Die datenschutzsensible Schule

Lesezeit: 8 Minuten
Diese Seite ist noch in der Entwicklung.

Datenschutz ist ein Alltagsthema in Schule. Selbst bei sehr grundlegenden und wichtigen Anwendungen, die in vielen Schulen genutzt werden, bereitet der Schutz der personenbezogenen Daten von Schülern und Lehrern Probleme. Dabei ist es vollkommen egal, ob es um den Bereich der Verwaltung geht, der Kommunikation oder den pädagogischen Bereich. Viele Schulen setzen auf die Produkte großer US-amerikanischer Anbieter. Dieses bringt seine eigenen Herausforderungen mit sich. Die Frage ist aber, muss es unbedingt Microsoft 365 sein, die G Suite for Education oder die iCloud? Gibt es keine Alternativen? Es gibt sie. Eine Nutzung ist für Schule längst keine Frage der Kompatibilität mit in Verwaltung und Wirtschaft verbreiteten Formaten mehr. Schüler müssen im Unterricht auch nicht unbedingt mit der Office Suite von Microsoft arbeiten, denn es geht nicht darum, aus ihnen kompetente Nutzer von Microsoft Produkten zu machen. Vielmehr sollen sie in die Lage versetzt werden, eine Textverarbeitung zu nutzen, Tabellenkalkulation, Präsentationssoftware und ähnlich, um damit Probleme zu lösen und produktiv zu arbeiten. Gleiches gilt auch für die Arbeit im Kollegium, wenn es um das gemeinsame Erstellen von Unterrichtsvorhaben, Materialien, Lehrplänen und ähnlich geht.

In diesem Bereich dieser Website sollen deshalb Mittel und Wege vorgestellt werden, wie eine Schule ihrer datenschutzrechtlichen Verantwortung besser gerecht werden kann, ohne Abstriche zu machen bei Themen wie Kollaboration und plattformübergreifende Nutzbarkeit 24/7.

(Volle) Kontrolle über die eigene Datenverarbeitung bedeutet, dass die Plattform entweder in Deutschland oder der EU bzw. dem EWR betrieben und über einen Vertrag zur Auftragsverarbeitung entsprechend Art. 28 DS-GVO abgesichert werden kann oder dass keine personenbezogenen Daten durch die Plattform erhoben werden bzw. diese solches aktiv verhindert. Plattformen, die auf Grundlage von Open Source laufen, können noch einmal einen zusätzlichen Gewinn in Bezug auf Kontrolle bedeuten.

Hinweis: die im folgenden gelisteten Tools und Plattformen zeichnen sich dadurch aus, dass sie überwiegend datensparsam genutzt werden können. Trotzdem müssen bei ihrer Nutzung grundlegende Regeln des Datenschutzes beachtet werden. Bei Anbietern, die keinen Vertrag zur Auftragsverarbeitung anbieten, sollten, auch wenn sie sehr sicher sind, keine personenbezogenen Daten aus der Schule verarbeitet werden.

Sobald es meine Zeit zulässt, werde ich zu den einzelnen Tools und Plattformen Hinweise geben, wie man sie am besten nutzt.

  • Cloud Speicher

    • NextCloud
    • Owncloud
  • Office Suiten

  • LMS

    • Moodle + Collabora Office
    • iServ + Collabora Office
    • itslearning1itslearning nutzt für die Bereitstellung seines Angebotes Cloudflare mit EU Servern. Cloudflare ist ein US Anbieter und wird von einigen Datenschützern kritisch gesehen.
    • DiLer-LMS (open source LMS)
    • Lernlog (Digitaler Lernbegleiter)
  • alternative Messenger

    • Threema (AVV)
    • Signal
    • Wire (AVV)2Der Anbieter hat seit Ende 2019 seinen Hauptsitz in den USA. Server stehen in der Schweiz, aber CLOUD-Act ist jetzt relevant.
    • Talk – Messenger in NextCloud
    • Rocket.chat (Chat Plattform, die selbst betrieben werden kann)
    • LeapChat (Open Source, verschlüsselt, kostenlos, Chaträume können spontan erstellt werden; keine Registrierung)
  • alternative Videokonfernz Plattformen

  • alternative Browser

  • Kollaboration Tools

Die Tools sind Browser-basiert.

    • ZUM Pad (Etherpad – Text)5Hinweis! Die Etherpads können nicht manuell gelöscht werden. Sie löschen sich nach 6 Monaten von alleine. Wegen Inhalten und Autorennamen berücksichtigen.
    • Etherpad – kits (Etherpad – Niedersächsisches Landesinstitut
      für schulische Qualitätsentwicklung (NLQ))6Besitzt eine Funktion zum Löschen von Etherpads, die über die Einstellungen aktiviert werden kann.
    • Board.net (frei nutzbares Etherpad mit Zusatzfunktionen von fairkom Cloud Services, Österreich)7Eine Löschfunktion für erstellte Etherpads fehlt hier ebenfalls.
    • YoPad (Etherpad des Deutschen Jugendrings, Löschzeit voreinstellbar – 1 Tag/ Monat/ Jahr)
    • Cryptpad.fr (Text, Whiteboard, Tabelle, Code, Umfrage, …)8Hinweis: Cryptpad.fr ist ein datenschutzfreundliches Tool, welches zur Kollaboration im Unterricht genutzt werden kann. Es ist in der kostenlosen Version jedoch nicht für die Verarbeitung von personenbezogenen Daten aus der pädagogischen Dokumentation oder schulinternen Verwaltung geeignet, auch wenn es verschlüsselt und sicher ist. Hier braucht es einen Vertrag zur Auftragsverarbeitung. Den bietet der Anbieter, doch die Preise sind hier für Schulen im Moment nicht realistisch.
    • Cryptpad.ccc.ch (Text, Code, Präsentation, Umfrage, Whiteboard, Todo, Drive)
    • Cryptpad.Digitalcourage.de (Text, Code, Tabellen, Präsentation, Umfrage, Kanban, Whiteboeard, Drive; mit und ohne Anmeldung)
    • Pad.hamburg.freifunk.net (Text, Code, Tabelle, Präsentation, Umfrage, Whiteboad, Kanban, Drive)
    • mindmaps.app (Mindmapping)
    • Mindmap – kits (Whiteboard – Niedersächsisches Landesinstitut
      für schulische Qualitätsentwicklung (NLQ))
    • OrgPad (Kollaborativ Ideen und Wissen als Mindmap strukturieren)
    • Riseup Pad (Etherpad – Text mit Verfallsdatum)
    • EtherCalc (Etherpad – Tabellenkalkulation)
    • Bullsheet (Tabellenkalkulation)
    • OnTheSamePage (Whiteboard)
    • hackmd.io (Texte, Bücher und Präsentationen, mit Exportoptionen)9Cyber4Edu bietet eine eigene hackmd/ HedgeDoc Instanz mit Vertrag zur Auftragsverarbeitung auf Nachfrage an.
    • HedgeDoc – (Plattform, auf der hackmd.io basiert, zur Selbstinstallation auf Server)
    • fragmich.xyz (Fragensammlung)
    • Oncoo (Toolsammlung: Kartenabfrage, Helfersystem, Lerntempoduett, Placemat, Zielscheibe)
    • frag.jetzt (Fragen sammeln, up- und down voten)
    • tweedback.de (interaktive Echtzeit Feedback Plattform)
    • Geogebra Apps & Gruppen (die bekannten Mathe Apps und Gruppen für kollaborative Arbeit)
    • Whiteborb.com (ein open source Whiteboard, kann selbst gehostet werden)
    • Cracker Whiteboard (Open Source Whitebiard, kann selbst gehostet werden)
    • Excalidraw – kits (Whiteboard – Niedersächsisches Landesinstitut
      für schulische Qualitätsentwicklung (NLQ))
    • Ideensammlung (einfache Form einer Pinnwand, ähnlich wie Padlet oder Wakelet von lerntools.org)
    • Taskcards (eine Padlet Alternative)
    • Scrumbler (eine open source, selbst betreibbare Plattform, mit der Ideen mit Notizzetteln gesammelt und strukturiert werden können. Die Seite http://scrumblr.ca/ ist mehr zum Testen)
    • OpenProject (eine open source Projekt Management Plattform, die selbst gehostet werden kann. Sie kann auch Kanban, Agile und Scrum und Wiki.)
  • Suchmaschinen

    • Qwant
    • QwantJunior
    • https://duckduckgo.com/10Die Suche nutzt Microsoft Bing. Seit Mitte 2022 ist die Suchmaschine, die sich als datenschutzfreundlich verkauft, umstritten, da sie Tracking-Scripte von Microsoft nicht blockiert. Im August sagte die Firma zu, diese nun doch zu blockieren.
    • metager
    • startpage.com
    • blinde-kuh.de (Suchmaschine spezielle für jüngere Kinder)
    • DWDS (Wörterbuch. Der deutsche Wortschatz von 1600 bis heute.)
  • Karten

  • MDM

    • Jamf School (ehem. ZuluDesk)11Leider aktuell nicht mehr ganz so datenschutzfreundlich wie zuvor, da es von Jamf, einem US Anbieter gekauft wurde und damit trotz Servern in Deutschland und Herkunft aus Holland unter den CLOUD-Act fällt.
    • Jamf (Mac OS, iOS MDM, on premise Betrieb möglich)
    • Relution (multi OS MDM, Shared iPad Lösung ohne iCloud)
    • iServ (Schulserver mit multi OS MDM) 
    • Airwatch (multi OS MDM)
    • Puavo (open source MDM für Linux Clients)
  • Classroom Management
    • Epoptes (Ein open source Classroom Management System für Linux Clients12Soll in Puavo integriert werden)
    • Veyon(Ein open source Classroom Management System für Windows und Linux, kann mit  Netzwerk- und Verzeichnisdiensten integriert werden)
  • Passwortmanager
  • Stundenplan Software
  • Terminabstimmung

    • Dudl, Nuudel, DFNTerminplaner, Terminplaner, TerminO und Letsfind. Siehe hierzu den ausführlichen Beitrag Online Terminabstimmung.
  • Andere
    • Sharedrop (peer-to-peer sharing von Dateien zwischen Geräten)
    • KurzeLinks.de (URL Shortener, macht aus langen Links kurze)
    • AudioMass (Open Source Audio Editor, der komplett im Browser läuft.)
    • Apps Cyborg – (Sammlung von online Tools aus Estland für Bild, Video, PDF und mehr.)
    • Chatons – (Sammlung von Open Source online Tools aus Frankreich für Text, Tabelle, Videokonferenz, Linkverkürzen, Terminfindung, Filesharing, Post-it Tafel)
    • Speechday (Elternsprechtag Buchung zur Selbstinstallation für Schulhomepage)
    • Classroom Bookings (Open Source Plattform zum Selberhosten für die Verwaltung von Ressourcen in Schule, Räume, Tablet Koffer, Beamer, …)
    • Mindmapp – kits (Mindmapping Tool – nicht kollaborativ! – Niedersächsisches Landesinstitut für schulische Qualitätsentwicklung (NLQ))
    • EU Council Presidency Translator (Online-Übersetzungstool der EU Ratspräsidentschaft)
    • wortwolke – kits – (Wortwolken Tool – Niedersächsisches Landesinstitut für schulische Qualitätsentwicklung (NLQ))
    • QR-Code Generator – kits – (farbige QR Codes erstellen – Niedersächsisches Landesinstitut für schulische Qualitätsentwicklung (NLQ))
    • QR-Storage (ein Tool, mit dem sichTexte oder Sprachaufzeichnungen mit einem QR-Code verbunden ablegen lassen, etwa für Feedback für Klassenarbeiten – Niedersächsisches Landesinstitut für schulische Qualitätsentwicklung (NLQ))
    • PageFlow (eine Open Source Plattform für das Erstellen multimedialer Seiten, entwicklet mit dem WDR13Wenn Schulen die Möglichkeit haben, sollten sie die Plattform durch ihren Schulträger hosten lassen.)
    • phpList (eine Open Source Newsletter Plattform, die auf den meisten Webspaces eingerichtet werden kann)
    • La Digitale (franz. – dän. open source Projekt mit 19 Tools, die teils kollaborativ genutzt werden können, z.B. Whiteboard, Etherpad, …)
    • Limesurvey (Open Source Plattform, die selbst gehostet werden kann. Kostenpflichtige Nutzung über den Anbieter mit AVV möglich.)
    • Minetest (Open Source Version von Minecraft zum Selbst-Hosten)
  • Whiteboard Anzeige 
    • screenar.io (datenschutzfreundliche classroomscreen Alternative des iSH)
    • digiscreen (datenschutzfreundliche classroomscreen Alternative, kann selbst gehostet werden, in Moodle integrierbar)
    • digiscreen.zum.de (digiscreen von ZUM gehostet)
  • Video Hosting
    Es geht um die Bereitstellung von Videos für den Unterricht, von Lehrkräften erstellte Erklärvideos oder von Schülern erstellte Videos.

    • Peer Tube (Plattform zum Streaming von Videos, vergleichbar zur YouTube aber ohne die Datenabflüsse. Selbst hosten oder mit professionellen Hostern14Ein Beispiel für einen solchen Hoster ist Weingärtner IT Services .)
    • AVideo (Plattform zum Streaming von Videos, die datenschutzfreundlich selbsgehostet werden kann)15Ein Anbieter, den man dazu anfragen kann https://www.talpaworld.de/
    • DiLerTube (Hosting von Videos mit OER freundlichen Lizenzen)
  • Schutz & Sicherheit (extras)
    es geht hier um Angebote , mit denen Nutzer sich schützen können oder mit denen sie Informationen über Datenverarbeitung auf Websites und Apps recherchieren können.

    • Pi-hole (Firewall, die alle Geräte im Netz vor unerwünschten Inhalten, Tracking und mehr schützen kann)
    • Cryptomator (Open Source Verschlüsselungs-Tool)
    • BoxCyptor (Kommerzielles Verschlüsselungs-Tool)
    • Blokada (App für Android und iOS, welches Werbung und Tracker innerhalb von Apps, aber auch beim Surfen blockiert)
    • Ruin My Search History (Tool, mit welchem sich der Google Suchverlauf so verwässern lässt, dass die Erstellung eines Profils darüber erschwert wird.)
    • Netguard (Android Root Firewall, kann auch Aufschluss geben, wohin Apps Verbindung haben)
    • https://webbkoll.dataskydd.net/de/  (Tool, um Aufschlüsse über Datenabflüsse auf Websiten zu erhalten. In sehr reduziertem Maß finden sich vergleichbare Informationen auch in Browsern.)
    • Exodus (Bewertung von Android Apps in Bezug auf Datenschutz)
    • Google Analytics Check (Seite der Uni Bamberg; prüft, ob GA mit IP-Anonymisierung genutzt wird oder nicht)
    • PrivacyTools (eine Seite, die Hilfen gibt, sich selbst zu schützen und datenschutzfreundliche Software, Apps, Tools und Plattformen vorstellt; deutsche Version)

 

Von Nele Hirsch vom ebildungslabor gibt es auf OER info eine Übersicht über datenschutzfreundliche Offene Webtools und erläuternde Videos von dem Webtalks dazu. Ein Teil der oben aufgeführten Webtools wird dort vorgestellt.

Übersicht Open Source Alternativen

Die Übersicht sammelt Open Source Alternativen zu bekannten vielfach verwendeten Plattformen und Tools. Durch Open Source ist gewährleistet, dass die Verarbeitung durch das Tool oder die Plattform transparent ist. Trotzdem ist wichtig, auf den Anbieter, seine Datenschutzerklärung und Nutzungsbedingungen zu schauen, denn auch mit Open Source Software kann man Nutzerdaten sammeln und niemand hindert Anbieter von auf Open Source Software aufgebauten Plattformen, Dienste Dritter zu integrieren, mit denen Nutzerverhalten analysiert werden kann.

Privacy Tools

Privacy Tools ist eine Sammlung von der Plattform Privacy Guides. Die empfohlenen Tools zum Schutz der Privatsphäre werden hier in erster Linie auf der Grundlage von Sicherheitsmerkmalen ausgewählt, wobei ein zusätzlicher Schwerpunkt auf dezentralen und Open-Source-Tools liegt.

Übersicht über Arbeits- und Kommunikationsplattform- sowie IT-Infrastruktur-Anbieter im Edu-Bereich

Die Tabelle, an welcher der Betreiber dieser Seite mitwirkt, enthält verschiedene Produkte, die im Allgemeinen das Ziel der Bereitstellung einer Lern- und Kommunikationsplattform für Schulen haben. Die Produkte haben sehr unterschiedliche Schwerpunkte und Zielsetzungen und sind somit nicht direkt vergleichbar. Dennoch bietet diese Übersicht die Möglichkeit, ein Produkt zu finden, das den schuleigenen Anforderungen größtmöglich entspricht. Die Tabelle ist ein offenes und kollaboratives Projekt, bei dem sich jeder (erfahrene Nutzer, Hersteller) beteiligen darf. Alle Angaben sind ohne Gewähr. Die Tabelle steht unter der Creative Commons Lizenz CC0. In der Tabelle berücksichtigt ist auch das Thema Datenschutz.


Geplant sind auch Informationen zu:

Datenschutzsparsame Nutzung großer bekannter Plattformen

Plattformen zur Kommunikation und Organisation

Plattformen, die mit einem Vertrag zur Auftragsverarbeitung rechtlich abgesichert nutzbar sind für Schulen. Siehe vorläufige Sammlung auf Padlets:

Stand 06/2022

Wie sieht es bei einer Website mit dem Datenschutz aus?

Lesezeit: 2 Minuten

Mit der anstehenden Einführung der DSGVO kommt auch bei manchen bloggenden Lehrkräften große Unsicherheit auf. Kann man bestimmte Inhalte überhaupt noch einbinden, ohne gegen die datenschutzrechtlichen Vorgaben zu verstoßen? Liegt das Angebot in Europa oder auf einem US amerikanischen Server? Werden über den Embed/ iFrame Daten erhoben von den Besuchern meiner Webseite, auf die ich keinen Einfluss habe?

Manches lässt sich über die Datenschutzangaben auf der Webseite selbst ermitteln. Wenn das nicht weiterhilft, dann kann man sich selbst schlau machen.

Wie kann man Informationen über Webseiten bekommen?

Dafür gibt es diverse Tools, online und kostenlos. Sehr nützlich ist dafür eine Seite wie PingEU. Dort kann man diverse Abfragen machen.

  • Über eine Country-by-IP kann man ermitteln, in welchem Land der Server steht, auf dem die Website gehostet ist.
  • Über Traceroute lassen sich Informationen über den Weg zwischen eigenen Rechner und dem Webserver der Website ermitteln und dabei oft auch Informationen zum Server selbst.
  • Eine WHOIS Abfrage gibt Informationen über die Eigentümer der Webseite und den Hoster.
  • Einen sehr umfassenden Check über die Maßnahmen, welche eine Webseite zum Schutz der personenbezogenen Daten von Besuchern getroffen hat oder auch nicht liefert die schwedische Seite Webkkoll. Hier erfährt man, wo der Server vermutlich steht, ob die Verbindung sicher ist (SSL) und besonders wichtig, ob durch die Einbindung von Ressourcen aus Fremdquellen ein Risiko, für Sicherheit und Privatsphäre gegeben sein könnte. Das Angebot ist englischsprachig.

Wo ist das Problem mit der Integration von Inhalten über Embeds und Verlinkungen?

Wenn eine Website  über die Integration von Analysetools, Werbung, verlinkten Bildern und Grafiken, Youtube Videos, Embedds von Seiten wie Pinterest oder ähnlichen Diensten zulässt, dass jede Menge Daten von den Besuchern erhoben werden, dann könnte das mit der Einführung der DSGVO für den Betreiber der Webseite zu Problemen führen. Der Grund ist einfach. Besucher der Seite haben ein Recht darauf, über die Erhebung ihrer Daten informiert zu werden, möglichst bevor diese Daten erhoben werden. Bindet man Elemente einer fremden Website ein, hat man keinerlei Kontrolle über die Erhebung von Daten durch Dritte.

Welche Lösungen sind denkbar?

  1. Man verzichtet auf alle Embeds, die man nicht einschätzen kann und die dadurch ein Risiko für Sicherheit und Datenschutz darstellen könnten.
  2. Man erstellt eine Startseite, die nicht mehr enthält als Informationen über die auf der eigentlichen Website eingebetten externen Inhalte und die möglichen Risiken. Mit dem Anklicken eines Links zur eigentlichen Website erklärt sich der Besucher mit der Datenerhebung durch Dritte einverstanden. Die Datenschutzerklärung wird entsprechend angepasst. Außerdem muss die Website so eingestellt werden, dass Besucher, die über einen Link von außen kommen oder über eine Suchmaschine, zunächst einen Screen sehen mit den Informationen wie auf der Startseite, den die anklicken müssen, bevor sie die Website sehen.

Das ist alles recht umständlich und für den Betreiber des Blogs nicht schön. Man wird abwarten müssen, wie sich die Sache nach dem 25. Mai 2018 entwickelt.