Die datenschutzsensible Schule

Lesezeit: 6 Minuten
Diese Seite ist noch in der Entwicklung.

Datenschutz ist ein Alltagsthema in Schule. Selbst bei sehr grundlegenden und wichtigen Anwendungen, die in vielen Schulen genutzt werden, bereitet der Schutz der personenbezogenen Daten von Schülern und Lehrern Probleme. Dabei ist es vollkommen egal, ob es um den Bereich der Verwaltung geht, der Kommunikation oder den pädagogischen Bereich. Viele Schulen setzen auf die Produkte großer US-amerikanischer Anbieter. Dieses bringt seine eigenen Herausforderungen mit sich. Die Frage ist aber, muss es unbedingt Microsoft und Office 365 sein, die G Suite for Education oder die iCloud? Gibt es keine Alternativen? Es gibt sie. Eine Nutzung ist für Schule längst keine Frage der Kompatibilität mit in Verwaltung und Wirtschaft verbreiteten Formaten mehr. Schüler müssen im Unterricht auch nicht unbedingt mit der Office Suite von Microsoft arbeiten, denn es geht nicht darum, aus ihnen kompetente Nutzer von Microsoft Produkten zu machen. Vielmehr sollen sie in die Lage versetzt werden, eine Textverarbeitung zu nutzen, Tabellenkalkulation, Präsentationssoftware und ähnlich, um damit Probleme zu lösen und produktiv zu arbeiten. Gleiches gilt auch für die Arbeit im Kollegium, wenn es um das gemeinsame Erstellen von Unterrichtsvorhaben, Materialien, Lehrplänen und ähnlich geht.

In diesem Bereich dieser Website sollen deshalb Mittel und Wege vorgestellt werden, wie eine Schule ihrer datenschutzrechtlichen Verantwortung besser gerecht werden kann, ohne Abstriche zu machen bei Themen wie Kollaboration und plattformübergreifende Nutzbarkeit 24/7.

(Volle) Kontrolle über die eigene Datenverarbeitung bedeutet, dass die Plattform entweder in Deutschland oder der EU bzw. dem EWR betrieben und über einen Vertrag zur Auftragsverarbeitung entsprechend Art. 28 DS-GVO abgesichert werden kann oder dass keine personenbezogenen Daten durch die Plattform erhoben werden bzw. diese solches aktiv verhindert. Plattformen, die auf Grundlage von Open Source laufen, können noch einmal einen zusätzlichen Gewinn in Puncto Kontrolle bedeuten.

Hinweis: die im folgenden gelisteten Tools und Plattformen zeichnen sich dadurch aus, dass sie überwiegend datensparsam genutzt werden können. Trotzdem müssen bei ihrer Nutzung grundlegende Regeln des Datenschutzes beachtet werden. Bei Anbietern, die keinen Vertrag zur Auftragsverarbeitung anbieten, sollten, auch wenn sie sehr sicher sind, keine personenbezogenen Daten aus der Schule verarbeitet werden.

Sobald es meine Zeit zulässt, werde ich zu den einzelnen Tools und Plattformen Hinweise geben, wie man sie am besten nutzt.

Die Tools sind Browser-basiert.

    • ZUM Pad (Etherpad – Text)
    • Etherpad – kits (Etherpad – Niedersächsisches Landesinstitut
      für schulische Qualitätsentwicklung (NLQ))
    • Cryptpad.fr (Text, Whiteboard, Tabelle, Code, Umfrage, …)4Hinweis: Cryptpad.fr ist ein datenschutzfreundliches Tool, welches zur Kollaboration im Unterricht genutzt werden kann. Es ist in der kostenlosen Version jedoch nicht für die Verarbeitung von personenbezogenen Daten aus der pädagogischen Dokumentation oder schulinternen Verwaltung geeignet, auch wenn es verschlüsselt und sicher ist. Hier braucht es einen Vertrag zur Auftragsverarbeitung. Den bietet der Anbieter, doch die Preise sind hier für Schulen im Moment nicht realistisch.
    • Cryptpad.ccc.ch (Text, Code, Präsentation, Umfrage, Whiteboard, Todo, Drive)
    • Pad.hamburg.freifunk.net (Text, Code, Tabelle, Präsentation, Umfrage, Whiteboad, Kanban, Drive)
    • mindmaps.app (Mindmapping)
    • Riseup Pad (Etherpad – Text mit Verfallsdatum)
    • EtherCalc (Etherpad – Tabellenkalkulation)
    • Bullsheet (Tabellenkalkulation)
    • OnTheSamePage (Whiteboard)
    • hackmd.io (Texte, Bücher und Präsentationen, mit Exportoptionen)
    • HedgeDoc – (Plattform, auf der hackmd.io basiert, zur Selbstinstallation auf Server)
    • fragmich.xyz (Fragensammlung)
    • Oncoo (Toolsammlung: Kartenabfrage, Helfersystem, Lerntempoduett, Placemat, Zielscheibe)
    • frag.jetzt (Fragen sammeln, up- und down voten)
    • Geogebra Apps & Gruppen (die bekannten Mathe Apps und Gruppen für kollaborative Arbeit)
    • Whiteborb.com (ein open source Whiteboard, kann selbst gehostet werden)
    • Excalidraw – kits (Whiteboard – Niedersächsisches Landesinstitut
      für schulische Qualitätsentwicklung (NLQ))
    • Ideensammlung (einfache Form eines Padlet oder Wakelet von lerntools.org)
    • OpenProject (eine open source Projekt Management Plattform, die selbst gehostet werden kann. Sie kann auch Kanban, Agile und Scrum und Wiki.)

  • Suchmaschinen

  • Karten

  • MDM

    • Jamf School (ehem. ZuluDesk)6Leider aktuell nicht mehr ganz so datenschutzfreundlich wie zuvor, da es von Jamf, einem US Anbieter gekauft wurde und damit trotz Servern in Deutschland und Herkunft aus Holland unter den CLOUD-Act fällt.
    • Jamf (Mac OS, iOS MDM, on premise Betrieb möglich)
    • Relution (multi OS MDM, Shared iPad Lösung ohne iCloud)
    • iServ (Schulserver mit multi OS MDM) 
    • Airwatch (multi OS MDM)
    • Puavo (open source MDM für Linux Clients)
  • Classroom Management
    • Epoptes (Ein open source Classroom Management System für Linux Clients7Soll in Puavo integriert werden)
  • Passwortmanager
  • Stundenplan Software
  • Andere
    • Sharedrop (peer-to-peer sharing von Dateien zwischen Geräten)
    • KurzeLinks.de (URL Shortener, macht aus langen Links kurze)
    • AudioMass – (Open Source Audio Editor, der komplett im Browser läuft.)
    • Apps Cyborg – (Sammlung von online Tools aus Estland für Bild, Video, PDF und mehr.)
    • Chatons – (Sammlung von Open Source online Tools aus Frankreich für Text, Tabelle, Videokonferenz, Linkverkürzen, Terminfindung, Filesharing, Post-it Tafel)
    • Speechday (Elternsprechtag Buchung zur Selbstinstallation für Schulhomepage)
    • Mindmapp – kits – (Mindmapping Tool – nicht kollaborativ! – Niedersächsisches Landesinstitut für schulische Qualitätsentwicklung (NLQ))
    • EU Council Presidency Translator (Online-Übersetzungstool der EU Ratspräsidentschaft)
    • wortwolke – kits – (Wortwolken Tool – Niedersächsisches Landesinstitut für schulische Qualitätsentwicklung (NLQ))
    • QR-Code Generator – kits – (farbige QR Codes erstellen – Niedersächsisches Landesinstitut für schulische Qualitätsentwicklung (NLQ))
    • Peer Tube – (Plattform zum Streaming von Videos, vergleichbar zur YouTube aber ohne die Datenabflüsse. Selbst hosten oder mit professionellen Hostern8Ein Beispiel für einen solchen Hoster ist Weingärtner IT Services .)
  • Schutz & Sicherheit (extras)
    es geht hier um Angebote , mit denen Nutzer sich schützen können oder mit denen sie Informationen über Datenverarbeitung auf Websites und Apps recherchieren können.

    • Pi-hole (Firewall, die alle Geräte im Netz vor unerwünschten Inhalten, Tracking und mehr schützen kann)
    • Cryptomator (Open Source Verschlüsselungs-Tool)
    • BoxCyptor (Kommerzielles Verschlüsselungs-Tool)
    • Blokada (App für Android und iOS, welches Werbung und Tracker innerhalb von Apps, aber auch beim Surfen blockiert)
    • Netguard (Android Root Firewall, kann auch Aufschluss geben, wohin Apps Verbindung haben)
    • https://webbkoll.dataskydd.net/de/  (Tool, um Aufschlüsse über Datenabflüsse auf Websiten zu erhalten. In sehr reduziertem Maß finden sich vergleichbare Informationen auch in Browsern.)
    • Exodus – (Bewertung von Android Apps in Bezug auf Datenschutz)
    • Google Analytics Check – (Seite der Uni Bamberg; prüft, ob GA mit IP-Anonymisierung genutzt wird oder nicht)

 

Von Nele Hirsch vom ebildungslabor gibt es auf OER info eine Übersicht über datenschutzfreundliche Offene Webtools und erläuternde Videos von dem Webtalks dazu. Ein Teil der oben aufgeführten Webtools wird dort vorgestellt.

Übersicht Open Source Alternativen

Die Übersicht sammelt Open Source Alternativen zu bekannten vielfach verwendeten Plattformen und Tools. Durch Open Source ist gewährleistet, dass die Verarbeitung durch das Tool oder die Plattform transparent ist. Trotzdem ist wichtig, auf den Anbieter, seine Datenschutzerklärung und Nutzungsbedingungen zu schauen, denn auch mit Open Source Software kann man Nutzerdaten sammeln und niemand hindert Anbieter von auf Open Source Software aufgebauten Plattformen, Dienste Dritter zu integrieren, mit denen Nutzerverhalten analysiert werden kann.

Übersicht über Arbeits- und Kommunikationsplattform- sowie IT-Infrastruktur-Anbieter im Edu-Bereich

Die Tabelle, an welcher der Betreiber dieser Seite mitwirkt, enthält verschiedene Produkte, die im Allgemeinen das Ziel der Bereitstellung einer Lern- und Kommunikationsplattform für Schulen haben. Die Produkte haben sehr unterschiedliche Schwerpunkte und Zielsetzungen und sind somit nicht direkt vergleichbar. Dennoch bietet diese Übersicht die Möglichkeit, ein Produkt zu finden, das den schuleigenen Anforderungen größtmöglich entspricht. Die Tabelle ist ein offenes und kollaboratives Projekt, bei dem sich jeder (erfahrene Nutzer, Hersteller) beteiligen darf. Alle Angaben sind ohne Gewähr. Die Tabelle steht unter der Creative Commons Lizenz CC0. In der Tabelle berücksichtigt ist auch das Thema Datenschutz.

Geplant sind auch Informationen zu:

Datenschutzsparsame Nutzung großer bekannter Plattformen

  • iPad
  • Chromebook

Plattformen zur Kommunikation und Organisation

Plattformen, die mit einem Vertrag zur Auftragsverarbeitung rechtlich abgesichert nutzbar sind für Schulen. Siehe vorläufige Sammlung auf Padlets:

Stand 02/2021

Veröffentlicht am

Wie sieht es bei einer Website mit dem Datenschutz aus?

Lesezeit: 2 Minuten

Mit der anstehenden Einführung der DSGVO kommt auch bei manchen bloggenden Lehrkräften große Unsicherheit auf. Kann man bestimmte Inhalte überhaupt noch einbinden, ohne gegen die datenschutzrechtlichen Vorgaben zu verstoßen? Liegt das Angebot in Europa oder auf einem US amerikanischen Server? Werden über den Embed/ iFrame Daten erhoben von den Besuchern meiner Webseite, auf die ich keinen Einfluss habe?

Manches lässt sich über die Datenschutzangaben auf der Webseite selbst ermitteln. Wenn das nicht weiterhilft, dann kann man sich selbst schlau machen.

Wie kann man Informationen über Webseiten bekommen?

Dafür gibt es diverse Tools, online und kostenlos. Sehr nützlich ist dafür eine Seite wie PingEU. Dort kann man diverse Abfragen machen.

  • Über eine Country-by-IP kann man ermitteln, in welchem Land der Server steht, auf dem die Website gehostet ist.
  • Über Traceroute lassen sich Informationen über den Weg zwischen eigenen Rechner und dem Webserver der Website ermitteln und dabei oft auch Informationen zum Server selbst.
  • Eine WHOIS Abfrage gibt Informationen über die Eigentümer der Webseite und den Hoster.
  • Um zu ermitteln, ob eine Webseite Google Analytics nutzt, kann man den GA Checker nutzen.
  • Einen sehr umfassenden Check über die Maßnahmen, welche eine Webseite zum Schutz der personenbezogenen Daten von Besuchern getroffen hat oder auch nicht liefert die schwedische Seite Webkkoll. Hier erfährt man, wo der Server vermutlich steht, ob die Verbindung sicher ist (SSL) und besonders wichtig, ob durch die Einbindung von Ressourcen aus Fremdquellen ein Risiko, für Sicherheit und Privatsphäre gegeben sein könnte. Das Angebot ist englischsprachig.

Wo ist das Problem mit der Integration von Inhalten über Embeds und Verlinkungen?

Wenn eine Website  über die Integration von Analysetools, Werbung, verlinkten Bildern und Grafiken, Youtube Videos, Embedds von Seiten wie Pinterest oder ähnlichen Diensten zulässt, dass jede Menge Daten von den Besuchern erhoben werden, dann könnte das mit der Einführung der DSGVO für den Betreiber der Webseite zu Problemen führen. Der Grund ist einfach. Besucher der Seite haben ein Recht darauf, über die Erhebung ihrer Daten informiert zu werden, möglichst bevor diese Daten erhoben werden. Bindet man Elemente einer fremden Website ein, hat man keinerlei Kontrolle über die Erhebung von Daten durch Dritte.

Welche Lösungen sind denkbar?

  1. Man verzichtet auf alle Embeds, die man nicht einschätzen kann und die dadurch ein Risiko für Sicherheit und Datenschutz darstellen könnten.
  2. Man erstellt eine Startseite, die nicht mehr enthält als Informationen über die auf der eigentlichen Website eingebetten externen Inhalte und die möglichen Risiken. Mit dem Anklicken eines Links zur eigentlichen Website erklärt sich der Besucher mit der Datenerhebung durch Dritte einverstanden. Die Datenschutzerklärung wird entsprechend angepasst. Außerdem muss die Website so eingestellt werden, dass Besucher, die über einen Link von außen kommen oder über eine Suchmaschine, zunächst einen Screen sehen mit den Informationen wie auf der Startseite, den die anklicken müssen, bevor sie die Website sehen.

Das ist alles recht umständlich und für den Betreiber des Blogs nicht schön. Man wird abwarten müssen, wie sich die Sache nach dem 25. Mai 2018 entwickelt.