe Inhalte anzeigen bzw. auf diese verweisen.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Padlet gibt sich in der Datenschutzerklärung recht transparent bezüglich der Datenverarbeitung bei der Nutzung seiner Dienste. Nutzern werden DS-GVO Rechte eingeräumt. Es bleiben jedoch trotzdem einige Fragen offen. Das Data Processing Addendum ist leider nicht öffentlich abrufbar. Das betrifft etwa die Nutzung von personenbezogenen Daten für eigene Zwecke 4Padlet
a. Verarbeitet personenbezogene Daten des Kunden
(i) für legitime und objektive Zwecke, einschließlich der Entwicklung, Durchführung und Verbesserung von Padlet Diensten,
. Hierunter dürfte die oben beschriebene Möglichkeit einer Nutzung für die Anzeige von Werbung gehören.5Dem Betreiber dieser Website ist eine Werbung von Padlet selbst noch nie begegnet. Auch wenn nach Angaben von Padlet die Dienste Dritter als Auftragsverarbeitung genutzt werden, so ist nicht wirklich klar, ob gerade im Fall von Google und Amazon nicht auch diese Auswertungen vornehmen und wenn, in welcher Form und in welchem Umfang. Im Fall von Google Analytics werden keine IP Nummern unmittelbar nach der Erhebung verkürzt, womit Nutzer durch Google über ihren Internetzugang potentiell einer identifizierbaren Person zugeordnet werden können.

Nutzung in der Schule

Bei einer Nutzung mit schulischen Endgeräten und ohne gleichzeitigen Login an anderen Online-Plattformen bzw. -diensten, können die im Hintergrund von Padlet aktiven Trackingmechanismen und Drittanbieter keine für sie verwertbaren Daten von Schülern erheben. Entsprechendes trifft auch auf in ein Padlet eingebundene externe Inhalte und damit verbundene Datenabflüsse zu. Richten Lehrkräfte sich ein persönliches Konto ein, hängt es sehr davon ab, mit welchen Angaben dieses erfolgt, ob die dadurch identifizierbar werden. Bei schulischen Padlet Konten könnte ein Konto mit einer schulischen E-Mail Adresse und einem Pseudonym als Nutzernamen angelegt werden.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Rufen Schüler ein Padlet von zu Hause aus oder über das Mobilnetz mit ihrem Smartphone auf, werden Daten erhoben, von der IP Nummer bis zum Browsertyp und Betriebssystem, die eine Identifizierung durch von Padlet genutzte Dienste Dritter ermöglichen können. Gleiches gilt auch für Datenabflüsse aus von externen Quellen eingebundene Inhalte eines Padlets.

Wenn Schüler Padlets zur Nutzung auf privaten Endgeräten oder vom heimischen Internetanschluss angeboten werden, sollten sie vorab über die möglichen Risken informiert werden. Außerdem sollten ihnen Möglichkeiten gezeigt werden, wie sie sich zumindest in Teilen schützen können, etwa durch Nutzung von Brave Browser, den mobilen Browser von DuckDuckGo oder das zugehörige Google Chrome Plugin.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten

Gute Bedingungen, sowohl für ein konsumierende als auch eine produktive Nutzung, solange Schüler nicht gleichzeitig an anderen Online-Plattformen bzw. -diensten eingeloggt sind, wodurch für die im Hintergrund eines Padlet laufenden Trackingmachanismen potentiell identifizierbar würden.

Konsumierende Nutzung auf privaten Endgeräten/BYOD

Wenn Lehrkräfte ihren Schülern ein Padlet für den Abruf von Inhalten6Gemeint ist hier eine konsumierende Nutzung. Die Schule stellt Inhalte zum Abruf bereit. Schülerinnen und Schüler bringen selbst keine Inhalte in das Padlet ein. von zu Hause aus oder über private Endgeräte in der Schule geben,  kann dieses nur ein Angebot sein. Eventuelle Risiken, welche sich aus einer Nutzung von Padlet über ein privates Endgerät ergeben, lassen sich nie völlig auszuschließen. Vergleicht man ein gut bestücktes Padlet mit eingebetteten Inhalten von externen Seiten, wie Bildern und Videos, so fällt das Risiko, welches von Padelt selbst ausgeht, deutlich geringer als das, welches von den Inhalten ausgeht. Verglichen mit der durchschnittlichen Website einer Tageszeitung oder einer Portalseite wie der von T-Online sind die Risiken für die Nutzer eines Padlets ebenfalls deutlich geringer.

Produktive Nutzung auf privaten Endgeräten/BYOD

Wenn Lehrkräfte ein Padlet, wie zuvor beschrieben, für den Abruf von zu Hause aus oder über private Endgeräte in der Schule bereitstellen, und Schüler sollen aktiv am Padlet mitarbeiten, indem sie Inhalte einfügen oder Bewertungen abgeben, hängt vor allem bei den Inhalten viel davon ab, welcher Art diese sind. Inhalte, welche Rückschluss auf die Person zulassen, etwa Fotos der Person, Tonaufnahmen oder Texte mit ganzem Namen sollten unter diesen Voraussetzungen eher nicht eingebracht werden. Insgesamt erhöht sich das Risiko in diesem Setting gegenüber dem einer rein konsumierenden Nutzung.

Fazit

Padlet ist eine in Schulen sehr beliebte Plattform, da sie auch für Einsteiger ohne Vorkenntnisse einfach zu nutzen ist. Gleichzeitig steht Padlet aber auch in der Kritik wegen datenschutzrechtlicher Belange. Eine genauere Betrachtung zeigt jedoch, dass die Lage längst nicht so dramatisch ist, wie sie oft dargestellt wird. Tatsache ist, Padlet nutzt verschiedene Analysedienste. Nach eigenen Aussagen im Data Processing Addendum und der Datenschutzerklärung erfolgt dieses mit entsprechenden Verträgen im Sinne eines Vertrags zur Auftragsverarbeitung oder die Daten werden in einer Form weitergegeben, die für Dritte keine Rückschlüsse auf identifizierbare Personen zulassen. Von daher sollte man davon ausgehen können, dass eine Verwertung von Analysedaten, die einer identifizierbaren Person zugeordnet werden können, durch Dritte für eigene Zwecke nicht stattfindet. Letztlich ist und bleibt es eine Frage des Vertrauens, denn eine Überprüfung der vertraglichen Zusagen im Data Processing Addendum ist nur schwierig bis gar nicht möglich.

Bei einer Nutzung mit schulischen Endgeräten in der Schule ohne gleichzeitiges Login an anderen Plattformen, kann man sicher davon ausgehen, dass für Schüler keine Risiken durch eine Nutzung entstehen, auch wenn externe Inhalte eingebunden sind in das Padlet. Werden private Endgeräte genutzt, ist ein gewisses Risiko nicht sicher auszuschließen. Eltern, die ihren Kindern erlauben, zu Hause YouTube Videos am eigenen Smartphone oder Computer zu schauen oder kostenfreie Spiele auf den zahlreichen durch Werbung gesponserten Portalen zu spielen, können davon ausgehen, dass die Risiken für ihre Kinder dort um einige Größenordnungen größer sind.

Mit einem sicheren Browser wie Brave Browser oder dem DuckDuckGo Browser auf einem Mobilgerät lassen sich die oben beschriebenen Aktivitäten von Dritten (Indicative, Alexametrics, GoogleTagManager) nicht komplett unterbinden, aber reduzieren.

Im Hinblick auf die Standorte der vom Anbieter genutzten Server in den USA sollte darauf geachtet werden, Padlet ohne weitere personenbezogene Daten zu nutzen, um hier keine unnötigen Risiken entstehen zu lassen.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von Padlet möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen. Eltern sollten entsprechend informiert werden. Bei einer Nutzung von Padlet ohne personenbezogene oder -beziehbare Daten von Schülerinnen und Schülern, wie oben beschrieben, hat der Wegfall es EU-US Privacy Shield keine nachteiligen Auswirkungen.

Einwilligung nicht vergessen

Eine Einwilligung der Betroffenen d.h. der Eltern oder der Schüler, bei Schülern ab Vollendung des 16. Lebensjahres der Schüler selbst, wird erforderlich, wenn Padlet im Unterricht – egal ob in der BackPack Version für Schulen oder der Pro Version für Einzelpersonen – so eingesetzt wird, dass er

  • nicht auf schulischen Geräten in der Schule selbst erfolgt,
  • er zu Hause erfolgen soll, und er
  • über eine rein konsumierende Nutzung hinausgeht, von den Schüler also eine produktive Nutzung erfordert.

Setzen Lehrkräfte mit Zustimmung der Schulleitung kostenlose Padlets ein, sollte ebenfalls eine Einwilligung eingeholt werden.7Siehe auch Padlet mit Einwilligung nutzen

Tipps zur sicheren Nutzung von Padlet

  • Lehrkräfte sollte darauf achten und ihre Schüler dafür sensibilisieren, dass in ein Padlet keine Informationen eingetragen werden, anhand derer sie eindeutig zu identifzieren sind. Dazu gehören auch Fotos, auf welchen die Schüler abgebildet sind, oder Stimmaufnahmen.
  • Es ist nicht erforderlich, individuelle Nutzerkonten für Schüler anzulegen, da die Bearbeitung auch ohne solche möglich ist.
  • Padlets sollte grundsätzlich immer auf geheim gestellt werden, da sie so nicht über Suchmaschinen gefunden und indiziert werden können. Ebenso wird damit unterbunden, dass Dienste Dritter die Inhalte von Padlets analysieren und eventuell Besuchern zuordnen.8Beispiel: ein Padlet mit Inhalten zum Thema Bauernhof wird von einem Schüler besucht, um sich dort kundig zu machen und Aufgaben herunterzuladen. Der Zugriff erfolgt von zu Hause aus. Bei einem öffentlichen Padlet könnte etwa ein Dienst wie Google-Analytics über die IP Nummer des Heimanschlusses und Informationen aus anderen Quellen dem Schüler die Information zugeordnet werden – ‚hat ein Padlet mit dem Thema Bauernhof aufgesucht‚. Ist das Padlet geheim, kann dem Schüler nur die Information zugeordnet werden – ‚hat ein Padlet aufgesucht‚.
  • Nach Ende eines Projektes, an dem Schüler gearbeitet haben, sollte die Schreibberechtigung für andere Personen als die Lehrkraft deaktiviert werden, um Vandalismus vorzubeugen.
  • Nutzt eine Schule Padlets als öffentliche Seiten, sollte es auf jedem Padlet einen Link zur Datenschutzerklärung auf der Schulhomepage geben. Diese muss dann auch Angaben zur Datenverarbeitung beim Aufruf eines Padlets enthalten.

Hinweise zur Nutzung der Padlet Apps

Im September 2020 hat das Portal MOBILSICHER die Padlet Apps unter die Lupe genommen. In ihrem Test kommen sie zu dem Schluss, dass aus den mobilen Apps Daten an Dritte abfließen, „an den Dienstleister Branch Metrics, der aus der App Informationen zusammen mit der Werbe-ID erhält„, an Microsoft, die „den Namen des Mobilfunkproviders sowie User-Agent mit Build-Nummer“ erhalten, und an Google, die „u.a. die Werbe-ID, die Hardware-ID und die IMEI-Nummer“ erhalten. Zu beachten ist hierbei, dass Daten zum Mobilfunkprovider und IMEI-Nummer nur bei Geräten mit mobilem Zugang und SIM Karte vorhanden sind und abgefragt werden können. Das wäre beispielsweise der Fall, wenn Schüler mit ihren Smartphones die Padlet App nutzen. Wenn Lehrkräfte Padlet im (Distanz)Unterricht einsetzen, sollten sie darauf hinweisen, dass Eltern sich vor der Installation des Apps auf einem Mobilgerät ihres Kindes entsprechend informieren. Schülerinnen und Schüler ohne Zustimmung der Eltern aufzufordern, sich das App auf ihr Smartphone zu installieren, kann vor allem bei jüngeren Schülern rechtliche Folgen für Lehrkräfte nach sich ziehen.

Gegen eine Nutzung der Padlet App auf schulischen iPads spricht nichts. Selbst bei einer Nutzung mit managed Apple IDs erhalten der Anbieter und die Dienste im Hintergrund nicht mehr Informationen als sie bei der Nutzung von Padlet über einen Browser erhalten.

Zusätzliche Informationen

Das Data Processing Addendum, der Vertrag zur Auftragsverarbeitung von Padlet im Check mit der Checkliste der Orientierungshilfe Auftragsverarbeitung. Mit Hilfe der Checkliste wurde überprüft, welche Kriterien das Data Processing Addendum erfüllt. Nicht alle Kriterien treffen auf Padlet zu. Die meisten Punkte werden erfüllt. Es verbleiben jedoch auch einige, zu denen Angaben nicht gemacht werden können. Ein Teil der Informationen, welche die Checkliste abfragt, müssen der Datenschutzerklärung und den Geschäftsbedingungen von Padlet entnommen werden.

Das Data Processing Addendum in einer zweisprachigen Version zum besseren Verständnis.9Übersetzung vom Betreiber der Seite und mit Unterstützung von Deepl, das vor allem bei Rechtstexten gute Dienste leistet.

Genügt das Data Processing Addendum den Anforderungen von Art. 28 DS-GVO?

In großen Teilen sollte, wie die Analyse oben zeigt, das Data Processing Addendum die Vorgaben von Art. 28 DS-GVO erfüllen, doch es gibt einige Bereiche, bei denen Fragen offen bleiben. Eine davon betrifft die Hinzunahme weiterer Auftragsverarbeiter durch den Padlet zur Unterstüztung der eigenen Auftragsverarbeitung für den Vertragnehmer (Schule). In Abs. 2 Art. 28 DS-GVO heißt es dazu:

„Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch.“

Im Data Processing Addendum wird hierzu nichts gesagt, weder räumt Padlet dem Verantwortlichen eine Möglichkeit zur Genehmigung ein, noch sagt man zu, den Verantwortlichen zu informieren. Da der Anbieter sich jedoch verpflichtet, von weitere Auftragsverarbeitern, vertraglich die Gewährleistung eines gleichen Datenschutzniveaus und gleicher Sicherheit einzufordern, sollte daraus kein Problem erwachsen.

Garantien, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung DS-GVO konform erfolgt, liegen nicht vor. Ob das Sicherheitskonzept, welches man anfordern kann, wenn man das Data Processing Addendum vereinbart hat, müsste man sehen.

Stand 09/2020

Loom – Bildschirm aufnehmen und teilen

Lesezeit: 5 Minuten

Beschreibung

Loom ist eine Plattform, die es ermöglicht, Aufnahmen des Computerbildschirmes zu machen und gleichzeitig den Aufnehmenden über eine Webcam und mit Ton aufzuzeichnen. So haben Betrachter eines Videos, in dem etwas gezeigt oder erklärt wird, den Autoren gleichzeitig im Blick. Auch wenn Loom mit seinem Produkt vor allem die Wirtschaft anspricht, findet die Plattform auch Interesse bei Lehrkräften, etwa um Erklärvideos zu erstellen. Loom kann kostenlos mit Einschränkungen genutzt werden. Für Lehrkräfte ist die Pro Version unbegrenzt kostenlos nutzbar.

Zur Anmeldung sind eine E-Mail  Adresse und ein Passwort erforderlich. Zusätzlich sind SSO Optionen vorhanden. Zur Website gibt es Software für das Screenrecording für Windows, Mac, Chromebrowser und iOS.

Der Anbieter ist in seiner Datenschutzerklärung sehr transparent bezüglich der genutzten Dienste. In einer zweiten, in einfacher Sprache verfassten Datenschutzerklärung für Menschen, werden die wichtigsten Fakten noch einmal übersichtlich erklärt.

Ein erstelltes Video ist über einen Link abrufbar. Auf der dann erscheinenden Seite befinden sich das Video, Textinformationen zum Video, das Veröffentlichungsdatum, die Anzahl der Abrufe und Informationen zum Autoren, ein Feld für eine Texteingabe mit Bezug zu ausgewählten Stellen im Video, Emoji zur Abgabe einer Reaktion auf das Video und ein Teilen Menü. Dort unter anderem die Option, auf Twitter und Facebook zu teilen. Zur Abgabe eines Textkommentars ist keine Registrierung, aber die Angabe eines Namens erforderlich. Dieser kann aber frei gewählt werden.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Der Anbieter kommt aus den USA und nutzt Server in den USA. Loom hat sich für seine Kunden in der EU nach dem EU-US Privacy Shield zertifiziert. Für die Speicherung von Daten wird überwiegend Amazon Web Services (AWS oder auch Amazon S3) genutzt. Textinformationen werden in verschlüsselter Form gespeichert. Videos sind in verschlüsselten Containern gespeichert und werden über ein Content Delivery Network (CDN) abgerufen. Mit Amazon und anderen genutzten Diensten Dritter bestehen Verträge, die in etwa einem Vertrag zur Auftragsverarbeitung entsprechen.

Cookies, Tracking

Loom nutzt eine Vielzahl von Diensten, die im Hintergrund laufen. In der einfachen Datenschutzerklärung werden diese alle aufgezählt und sie lassen sich überwiegend auch beim Abruf eines Videos über einen Link, der ein Format hat wie https://www.loom.com/share/f81f012af77r4780a7cc184584b6ccfd nachweisen. Webbkoll Dataskydd weist mit Stand von 2020-05-15 insgesamt 17 Cookies nach, davon eines Third Party, und 36 Anfragen von 21 Stellen. Der Chromebrowser weist 68 Cookies aus. Brave Browser identifiziert bis zu 8 Website übergreifende Tracker. Nicht alle Anfragen von Dritten sind in der Datenschutzerklärung ausgewiesen, darunter auch eine Abfrage von Facebook1Das auf der Website genutzte Facebook Developer Kit – https://connect.facebook.net/en_US/sdk.js dürfte im Zusammenhang mit dem Teilen Menü stehen.. Unter den Cookies ist auch Google vertreten mit dem Werbenetzwerk Doubleclick.net. Und obwohl es sich nur um eine Seite handelt, auf der ein Video angezeigt wird, und sonst nichts, läuft im Hintergrund Stripe, ein Anbieter, der Bezahlungen für Diensteanbieter wie Loom abwickelt, so aber Daten von Besuchern des verlinkten Videos aufnimmt. Auch wenn Loom betont, dass die genutzten Dienste alle mit Verträgen geregelt sind, die den Anbieter zum Verantwortlichen machen, so ist davon auszugehen, dass einige Daten von den Dritten wie Facebook und Google auch zu eigenen Zwecken genutzt werden.

Google-Analytics

Loom nutzt den Analyse Dienst, gibt jedoch an, dass man die IP Nummern verkürze und Google keine Daten darüber erhält2„we even anonymize IP addresses. Your identity is completely safe here.“ Quelle: https://www.loom.com/privacy. Diese Aussage ist sicher zutreffend, doch es werden wie oben angesprochen, weitere Google Dienste genutzt.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Auch wenn die Plattform Loom sich in ihren Datenschutzerklärungen sehr transparent und datenschutzkonform gibt, so laufen selbst im Hintergrund von Webseiten, über die Videos weitergegeben werden, um sie anzusehen, zu kommentieren, herunterzuladen oder zu teilen, jede Menge Dienste im Hintergrund, über die mit sehr großer Wahrscheinlichkeit Daten an Dritte abfließen. Anbieter wie Facebook können so die Besuche eines Nutzers registrieren und einem bestehenden Profil oder Schattenprofil zuordnen. Gleiches dürfte auch auf Google zutreffen. Es gibt sicherlich wesentlich schlimmere Websites, doch datenschutzfreundlich sollte im Zusammenhang mit Schule anders aussehen.

Nutzung in der Schule

Bei einer Nutzung mit schulischen Endgeräten und ohne gleichzeitigen Login an anderen Online-Plattformen, können die im Hintergrund von Loom aktiven Trackingmechanismen und Drittanbieter keine für sie verwertbaren Daten erheben. Das gilt sowohl für den Konsum von Videos, wie auch die Bewertung über die Emoji Buttons oder einen Textkommentar, solange der Textkommentar und der eingetragene Name keine personenbezogenen Daten enthält.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Rufen Schüler von zu Hause aus oder über das Mobilnetz mit ihrem Smartphone einen Loom Videolink auf, greifen die verschiedenen auf der Seite im Hintergrund laufenden Dienste Daten der Nutzer ab, die diese über Zusammenführung mit eigenen Daten oder solchen aus anderen Quellen identifizierbar machen. Einer identifizierbaren Person kann dann der Aufruf eines Videolinks zugeordnet werden.

Wenn Schülern Videolinks von Loom zum Abruf auf privaten Endgeräten oder vom heimischen Internetanschluss angeboten werden, sollten sie vorab über die möglichen Risken informiert werden. Außerdem sollten ihnen Möglichkeiten gezeigt werden, wie sie sich zumindest in Teilen schützen können, etwa durch Nutzung von Brave Browser.

Loom räumt Nutzern zwar DS-GVO Betroffenenrechte ein, doch die sind eher für registrierte Nutzer gedacht, nicht für Schüler, die nur Videolinks abrufen.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten

Gute Bedingungen, wenn die Schüler nicht gleichzeitig an anderen Online-Plattformen eingeloggt sind, wodurch für die in Loom aktiven Tracker potentiell identifizierbar würden.

Nutzung auf privaten Endgeräten/BYOD

Wenn Lehrkräfte ihren Schülern Loom Videolinks für den Abruf von zu Hause aus oder über private Endgeräte in der Schule geben,  kann dieses nur ein Angebot sein. Verglichen mit dem Abruf eines YouTube Videos über YouTube selbst, ergibt sich für Schüler bei einer Nutzung eines Browsers in Standardkonfiguration ein deutlich größeres Risiko. Während bei YouTube nur Google Daten über verschiedene Mechanismen Daten erhebt, greifen bei Loom eine Vielzahl verschiedener Dienste auf die Daten der Nutzer zu.

Mit ausreichendem Selbstschutz kann das Risiko gemindert, aber nicht beseitigt werden. Eine Nutzung auf Smartphones und anderen privaten Endgeräten bzw. vom heimischen Anschluss ist von daher nicht zu empfehlen.

Nutzung durch Lehrkräfte – Videos erstellen und teilen

Lehrkräfte nutzen Loom auf eigenes Risiko. Sie willigen bei der Erstellung ihres Nutzerkontos in die Datenvereinbarung und die Nutzungsbedingungen ein.

Fazit

Loom ist eine Plattform, die sich zwar sehr gut nutzen lässt, um Screencast Erklär Videos zu erstellen und einfach mit Schülern zu teilen, doch dieses schöne Angebot hat seinen Preis. Die Plattform selbst erhebt eine Menge Daten von registrierten Nutzern wie auch Personen, die lediglich Videolinks abrufen und kommentieren. Außerdem gibt Loom Dritten die Möglichkeit, auf die Daten von Nutzern, die beim Aufruf der Website anfallen, zuzugreifen.

Wer als Lehrkraft über Loom Erklärvideos erstellt, sollte sie nur innerhalb der Schule mit Schülern nutzen, wenn dort die Möglichkeit besteht, sie über schuleigene Geräte ohne gleichzeitige Anmeldung an anderen Online-Plattformen, abzurufen.

Falls die Videos auch für den Abruf von zu Hause aus, vom Smartphone oder über in die Schule mitgebrachte Privatgeräte bereitgestellt werden sollen, dann müssen Betroffene informiert werden. Außerdem sollte es eine Alternative geben, an die Videos zu kommen oder die dort vermittelten Inhalte. Loom erlaubt es, Videos herunterzuladen. Sie könnten dann auch auf einer schulischen Lernplattform bereitgestellt werden, falls diese  kein Streaming zulässt, zum Download. Solange die Zahl der Downloads begrenzt wird auf die Mitglieder einer Lerngruppe, sollte das immer möglich sein.

QWIQR – Audiofeedback

Lesezeit: 6 Minuten

Qwiqr entstand als eine Plattform, mit deren Hilfe Lehrkräfte Schülern auf einfach Art und Weise gesprochenes Feedback geben können, sei es zur Bewertung einer Klassenarbeit oder zur Erläuterung von Fehlern und Verbesserungsvorschlägen. Die Feedback Plattform Qwiqr existiert nur als Website. Das Nutzungsprinzip hinter der von dem englischen Lehrer Marc Waller betrieben Plattform ist recht einfach. Die Lehrkraft erstellt sich ein Konto. Im Konto werden QR Codes erzeugt, die anschließend ausgedruckt werden. Hinter den QR Codes verstecken sich Links, die auf den Qwiqr Server führen. Mit einem Smartphone oder Tablet scannt die Lehrkraft anschließend einen der QR Codes ein. Sie loggt sich dann beim ersten Mal auf der Plattform ein und erhält danach die Möglichkeit, einen Text aufzusprechen, der verknüpft mit dem Link im QR Code auf den Server geladen wird. Ein Schüler erhält dann den QR Code, beispielsweise unter eine Arbeit geklebt, scannt zu Hause den Code ein und kann sich dann das Feedback anhören. Die Lehrkraft kann in ihrem Konto sehen, an welchem Datum ein hinterlegtes Feedback zuletzt angehört wurde. Alternativ kann die Lehrkraft neben Audio Feedback auch einen Text schreiben, ein Bild machen oder vom Smartphone laden, einen Link weitergeben oder eine Kombination von diesen.

Da die Weitergabe der Links zu den Feedbacks über QR Codes erfolgt, braucht es auf Mobilgeräten entweder ein App zum Auslesen solcher Codes oder eine Funktion des OS, welche dieses unterstützt. Seit Corona ist es auch möglich, Schülern direkt Links zu übermitteln, die im Menü der Website erzeugt werden.

In ihrem Konto kann die Lehrkraft Feedback und Konversationen löschen.

In einer Premium Version bietet die Plattform weitere Funktionen, etwa auch Video Feedback und unbegrenzte Speicherung und Wiederverwendung von Feedbacks. Feedback kann mit einem Tag versehen werden zum einfacheren Auffinden, wenn die Lehrkraft bereits viele Feedbacks erstellt hat. Alternativ zum Feedback kann die Lehrkraft in der Premium Version auch eine ‚Conversation‘ starten. Das erlaubt es den Schülerinnen und Schülern, zu reagieren, indem sie eine Audioaufnahme machen, ein Bild abgeben, einen Link einfügen, einen Text schreiben oder eine Kombination. Welche Optionen den Schülern zur Verfügung stehen, entscheidet die Lehrkraft vorab.1Ein Teil der Premium Funktion abgesehen von Video Feedback ist seit Corona auch in der kostenlosen Version vefügbar. Schulen können in Qwiqr Teams bilden. Ein Vertrag zur Auftragsverarbeitung (Data Processing Agreement) ist für Schulen verfügbar und kann digital abgeschlossen werden.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Der Anbieter kommt aus Großbritannien. Im Hinblick auf den Brexit und die mit dem Auslaufen der Übergangsphase Ende 2020 bestehenden Unsicherheiten, ob es für die UK einen Angemessenheitsbeschluss geben wird oder ob die UK als ein unsicheres Drittland eingestuft werden, hat der Betreiber vorgesorgt und für EU Nutzer Server in Deutschland angemietet2Es handelt sich dabei um Amazon Web Services Server (AWS) . Hier werden alle Daten von EU Nutzern gespeichert, sowohl die Nutzerdaten als auch die Feedback Dateien. Damit hofft Qwiqr, die Vorgaben der DS-GVO einhalten zu können.

Mit Stand von Mai 2020 laufen Aufrufe von Qwiqr noch über die auf einem britischen Server liegenden Seiten. Inhalte von Feedbacks werden jedoch bereits auf Servern in Deutschland gespeichert und dann von dort aufgerufen. Der Anbieter plant jedoch, in den nächsten Monaten auch die eigentliche Qwir Seite für EU Nutzer direkt von einem Server in Deutschland aufrufen zu lassen.

Cookies, Tracking

Qwiqr ist sehr datensparsam und es werden durch den Anbieter selbst nur Cookies gesetzt, die zur Nutzung erforderlich sind. Über das auf der Startseite eingebettete Video, fließen Informationen an Amazon Web Services (AWS), die aber mit Vertrag zur Auftragsverarbeitung vom Anbieter genutzt werden, womit diese Datenverarbeitung rechtlich abgesichert ist. Nutzer können beim ersten Aufruf der Seite oder unter https://qwiqr.education/cookies/ die Cookie Einstellungen ändern und zwischen ‚Essential cookies only‚ und ‚Accept all cookies‚ wählen.

Google-Analytics

Entsprechend der Cookie Richtlinie  wird auf der Website Google Analytics eingesetzt, wenn beim ersten Besuch ‚Accept all cookies‚ gewählt wurde. Das trifft jedoch nur auf die normalen Seiten zu und die Lehrerseiten. Nach Aussagen von Qwiqr wird auf den Seiten, wo die Feedbacks hinterlegt sind, also den hinter den von den Lehrkräften an Schüler weitergebenen Links liegenden Seiten, niemals Google Analytics eingesetzt.31. I don’t use Google Analytics on any page when feedback is being retrieved. i.e. a page that is intended for students to see.
2. I don’t use Google Analytics on any page anyway unless you have accepted the cookie policy. i.e. if you say no or don’t accept the policy then google analytics cookies and code is not part of the page.
3. Google Analytics is only used on pages aimed at teachers, i.e. main page, marketing etc. and only when they have accepted the cookie policy. (Statement von Mark Waller per E-Mail vom 2020-05-12

Einbindung externer Inhalte

Sämtliche Inhalte in Feedbacks oder auch von Schülern im Modus Conversation eingestellte Inhalte liegen ausschließlich auf Servern des Anbieters. Dazu gehören auch zwei Videos zur Erklärung des Angebots auf der Startseite und als Hilfe auf der Help-Seite. Diese erscheinen jedoch als direkt über AWS eingebunden. In Bezug auf Sicherheit entstehen dadurch keine Risiken für Nutzer.

Speicherung von Feedback

Die als Audio, Foto oder Text und in der Premium Version als Video gespeicherten Inhalte liegen für EU Nutzer auf Servern in Deutschland. Sie sind nur für Personen zugänglich, die den Feedback Link entweder als QR Code oder als URL in schriftlicher Form erhalten haben. Der Link besteht aus einer  zehnstelligen Zufallsfolge von Zahlen, Sonderzeichen und Groß- und Kleinbuchstaben. Beispiel: https://eu.qwiqr.education/uqAFhyXww3/. Nach Angaben von Mark Waller gibt es so 1,000,000,000,000,000,000 mögliche Codes. Die Chancen, durch reines Probieren auf einen gültigen Code zu kommen, sind dadurch recht klein.

Das heißt aber auch, die nicht verschlüsselt gespeicherten Inhalte sind nur dadurch geschützt, dass es wenig wahrscheinlich ist, Codes zu erraten.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Die Nutzung von Qwiqr ist auf Datensparsamkeit angelegt. Nur Lehrkräfte benötigen ein Konto, um die Feedback Funktionen nutzen zu können. Dafür ist nicht mehr als eine E-Mail Adresse erforderlich. Bei Schulkonten (Teams) muss eine Schul E-Mail Adresse angegeben werden. Darüber hinaus wird noch ein Passwort benötigt. Schüler selbst benötigen kein Konto, weder um Feedback abzurufen noch um bei der Option Conversation eigene Inhalte einzugeben.

Auch wenn die Wahrscheinlichkeit extrem gering ist, dass ein Code erraten wird und Dritte Zugriff auf Inhalte erhalten, sollte man trotzdem auf Datensparsamkeit achten. Das bedeutet, es sollten keine Namen von Personen genannt werden und Feedback sollte keine sensiblen Inhalte haben. Außerdem sollten Feedbacks, sobald sie ihren Zweck erfüllt haben, von der Lehrkraft gelöscht werden. Ausnahme könnten hier Feedbacks sein, die sehr allgemein gehalten sind und mehrfach verwendet werden sollen.

Bei Fotos sollte darauf geachtet werden, dass auch diese keine Daten enthalten, die einer Person leicht zuzuordnen sind. Gleiches gilt auch für Texte.

Wenn Schüler mit der Option Conversation die Möglichkeit erhalten, Inhalte einzustellen, sollten Regeln besprochen werden. Außerdem sollte je nach Setting die Möglichkeit, Inhalte einzustellen auf Audio oder Text begrenzt werden. Fotos sollten nur, wo tatsächlich erforderlich zugelassen werden.

Es ist auch möglich, Schülern nur den kurzen zehnstelligen Code zu geben, den diese dann auf der Website direkt eingeben. Davon sollte abgesehen werden, da Schüler vorher erst die Cookies ablehnen müssten, damit Google Analytics nicht ihre IP Nummer erfasst.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Da beim Aufruf eines Qwiqr Feedback über einen QR Code oder Link keine personenbezogenen Daten aufgerufen werden, durch welche ein Risiko für Schüler entstehen könnte, kann eine Nutzung ohne Bedenken von privaten Endgeräten aus erfolgen. Dabei ist es auch unerheblich, dass es sich um mobile Endgeräte handelt, die an ihrer eigene IP Adresse bei Nutzung außerhalb eines WLAN einer Person zu geordnet werden könnten. Auf Qwiqr läuft beim Zugriff auf einen Feedback Link keine Tracking Technologie, die dieses ermöglicht.4Wie beim Zugriff auf jeden Server fallen auch beim Zugriff auf AWS, wo die Website liegt und woher die Inhalte für Feedback geholt bzw. wo sie gespeichert werden, die üblichen Daten an, von der IP Nummer, über Browser und Version, Zeit und Datum des Zugriffs, Betriebssystem usw. Diese stellen aber nur ein sehr geringes Risiko dar, da AWS vom Anbieter mit Vertrag zur Auftragsverarbeitung genutzt wird und die Daten nicht zu eigenen Zwecken auswertet. Auch der Anbieter wertet diese Daten nicht aus.

Information und Einwilligung der Betroffenen

Bei der Nutzung von Qwiqr mit einem Schulkonto fallen personenbezogene Daten der Nutzer an. Das ist auf der Seite der Lehrer die Einrichtung von Konten in der Plattform mit Schul-E-Mail Adresse und Passwort. Personenbezogene Daten fallen auch an, wenn Feedback (z.B. Stimme) erstellt wird, auch wenn dieses ohne erkennbaren direkten Personenbezug aufgenommen wird. Bei Schülern werden über den Server auch ohne Analysetools personenbeziehbare Daten wie die IP Nummer erhoben. Außerdem hält die Plattform fest, wann ein Feedback zuletzt abgerufen wurde. Können Schüler im Conversation Modus eigene Inhalte einstellen, fallen weitere personenbezogene oder -beziehbare Daten an. Entsprechend ist nach Art. 12 DS-GVO zu informieren und gem. Art. 6 Abs. 1 lit. a eine Einwilligung einzuholen.

Datenschutz Bewertung Übersicht

Nutzung durch Schüler – Feedback

Da eine Nutzung ohne Nutzerkonten für Schüler möglich ist und bei Verwendung der Feedback Links keine personenbezogenen Daten erhoben werden, aus denen sich für die Schüler ein Risiko ergeben könnte, kann Qwiqr für Feedback empfohlen werden.

Nutzung durch Schüler – Conversation

Bei Conversation, etwa um in einer Fremdsprache auf eine Frage der Lehrkraft zu antworten, wird auch die Stimme des Schülers aufgenommen. Solange hier keine persönlichen Informationen Gegenstand sind, entsteht für Schüler kein nennenswertes Risiko. Bei Videoaufnahmen sollten keine Personen aufgenommen werden.

Nutzung durch Lehrkräfte – Feedback geben

Lehrkräfte kommen ohne Konto nicht aus. Für Schulkonten müssen Schul-E-Mail Adressen genutzt werden. Risiken enstehen für Lehrkräfte aber auch dadurch nicht, da der Anbieter diese Daten nicht für eigene Zwecke nutzt. Google Analytics können einfach deaktiviert werden.

Fazit

Qwiqr ist eine Online Plattform, die eine einfache und sichere Möglichkeit bietet, Schülern ein individuelles oder auch eher allgemeines Feedback in verschiedenen Formaten zu geben. Solange dabei durch die Lehrkräfte darauf geachtet wird, dass keine Namen oder sonstigen persönlichen Details genannt oder gezeigt werden, die auch ohne Zusammenführung mit weiteren Daten leicht einer identifizierbaren Person zuzuordnen werden können, kann die Plattform ein wertvolles Instrument für die Schule sein. Auch eine Nutzung, bei welcher Schüler Inhalte eingeben können, ist gut machbar, wenn die Möglichkeiten auf das Notwendige eingeschränkt werden und die Regeln für alle klar sind.

Eine Nutzung durch eine einzelne Lehrkraft mit kostenlosem oder bezahltem Konto kann, wenn überhaupt nur mit Zustimmung der Schulleitung sowie Information und Zustimmung der Betroffenen erfolgen. Risiken enstehen dabei für Lehrkräfte und Schüler genauso wenig wie bei der Nutzung eines kostenpflichtigen Schulkontos. Ohne dieses gibt es jedoch keinen Vertrag zur Auftragsverarbeitung und damit bewegt sich die Schule bzw. Lehrkraft in einer rechtlichen Grauzone. Schulen, die Gefallen an Qwiqr finden, sollten ein Schulkonto, Premium for Teams, nutzen, damit sie das Angebot rechtssicher einsetzen und den Anbieter finanziell unterstützen können.

Disclaimer

Ich bin mit Mark Waller, dem Mann hinter Qwiqr, mehrfach in Kontakt gewesen und habe ihn auch etwas beraten mit Bezug auf den Vertrag zur Auftragsverarbeitung und die Berücksichtigung der Folgen von Brexit. Dafür habe ich kein Geld oder sonstige Vergünstigungen erhalten. Dieser Datenschutz Check enstand nicht als Gefälligkeit, sondern auf Rückfrage verschiedener Lehrkräfte.

Stand 05/2020

Anton App – interaktive Übungen

Lesezeit: 3 Minuten

Anton ist ein Angebot für interaktive Übungen für Schülerinnen und Schüler der Grundschulen wie weiterführenden Schulen. Vor allem in Grundschulen erfreut sich die Plattform einer recht großen Beliebtheit. Hinter Anton App steht ein noch recht junges Startup, Solocode GmbH, welches sein Projekt mit EU Fördermitteln gestartet hat. Bisher vertritt man bei Anton den Grundsatz, dass es immer ein kostenloses Angebot geben soll, um keine Nutzer auszuschließen, weil ihnen die finanziellen Möglichkeiten fehlen. Wer bereit ist, zu zahlen, erhält zusätzliche Funktionen, etwa die Möglichkeit, auf mobilen Endgeräten über das App auch offline zu üben oder den eigenen Avatar aufzuhübschen. Für Schulen gibt es die Anton Schul-Lizenz, die es Schulen ermöglicht, Nutzer anzulegen und Anton gezielt im Unterricht zur individuellen Förderung einzusetzen. Datenschutz nehmen die Anbieter sehr ernst.1Ich bin mit den Machern von Anton wiederholt im Austausch gewesen zum Thema Datenschutz und habe – ohne jegliche finanziellen Interessen – auch bei der Erstellung eines Vertrag zur Auftragsverarbeitung und Mustern für Einwilligungsvorlagen beratend unterstützt.

Solocode GmbH erhebt und verarbeitet die personenbezogenen Daten von Nutzern nicht, um daraus Profile zu erstellen, gegen die Werbung geschaltet wird. Es werden auch keine Daten verkauft. Entsprechend sind auch die Nutzungsbedingungen und die Datenschutzerklärung gestaltet bzw. der Vertrag zur Auftragsverarbeitung, den Schulen erhalten, wenn sie eine kostenpflichtige Schullizenz nutzen.

Der Zugang zu Anton ist über die Website unter https://anton.app und Apps für iOS und Android möglich. Zur Anmeldung reichen für Schüler ein Nutzername und ein Passwort.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Anton nutzt Server in Deutschland2Genutzt wird Hetzner., wo auch der Anbieter seinen Sitz hat.

Cookies, Tracking

Anton nutzt ein Minimum an Technologien,  die im Hintergrund des Angebots laufen. Sämtliche Verbindungen erfolgen außschließlich zu Servern des Anbieters. Das heißt, es gibt keine Datenabflüsse an Dritte, nicht an Werbefirmen, nicht an soziale Netzwerke und auch nicht an Firmen, die Daten sammeln, um Nutzerprofile zu erstellen.3Nicht unerwähnt bleiben soll an dieser Stelle, dass Anton im Kuketz-Forum im Dezember 2019 in einem Thread mit dem Titel Anton – Lernen – Grundschule bis Gymnasium von einigen „Experten“ scharf angegriffen wurde. Dabei wurden der Plattform unzulässige Datenabfragen und Sicherheitsmängel in der Programmierung vorgeworfen. Die wesentlichen Behauptungen wurden widerlegt oder waren auf Nutzerfehler zurückzuführen, etwa Deaktivierung der Verschlüsselung auf dem Testgerät durch den Nutzer selbst. Nach meiner persönlichen Erfahrung im Austausch mit Solocode GmbH und den Informationen, die mir vorliegen, sehe ich keinen Grund, Anton als unsicher für eine Nutzung einzuschätzen. 

Google-Analytics

Der Anbieter verzichtet, abgesehen von den üblicherweise von Servern erstellten Log-Dateien, auf den Einsatz von Technologien, welche Nutzerverhalten aufnehmen und analysieren und nutzt keine Analyse Dienste von Google oder anderen Firmen.

Einbindung externer Inhalte

Es werden keine externen Inhalte in Anton genutzt. Medien wie z.B. Tondateein oder Bilder werden über eigene Server vorgehalten.

iOS und Android Apps

Nach Angaben des Anbieters berücksicht man bei der Entwicklung beider Apps das Prinzip Datensparsamkeit.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Anton benötigt für die Erstellung von Nutzerkonten für Lehrkräfte wie auch Schüler lediglich einen Nutzernamen, der frei gewählt werden kann. Der Zugang erfolgt über einen vom System generierten Zufalls-Code. Als Lern- und Übungsplattform zeichnet Anton bearbeitete Übungen und Fortschritte automatisch auf, verbunden mit dem Datum der Bearbeitung. Lehrkräfte können diese Daten einsehen, um Schülern Feedback zu geben und gezielt Übungen zuzuweisen. Von Spielen, die Schüler in Anton spielen können, werden Highscores erstellt, welche für alle Schüler einer Lerngruppe sichtbar sind.4Spiele können bei Bedarf durch die Lehrkraft deaktiviert werden. Lehrkräfte wie Schüler haben als Nutzer die Möglichkeit, eine E-Mail Adresse und ein Passwort zu hinterlegen, um bei Verlust des Codes eigenständig den Zugang wiederherzustellen.

Nutzung in der Schule

Schulen mit Schul-Lizenz schließen mit dem Anbieter einen Vertrag zur Auftragsverarbeitung ab. Damit ist sichergestellt, dass personenbezogene Daten von Schülern und Lehrkräften nur zu Zwecken der Schule verarbeitet werden. Eine Einwilligung ist auf Seiten der Betroffenen vor Bereitstellung des Zugangs-Codes einzuholen. Sollten Betroffene die Einwilligung verweigern, bleibt diese immer noch die Möglichkeit, Anton mit einem privaten Konto zu nutzen. Sie müssen dann ohne Feedback und Zuweisung von Aufgaben durch die Lehrkraft damit arbeiten, sind aber von der Nutzung nicht ausgeschlossen.

Da die App sehr datensparsam arbeitet und keinen Dritten Zugriff auf Nutzerdaten gewährt, entstehen bei einer Nutzung in der Schule keine Risiken für die Schüler. Bei einer Nutzung auf iPads ohne individuelle Nutzerkonten (shared iPad) oder PC, die im Klassenraum gemeinsam ohne Nutzerkonten genutzt werden, muss die Schule darauf achten, dass Kinder sich nach Ende des Unterrichts aus dem App oder dem Browser ausloggen, um anderen den Zugriff auf das eigene Konto zu verwehren.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Bei einer Nutzung auf Privatgeräten, ob in der Schule oder von zu Hause aus, entstehen für Schüler keine Risiken. Es werden keine Standort- oder Gerätedaten5IP Nummern werden zum Schutz der Nutzer um drei Stellen verkürzt. gespeichert, die dazu geeignet wären, über Zusammenführung mit Daten aus anderen Quellen, eine Zuordnung zu einer identifizierbaren Person vorzunehmen. Die Nutzung ist von daher unbedenklich.

Information der Betroffenen

Wie bei jeder von der Schule genutzten Plattform müssen Nutzer vor der Einwilligung über die zur Nutzung erforderliche Datenverarbeitung von Anton informiert werden.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten

Da Anton wirklich sehr datenschutzfreundlich ist, bestehen für Schüler keine Risiken.

Nutzung auf privaten Endgeräten/BYOD

Auch bei einer Nutzung auf privaten Endgeräten enstehen für Nutzer keine Risiken.

Fazit

Anders als viele andere Plattformen zum Lernen und Üben ist Anton sehr datenschutzfreundlich aufgestellt. Es spricht aus Gründen des Datenschutzes nichts gegen eine Nutzung in der Schule und zu Hause.

Stand 05/2020

Quizlet – interaktive Lernkartensets

Lesezeit: 5 Minuten

Weltweit erfreut sich Quizlet großer Beliebtheit. Es lassen sich damit Vokabeln, Fachbegriffe und Wissen trainieren und abfragen. Ohne großen Aufwand können Lehrkräfte ansprechende Lernsets für Fremdsprachen wie auch die Festigung von Fachwissen zu erstellen. Bei Fremdsprachen besondern nützlich ist die Audiofunktion, mittles welcher beispielsweise Vokabeln über Sprache abgefragt werden können. Mit Quizlet Live können Schüler einer Lerngruppe in Teams gegeneinander antreten. Die Plattform bietet außerdem Funktionen, Kurse einzurichten und dann auch Lernaktivitäten anzuzeigen und zu überprüfen. Quizlet kann mit Microsoft Teams und Google Classroom verbunden werden, so dass Schülern dorthin Aufgaben gestellt werden können, die sie dann in Quizlet erledigen. Auch ein Facebook Konto kann zum einfachen Login genutzt werden. Die Datenschutzerklärung findet sich unter https://quizlet.com/privacy. Zusätzlich gibt es noch eine Informationsseite zum Schutz von Nutzerdaten (https://help.quizlet.com/hc/de/articles/360030253571-Schutz-von-Nutzerdaten), die in verständlicher Sprache erklärt, wie Quizlet Daten nutzt und schützt, und eine Cookie Richtlinie unter https://quizlet.com/de/cookies. Ein Teil der Cookies lässt sich beim ersten Besuch der Seite über „Weitere Optionen“ im Cookie Banner deaktivieren. Die Plattform lässt sich nur nach Erstellung eines Kontos nutzen. Das gilt für Lehrkräfte wie für Schüler.1Es gibt die Möglichkeit, ohne Anmeldung die ersten Karten von Übungen zu nutzen. Danach wird eine Anmeldung erforderlich. Letztere können sich auch aus Office 365 oder G Suite for Education über SSO anmelden. Die Nutzung von Quizlet ist für Lehrkräfte  und Schüler ohne Bezahlkonto möglich. Es wird dann Werbung angezeigt. Zahlt die Lehrkraft für ein Konto, entfällt die Anzeige von Werbung.

Quizlet ist über den Browser nutzbar und über Apps für iOS und Android.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Quizlet ist ein US Anbieter2„Quizlet ist in Kalifornien ansässig, da sich unser Firmensitz in San Francisco befindet. Soweit die geltende Gesetzgebung keine anderslautenden Bestimmungen vorsieht, unterliegen diese Nutzungsbedingungen sowie der Zugriff auf den Dienst und die Nutzung des Dienstes, unabhängig davon, an welchem Ort auf der Welt Sie sich befinden, den Gesetzen des US-Staates Kalifornien unter Ausschluss der kollisionsrechtlichen Bestimmungen.“ Quelle TOS, Stand 04/2020 und nutzt Server in den USA. Der Anbieter hat sich nach dem EU-US Privacy Shield zertifiziert und sichert außerdem zu, sich an die Vorgaben von COPPA (Children’s Online Privacy Protection Act) zu halten. In einer Erklärung zum Schutz von Nutzerdaten wird erklärt, dass man auch „Musterverträgen und Standardvertragsklauseln“ verwende, um den Transfer von Daten aus der EU in die USA abzusichern. Ob solche für Schulen verfügbar sind, ist der Seite nicht zu entnehmen. Entsprechende Dokumente scheinen auch nirgendwo einsehbar.

Cookies, Tracking

Eine Analyse mit Webbkoll Dataskydd erbringt 11 Cookies (10 First-Party; 1 Third-Party) und 18 Anfragen an 9 eindeutigen Hosts von Drittanbietern. Letzteres meint Inhalte, die von Servern anderer Anbieter geladen werden, die darüber ihrerseits Zugriff auf Daten der Nutzer von Quizlet bekommen. Zu den genannten Drittanbietern gehören z.B. Facebook, der Analyseanbieter comScore, der Werbevermarkter Quantcast und Google Tag Manager, ein Web Tracking Tool.

Es ist möglich, alle Cookies bis auf die „Unbedingt erforderlichen Cookies“ zu deaktivieren.3Deaktivieren lassen sich: Functional and performance cookies, Werbe Cookies und Social-Media-Cookies Der Anbieter weist darauf hin, dass dann die Funktionalität in Teilen beeinträchtigt sein könnte. Trotz Deaktivierung bleiben immer noch eine Reihe von bedenklichen Diensten im Hintergrund aktiv.

Google-Analytics

Bei Quizlet läuft im Hintergrund Google-Analytics. Eine Deaktivierung ist durch den Anbieter nicht vorgesehen. Nach Angaben des Anbieters wird der Dienst nur mit eingeschränkten Funktionen genutzt, um Kinder zu schützen.4„In manchen Fällen verwenden wir zur Unterstützung unserer internen Abläufe eingeschränkte Versionen unserer externen Dienste (zum Beispiel Google Analytics), um in den Bereichen unserer Webseite, auf die Kinder Zugriff haben, die Weiterleitung und Rückverfolgung von Daten zu beschränken.“ Datenschutzerklärung, Stand 04/2020

Einbindung externer Inhalte

In Lernkarten können Bilder und Grafiken eingebunden werden, die entweder bei Quizlet selbst gespeichert sind oder aus anderen Quellen (Flickr) kommen. Eigene hochgeladene Bilder landen auf Quizlet Servern. Bei von Flickr eingebundenen Bildern erfolgt entsprechend ein Zugriff auf die Server dieses Anbieters.

iOS und Android Apps

Es ist zu erwarten, dass die Apps aus Sicht des Datenschutz gleichermaßen Problematisch sind wie die Website selbst, da sie nur einen Zugang zum Online Dienst darstellen.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Quizlet zwingt Nutzer zur Erstellung eines Kontos. Es ist damit möglich, angemeldete Schüler Lerngruppen/ Klassen zuzuweisen und sie mit Lernsets zu versorgen. Damit kann die Lehrkraft dann Lernfortschritte für einzele Schüler, deren Aktivitäten und gelernte Karten, nach Wochen einzusehen. Zusätzlich gibt es eine statistische Auswertung, welche Karten von der gesamten Lerngruppe beherrscht werden und wo noch Fehler gemacht werden.

Das sind Einblicke in das Lern- und Arbeitsverhalten von Schülern, die zwar bezogen auf die Zeiträume recht grob sind, doch trotzdem aus Sicht des Datenschutz trotzdem nicht völlig unbedenklich, auch wenn der Anbieter selbst darauf hinweist, dass die „Schüleraktivitäten“ nicht zur Bewertung herangezogen werden sollen5Siehe hierzu auch den Hinweis von Quizlet .

Auch wenn Nutzer beim ersten Besuch der Website einen Teil der Cookies deaktivieren können, bleiben noch immer so viele Dienste aktiv, dass Nutzerverhalten durch durch den Anbieter wie auch Dritte verfolgt, ausgewertet und zur Bildung von Profilen genutzt werden kann.

Nutzung in der Schule

Eine datenschutzfreundliche Nutzung in der Schule ist nur schwierig umzusetzen. Sie würde neben einer Nutzung über schulische Endgeräte und ohne gleichzeitigen Login an anderen Online Diensten erfordern, dass Schüler über eine E-Mail Adresse verfügen, welche ihnen unter keinen Umständen zugeordnet werden kann. Eventuell könnte das mit einer pseudonymen schulischen E-Mail Adresse umgesetzt werden. Diese dürfte dann jedoch nur bei einem Login von einem Schulgerät unter den beschriebenen Bedinungen genutzt werden, um durch andere Nutzung entstehende Möglichkeiten, die Nutzer zu identifizieren zu unterbinden. Leider unterstützt Quizlet abgesehen von Microsoft, Google und Facebook momentan scheinbar keine weitere Anbieter für Single Sign-on. Solange Quizlet keine Nutzung seiner Lernsets ohne personalisierte Anmeldung ermöglicht, dürfte eine Nutzung in der Schule selbst auf schuleigenen Geräten und ohne Login an anderen Plattformen aus datenschutzrechtlicher Sicht kaum so umsetzbar sein, ohne dass die Schüler in ihrem Recht auf informationelle Selbstbestimmung massiv beeinträchtigt werden.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Eine Nutzung von Quizlet in der häuslichen Umgebung bzw. mit eigenen Endgeräten ist aus Sicht des Datenschutz noch einmal deutlich bedenklicher, da private Smartphones, Tablets und PC nahezu immer an den Diensten Dritter angemeldet sind. Das erleichtert es Dritten, die in Quizlet im Hintergrund aktiv sind, noch einmal die erfassten Nutzerdaten auszuwerten.

Information der Betroffenen

Wenn Lehrkräfte Lernsets erstellen und ihren Schülern zur freiwilligen Nutzung zur Verfügung stellen, sollten die Betroffenen unbedingt über die möglichen Risiken informiert werden und auch darauf hingewiesen werden, dass zumindest ein Teil der Cookies deaktiviert werden kann.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten

Da ohne Nutzerkonten für Schüler nichts geht, nutzt auch der Zugang über schulische Endgeräte in der Schule ohne gleichzeitigen Login an anderen Plattformen wenig, um die bestehenden Risiken abzustellen oder zumindest auf ein vertretbares Maß zu reduzieren.

Nutzung auf privaten Endgeräten/BYOD

Problematik ist im Vergleich zur Nutzung auf Schulgeräten noch größer.

Fazit

Quizlet ist in Bezug auf das Thema Datenschutz für eine Nutzung in der Schule aktuell nicht geeignet. Um diese Bewertung zu ändern, müsste Quizlet entweder auf den Zwang zur Erstellung eines Kontos verzichten oder Schulen einen Vertrag zur Auftragsverarbeitung anbieten, der dann damit einhergehen würde, dass die Dritten ermöglichten Zugriffe auf personenbezogene Daten entweder komplett abgestellt oder durch entsprechende Verträge datenschutzfreundlich reglementiert würden.

Wenn Lehrkräfte Schülern ihre Lernsets zu einer freiwilligen Nutzung im eigenen Ermessen anbieten, dann sollte dieses allerhöchstens bei älteren Schülern ab Vollendung des 16. Lebensjahres erfolgen. Die Datenschutzproblematik darf dabei nicht unterschlagen werden. Bei jüngern Schülern muss damit gerechnet werden, dass diese sich ohne Wissen der Eltern ein Konto anlegen, vielleicht auch, um der Lehrkraft zu gefallen. Die dadurch für sie entstehenden Risiken können sie definitiv noch nicht abschätzen.

Stand 04/2020

LearningApps – interaktive Übungen

Lesezeit: 4 Minuten

LearingApps.org ist ein bei Schulen sehr beliebtes Angebot an interaktiven multimedialen Übungsbausteinen. Bei LearningApps handelt es sich um ein Projekt, welches ursprünglich von der Pädagogischen Hochschule Bern, in Kooperation mit der Universität Mainz und der Hochschule Zittau/Görlitz entwickelt und betrieben wurde. Heute steht ein non-Profit Verein dahinter. Man hat also keine finanziellen Interessen, sondern ist sogar auf Spenden angewiesen, um das Angebot ohne Werbung aufrechtzuerhalten. Es gibt eine Datenschutzerklärung, in welcher man alles über die zur Nutzung von LearningApps erforderliche Datenverarbeitung erfährt. Dort kann man auch Google-Analytics, welches die Seite nutzt, mit einem Klick deaktivieren. Die Datenschutzerklärung finden Sie unter https://learningapps.org/rechtliches.php Eine Anmeldung ist für die Nutzung von LearningApps nicht erforderlich.

Datenschutz, Sicherheit

Serverstandort, Anbieter

LearningApps wird auf Servern in Deutschland1Server bei Hetzner Online GmbH, Stand 04/2020 betrieben. Der Anbieter kommt aus der Schweiz. Die Datenverarbeitung von EU Bürgern in der Schweiz bzw. durch Schweizer Unternehmen ist durch einen Angemessenheitsbeschluss abgesichert, mit welchem für die Schweiz ein der DS-GVO vergleichbares Datenschutzniveau festgestellt wird.

Cookies, Tracking

LearningApps setzt eigene Cookies (1st Party Cookies). Bei der Einbindung von hochgeladenen Bildern, wird eine Verbindung zu einem weiteren von LearningApps genutzten, ebenfalls in Deutschland lokalisierten, Server aufgebaut.

Google-Analytics

Ohne Deaktivierung läuft bei LearningApps im Hintergrund Google-Analytics. Dieses kann und sollte von Nutzern auf der Seite mit der Datenschutzerklärung deaktiviert werden.

Einbindung externer Inhalte

Bei Übungen, in welchen z.B. Audio- oder Videomaterial eingebunden wird, werden diese in der Regel über YouTube eingebunden. Auch die Verlinkung aus Übungen heraus auf Inhalte außerhalb von LearningApps kann, je nach Gestaltung des Links, zu weiteren Datenabflüssen an Dritte führen.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Es ist möglich, in LearningApps Schüler als Nutzer einzupflegen und Klassen zuzuordnen. Damit können Übungen einzelnen Schülern und Klassen zugewiesen werden und Lehrkräfte sehen, welche Übungen bearbeitet wurden. Da LearningApps als non-Profit Verein nicht die Ressourcen hat, Schulen einen Vertrag zur Auftragsverarbeitung anzubieten, kommt die Möglichkeit, Schüler in der Plattform anzulegen, für Schulen nicht in Betracht. Ohne einen Vertrag zur Auftragsverarbeitung fehlt Schulen dafür die Rechtsgrundlage. Eine Nutzung diese Möglichkeit auf der Grundlage einer informierten Einwilligung der Betroffenen bzw. der Erziehungsberechtigten ist zwar nicht völlig undenkbar, Schulen würden sich hier jedoch auf sehr dünnem Eis bewegen. Deshalb sollte LearningApps grundsätzlich ohne individuelle Schülerkonten genutzt werden. Dem Lern- und Übungseffekt tut dieses keinen Abbruch.

Nutzung in der Schule

In der Schule können Schüler LearningApps auf schulischen Endgeräten problemlos nutzen, auch ohne Deaktivierung von Google-Analytics, solange sie nicht zeitgleich auf einer anderen Website angemeldet sind, die von Google betrieben wird oder Google Technologien2Dazu würden neben Google-Analytics etwa Google Fonts zählen oder Google Adsense oder andere Tracking Technologien nutzt.

Bei einer Nutzung mit gleichzeitiger Anmeldung an anderen Plattformen sollte Google-Analytics deaktiviert werden (siehe unten). Je nach Einstellung der schulischen Geräte muss diese Deaktivierung eventuell jedes Mal vorgenommen werden.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Bei der Nutzung von LearningApps auf privaten Geräten sollten Nutzer Google-Analytics immer deaktivieren.

In BYOD Settings sollten Schüler dieses gemeinsam mit der Lehrkraft machen. Bei Standard Browser-Einstellung merkt der Browser sich die Deaktivierung über Setzen eines Cookies. Trotzdem sollte die Deaktivierung immer wieder einmal überprüft werden.

Information der Betroffenen

Wenn LearningApps auf schulischen Endgeräten in der Schule ohne gleichzeitige Anmeldung an anderen Plattformen genutzt wird, entstehen keine Daten, die personenbezogen oder -beziehbar sind. Alles gut. Trotzdem sollten die Eltern zumindest einmal im Rahmen eines Elternpflegschaftsabends von der Lehrkraft informiert werden, dass man LearningApps nutzt, dass durch die Art der Nutzung keine Risiken für die Kinder entstehen und natürlich wie und wozu man das Angebot nutzt.

Geht es um eine Nutzung im Rahmen von BYOD oder in der häuslichen Umgebung sollten Eltern eine schriftliche Information erhalten mit dem Hinweis, dass und wie Google-Analytics deaktiviert werden kann. Eine Nutzung im häuslichen Bereich oder im Rahmen von BYOD kann, auch wenn LearningApps sehr datenschutzfreundlich ist, nur auf freiwilliger Basis erfolgen.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten

Gute Bedingungen, wenn kein gleichzeitiger Login an anderen Plattformen erfolgt, die Cookies, Tracker Dritter nutzen.

Nutzung auf privaten Endgeräten/BYOD – ohne GA

Google-Analytics sollte deaktiviert werden, dann ist eine Nutzung ohne Risiko möglich.

Nutzung mit privatem Engerät/BYOD – mit GA

Ist nicht zu empfehlen. Google-Analytics sollte immer deativiert werden bei diesem Setting.


Beispiel für Information von Eltern

Sehr geehrte Eltern,

wir nutzen an unserer Schule LearningApps. Das sind kleine interaktive Übungen, die von uns selbst oder anderen Nutzern von LearningApps erstellt wurden. Wir können in LearningApps nur sehen, wie oft eine von uns angebotene Übung bearbeitet wurde, sehen jedoch nicht, wer eine Übung gemacht hat und mit welchem Erfolg. Die Nutzung von LearningApps ist eine sinnvolle und gute Möglichkeit, Unterrichtsinhalte ergänzend zu vertiefen und zu üben. Die Nutzung des Angebotes durch Ihr Kind ist freiwillig. Durch eine Nichtnutzung entstehen ihm keine Nachteile.

Bei LearningApps handelt es sich um ein Projekt, welches ursprünglich von der Pädagogischen Hochschule Bern, in Kooperation mit der Universität Mainz und der Hochschule Zittau/Görlitz entwickelt und betrieben wurde. Heute steht ein Non-profit Verein dahinter. Man hat also keine finanziellen Interessen, sondern ist sogar auf Spenden angewiesen. Es gibt eine Datenschutzerklärung, in welcher man alles über die zur Nutzung von LearningApps erforderliche Datenverarbeitung erfährt. Dort kann man auch Google-Analytics, welches die Seite nutzt, deaktivieren. Die Datenschutzerklärung finden Sie unter https://learningapps.org/rechtliches.php Eine Anmeldung ist für die Nutzung von LearningApps nicht erforderlich.

Stand 04/2020