Schlagwort: Jitsi

Videokonferenzen – eine Plattform auswählen

Lesezeit: 6 Minuten

Auch wenn die Zeiten von Schulschließungen vorerst vorüber sind, so gibt es doch immer wieder die Notwendigkeit, Unterricht auf Distanz durchzuführen. Verschiedene Bundesländer haben mittlerweile begonnen, ihren Schulen bereits auf Landesebene Videokonferenz Lösungen anbieten. Dort, wo das (noch) nicht der Fall ist oder die Landeslösung aus diversen Gründen nicht in Frage kommt, müssen Schulen sich entscheiden, welche Plattform man dauerhaft nutzen kann und zwar so, dass die jeweiligen schul- und datenschutzrechtlichen Vorgaben des Bundeslandes eingehalten und korrekt umgesetzt werden können. Bei der Auswahl  einer Videokonferenz Plattform hängt viel davon ab, welche Möglichkeiten eine Schule in Hinsicht auf die Gegebenheiten vor Ort hat. Das meint sowohl die kommunalen Strukturen wie auch die finanziellen Mittel. Im Folgenden geht es um Alternativen, die auf Videokonferenz Plattformen setzen, welche als Plattform bereits durch Transparenz sehr datenschutzfreundlich genutzt werden können – die beiden Open Source Plattformen BigBlueButton und Jitsi.1Es wird darüber hinaus noch eine Alternative benannt, welche keine der beiden Plattformen nutzt, aber durch andere Merkmale sehr datenschutzfreundlich ist.

  1. Wenn der Schulträger, die Stadt oder der Kreis bereit sind, eine Instanz für eine Schule oder die Schulen in der eigenen Zuständigkeit einzurichten, dann empfehlen sich die beiden Open Source Plattformen Jitsi und BigBlueButton. Beide sind kostenlos erhältlich. Es braucht lediglich Server, auf denen die Videokonferenz Plattform betrieben wird. Beide Plattformen sind einfach zu nutzen, mit der richtigen Konfiguration sehr sicher und arbeiten datensparsam. Auch beim Zugriff von zu Hause aus braucht man sich keine Gedanken machen, dass hier irgendwelche Daten abgegriffen werden. Jitsi kommt komplett ohne Nutzerkonten aus, während bei BigBlueButton für die Lehrkräfte Nutzerkonten eingerichtet werden. Beide Plattformen lassen sich komplett über Browser nutzen. Im Internet findet man zu beiden Plattformen viele gute Anleitungen, wie man sie richtig und sicher nutzt.
  2. Wenn man von offizieller Seite nicht bereit ist, selbst eine Videokonferenz Plattform einzurichten und zu betreiben, kann man auf die Dienste von Anbietern zurückgreifen. BigBlueButton kann man auch bei verschiedenen Anbietern als Paket erhalten. Man sucht da einfach nach BigBlueButton + Hosting und findet dann entsprechend Anbieter. Das in der Regel separat angebotene Paket Greenlight ist ein Modul, mit welchem Nutzer Räume einrichten und verwalten können. Vergleichbar gibt es auch Anbieter, die Jitsi Server bereitstellen. Bei Videokonferenzen, das muss man bei der Auswahl eines Angebotes beachten, sind die Server ziemlich gefordert. Will man viele Personen zugleich in einer Videokonferenz haben oder in mehreren parallelen Videokonferenzen, braucht es Serverleistung. Man kann sich aber behelfen, um die Kosten zu reduzieren, wenn man a) die Teilnehmer (Schüler) nur dann per Video zuschaltet, wenn dieses auch Sinn macht, und b) einen Zeitplan erstellt, welche Lerngruppe die Videokonferenz Plattform an welchem Tag zu  welcher Zeit nutzen darf. So verteilt sich die Last und man benötigt weniger Serverleistung.
  3. Alternativ zur zweiten Möglichkeit kann man sich nach einer Plattform umschauen, welche ein Videokonferenz Modul integriert hat oder als zusätzliches Modul anbietet. Das wären z.B. der Schulserver iServ (BigBlueButton), die Schul-Kommunikations App DieSchulApp (BigBlueButton) und die noch recht neue auf NextCloud aufbauende Schul Cloud Plattform Vicole (BigBlueButton). Die Schulnachrichten Plattform SchoolFox aus Österreich integriert eine andere Videokonferenz Plattform (Jitsi). Auch Moodle Anbieter können unter Umständen eine BigBlueButton oder Jitsi Instanz integrieren, da das LMS die technischen Möglichkeiten dafür mitbringt. Teckids e.V. bietet im Rahmen seines schul-frei-Projektes Schulen gegen Aufwandsentschädigung (kostendeckend) den Betrieb eigener Plattformen (BigBlueButton, Jitsi, wahlweise mit Moodle) an2Anfragen dazu bitte an schulsupport@teckids.org. BigBlueButton lässt sich außerdem in eine datenschutzfreundliche NextCloud3Es gibt über 200 NextCloud Anbieter, siehe z.B. https://nextcloud.com/de/partners/. EduDocs ist ein Beispiel für einen Anbieter. über die NextCloud Talk App integrieren.
  4. Eine weitere Alternative wäre, man kennt eine befreundete Firma, einen Verein oder eine Universität, die einen BigBlueButton oder Jitsi Server betreiben und der Schule eine Nutzung ermöglichen. Kennt man den Anbieter und kann diesem vertrauen, bestehen keine Risiken für Schüler und Lehrkräfte. Für Schulen ist es aus rechtlicher Sicht am besten, wenn sie vom Anbieter eine Vertrag zur Auftragsverarbeitung erhalten. Das wird bei diesen als Freundschaftsdienst bereitgestellten Videokonferenz Servern aber meist nicht möglich sein, da die Anbieter sich die damit einhergehenden rechtlichen Verpflichtungen nicht auferlegen wollen, wenn sie es schon für umsonst machen. Eine Ausnahme bildet hier Teckids e.V., die auch bei Nutzung ihrer offenen Instanzen von BigBlueButton einen Vertrag zur Auftragsverarbeitung, anbieten.4Anfragen dazu bitte an schulsupport@teckids.org. Senfcall ist das BigBlueButton Projekt einer Guppe von Studierenden in Darmstadt und Karlsruhe, welches offen für jedermann nutzbar ist.5Die Datenschutzerklärung ist sehr gut gemacht und gibt ausführlichere Informationen über die Datenverarbeitung beim DS-GVO konformen auf Datensparsamkeit ausgelegten Betrieb von BigBlueButton Ohne Vertrag zur Auftragsverarbeitung setzt die Einwilligung der Betroffenen voraus, dass sie auch über den Umstand informiert werden, dass die Nutzung durch die Schule nur auf Vertrauen baut, aber nicht durch einen Vertrag zur Auftragsverarbeitung rechtlich abgesichert ist. Manchen Schulen wird beides zu heikel sein, doch wenn der großzügige Anbieter vor Ort einen Namen hat und vielen Eltern ein Begriff ist und diese dem Angebot Vertrauen schenken, spricht nichts gegen eine Nutzung auf der Grundlage einer informierten Einwilligung.
  5. Die vorletzte Alternative wären die vielen offen zugänglichen Jitsi Server. Ähnlich wie bei Alternative 4 muss man hier schauen, wem man vertrauen kann. Das dürfte in der Regel jedoch vielfach nicht einfach sein. Auch wenn durch die meisten dieser Server (siehe https://github.com/jitsi/jitsi-meet/wiki/Jitsi-Meet-Instances) von Personen, Vereinen oder Institutionen betrieben werden, die keinerlei Interesse haben an den personenbezogenen Daten der Nutzer ihres Angebotes, geht man hier bei der Nutzung ein größeres Risiko ein als bei Alternative 4.
  6. Einige Schulen haben die technischen Möglichkeiten und im Kollegium die Kompetenz und Bereitschaft, einen eigenen Videokonferenz Server aufzusetzen und zu betreiben. Das geht durchaus, macht meist jedoch nur Sinn, wenn es an der Schule nicht um große Nutzerzahlen geht. Eine Schule mit 1.200 Schülerinnen und Schülern und einem Kollegium von über 100 Personen bräuchte mehr als einen einzelnen Server, um Videokonferenzen für möglichst viele Nutzer zeitgleich anbieten zu können. Bei all dem wäre extrem wichtig, dass die Kompetenz im Kollegium nicht nur ausreicht, eine BigBlueButton oder Jitsi Instanz aufzusetzen, sondern den Server selbst auch noch sicher zu konfigurieren. Schlecht konfigurierte Videokonferenz Server stellen ein Risiko für die Nutzer dar.

Die sechs aufgeführten Alternativen sind eingeordnet von beste Lösungen zu weniger günstigen Lösungen. Die Alternativen 1, 2 und 3 sind etwa gleichwertig. Alternative 4 ist eher eine Notlösung und 5 eine Not-Notlösung. Alternative 6 kann gleichwertig zu 1, 2 und 3 sein. Zu empfehlen ist diese Lösung Schulen in der Regel nicht, da Schulen hiermit eine Menge Verantwortung auf sich nehmen, und es auch die Ressource Mensch im Kollegium beansprucht. Es ist in der Regel nicht Aufgabe von Lehrkräften, Schul IT zu betreiben.

Ganz wichtig sind bei der Nutzung einer Videokonferenz Plattform die Themen Vertrag zur Auftragsverarbeitung, Information und je nach Situation und Schulgesetz des Bundeslandes auch die Einwilligung.

  • Vertrag zur Auftragsverarbeitung
    • Bei 1, 2 und 3 gibt es den Vertrag zur Auftragsverarbeitung ohne Probleme. Die Schule ist rechtlich abgesichert.
    • Bei 4 könnte man eventuell mit Glück einen Vertrag zur Auftragsverarbeitung bekommen. Meist wird das nicht der Fall sein. Aus rechtlicher Sicht ist das für Schulen ungünstig.
    • Bei 5 ist die Chance einen Vertrag zur Auftragsverarbeitung zu erhalten nahe Null.
    • Bei 6 betreibt die Schule den Server selbst und ein Vertrag zur Auftragsverarbeitung ist nicht erforderlich. Der schulische Admin sollte aber auf jeden Fall eine Vertraulichkeitsvereinbarung unterzeichnen.
  • Information
    • Die Nutzung einer Videokonferenz Plattform geht immer auch mit der Verarbeitung von personenbezogenen Daten einher. Das macht es erforderlich, vor der Nutzung die Betroffenen (Schüler, Lehrkräfte, Eltern) über die erforderliche Datenverarbeitung transparent zu informieren. Diese Informationspflicht besteht auch, wenn die Nutzung ohne Einholen einer Einwilligung möglich ist.
      • Wer ist verantwortlich?
        • Schulleitung
      • An wen kann man sich bei Fragen zum Datenschutz wenden?
        • Datenschutzbeauftragter
      • Auf welcher Rechtsgrundlage werden die personenbezogenen Daten verarbeitet?
        • Schulgesetz oder Einwilligung
      • Zu welchen Zwecken sollen die personenbezogenen Daten verarbeitet werden?
        • Durchführung von Online Unterricht, Zuschaltung von erkrankten Schüler:innen zum Unterricht, Partnerschulprojekt, individuelle Beratung, Online Elternsprechtag, Dienstbesprechung, Fachkonferenz, Lehrerkonferenz, …
      • Um welche personenbezogenen Daten geht es überhaupt?
        • Bild- und Tonaufnahmen der Betroffenen und ihrer Umgebung, Chatbeiträge, geteilte Dateien, (bei Nutzern mit Nutzerkonten, auch Anmeldedaten, Rollen und Rechte, Nutzungsdaten, technische Log-Dateien), Beiträge in einem Online-Whiteboard oder Etherpad der Videokonferenz Platform, …
      • Wer ist von der Verarbeitung der personenbezogenen Daten betroffen?
        • Schüler, Lehrkräfte, Eltern, Schulsozialpädagogen, …
      • Wo werden die Daten verarbeitet? Wer hat Zugriff darauf?
        • beim Schulträger/ bei einem IT Dienstleister/ …
        • Zugriff haben Lehrkräfte, Mitschüler; Schulträger/ IT Dienstleister nur auf Weisung der Schulleitung
      • Wie lange werden die personenbezogenen Daten gespeichert?
        • keine dauerhafte Speicherung von Bild- und Tonaufnahmen
        • Chat Protokolle und geteilte Dateien werden nach Ende der Videokonferenz gelöscht, erarbeitete Dokumente (Whiteboard, Etherpad) werden an alle Mitarbeiter gegeben, …
        • [Nutzerkonten und damit zusammenhängende Daten werden nach Ende der Schulzugehörigkeit oder im Falle der Verarbeitung auf Grundlage einer Einwilligung bei Widerspruch oder Widerruf der Einwilligung gelöscht]
      • Erfolgt eine Übermittlung von personenbezogenen Daten an Dritte?
        • Nein, bei Nutzung einer Videokonferenz Plattform mit Vertrag zur Auftragsverarbeitung
        • Ja, bei Nutzung einer öffentlich zugänglichen oder als Freundschaftsdienst zur Verfügung gestellten Videokonferenz Plattform ohne Vertrag zur Auftragsverarbeitung
      • Welches sind die Rechte der Betroffenen?
        • Bei Einwilligung Widerruf der Einwilligung, Widerspruch in die Verarbeitung, Löschung und allgemein Berichtigung, Auskunft, Datenübertragbarkeit und Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde.
  • Einwilligung
    • In NRW gibt es seit dem 16. Schulrechtsänderungsgesetz von Februar 2022 die Möglichkeit, Videokonferenz Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags einzusetzen und entsprechend die personenbezogenen Daten von Schülern und Lehrkräften dazu zu verarbeiten. Sofern das Schulgesetz diese Möglichkeit nicht vorsieht oder die für eine verpflichtende Nutzung außerdem zu erfüllenden Bedingungen nicht erfüllt sind, ist die Einwilligung der Betroffenen erforderlich.
    • Diese muss gegenüber der Schulleitung abgegeben werden.
    • Sie muss außerdem auf Freiwilligkeit gründen. Das heißt, es dürfen Schülern, Eltern und Lehrkräften keine Nachteile entstehen, wenn sie eine Einwilligung verweigern. Das setzt Alternativen voraus, die zumindest annähernd gleichwertig sind. Alternativen könnten sein,
      • die Teilnahme ohne Bild,
      • eine Teilnahme über Einwahl per Telefon (wenn die Plattform dieses zulässt)
      • Kontaktaufnahme der Lehrkraft zu Schülern/ Eltern per Telefon
  • Nutzungsvereinbarung
    • Da es heute technisch ist leicht möglich ist, Screenshots und Mitschnitte des Geschehens auf einem Bildschirm zu machen, sollte über eine Nutzungsvereinbarung geregelt werden, dass die Anfertigung derselben nicht zulässig ist und der Verstoß gegen diese Vorgabe Konsequenzen nach sich ziehen wird.
    • Sinnvoll ist auch eine Verpflichtung der Nutzer, dass während einer Videokonferenz keine anderen Personen im Raum zugegen sind, welche der Videokonferenz zusehen oder mithören. So wie das im normalen Unterricht nicht zulässig ist, geht das auch bei einer Videokonferenz nur mit Genehmigung.
    • Geregelt werden sollten zudem das Verhalten während einer Videokonferenz und welche Regeln einzuhalten sind.

Vorlagen für Einwilligungen für Schüler und Lehrkräfte für BigBlueButton gibt es unter Einwilligung – Vorlagen für BigBlueButton

Weitere Informationen zum Thema Videokonferenz Plattformen in Schule finden sich unter Videokonferenzplattformen in Schule nutzen. Nähere Informationen zu den beiden Open Source Videokonferenz Plattformen finden sich als Datenschutz Check unter BigBlueButton und Jitsi.

Stand 03/2022

Jitsi – Videokonferenzen

Lesezeit: 5 Minuten

Beschreibung

Jitsi ist eine Open Source Videokonferenz Plattform, die als sehr datenschutzfreundlich gilt. Sie kann auf einem eigenen Server betrieben werden, was jedoch nicht nur einen Server braucht, sondern auch das Wissen, wie man Jitsi sicher betreibt. Daneben gibt es die Möglichkeit, einen der vielen im Netz offen zugänglichen Jitsi Server zu nutzen. Die meisten Anbieter offener Jitsi Server stellen den Dienst frei zur Verfügung, da sie sich für Datenschutz, Bürgerrechte und das Recht auf informationelle Selbstbestimmung einsetzen. Man kann hier davon ausgehen, dass die Betreiber kein Interesse an den Daten der Benutzer haben. Von daher ist das Risiko, dass Videokonferenzen abgehört, aufgezeichnet und verbreitet werden, sehr gering. Eine hundertprozentige Sicherheit gibt es hier jedoch so wenig wie bei anderen Plattformen. Werden Links zu Video Meetings öffentlich bekannt gemacht, können sich auch bei Jitsi Dritte einklinken und stören.

Jitsi, Dienste Dritter und Sicherheit

Wie sicher und datenschutzfreundlich Jitsi Server sind, hängt von der Konfiguration ab und den genutzten Diensten Dritter. Wird die Jitsi Instanz auf einem Server von Amazon, Google, Cloudflare oder Microsoft betrieben, kommen Dritte ins Spiel, hier US Dienstleister, die je nach Serverstandort nicht nur der DS-GVO unterliegen. Gleiches gilt auf für den genutzten STUN Server. Einige der frei verfügbaren Jitsi Server nutzen Google STUN Server. Das wird aus der Sicht von Datenschützern oftmals kritisch gesehen. Als Open Source Lösung ist die Datennutzung bei Videokonferenzen transparent.

Als Plattform ist Jitisi selbst sehr datenschutzfreundlich, da Nutzer dort an Videokonferenzen teilnehmen können, ohne Spuren zu hinterlassen. Eine Registrierung ist zur Teilnahme an einer Videokonferenz nicht erforderlich. Bei den öffentlichen Jistsi Servern braucht es auch zum Starten einer Videokonferenz keine Registrierung. Jitsi speichert keine Nutzerdaten und die Videokonferenzen sind verschlüsselt. Anders als bei einigen anderen Videokonferenz Plattformen bestehen Konferenzräume nur solange sie genutzt werden. Sie werden nicht für neue Meetings gespeichert. Video, Audio und Chat werden nur für die Dauer einer Konferenz gespeichert.1Es gibt Einstellmöglichkeiten in Jitsi, die Speicherungen von Inhalten zulassen. Darüber hinaus kann auch durch die Konfiguration des Jitsi Servers eingestellt werden, wie datenschutzfreundlich Videokonferenzen durchgeführt werden. Ob die Einstellmöglichkeiten genutzt werden, hängt von der Person ab, die eine Videokonferenz startet. Mehr Informationen zum Datenschutz bei Jitsi unter https://jitsi.org/security/

Anbieter-Sammlungen

Unter den folgenden Links finden sich Sammlungen von Jitsi Servern.

Auf den Seiten der Jitsi Server findet man selten selten Angaben zu den Anbietern. Über die URL kann man jedoch meist leicht herausfinden, wer den Server betreibt. Wenn man einen Anbieter nicht kennt und man möchte den Server nutzen, muss man ihm vertrauen. Aus Sicht des Datenschutz ist das keine Ideale Grundlage für eine Nutzung, wenn Sicherheit gewünscht ist.

Empfehlen kann man auf jeden Fall aus den Listen z.B.:

https://jitsi.fem.tu-ilmenau.de

sowie von CCC und Freifunk betriebenen Server. Beispiele dafür sind “https://jitsi.hamburg.ccc.de” und “jitsi.hamburg.freifunk.net“. Erkennen kann man hier die Zugehörigkeit zu den Domains “ccc.de” oder “freifunk.net”. Bei allen anderen sollte der Betreiber recherchiert werden.

Interessant ist auch noch das Angebot sichere-videokonferenz.de, welches kostenfrei nutzbar ist und dabei sogar einen Vertrag zur Auftragsverarbeitung anbietet, der unter sichere-videokonfenerenz/datenschutz als PDF geladen werden kann.

Beispiele für kommerzielle Jitsi Anbieter für Schulen sind4Die Nennung von Anbietern ist nur beispielhaft und erfolgt ohne finanzielle Interessen.

Neu – Ende zu Ende Verschlüsselung

Jitsi bietet seit Ende des Jahres auch eine Option, Videokonferenzen Ende-zu-Ende zu verschlüsseln. Damit können die Inhalte der Videokonferenz nur noch von den Teilnehmern eingesehen werden. Ein Abhören der Videokonferenz über den Jitsi Server ist damit nicht mehr möglich.5Jitsi verschlüsselte auch in der Vergangenheit schon die Übertragung der Videokonferenzdaten, sie wurden jedoch auf dem Server vorübergehend entschlüsselt, um bestimmte Funktionalitäten bereitstellen zu können.

Es sollte dabei jedoch beachtet werden, dass Metadaten der Kommunikation nicht verschlüsselt werden und dass die Teilnahme momentan nicht mit jedem Browser oder dem App möglich ist. (Stand 2020-12-02)

F-Droid Jitsi App

Es gibt für Android Nutzer die Möglichkeit über Sideloading die F-Droid Jitsi App anstelle der aus dem Google Play Store zu installieren.

Rechtsgrundlage der Nutzung

Vertrag zur Auftragsverarbeitung

Da die meisten Anbieter offen nutzbarer Jitsi Server ihren Dienst ohne finanzielle Interessen anbieten, kann man von ihnen keinerlei vertragliche Absicherung in Form eines Vertrags zur Auftragsverarbeitung für eine Nutzung erwarten.

Wenn es um eine Nutzung für eine Videokonferenz geht, bei der sensible Inhalte besprochen und vielleicht auch gezeigt werden sollen, ist ein freier Jitsi Server in der Regel nicht geeignet, es sei denn man kennt die Betreiber persönlich und vertraut ihren Zusicherungen.6Für eine rechtssichere Nutzung stellt ein solches Vertrauensverhältnis ohne Vertrag zur Auftragsverarbeitung jedoch auch keine ausreichende Grundlage dar.

Einen Vertrag zur Auftragsverarbeitung wird man nur erhalten, wenn man Jitsi durch einen Dienstleister betreiben lässt, etwa den Schulträger, einen von diesem beauftragten IT Dienstleister oder einen selbst beauftragten Anbieter.

Einwilligung

Wird der Jitsi Server selbst betrieben oder im Auftrag, braucht es eine Einwilligung der Betroffenen. In Schule ist dabei immer die informierte Freiwilligkeit vorausgesetzt.

Bei Nutzung eines freien Jitsi Servers aus einer der Listen oben sollten Betroffene ebenfalls eine Einwilligung erteilen, auch wenn die Schule nicht Herrin der Daten ist. Für schulische Zwecke ist diese Lösung nicht unbedingt ideal.

Eine Vorlage für das Einholen einer Einwilligung für den Fall, dass man einen freien Jitsi Server nutzt, könnte aussehen wie folgt.

Eine Vorlage für die Nutzung des kostenfreien Angebotes von Meetzi. Der Anbieter Lintec GmbH stellt Jitsi kostenfrei zur Verfügung, um von der Qualität seines kostenpflichtigen Angebots zu überzeugen. Den Vertrag zur Auftragsverarbeitung gibt es jedoch verständlicherweise nur bei kostenpflichtigen Schulkonten. Will man den Anbieter trotzdem nutzen, müssen die Betroffenen entsprechend informiert werden.

Eine Vorlage für eine Einwilligung bei Vorliegen eines Vertrags zur Auftragsverarbeitung mit dem Anbieter, mit Versionen für Schüler und Lehrkräfte und den erforderlichen Informationen zur Datenverarbeitung.7Diese Vorlage ist für Schulen gedacht, die sich selbst einen Anbieter suchen oder Jitsi über ihren Schulträger bereitgestellt bekommen. Schulen in NRW, welche die vom Land bereitgestellte, an den Messenger Element angedockte Version von Jitsi nutzen, brauchen diese Vorlage nicht, da die Informationen zur Datenverarbeitung online vorliegen und die Einwilligung elektronisch bei der Anmeldung an der Plattform abgegeben wird.

Abschließende Bewertung

Diese Bewertung ist eine Einschätzung ähnlich einer Produktbewertung und damit subjektiv, aber an den oben beschriebenen Beobachtungen orientiert.

Nutzung unter optimalen Bedingungen

Betrieben durch einen Dienstleister in der EU auf der Grundlage eines Vertrag zur Auftragsverarbeitung, auf Servern in der EU und mit STUN Server von EU Betreiber hat man alles unter Kontrolle.

Nutzung auf frei verfügbaren Jitsi Server – nur EU Dienste

Solange man dem Anbieter vertraut und man sicher ist, dass keine Dienste von Anbietern außerhalb der EU genutzt werden, ist das Risiko für Nutzer eher gering.

Nutzung auf frei verfügbarem Jitsi Server – nicht EU Dienste

Durch die Nutzung von nicht EU Diensten beim Angebot des Jitsi Dienstes ergibt sich ein potentielles Risiko durch Datenabflüsse an Dritte.

Empfehlung

Wenn Jitsi im schulischen Kontext genutzt werden soll, empfiehlt es sich, eine Instanz zu nutzen, die mit einem Vertrag zur Auftragsverarbeitung rechtlich abgesichert im Auftrag der Schule betrieben wird. Von einer Nutzung von offen angebotenen Jitsi Servern ist eher abzuraten, vor allem dann, wenn unbekannt ist, ob zum Betrieb die Dienste von nicht-EU Dienstleistern genutzt werden.

Tipps zur Nutzung

Kukez (ist ein IT/ Datenschutz Spezialist und Mitarbeiter einer Aufsichtsbehörde, der das Blog privat betreibt) hat eine Reihe von Tipps zur Nutzung gesammelt, etwa wenn es technische Probleme bei Teilnehmern gibt: https://www.kuketz-blog.de/jitsi-meet-erste-hilfe-bei-problemen/

Sehr ausführlich beschäftigt sich der Beitrag Jitsi – Fragen & Antworten von JOTBE mit den Funktionen, der Sicherheit und dem Betrieb von Jitsi.

Thema Jitsi App

Die Berliner Aufsichtsbehörde hat in ihrer zweiten Version des Dokuments Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten.pdf von Februar 2021 verschiedene Jitsi Anbieter getestet und dabei auch Informationen zum Android App gegeben.

“Bei der Verwendung der Jitsi-App empfiehlt sich, zumindest auf Android-Geräten die Variante aus dem F-Droid-Store zu nutzen, da diese im Gegensatz zu der Variante aus dem Google-Play-Store frei von Software von Tracking-Anbietern wie Crashlytics und Firebase ist.”

Stand 03/2021

Download weitere Einwilligungen (NRW)

Lesezeit: 7 Minuten

Während es auf der Seite Einwilligungen Schule (NRW) vor allem um Einwilligungen geht, welche für die Mehrheit der Schulen relevant sind, finden sich auf dieser Seite verschiedene Beispiele anlassbezogener Einwilligungen. Suchen Sie sich einfach einen Anwendungsfall heraus, der Ihrem ähnlich ist und passen Sie diesen auf Ihre Bedürfnisse an.

Foto und Video anlassbezogen – Beispiel Zirkusprojekt

Eine Grundschule macht ein Zirkusprojekt, auf welchem Fotos und Videos angefertigt werden sollen. Die Videos sollen als DVD an Familienmitglieder und Freunde der Schule verkauft, geeignete Fotos für die Schulhomepage und Pressearbeit genutzt werden.

Fotos am Ende der Grundschulzeit an Familien geben

Einige Grundschulen wollen den Familien der Kinder zum Ende der 4. Klasse eine Erinnerung in Form der über die Jahre gesammelten Fotos aus dem Schulalltag zur Verfügung stellen.

Westermann OnlineDiagnose

Hinter der OnlineDiagnose verbirgt sich eine Reihe von Online Tests für die Fächer Deutsch, Mathematik und Englisch in den Klassenstufen 5 bis 9. Die Ergebnisse der Tests werden automatisch ausgewertet und als Leistungsprofile angezeigt. Auch eine Auswertung über die Klasse hinweg ist möglich. Anhand der Ergebnisse kann die Schule die einzelnen Schülerinnen und Schüler individuell fördern. Der Verlag stellt zusätzliche Materialien dafür bereit. Um die Plattform datenschutzkonform zu nutzen, sollte die Schule mit Westermann einen Vertrag zur Auftragsverarbeitung abschließen. Dieser findet sich unter Auftragsverarbeitung.pdf und deckt auch zwei weitere Angebote des Verlags ab, Kapiert.de und BiBox. Da bei der Online Diagnose personenbezogene Daten verarbeitet werden, ist eine Einwilligung der Betroffenen erforderlich.

Hinweis: Seit der Änderung des SchulG NRW im Februare 2022 ist es möglich, Lehr- und Lernplattformen, sowie Arbeits- und Kommunikationsplattformen per Schulkonferenzbeschluss an einer Schule einzuführen, für eine verpflichtende oder freiwillige Nutzung. Es braucht dann keine Einwilligung mehr. Die Information über die Datenverarbeitung ist jedoch weiterhin erforderlich. Was sich dort ändert, ist die angegebene Rechtsgrundlage. Ob eine Online Diagnose Plattform unter die genannten Regelungen fällt, oder ob eine Einwilligung weiterhin erforderlich ist, wäre zu ermitteln.

Einwilligung Schüler – Westermann OnlineDiagnose.docx

Leseo – Lesetraining Plattform

Leseo ist ein Angebot der Cornelsen Verlagsgruppe zur digitalen Leseförderung für die Grundschule. Lehrkräfte können sich individuell registrieren. Ein Vertrag zur Auftragsverarbeitung wird auf der Website angeboten. Er muss zwischen Schule und Cornelsen abgeschlossen werden. Lehrkräfte erstellen die Konten für ihre Schülerinnen und Schüler, nachdem sie von den Eltern die Einwilligung dazu erhalten haben. Dann erhalten die Kinder den Anmelde-Code.1Auf der Leseo Website gibt es auch ein Anschreiben an Eltern mit einer Einwilligung. Da diese den formalen Kriterien einer rechtswirksamen Einwilligung in keiner Weise entspricht, wurden auf Anfrage diese Vorlagen erstellt.

Hinweis: Seit der Änderung des SchulG NRW im Februare 2022 ist es möglich, eine Plattform wie Leseo per Schulkonferenzbeschluss an einer Schule einzuführen, für eine verpflichtende oder freiwillige Nutzung. Es braucht dann keine Einwilligung mehr. Die Information über die Datenverarbeitung ist jedoch weiterhin erforderlich. Was sich dort ändert, ist die angegebene Rechtsgrundlage.

Videoaufnahmen für einen Imagefilm der Schule

Um die Schule nach außen darzustellen, denken viele Schulen daran, einen Imagefilm zu erstellen. Dafür sollen im Unterricht, in Projekten, den Pausen, in der Mensa, auf Fahrten und ähnlich Aufnahmen angefertigt werden. Der fertige Film soll dann auf der Homepage eingestellt werden, meist über eine Videoplattform, um die Streaming Qualität zu gewährleisten.

Erklärfilme im Unterricht erstellen

Möchte man im Unterricht Erklärvideos erstellen, so kann dieses durchaus ohne die Verarbeitung von personenbezogenen Daten erfolgen, beschränkt sich dann jedoch auf Videos ohne Stimme und mögliche Demonstrationen am Objekt. Für die Erstellung von Erklärvideos, in welchen Schülerinnen und Schüler mit ihrer Stimme und erkennbar im Bild  erscheinen, braucht es eine entsprechende Einwilligung. Auch die Verwendung des Namens im Abspann und eine geplante Veröffentlichung sind zu berücksichtigen. Diese Vorlage besteht aus drei anpassbaren Mustern und Hinweisen zur Nutzung.

Fotografien für ein Jahrbuch

Um ein Jahrbuch erstellen zu können, braucht es in der Regel Fotos der Personen in der Schule, Name und Klassenzugehörigkeit oder Funktion. Betroffen sind Schüler, Lehrkräfte, oft auch Mitarbeiter der Schulverwaltung, Hausmeister und andere in der Schule tätige Personen. Da die Schule datenverarbeitende Stelle ist, müssen alle diese Personen ihre Einwilligung der Schule gegenüber abgeben, auch wenn ihr Dienstherr beispielsweise der Schulträger ist oder eine Firma.

Notfallinformationen für eine Klassenfahrt einholen

Gerade bei längeren Klassenfahrten ist es sinnvoll, dass die begleitenden Lehrkräfte über aktuelle Notfallinformationen der Schüler verfügt. Mit dieser Vorlage können sie eingeholt werden.

Deutschlernplattform DeutschFuchs

DeutschFuchs ist ein Angebot für den DAF/DAZ Unterricht mit älteren Schülerinnen und Schüler. Zur Nutzung der Online-Plattform müssen Nutzerkonten für Schüler und Lehrkräfte angelegt werden und es braucht entsprechende Einwilligungen.2Bei der Nutzung außerhalb von Schule in einem Deutschlernkurs kann es möglich sein, dass eine Einwilligung nicht erforderlich ist, wenn es sich um ein bezahltes Angebot handelt und die Nutzung im Rahmen des Vertrags mit dem Kurs erfolgt. Die Informationen zur Datenverarbeitung braucht es dann jedoch auch. Als Rechtsgrundlage würde man statt Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO) dann Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DS-GVO) eintragen.

Lern-App Anton für die Schule

Anton ist eine Online Plattform, die über Browser und App genutzt werden kann. Neben der individuellen Nutzung ist eine Nutzung über ein Schulkonto möglich. Dazu braucht es eine Einwilligung der Erziehungsberechtigten. Eine Besonderheit der App ist, dass das Konto auf Wunsch der Nutzer jederzeit in ein privates Konto umgewandelt werden kann. Außerdem ist die Mitnahme des Kontos an eine andere Schule möglich. Die Informationen zur Datenverarbeitung zur Einwilligung berücksichtigen dieses. Da das App Lernangebote sowohl für Grundschule wie auch die Sekundarstufe bis Klasse 10 macht, sind alternative Formulierungen für den letzten Teil der Informationen zur Datenverarbeitung vorbereitet. Auch vorbereitet ist das Einholen der Einwilligung per E-Mail.

Hinweis: Seit der Änderung des SchulG NRW im Februare 2022 ist es möglich, eine Plattform wie Anton per Schulkonferenzbeschluss an einer Schule einzuführen, für eine verpflichtende oder freiwillige Nutzung. Es braucht dann keine Einwilligung mehr. Die Information über die Datenverarbeitung ist jedoch weiterhin erforderlich. Was sich dort ändert, ist die angegebene Rechtsgrundlage.

BigBlueButton Videokonferenzen

Die Open Source Videokonferenz ist in den Funktionen ähnlich zu Zoom, kann aber selbst betrieben oder durch einen beauftragten Dienstleister betrieben werden. Aus Sicht des Datenschutz hat das durchaus Vorteile. BigBlueButton ist außerdem im Paket mit einigen bereits bestehenden Schulplattformen zu haben. Zwei Vorlagen für Einwilligungen, die benötigt werden, wenn die Schule BigBlueButton selbst oder mit Vertrag zur Auftragsverarbeitung betreibt. Weitere Infos zur Plattform und zu den Vorlagen.

Hinweis: Seit der Änderung des SchulG NRW im Februare 2022 ist es möglich, eine Plattform wie BigBlueButton per Schulkonferenzbeschluss an einer Schule einzuführen, für eine verpflichtende oder freiwillige Nutzung. Es braucht dann keine Einwilligung mehr. Die Information über die Datenverarbeitung ist jedoch weiterhin erforderlich. Was sich dort ändert, ist die angegebene Rechtsgrundlage.

Jitsi Videokonferenzen

Schulen, welche die open source Videokonferenzplattform Jitsi von einem Dienstleister oder dem Schulträger mit Vertrag zur Auftragsverarbeitung betreiben lassen, müssen von Schülern und Lehrkräften eine Einwilligung einholen und über die Datenverarbeitung informieren. Die Vorlage beeinhaltet eine Version für Schüler und eine für Lehrkräfte. Die Informationen zur Datenverarbeitung sind neutral formuliert, so dass sie für beide Gruppen genutzt werden können.

Hinweis: Seit der Änderung des SchulG NRW im Februar 2022 ist es möglich, eine Plattform wie Jitsi per Schulkonferenzbeschluss an einer Schule einzuführen, für eine verpflichtende oder freiwillige Nutzung. Es braucht dann keine Einwilligung mehr. Die Information über die Datenverarbeitung ist jedoch weiterhin erforderlich. Was sich dort ändert, ist die angegebene Rechtsgrundlage.

Teams Videokonferenzen

Viele Schulen setzen auf Teams, um Videokonferenzen durchzuführen. Bitte beachten Sie die Seite mit den Hinweisen zu Teams und die Hinweise in den Vorlagen selbst. Die dritte Vorlage ist für Schulen gedacht, die ihre Schüler ohne eigene Nutzerkonten an Videokonferenzen teilnehmen lassen möchten. Lehrkräfte benötigen ein Nutzerkonto, um Schüler zu Meetings einladen zu können, wofür sie ihre Einwilligung mit der zweiten Vorlage erteilen können.

Meet Videokonferenzen

Schulen, die G Suite for Education nutzen, möchten auch das Videokonferenz Modul Google Meet nutzen. Die Vorlage ist für Nutzer gedacht, die bereits ein G Suite for Education Konto ihrer Schule haben. Die Erstellung einer separaten Nutzungsordnung bzw. Nutzungsregeln ist zu empfehlen.

Zoom Videokonferenzen

In Zeiten von Schulschließungen oder bei der Betreuung kranker Schüler kann eine Plattform für Videokonferenzen nützlich sein. Sehr verbreitet und beliebt ist Zoom. Den datenschutzrechtlichen Vertrag mit dem Anbieter, der einem Vertrag zur Auftragsverarbeitung entspricht, gibt es auch für kostenlose Konten4Das ist das sogenannte Data Processing Addendum, welches die EU Standard Vertragsklausen enthält. Dieses wird nach Informationen des Fachanwalts Stefan Hansen-Oest automatisch mit der Registrierung eines Accounts abgeschlossen. Es ist damit seit April 2020 nicht länger nötig, das Dokument von Hand auszufüllen und per E-Mail an den Anbieter zu senden.. Mit Schulkonten zur Nutzung für die Lehrkräfte macht es Sinn, von den Schülern bzw. Eltern eine Einwilligung zur Nutzung einzuholen, auch wenn die Teilnahme ohne Nutzerkonten auf Seiten der Schüler erfolgen kann. Zoom hat mittlerweile eine Datenschutz Checkliste in Orientierung an der der Datenschutzkonferenz veröffentlicht, mittels der man prüfen kann, inwieweit der Anbieter (nach eigenen Angaben) den dort genannten Kriterien genügt.

Video Streaming – Schulabschlussfeier

In Zeiten von Corona planen viele Schulen, die feierliche Überreichung der Abschlusszeugnisse per Video zu streamen, so dass auch die Eltern und andere Familienangehörige aus der Ferne daran teilhaben können. Aus einer Nicht-Einwilligung dürfen Schülern keine Nachteile entstehen. Je nach Situation ist das eventuell nicht zu gewährleisten. Dann muss auf eine Videoübertragung verzichtet werden. In der Regel sollte es aber möglich sein, einen Bereich auf der Bühne oder ähnlich von der Aufnahme ausnehmen zu können. Dort könnten sich dann Schüler aufhalten, die nicht im Video Stream zu sehen sein möchten.

WebUntis – digitaler Stunden- und Vertretungsplan

In NRW nutzen vor allem größere Schulen oftmals Untis für die Erstellung der Stundenpläne. Sehr attraktiv ist dabei auch das Angebot der Software, die mit der lokal installierten Untis Version erstellten Stunden- und Vertretungspläne online via Browser und Apps für iOS und Android verfügbar zu machen. Schüler und Lehrkräfte haben so schnell im Blick, wenn Vertretungen anstehen. Es lassen sich damit Prüfungen und Sprechzeiten planen. Das Webmodul lässt sich außerdem noch um einen Messenger, Kursanmeldungen und ein digitales Klassenbuch erweitern. Die Vorlage ist für Schüler und Lehrkräfte gedacht und kann auch für Eltern angepasst werden, wenn diese eigene Zugänge erhalten sollen. Sie ist nur für die Basis-Version von WebUntis vorbereitet, kann aber für weitere Module erweitert werden. Hinweise zur Anpassung, auch für andere Bundesländer finden sich im Anhang der Vorlage.

Hinweis: Seit der Änderung des SchulG NRW im Februar 2022 ist es möglich, eine Plattform wie WebUntis per Schulkonferenzbeschluss an einer Schule einzuführen, für eine verpflichtende oder freiwillige Nutzung. Es braucht dann keine Einwilligung mehr. Die Information über die Datenverarbeitung ist jedoch weiterhin erforderlich. Was sich dort ändert, ist die angegebene Rechtsgrundlage.

Bild- und Tonaufnahmen (Videoaufnahmen) des Unterrichts durch LAA

Während ihrer Ausbildung gibt es Situationen, in welchen Lehramtsanwärterinnen und Lehramtsanwärter ihren Unterricht aufnehmen möchten, sei es um die Unterrichtsstunde zu reflektieren oder im Seminar gemeinsam mit anderen LAA zu besprechen. Auch für schriftliche Arbeiten möchte man vielleicht Fotos aus dem Unterricht, die Schülerinnen und Schüler zeigen, verwenden. Das braucht eine Einwilligung, da das SchulG hier keine Rechtsgrundlage liefert. Diese Einwilligung ist in sehr einfacher Sprache gehalten und verwendet anstelle von LAA Fachlehrkräfte in Ausbildung (kurz FliA). Das lässt sich leicht auf LAA abändern.

Stolz präsentiert von WordPress