Schulische Plattformen verbindlich einführen?

Lesezeit: 3 Minuten

Im Mai 2020 hat die LDI NRW die Schrift LDI NRW – Pandemie und Schule veröffentlicht und diese Schrift hat es in sich. Man muss sie sehr genau durchlesen und findet Erstaunliches.

Die LDI NRW hält es für vertretbar, E-Learning-Plattformen und Videokonferenz Plattformen verbindlich einzuführen.

Sie stützt diese Einschätzung auf die anstehenden Änderungen des Schulgesetz NRW.1Siehe dazu auch den Beitrag Obligatorische Einführung einer Plattform und dort den Abschnitt „Obligatorisch auch jetzt schon denkbar?“ Dort werden die rechtlichen Grundlagen geschaffen, um Plattformen wie itsLearning, Moodle, iServ, Logineo NRW und ähnlich für Schüler und Lehrkräfte verbindlich einzuführen.

In der Schrift heißt es auf Seite 9 und 10:

Im Vorgriff auf die ausdrücklich vorgesehene Gesetzesänderung ist es aus Sicht der LDI NRW hinnehmbar, die Verarbeitung der zum Einsatz von E-Learning-Plattformen erforderlichen Daten vorübergehend noch auf die genannten Generalklauseln zu stützen. Voraussetzung hierbei ist, dass die Verarbeitung dieser Daten entsprechend dem Gesetzeswortlaut im Verantwortungsbereich der Schule erfolgt, d.h. entweder durch sie selbst oder indem durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist.

Das heißt, die LDI NRW hält es für vertretbar, auch jetzt schon, noch vor Veröffentlichung der Änderung des Schulgesetzes, eine Plattform2Der Begriff E-Learning-Plattform ist nicht fest definiert. Es könnte hier sicherlich auch eine Arbeitsplattform wie CollaboraOnline drunter gefasst werden. an einer Schule verpflichtend einzuführen, wenn man sich dabei auf die sehr weit gefassten Generalklauseln in § 120 Abs. 1 Satz 1 und §121 Abs. 1 Satz 1 SchulG NRW stützt.

Wichtig ist dabei jedoch, dass diese Möglichkeit an Bedingungen geknüpft ist. 

  1. Die Schule muss Herrin der Daten sein. Dazu muss sie die Daten entweder selbst verarbeiten oder sie lässt sie im Rahmen eines Vertrag zur Auftragsverarbeitung durch einen Dienstleister verarbeiten.
  2. Eine Datenverarbeitung darf nur im Rahmen des Erforderlichen erfolgen; eine Protokollierung von Systemzugriffen zur Wahrung der Sicherheit der Systeme ist aus datenschutzrechtlicher Sicht erforderlich und damit zulässig. Nicht erforderlich und damit unzulässig wäre hingegen ein Zugriff der Lehrkräfte auf die Protokolldaten zur Kontrolle des Arbeitsverhaltens ihrer Schülerinnen und Schüler oder der Schulleitung zur Kontrolle des Arbeitsverhaltens der Lehrkräfte.
  3. Die betroffenen Personen, Schüler und Lehrkräfte, müssten über die verpflichtende Nutzung vorab entsprechend Art. 12 DS-GVO informiert werden.
  4. Es muss gewährleistet sein, dass alle Betroffenen die digitalen Module nur im zulässigen Umfang nutzen können. Dieses wird durch technische und organisatorische Maßnahmen geregelt, etwa entsprechende Voreinstellungen in der Plattform und gegebenenfalls Nutzungs- bzw. Dienstvereinbarungen.
  5. Es muss gewährleistet sein, dass alle Betroffenen die digitalen Module auch tatsächlich nutzen können. Die LDI NRW vertritt hier die Ansicht, dass Lehrenden und Lernenden entsprechende dienstliche Geräte zur Verfügung gestellt werden müssten.3In der Praxis wird es aber darauf hinauslaufen, sicherzustellen, dass alle Betroffenen zu Hause zumindest über entsprechende private Endgeräte verfügen und einen ausreichenden Internetanschluss. Ist solches nicht sicherzustellen, muss die verbindliche Nutzung auf die Schule beschränkt bleiben.

Auch bezüglich Videokonferenzen sieht die LDI NRW (S. 12) eine Möglichkeit, eine solche Plattform zur Aufrechterhaltung des Unterrichts- oder Konferenzbetriebs verbindlich für Schüler und Lehrkräfte einzuführen. Allerdings knüpft sie daran über die oben aufgeführten weitere Bedingungen. Diese gelten sowohl für den Austausch via Videokonferenz Plattform zwischen Lehrkräften und Schülern wie auch zwischen Lehrkräften oder Lehrkräften und der Schulleitung:

  1. Die Schulleitung muss es während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachten, derartige Videokonferenzen durchzuführen.
  2. Diese Möglichkeit zur verbindlichen Einführung einer Videokonferenz Plattform endet mit der Wiederaufnahme des normalen Schul- und Unterrichtsbetriebs, da sich damit eine solche Erforderlichkeit nicht mehr begründen lässt.
  3. Eine Aufzeichnung von Bild- und Tondaten ist nicht zulässig, da diese nicht zur Aufrechterhaltung des Unterrichts- und Schulbetriebs erforderlich ist. Dass keine Aufzeichnung erfolgt, ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen. In BigBlueButton dürften so beispielsweise Räume von Vornherein nicht mit Aufnahmefunktion angelegt werden. Teilnehmer an Videokonferenzen müssten darauf verpflichtet werden, dass sie auch mit Mitteln von Betriebssystemen oder spezieller Software keine Aufzeichnungen anfertigen.
  4. Es muss sichergestellt sein, dass an einer Videokonferenz nur berechtigte Personen teilnehmen. Das heißt, Eltern, Geschwister und andere Familienmitglieder oder Freunde dürfen nicht teilnehmen, zuschauen oder zuhören. Entsprechendes ist in einer Verpflichtung der Teilnehmer zu berücksichtigen.

Für die Auswahl geeigneter Videokonferenzplattformen hat die LDI NRW sogenannte Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie erstellt.

Schulen in NRW, die sich mit dem Gedanken tragen, eine E-Learning- oder Videokonferenz Plattform verbindlich einzuführen, sollten dabei sehr umsichtig vorgehen und sich vorab unbedingt mit ihrem behördlich bestellten schulischen Datenschutzbeauftragten beraten. Eine Übersicht über diese Datenschutzbeauftragten gibt es bei der Medienberatung NRW.

Auch wenn es sich bei der (vorübergehenden) verbindlichen Einführung einer Videokonferenz Plattform um eine Entscheidung der Schulleitung handelt, sollten die Mitbestimmungsgremien der Schule – SV, Elternpflegschaft, Lehrerrat und Schulkonferenz – in die Entscheidung mit einbezogen werden. Bei der Einführung einer E-Learning-Plattform ist die Einbeziehung der Mitbestimmungsgremien unverzichtbar.

Wer sich ausführlicher mit dem Thema der obligatorischen Einführung von Plattformen an Schulen, mit Beispielen aus Bayern und Bremen, beschäftigen möchte, sei auf den Beitrag Obligatorische Einführung einer Plattform verwiesen.

Stand 05/2020

Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 12 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

 

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Einwilligung – Vorlagen für BigBlueButton

Lesezeit: < 1 Minute

Wenn eine Schule eine Videokonferenz Plattform betreibt oder mit einem Vertrag zur Auftragsverarbeitung durch einen Dienstleister betreiben lässt, fallen bei der Nutzung personenbezogenen Daten der Videokonferenzteilnehmer an. Dieses ist nur mit einer Information über die Datenverarbeitung nach Art. 12 DS-GVO möglich und einer Einwilligung, die gegenüber der Schulleitung abgegeben wird.

Diese Vorlage ist für Schüler gedacht, die ohne ein eigenes Nutzerkonto an Videokonferenzen der Schule teilnehmen.

Diese Vorlage ist für Lehrkräfte gedacht, die gegebenenfalls auch ein Nutzerkonto erhalten, um Videokonferenzen leiten zu können.

Beide Vorlagen lassen sich leicht auch auf andere Plattformen anpassen. Dabei muss nur darauf geachtet werden, dass bei den Informationen zur Datenverarbeitung alle funktionsbedingten Datenverarbeitungen mit berücksichtigt werden. Beispiel: die Plattform erlaubt Umfragen und diese werden genutzt.

Sollen Videokonferenzen mit Eltern durchgeführt werden, empfiehlt es sich, aus der Vorlage für Schüler eine entsprechende Version zu erstellen.

Bitte achten Sie auch darauf, die Nutzung Ihrer Videokonferenz Plattform durch mit den Teilnehmern und Gastgebern vereinbarte Nutzungsregeln abzusichern.

Wichtig! Die Vorlagen gehen davon aus,

  • dass die von der Schule genutzte BigBlueButton Instanz so konfiguriert betrieben wird, dass nur die personenbezogenen Daten verarbeitet werden, die zum Betrieb tatsächlich erforderlich sind, und
  • die Nutzung per Voreinstellungen auf größtmögliche Sicherheit ausgelegt ist.1Einige Hinweise dazu gibt es unter BigBlueButton – Datenschutz Check

Weitere Informationen zu BigBlueButton und Videokonferenzen in Schule

Videokonferenzen – eine Plattform auswählen

Lesezeit: 6 Minuten

Ein Ende des Fernunterrichts ist nicht in Sicht. Nur wenige Bundesländer können ihren Schulen bereits auf Landesebene zeitnah Videokonferenz Lösungen anbieten. Viele Schulen stehen deshalb aktuell vor der Frage, welche Plattform man dauerhaft nutzen kann und zwar so, dass die jeweiligen schul- und datenschutzrechtlichen Vorgaben des Bundeslandes eingehalten korrekt umgesetzt werden können. Bei der Auswahl  einer Videokonferenzplattform hängt viel davon ab, welche Möglichkeiten eine Schule in Hinsicht auf die Gegebenheiten vor Ort hat. Das meint sowohl die kommunalen Strukturen wie auch die finanziellen Mittel. Im Folgenden geht es um Alternativen, die auf Videokonferenz Plattformen setzen, die als Plattform bereits durch Transparenz sehr datenschutzfreundlich genutzt werden können – die beiden Open Source Plattformen BigBlueButton und Jitsi.1Es wird darüber hinaus noch eine Alternative benannt, welche keine der beiden Plattformen nutzt, aber durch andere Merkmale sehr datenschutzfreundlich ist.

  1. Wenn der Schulträger, die Stadt oder der Kreis bereit sind, eine Instanz für eine Schule oder die Schulen in der eigenen Zuständigkeit einzurichten, dann empfehlen sich die beiden Open Source Plattformen Jitsi und BigBlueButton. Beide sind kostenlos erhältlich. Es braucht lediglich Server, auf denen die Videokonferenz Plattform betrieben wird. Beide Plattformen sind einfach zu nutzen, mit der richtigen Konfiguration sehr sicher und arbeiten datensparsam. Auch beim Zugriff von zu Hause aus braucht man sich keine Gedanken machen, dass hier irgendwelche Daten abgegriffen werden. Jitsi kommt komplett ohne Nutzerkonten aus, während bei BigBlueButton für die Lehrkräfte Nutzerkonten eingerichtet werden. Beide Plattformen lassen sich komplett über Browser nutzen. Im Internet findet man zu beiden Plattformen viele gute Anleitungen, wie man sie richtig und sicher nutzt.
  2. Wenn man von offizieller Seite nicht bereit ist, selbst eine Videokonferenz Plattform einzurichten und zu betreiben, kann man auf die Dienste von Anbietern zurückgreifen. BigBlueButton kann man auch bei verschiedenen Anbietern als Paket erhalten. Man sucht da einfach nach BigBlueButton + Hosting und findet dann entsprechend Anbieter. Das in der Regel separat angebotene Paket Greenlight ist ein Modul, mit welchem Nutzer Räume einrichten und verwalten können. Vergleichbar gibt es auch Anbieter, die Jitsi Server bereitstellen. Bei Videokonferenzen, das muss man bei der Auswahl eines Angebotes beachten, sind die Server ziemlich gefordert. Will man viele Personen zugleich in einer Videokonferenz haben oder in mehreren parallelen Videokonferenzen, braucht es Serverleistung. Man kann sich aber behelfen, um die Kosten zu reduzieren, wenn man a) die Teilnehmer (Schüler) nur dann per Video zuschaltet, wenn dieses auch Sinn macht, und b) einen Zeitplan erstellt, welche Lerngruppe die Videokonferenz Plattform an welchem Tag zu  welcher Zeit nutzen darf. So verteilt sich die Last und man benötigt weniger Serverleistung.
  3. Alternativ zur zweiten Möglichkeit kann man sich nach einer Plattform umschauen, welche ein Videokonferenz Modul integriert hat oder als zusätzliches Modul anbietet. Das wären z.B. der Schulserver iServ (BigBlueButton), die Schul-Kommunikations App DieSchulApp (BigBlueButton) und die noch recht neue auf NextCloud aufbauende Schul Cloud Plattform Vicole (BigBlueButton). Die Schulnachrichten Plattform SchoolFox aus Österreich integriert eine andere Videokonferenz Plattform (Eyeson, ebenfalls aus Österreich). Die Videokonferenz Plattform Eyeson kann auch separat über den Anbieter direkt genutzt werden. Auch Moodle Anbieter können unter Umständen eine BigBlueButton oder Jitsi Instanz integrieren, da das LMS die technischen Möglichkeiten dafür mitbringt. Teckids e.V. bietet im Rahmen seines schul-frei-Projektes Schulen gegen Aufwandsentschädigung (kostendeckend) den Betrieb eigener Plattformen (BigBlueButton, Jitsi, wahlweise mit Moodle) an2Anfragen dazu bitte an schulsupport@teckids.org. BigBlueButton lässt sich außerdem in eine datenschutzfreundliche NextCloud3Es gibt über 200 NextCloud Anbieter, siehe z.B. https://nextcloud.com/de/partners/. EduDocs ist ein Beispiel für einen Anbieter. über die NextCloud Talk App integrieren.
  4. Eine weitere Alternative wäre, man kennt eine befreundete Firma, einen Verein oder eine Universität, die einen BigBlueButton oder Jitsi Server betreiben und der Schule eine Nutzung ermöglichen. Kennt man den Anbieter und kann diesem vertrauen, bestehen keine Risiken für Schüler und Lehrkräfte. Für Schulen ist es aus rechtlicher Sicht am besten, wenn sie vom Anbieter eine Vertrag zur Auftragsverarbeitung erhalten. Das wird bei diesen als Freundschaftsdienst bereitgestellten Videokonferenz Servern aber meist nicht möglich sein, da die Anbieter sich die damit einhergehenden rechtlichen Verpflichtungen nicht auferlegen wollen, wenn sie es schon für umsonst machen. Eine Ausnahme bildet hier Teckids e.V., die auch bei Nutzung ihrer offenen Instanzen von BigBlueButton und Jitsi, einen Vertrag zur Auftragsverarbeitung, anbieten.4Anfragen dazu bitte an schulsupport@teckids.org. Senfcall ist das BigBlueButton Projekt einer Guppe von Studierenden in Darmstadt und Karlsruhe, welches offen für jedermann nutzbar ist.5Die Datenschutzerklärung ist sehr gut gemacht und gibt ausführlichere Informationen über die Datenverarbeitung beim DS-GVO konformen auf Datensparsamkeit ausgelegten Betrieb von BigBlueButton Ohne Vertrag zur Auftragsverarbeitung kann man ein solches Angebot nur mit Zustimmung der Betroffenen nutzen. Einwilligung macht keinen Sinn, da die Schule ohne Vertrag zur Auftragsverarbeitung nicht in der Rolle als Verantwortlicher ist. Argumentiert man damit, dass bei der Nutzung eines solchen Angebotes eine Übermittlung von personenbezogenen Daten an Dritte erfolgt, könnte man dieses mit einer Einwilligung absichern. Manchen Schulen wird beides zu heikel sein, doch wenn der großzügige Anbieter vor Ort einen Namen hat und vielen Eltern ein Begriff ist und diese dem Angebot Vertrauen schenken, spricht nichts gegen eine Nutzung auf der Grundlage einer informierten Zustimmung.
  5. Die vorletzte Alternative wären die vielen offen zugänglichen Jitsi Server. Ähnlich wie bei Alternative 4 muss man hier schauen, wem man vertrauen kann. Das dürfte in der Regel jedoch vielfach nicht einfach sein. Auch wenn durch die meisten dieser Server (siehe https://github.com/jitsi/jitsi-meet/wiki/Jitsi-Meet-Instances) von Personen, Vereinen oder Institutionen betrieben werden, die keinerlei Interesse haben an den personenbezogenen Daten der Nutzer ihres Angebotes, geht man hier bei der Nutzung ein größeres Risiko ein als bei Alternative 4.
  6. Einige Schulen haben die technischen Möglichkeiten und im Kollegium die Kompetenz und Bereitschaft, einen eigenen Videokonferenz Server aufzusetzen und zu betreiben. Das geht durchaus, macht meist jedoch nur Sinn, wenn es an der Schule nicht um große Nutzerzahlen geht. Eine Schule mit 1.200 Schülerinnen und Schülern und einem Kollegium von über 100 Personen bräuchte mehr als einen einzelnen Server, um Videokonferenzen für möglichst viele Nutzer zeitgleich anbieten zu können. Bei all dem wäre extrem wichtig, dass die Kompetenz im Kollegium nicht nur ausreicht, eine BigBlueButton oder Jitsi Instanz aufzusetzen, sondern diese wie den Server selbst auch noch sicher zu konfigurieren. Schlecht konfigurierte Videokonferenz Server stellen ein Risiko für die Nutzer dar.

Die sechs aufgeführten Alternativen sind eingeordnet von beste Lösungen zu weniger günstigen Lösungen. Die Alternativen 1, 2 und 3 sind etwa gleichwertig. Alternative 4 ist eher eine Notlösung und 5 eine Not-Not-Lösung. Alternative 6 kann gleichwertig zu 1, 2 und 3 sein. Zu empfehlen ist diese Lösung Schulen in der Regel nicht, da Schulen hiermit eine Menge Verantwortung auf sich nehmen, und es auch die Ressource Mensch im Kollegium beansprucht. Es ist in der Regel nicht Aufgabe von Lehrkräften, Schul IT zu betreiben.

Ganz wichtig sind bei der Nutzung einer Videokonferenz Plattform die Themen Vertrag zur Auftragsverarbeitung, Information und Einwilligung.

  • Vertrag zur Auftragsverarbeitung
    • Bei 1, 2 und 3 gibt es den Vertrag zur Auftragsverarbeitung ohne Probleme. Die Schule ist rechtlich abgesichert.
    • Bei 4 könnte man eventuell mit Glück einen Vertrag zur Auftragsverarbeitung bekommen. Meist wird das nicht der Fall sein. Aus rechtlicher Sicht ist das für Schulen ungünstig.
    • Bei 5 ist die Chance einen Vertrag zur Auftragsverarbeitung zu erhalten nahe Null.
    • Bei 6 betreibt die Schule den Server selbst, kein Vertrag zur Auftragsverarbeitung erforderlich. Der schulische Admin sollte aber auf jeden Fall eine Vertraulichkeitsvereinbarung unterzeichnen.
  • Information
    • Die Nutzung einer Videokonferenz Plattform geht immer auch mit der Verarbeitung von personenbezogenen Daten einher. Das macht es erforderlich, vor der Nutzung die Betroffenen (Schüler, Lehrkräfte, Eltern) über die erforderliche Datenverarbeitung transparent zu informieren.
      • Wer ist verantwortlich?
        • Schulleitung
      • An wen kann man sich bei Fragen zum Datenschutz wenden?
        • Datenschutzbeauftragter
      • Auf welcher Rechtsgrundlage werden die personenbezogenen Daten verarbeitet?
        • Einwilligung
      • Zu welchen Zwecken sollen die personenbezogenen Daten verarbeitet werden?
        • Durchführung von Online Unterricht, individuelle Beratung, Online Elternsprechtag
      • Um welche personenbezogenen Daten geht es überhaupt?
        • Bild- und Tonaufnahmen der Betroffenen und ihrer Umgebung, Chatbeiträge, geteilte Dateien, (bei Nutzern mit Nutzerkonten, auch Anmeldedaten, Rollen und Rechte, Nutzungsdaten, technische Log-Dateien)
      • Wer ist von der Verarbeitung der personenbezogenen Daten betroffen?
        • Schüler, Lehrkräfte, Eltern, Schulsozialpädagogen, …
      • Wo werden die Daten verarbeitet? Wer hat Zugriff darauf?
        • beim Schulträger/ bei einem IT Dienstleister/ …
        • Zugriff haben Lehrkräfte, Mitschüler; Schulträger/ IT Dienstleister nur auf Weisung der Schulleitung
      • Wie lange werden die personenbezogenen Daten gespeichert?
        • keine dauerhafte Speicherung von Bild- und Tonauaufnahmen
        • Chat Protokolle und geteilte Dateien werden nach Ende der Videokonferenz gelöscht
        • [Nutzerkonten von Lehrkräften und damit zusammenhängende Daten werden nach Ende der Schulzugehörigkeit oder bei Widerruf der Einwilligung gelöscht]
      • Erfolgt eine Übermittlung von personenbezogenen Daten an Dritte?
        • Nein, bei Nutzung einer Videokonferenz Plattform mit Vertrag zur Auftragsverarbeitung
        • Ja, bei Nutzung einer öffentlich zugänglichen oder als Freundschaftsdienst zur Verfügung gestellten Videokonferenz Plattform ohne Vertrag zur Auftragsverarbeitung
      • Welches sind die Rechte der Betroffenen?
        • Widerruf der Einwilligung, Widerspruch in die Verarbeitung, Löschung, Berichtigung, Auskunft, Datenübertragbarkeit und Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde.
  • Einwilligung
    • Die Einwilligung setzt, sofern das Schulgesetz keine Möglichkeit vorsieht, die Nutzung einer Plattform per Beschluss der Schulkonferenz verbindlich vorzuschreiben, eine Einwilligung der Betroffenen voraus.
    • Diese muss gegenüber der Schulleitung abgegeben werden.
    • Sie muss außerdem auf Freiwilligkeit gründen. Das heißt, es dürfen Schülern, Eltern und Lehrkräften keine Nachteile entstehen, wenn sie eine Einwilligung verweigern. Das setzt Alternativen voraus, die zumindest annähernd gleichwertig sind. Alternativen könnten sein,
      • die Teilnahme ohne Bild,
      • eine Teilnahme über Einwahl per Telefon (wenn die Plattform dieses zulässt)
      • Kontaktaufnahme der Lehrkraft zu Schülern/ Eltern per Telefon

Vorlagen für Einwilligungen für Schüler und Lehrkräfte für BigBlueButton gibt es unter Einwilligung – Vorlagen für BigBlueButton

Weitere Informationen zum Thema Videokonferenz Plattformen in Schule finden sich unter Videokonferenzplattformen in Schule nutzen. Nähere Informationen zu den beiden Open Source Videokonferenz Plattformen finden sich als Datenschutz Check unter BigBlueButton und Jitsi.

Stand 05/2020

BigBlueButton – Videokonferenzen

Lesezeit: 6 Minuten

Über BigBlueButton wird spätestens seit der Schulschließung durch Corona viel geredet. Die Open Source Videokonferenz Plattform weckt neben Jitsi1siehe dazu den Datenschutz Check – Jitsi – Videokonferenzen als eine der zweifelsfrei datenschutzfreundlichen Alternativen das Interesse vieler Schulen. BigBlueButton ist in seinen Funktionen einem Zoom näher als Jitsi. Wie bei jeder Videoplattform bergen mehr Funktionen aber auch mehr potentielle Risiken. Bei BigBlueButton können über eine sachkundige, auf Sicherheit und Datensparsamkeit ausgelegt Konfiguration viele mögliche Probleme von vornherein vermieden werden.

Hinter BigBlueButton steht eine kanadische Firma gleichen Namens, die ihre Plattform selbst als eine Internet-Konferenz-Plattform für Online Lernen 2„web conferencing system for online learning“ beschreibt. Der Code für die Videokonferenz Plattform ist offen verfügbar auf Github.

Anders als bei Jitsi gibt es so gut wie keine offen zugänglichen BigBlueButton  Server. Das könnte unter anderem daran liegen, dass die Plattform auf Server-Seite sehr leistungshungrig ist, wenn eine größere Anzahl von Teilnehmern an einer Videokonferenz teilnehmen möchte. In Deutschland und Europa bieten einige Hoster BigBlueButton Pakete an. Außerdem haben einige Anbieter von Plattformen für Schulen3z.B. Vicole, iServ und Schul-Apps4z.B. DieSchulApp BigBlueButton in ihr Produkt integriert. NextCloud bietet über ein App eine Möglichkeit, BigBlueButton direkt in NextCloud Talk zu integrieren. BigBlueButton kann außerdem integriert werden in Drupal, Moodle und WordPress.

Für Schulen, die keine der genannten Plattformen oder Apps nutzen und BigBlueButton zubuchen können, besteht die beste Lösung darin, den Schulträger zu überzeugen, eine BigBlueButton Instanz für seine Schulen einzurichten bzw. bei einem beauftragten IT Dienstleister einrichten zu lassen. Mit dem Schulträger oder IT Dienstleister ist dann ein Vertrag zur Auftragsverarbeitung abzuschließen.

BigBlueButton setzt die Erstellung von Nutzerkonten für Lehrkräfte voraus, da es nur registrierten Nutzern möglich ist, Räume für Meetings zu eröffnen. Schüler können als Teilnehmer ohne Anmeldung einem Meeting beitreten.

BigBlueButton, Dienste Dritter und Sicherheit

Wie bei jeder im Internet gehosteten Plattform hängt die Sicherheit vom genutzten Server und der Konfiguration der Plattform selbst ab. Da BigBlueButton recht viele Funktionen hat, hängt die Sicherheit gerade im Umfeld Schule auch davon ab, welche Funktionen in welcher Form zugelassen werden. Dazu gehört beispielsweise die Deaktivierung der Funktion zur Aufzeichnung von Videokonferenzen und die Deaktivierung der Kameras aller Teilnehmer per Voreinstellung.5Sie können dann von der Lehrkraft während des Unterrichts freigegeben werden. Schüler müssen die Kamera dann auf ihrer Seite noch einmal aktivieren. BigBlueButton wird oft mit einer Greenlight Instanz zusammen betrieben. Greenlight ist eine Open Source Anwendung der gleichen Firma, die eine einfache Schnittstelle für Benutzer bietet, um Räume zu erstellen, Besprechungen zu starten und Aufzeichnungen zu verwalten. Neben dem Login über Greenlight selbst, wird aktuell SOO über Google OAuth2, Office365 OAuth2 und LDAP unterstützt. Aus Sicherheitsgründen sollte so beispielsweise die Selbstregistrierung von Nutzern deaktiviert und Lehrkräfte über den Administrator angelegt werden. Bei der Auswahl eines Servers für den Betrieb einer BigBlueButton Instanz sollten, falls die Einrichtung nicht durch den Schulträger oder beauftragten IT Dienstleister erfolgt, deutsche oder europäische Anbieter mit Serverstandorten in der EU bevorzugt werden. Es ist zum Betrieb einer BigBlueButton nicht erforderlich, zusätzliche Dienste Dritter, etwa eines Google STUN Servers, in Anspruch zu nehmen. Alle erforderlichen Komponenten können im Installationsprozess halbautomatisch aus weitere Open Source Paketen mit installiert werden. Bei der Koppelung von BigBlueButton mit Schulservern oder Schul-Apps sollte darauf geachtet werden, dass das Rechte- und Rollenkonzept, Schülern innerhalb BigBlueButton nur die Rechte gibt, die sie zur Teilnahme an einer Videokonferenz tatsächlich benötigen.

Problem – Aufzeichnung von Videokonferenzen

BigBlueButton zeichnet in Videokonferenzräumen, in denen die Aufnahmefunktion nicht deaktiviert wurde, im Hintergrund die komplette Videokonferenz in Form einer RAW Datei auf. Aus dieser wird, wenn die Aufnahmefunktion im Laufe der Videokonferenz genutzt wird, im Anschluss eine Datei erzeugt, die für Veröffentlichungen geeignet ist. Sobald die Aufnahmefunktion im Laufe einer Videokonferenz aktiviert wird, wird die RAW Datei dauerhaft gespeichert. Wird die Aufnahmefunktion nicht genutzt, bleibt die RAW Datei für zwei Wochen gespeichert und wird dann automatisch gelöscht. Es sollte aus Sicherheitsgründen in BigBlueButton oder Greenlight die Aufnahmefunktion grundsätzlich für Meeting Räume deaktiviert werden. Außerdem sollte die in den Informationen zur Datenverarbeitung bei BigBlueButton (engl. Sprache) beschriebene Möglichkeit genutzt werden, die aufgezeichnete RAW Datei, unmittelbar nach Ende der Videokonferenz automatisch zu löschen. Dazu muss die Konfiguration angepasst werden.6siehe dazu https://docs.bigbluebutton.org/admin/privacy.html#bigbluebutton-stores-full-raw-recording-data So kann zwar nicht verhindert werden, dass die RAW Datei ensteht, wenn versehentlich ein Meeting Raum erstellt wurde, bei dem die Aufnahmefunktion verfügbar ist, sie wird jedoch direkt im Anschluss an die Videokonferenz wieder gelöscht.

Grundsätzlich sollten Meeting Räume für Videokonferenzen in BigBlueButton immer mit deaktivierter Aufnahmefunktion erstellt werden, da nur so sichergestellt werden kann, dass im Hintergrund keine automatische Aufzeichnung und Speicherung durch das System erfolgt.

Rechtsgrundlage der Nutzung

Vertrag zur Auftragsverarbeitung

Die Nutzung einer BigBlueButton Instanz sollte immer mit einem Vertrag zur Auftragsverarbeitung abgesichert werden, um der Schule die für sie erforderliche Kontrolle über die Verarbeitung der personenbezogenen Daten von Schülern und Lehrkräften zu geben. Wer mit wem den Vertrag abschließt, hängt vom Setting ab.

Beispiel

Der Schulträger beauftragt einen Hoster, BigBlueButton für seine Schulen zur Verfügung zu stellen. Mehrere Schulen erhalten Nutzerkonten in der gemeinsam genutzten BigBlueButton Instanz. Die Schulen können mit dem Hoster in den seltensten Fällen selbst einen Vertrag zur Auftragsverarbeitung abschließen, da Hoster diese Verträge in der Regel nur mit dem Auftraggeber abschließen. Das ist der Schulträger. Demnach müssten die Schulen einen Vertrag zur Auftragsverarbeitung mit dem Schulträger abschließen bzw. den bereits bestehenden erweitern. In diesem Vertrag ist der Hoster dann als Unterauftragnehmer aufgeführt.7Prinzipiell wäre denkbar, dass die Schulen gemäß Art. 26 DS-GVO dem Hoster gegenüber als gemeinsam Verantwortliche auftreten. Sie würden dann entsprechend Verträge zur Auftragsverarbeitung abschließen. Im Schulgesetz NRW ist eine solche Konstellation bisher jedoch noch nicht berücksichtigt. Es steht zu vermuten, dass dieses auch auf andere Bundesländer zutrifft.

Öffentliche Instanzen

Es gibt einige wenige frei nutzbare BigBlueButton Instanzen. Eine Nutzung sollte hier mit Schülerinnen und Schülern allenfalls zu Testzwecken erfolgen. Ohne einen Vertrag zur Auftragsverarbeitung bewegt man sich bei der Nutzung dieser öffentlichen Instanzen je nach Bundesland irgendwo im einem Bereich zwischen Grauzone und Rechtsverstoß. Das gilt auch dann, wenn eine benachbarte Universität oder der Schule bekannte Firma einen kostenlosen Zugang zu einer BigBlueButton Instanz zur Verfügung stellt. Wenn so eine Angebot absolut vertrauenswürdig ist und die Instanz sicher konfiguriert betrieben wird und dadurch für Schüler und Lehrkräfte absolut keine Risiken entstehen, ändert das nichts an der Tatsache, dass die Nutzung für eine Schule ohne Vertrag zur Auftragsverarbeitung aus rechtlicher Sicht problematisch ist. Gibt’s vom Anbieter auf für umsonst einen Vertrag zur Auftragsverarbeitung, dann ist alles OK.

Zustimmung/ Einwilligung

Nutzt die Schule eine BigBlueButton Instanz, die entweder von ihr selbst betrieben ist oder abgesichert durch einen Vertrag zur Auftragsverarbeitung vom Schulträger,  einem beauftragten IT Dienstleister, einem Schulserver Anbieter oder einer Schul-App bereitgestellt wird, setzt die Teilnahme an einer Videokonferenz die informierte und freiwillige Einwilligung der Betroffenen voraus. Da für die Nutzung durch Lehrkräfte Konten erforderlich sind, müssen dort, anders als bei den Schülern, auch Daten zur Erstellung und Nutzung eines Kontos berücksichtigt werden.

Bei Nutzung einer öffentlichen BigBlueButton Instanz bliebe nur eine Nutzung mit informierter Zustimmung. Für schulische Zwecke ist diese Lösung nicht unbedingt ideal.

Vorlagen für Einwilligung und Informationen über Datenverarbeitung

Vorlagen für das Einholen einer Einwilligung bei den Nutzern einer  BigBlueButton Instanz, differenziert nach Lehrkräften (mit Nutzerkonto) und Schülern, finden sich unter – Einwilligung – Vorlagen für BigBlueButton.

Abschließende Bewertung

Diese Bewertungen gehen von der Nutzung einer BigBlueButton Instanz aus, die auf ein Maximum an Sicherheit und ein Minimum an erforderlichen Daten der Nutzer hin konfiguriert ist. Sie geht auch davon aus, dass auf dem Server, auf welchem sie betrieben wird, keine weitere Software installiert ist, die Dritten Zugriff auf und Analyse von Nutzerdaten ermöglicht.

Nutzung mit Vertrag zur Auftragsverarbeitung

Betrieben durch den Schulträger, einen IT Dienstleister oder im Rahmen eines von der Schule genutzten Schulservers oder einer Schul-App kann BigBlueButton aus Sicht des Datenschutz ohne Risiken genutzt werden, die von der Technik der Plattform selbst ausgehen.

Nutzung auf privaten Endgeräten/ von zu Hause aus

Bei einer Nutzung von BigBlueButton entstehen für Gastgeber und Teilnehmer auch bei einer Nutzung auf privaten Endgeräten und von außerhalb der Schule keine Risiken, die von der Technik selbst ausgehen.

Empfehlung

Die Nutzung von BigBlueButton kann im schulischen Kontext aus Sicht des Datenschutz nur empfohlen werden. Der Betrieb einer BigBlueButton Instanz durch Lehrkräfte in der Schule ist möglich, setzt jedoch voraus, dass diese Personen sich auskennen. Mit schlechter Konfiguration kann auch BigBlueButton ein Sicherheitsrisiko darstellen. Die Mehrheit der Schulen ist am besten beraten, wenn sie eine BigBlueButton Instanz nutzen kann, die durch den Schulträger oder einen IT Dienstleister auf der Grundlage eines Vertrag zur Auftragsverarbeitung bereitgestellt wird. Wer bereits einen Schulserver nutzt oder eine Schul-App, bei der man BigBlueButton zusätzlich buchen kann, sollte diese Möglichkeit nutzen.

Hinweise zu Optionen für eine datenschutzkonforme Konfiguration finden sich unter anderem unter Documentation for GDPR compliant setup (GitHub).

Tipps zur Nutzung

Da BigBlueButton bei vielen Bildungsinstitutionen sehr beliebt ist, findet man mit einer Internetsuche eine große Zahl aktueller Anleitungen zur Nutzung. Wie bei allen Videokonferenz Plattformen kommt es darauf an, mit welchen Einstellungen gearbeitet wird. Räume sollten mit einem Kennwort geschützt werden. Screensharing sollte deaktiviert sein, denn auch BigBlueButton-Bombing ist möglich.

Weiter lesen

BigBlueButton – Mein Favorit, eine Beitrag von Andreas Engl in seinem Blog Engelszungen, in welchem er die Möglichkeiten der Plattform beschreibt.

Stand 05/2020

Teilnahme am Unterricht über Video – geht das?

Lesezeit: 5 Minuten

Die Technik macht es möglich. Schüler können von zu Hause über Videokonferenz Plattformen am Unterricht ihrer Klasse teilnehmen. Gerade in Zeiten von Corona ist diese Möglichkeit von Interesse, vor allem dann, wenn Schüler entweder selbst zu einer Risikogruppe gehören oder Familienangehörige mit Vorerkrankungen haben und aus diesem Grund nicht in die Schule kommen können, um am Unterricht teilzunehmen. Es stellt sich deshalb die Frage, ob solches aus schul- und datenschutzrechtlicher Sicht möglich ist?

Die Rechtslage

Sobald es um die Aufzeichnung von Unterricht in Form von Audio oder Video geht oder die vorübergehende Aufzeichnung von Bild- und Tondaten des Unterrichts zur Übermittlung im Rahmen einer Videokonferenz, bewegt man sich in einem recht problematischen Bereich. E geht hier um einen Eingriff in die Grundrechte, der nicht durch das Schulgesetz gedeckt ist. Dabei ist es letztlich egal, ob es um Aufzeichnungen, Streaming, Mithören über Telefon oder Teilnahme über eine Videokonferenz Plattform geht. Da das Thema Videoübertragung von Unterricht im Schulgesetz aktuell nicht einmal vorgesehen ist, muss man sich an den Vorgaben zur Audio- und Videoaufzeichnung orientieren. Genau genommen findet auch bei einer Videokonferenz eine Aufzeichnung dieser Daten statt, da ohne diese rein technisch gesehen keine Übermittlung möglich wäre.

In der noch gültigen Fassung des Schulgesetzes sind Aufnahmen des Unterrichts gemäß §120 Abs. 3 Satz 2 nur für bestimmte Zwecke zulässig.

„Für Zwecke der Lehrerbildung sowie der Qualitätsentwicklung und Qualitätssicherung dürfen vom Ministerium genehmigte Bild- und Tonaufzeichnungen des Unterrichts erfolgen, wenn die Betroffenen rechtzeitig über die beabsichtigte Aufzeichnung und den Aufzeichnungszweck informiert worden sind und nicht widersprochen haben.“

In der Kommentierung zum Schulgesetz NRW1Wingen; SchulG NRW-Kommentar, März 2015. Katernberg, S. 40 heißt es dazu:

„Ton- und Bildaufzeichnungen des Unterrichts. Ton- und Bildaufzeichnungen tangieren die Persönlichkeitsrechte der betroffenen Personen in besonderer Weise. Dies gilt erst recht, wenn die Aufzeichnung im Unterricht erfolgt, weil die Teilnahme am Unterricht sowohl für die Lehrkraft als auch für die Schülerinnen und Schüler im Regelfall verpflichtend ist. Deshalb ist es besonders wichtig, die Voraussetzungen und Grenzen des § 120 Abs. 3 Satz 2 SchulG wie auch des § 121 Abs. 1 Satz 2 SchulG in der Schulpraxis sorgfältig zu beachten. Dies sind übrigens die einzigen Ausnahmefälle, in denen nach dem SchulG überhaupt Bild- und/oder Tonaufzeichnungen in der Schule zulässig sind. Das bedeutet im Umkehrschluss, dass in allen anderen Fällen derartige Aufzeichnungen regelmäßig ausscheiden, wenn nicht die betroffenen Personen zuvor wirksam in diese besondere Datenerhebung und -Verarbeitung eingewilligt haben.“

Die noch geltende Rechtslage schränkt die Möglichkeiten für Bild- und Tonaufzeichnungen auf der Grundlage des Schulgesetzes stark ein. Wie im letzten Satz des Kommentars aber auch deutlich wird, schließt das Schulgesetz auch aktuell Bild- und Tonaufnahmen nicht kategorisch aus. Im Entwurf der Neufassung des Schulgesetzes2Siehe https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMV17-2308.pdf wird §120 Abs. 3 Satz 2 gestrichen und lautet als neuer Absatz 5:

„Bild- und Tonaufzeichnungen des Unterrichts bedürfen der Einwilligung der betroffenen Personen.“

Hintergrund der Änderung sind die häufigen Missverständnisse bei der Anwendung der bestehenden Regelung und die Absicht, die Rechte der Schülerinnen und Schüler zu stärken.3Siehe MMV17-2308 – Entwurf 15. Schulrechtsänderungsgesetz (15.“SchuIRÄndG) Text Begründung (Stand 10.07.2019), S. 11

Entsprechenden Änderungen finden sich auch für §121 Abs. 1. Satz 2 bezüglich der Rechte der Lehrkräfte. In der Begründung wird auch hier eine Verbesserung der Datenschutzrechte der Lehrkräfte angeführt.4„Mit der Neufassung des Absatzes 1 Satz 2 wird die Entscheidung über Bild- und
Tonaufnahmen des Unterrichts zur Verbesserung der Datenschutzrechte der Lehrkräfte auch von deren Einwilligung abhängig gemacht.“ MMV17-2308 – Entwurf 15. Schulrechtsänderungsgesetz (15.“SchuIRÄndG) Text Begründung (Stand 10.07.2019), S. 12

Damit ist klar, mit einer Einwilligung der Betroffenen, das meint Schüler wie Lehrkräfte, sind Bild- und Tonaufzeichnungen möglich. Dem Sinn und Zweck dieser Regelung nach lässt sich dieses auch auf eine Übertragung der Aufzeichnungen anwenden.

Möglichkeiten der Umsetzung

Eine Einwilligung setzt immer eine Freiwilligkeit voraus und eine Information über die Datenverarbeitung, so dass Betroffene die für sie möglicherweise entstehenden Risiken abwägen können, um eine Entscheidung zu treffen. Da Schüler, wie auch im Kommentar beschrieben, verpflichtet sind, am Unterricht teilzunehmen, kann eine Freiwilligkeit nur dann bestehen, wenn es gleichwertige Alternativen gibt. Das könnte das Angebot sein, am Unterricht einer Parallelgruppe teilzunehmen.

In normalen Zeiten, wenn es nur darum geht, den Unterricht einem Schüler im Krankenhaus zugänglich zu machen, wäre eine solche Alternative durchaus umsetzbar, in Zeiten von Corona mit festen Lerngruppen dürfte solches schwierig sein. Sollten Schüler hier die Einwilligung verweigern, kann dieses nur bedeuten, dass eine Teilnahme des Mitschülers über eine Videokonferenz Plattform nicht möglich ist oder eine Alternative gefunden werden muss, die Teilnahme des Mitschülers zu ermöglichen, ohne dabei die Rechte der anderen Schüler zu beeinträchtigen.

Eine solche Möglichkeit könnte darin bestehen, dass die Kamera des Laptops, Tablets oder Smartphones, über welche die Videokonferenz Plattform läuft, nur auf den Teil der Klasse gerichtet sein, wo die Tafel bzw. das Display und die Lehrkraft sich befinden. Um die Schüler, welche ihre Einwilligung verweigern, nicht über das Mikrofon des Laptops/ Tablets/ Smartphones zu erfassen, wäre es einmal möglich, das Mikrofon jeweils stummzuschalten, wenn der betroffene Schüler einen Wortbeitrag macht. Alternativ könnte die Lehrkraft ein kleines mit dem Endgerät gekoppeltes Ansteckmikrofon tragen, welches nur die eigene Stimme erfasst. Die betroffenen Schüler sollten weiter hinten im Raum sitzen. Besteht die technische Möglichkeit wie beschrieben nicht, muss auf eine Videokonferenz Schaltung verzichtet werden.

Bei den Lehrkräften gibt es die Möglichkeit einer Alternative nicht. Hier kann nur eine Einwilligung erteilt oder verweigert werden. Im Falle der Verweigerung müsste man sehen, ob man dem Mitschüler, der von zu Hause teilnehmen möchte, die Teilnahme am Unterricht einer Parallelgruppe ermöglichen kann. Geht auch dieses nicht, ist eine Teilnahme des Mitschülers über eine Videokonferenz Plattform nicht möglich.

Eine Einwilligung ist auch von dem von von seinem Zuhause aus teilnehmenden Schüler einzuholen. Außerdem sollte dieser Schüler eine Unterlassungserklärung unterzeichnen, mit welcher er sich verpflichtet, keine Aufzeichnungen von der Videokonferenz anzufertigen oder andere Personen im Haushalt oder online daran teilnehmen zu lassen.

Fazit

Es ist durchaus möglich, Schülern, die nicht persönlich am Unterricht ihrer Klasse teilnehmen können, eine Teilnahme über eine Videokonferenz Plattform zu ermöglichen. Voraussetzung dafür ist eine Einwilligung der betroffenen Personen. Sollten einzelne Schüler die Einwilligung verweigern besteht vielleicht die technische Möglichkeit, die Teilnahme eines Mitschülers über eine Videokonferenz Plattform zu ermöglichen, ohne die Rechte dieser Schüler zu beeinträchtigen. Ist dieses nicht möglich, muss auf das Vorhaben verzichtet werden. Gleiches gilt auch, wenn es anstatt der Teilnahme über eine Videokonferenz Plattform um eine Teilnahme über Audio geht, etwa über eine Mobiltelefon Verbindung.

Tipp

Bei der Auswahl der Videokonferenz Plattform sollte darauf geachtet werden, dass ein Anbieter gewählt wird, der einen Vertrag zur Auftragsverarbeitung anbietet. Das ist am ehesten der Fall bei Anbietern aus Deutschland oder der EU. Im Idealfall steht der Schule eine vom Schulträger oder einem beauftragten IT Dienstleister bereitgestellte Videokonferenz Plattform zur Verfügung. Siehe dazu auch Videokonferenz Plattformen in Schule nutzen.

Vorlagen für Einwilligungen

Folgende Vorlage geht davon aus, dass ein Schüler über ein an ein Speakerphone (Bluetooth Lautsprecher mit Mikrofon) gekoppeltes Smartphone der Lehrkraft am Unterricht der Klasse aktiv teilnimmt.

Diese Vorlage geht von einer Teilnahme per Videokonferenz Plattform aus. Es sollte dazu ein Anbieter gewählt werden, der alle schul- und datenschutzrechtlichen Anforderungen zweifelsfrei erfüllt und mit dem ein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann.

Andere Bundesländer

Anders als in NRW hat sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) zum Thema Videokonferenzen in der Schule in Zeiten von Corona geäußert. In dem Beitrag „Videokonferenzsysteme in Schulen“ heißt es:

„Bei Schulschließungen zur Bewältigung der Corona-Krise können Videokonferenzen einen wesentlichen Beitrag zur Erfüllung des staatlichen Bildungs- und Erziehungsauftrags leisten. Der HBDI geht daher davon aus, dass für die Dauer der Krisenbewältigungsmaßnahmen die gegenwärtig erhältlichen Videokonferenzsysteme aufgrund einer vorläufigen positiven Beurteilung gemäß Art. 6 Abs. 1 Buchs. d) und e) DS-GVO als erlaubt gelten.“

Das ist in sofern sehr interessant, als dass der HBDI Schulen hier die Möglichkeit zugesteht, Videokonferenz Plattformen ohne eine Einwilligung der Betroffenen zu nutzen. Schulen erhalten so einmal die Möglichkeit, die zur Durchführung von Videokonferenzen erforderliche Datenverarbeitung auf Art. 6 Abs. 1 lit. d DS-GVO abzustellen. Das ist der Fall, wenn es darum geht, „lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen“ – in dem Fall die Gesundheit von Schülern und Lehrkräften mit Vorerkrankungen oder Familienangehörigen mit Vorerkrankungen. Diese erhalten dadurch ein Recht darauf, per Videokonferenz am Unterricht teilzunehmen. Außerdem können Schulen die erforderliche Verarbeitung von personenbezogenen Daten auf Art. 6 Abs. 1 lit. e DS-GVO abstellen, um mit der Durchführung von Videokonferenzen ihrem staatlichen Bildungs- und Erziehungsauftrag in der Wahrnehmung einer Aufgabe nachzukommen, „die im öffentlichen Interesse liegt“.

Auch wenn in diesem Fall keine Einwilligung der Betroffenen eingeholt werden muss, so ist doch die Erteilung von Informationen nach Art. 12 DS-GVO weiterhin erforderlich.

Hessische Schulen werden von dieser Aussage des HBDI jedoch nur Gebrauch machen können, wenn das Hessische Schulgesetz entweder eine Auslegung in diese Richtung zulässt oder das Schulministerium einen entsprechenden Erlass verabschiedet.

 

Jitsi – Videokonferenzen

Lesezeit: 4 Minuten

Beschreibung

Jitsi ist eine Open Source Videokonferenz Plattform, die als sehr datenschutzfreundlich gilt. Sie kann auf einem eigenen Server betrieben werden, was jedoch nicht nur einen Server braucht, sondern auch das Wissen, wie man Jitsi sicher betreibt. Daneben gibt es die Möglichkeit, einen der vielen im Netz offen zugänglichen Jitsi Server zu nutzen. Die meisten Anbieter offener Jitsi Server stellen den Dienst frei zur Verfügung, da sie sich für Datenschutz, Bürgerrechte und das Recht auf informationelle Selbstbestimmung einsetzen. Man kann hier davon ausgehen, dass die Betreiber kein Interesse an den Daten der Benutzer haben. Von daher ist das Risiko, dass Videokonferenzen abgehört, aufgezeichnet und verbreitet werden, sehr gering. Eine hundertprozentige Sicherheit gibt es hier jedoch so wenig wie bei anderen Plattformen. Werden Links zu Video Meetings öffentlich bekannt gemacht, können sich auch bei Jitsi Dritte einklinken und stören.

Jitsi, Dienste Dritter und Sicherheit

Wie sicher und datenschutzfreundlich Jitsi Server sind, hängt von der Konfiguration ab und den genutzten Diensten Dritter. Wird die Jitsi Instanz auf einem Server von Amazon, Google, Cloudflare oder Microsoft betrieben, kommen Dritte ins Spiel, hier US Dienstleister, die je nach Serverstandort nicht nur der DS-GVO unterliegen. Gleiches gilt auf für den genutzten STUN Server. Einige der frei verfügbaren Jitsi Server nutzen Google STUN Server. Das wird aus der Sicht von Datenschützern oftmals kritisch gesehen. Als Open Source Lösung ist die Datennutzung bei Videokonferenzen transparent.

Als Plattform ist Jitisi selbst sehr datenschutzfreundlich, da Nutzer dort an Videokonferenzen teilnehmen können, ohne Spuren zu hinterlassen. Eine Registrierung ist zur Teilnahme an einer Videokonferenz nicht erforderlich. Bei den öffentlichen Jistsi Servern braucht es auch zum Starten einer Videokonferenz keine Registrierung. Jitsi speichert keine Nutzerdaten und die Videokonferenzen sind verschlüsselt. Anders als bei einigen anderen Videokonferenz Plattformen bestehen Konferenzräume nur solange sie genutzt werden. Sie werden nicht für neue Meetings gespeichert. Video, Audio und Chat werden nur für die Dauer einer Konferenz gespeichert.1Es gibt Einstellmöglichkeiten in Jitsi, die Speicherungen von Inhalten zulassen. Darüber hinaus kann auch durch die Konfiguration des Jitsi Servers eingestellt werden, wie datenschutzfreundlich Videokonferenzen durchgeführt werden. Ob die Einstellmöglichkeiten genutzt werden, hängt von der Person ab, die eine Videokonferenz startet. Mehr Informationen zum Datenschutz bei Jitsi unter https://jitsi.org/security/

Anbieter-Sammlungen

Unter den folgenden Links finden sich Sammlungen von Jitsi Servern.

Auf den Seiten der Jitsi Server findet man selten selten Angaben zu den Anbietern. Über die URL kann man jedoch meist leicht herausfinden, wer den Server betreibt. Wenn man einen Anbieter nicht kennt und man möchte den Server nutzen, muss man ihm vertrauen. Aus Sicht des Datenschutz ist das keine Ideale Grundlage für eine Nutzung, wenn Sicherheit gewünscht ist.

Empfehlen kann man auf jeden Fall aus den Listen z.B.:
meet.teckids.org
https://www.kuketz-meet.de
https://jitsi.fem.tu-ilmenau.de

sowie von CCC und Freifunk betriebenen Server. Beispiele dafür sind „https://jitsi.hamburg.ccc.de“ und „jitsi.hamburg.freifunk.net„. Erkennen kann man hier die Zugehörigkeit zu den Domains „ccc.de“ oder „freifunk.net“. Bei allen anderen sollte der Betreiber recherchiert werden.

Beispiele für kommerzielle Jitsi Anbieter für Schulen sind4Die Nennung von Anbietern ist nur beispielhaft und erfolgt ohne finanzielle Interessen.

Rechtsgrundlage der Nutzung

Vertrag zur Auftragsverarbeitung

Da die meisten Anbieter offen nutzbarer Jitsi Server ihren Dienst ohne finanzielle Interessen anbieten, kann man von ihnen keinerlei vertragliche Absicherung in Form eines Vertrags zur Auftragsverarbeitung für eine Nutzung erwarten.

Wenn es um eine Nutzung für eine Videokonferenz geht, bei der sensible Inhalte besprochen und vielleicht auch gezeigt werden sollen, ist ein freier Jitsi Server in der Regel nicht geeignet, es sei denn man kennt die Betreiber persönlich und vertraut ihren Zusicherungen.5Für eine rechtssichere Nutzung stellt ein solches Vertrauensverhältnis ohne Vertrag zur Auftragsverarbeitung jedoch auch keine ausreichende Grundlage dar.

Einen Vertrag zur Auftragsverarbeitung wird man nur erhalten, wenn man Jitsi durch einen Dienstleister betreiben lässt, etwa den Schulträger, einen von diesem beauftragten IT Dienstleister oder einen selbst beauftragten Anbieter.

Zustimmung/ Einwilligung

Wird der Jitsi Server selbst betrieben oder im Auftrag, kann mit einer Einwilligung gearbeitet werden. In Schule ist dabei immer die informierte Freiwilligkeit vorausgesetzt.

Bei Nutzung eines freien Jitsi Servers aus einer der Listen oben bliebe nur eine Nutzung mit informierter Zustimmung. Für schulische Zwecke ist diese Lösung nicht unbedingt ideal.

Eine Vorlage für das Einholen einer Zustimmung könnte aussehen wie folgt6Es handelt sich bei dieser Zustimmung um keine Einwilligung im Sinne der DS-GVO, da die Daten der Teilnehmer an einer Videokonferenz auf einem freien Jitsi Server nicht durch die Schule oder in ihrem Auftrag verarbeitet werden.

Abschließende Bewertung

Diese Bewertung ist eine Einschätzung ähnlich einer Produktbewertung und damit subjektiv, aber an den oben beschriebenen Beobachtungen orientiert.

Nutzung unter optimalen Bedingungen

Betrieben durch einen Dienstleister in der EU auf der Grundlage eines Vertrag zur Auftragsverarbeitung, auf Servern in der EU und mit STUN Server von EU Betreiber hat man alles unter Kontrolle.

Nutzung auf frei verfügbaren Jitsi Server – nur EU Dienste

Solange man dem Anbieter vertraut und man sicher ist, dass keine Dienste von Anbietern außerhalb der EU genutzt werden, ist das Risiko für Nutzer eher gering.

Nutzung auf frei verfügbarem Jitsi Server – nicht EU Dienste

Durch die Nutzung von nicht EU Diensten beim Angebot des Jitsi Dienstes ergibt sich ein potentielles Risiko durch Datenabflüsse an Dritte.

Empfehlung

Wenn Jitsi im schulischen Kontext genutzt werden soll, empfiehlt es sich, eine Instanz zu nutzen, die mit einem Vertrag zur Auftragsverarbeitung rechtlich abgesichert im Auftrag der Schule betrieben wird. Von einer Nutzung von offen angebotenen Jitsi Servern ist eher abzuraten, vor allem dann, wenn unbekannt ist, ob zum Betrieb die Dienste von nicht-EU Dienstleistern genutzt werden.

Tipps zur Nutzung

Kukez (ist ein IT/ Datenschutz Spezialist und Mitarbeiter einer Aufsichtsbehörde, der das Blog privat betreibt) hat eine Reihe von Tipps zur Nutzung gesammelt, etwa wenn es technische Probleme bei Teilnehmern gibt: https://www.kuketz-blog.de/jitsi-meet-erste-hilfe-bei-problemen/

Sehr ausführlich beschäftigt sich der Beitrag Jitsi – Fragen & Antworten von JOTBE mit den Funktionen, der Sicherheit und dem Betrieb von Jitsi.

Stand 05/2020

Videokonferenz Plattformen in Schule nutzen

Lesezeit: 8 Minuten

In Zeiten von Schulschließungen, bei der Kommunikation mit Schulen in fernen Ländern oder Schülern mit einem längeren Krankenhausaufenthalt kommt schnell das Thema Videokonferenzen auf und es stellt sich dabei die Frage, ob und unter welchen Bedingungen solche Tools in bzw. von der Schule eingesetzt werden können. Können die Tools mit Schülern eingesetzt werden und vielleicht auch für Lehrer- und Zeugniskonferenzen?

Am Markt gibt es viele verschiedene Plattformen, die meisten davon kommerzielle Angebote (z.B. Zoom und Cisco Webex) und einige betrieben von Vereinen, Universitäten und Privatleuten (z.B. Jitsi und BigBlueButton). Darüber hinaus finden sich in einigen bereits von Schulen genutzten Plattformen Videokonferenz Tools als Bestandteil der Plattform (z.B. in Office 365 und G Suite for Education), in andere können sie integriert werden (z.B. in Moodle und NextCloud). Einige der erwähnten Videokonferenz Tools bieten Zusatzfunktionen wie Chat oder Dateifreigabe.

Um welche Daten geht es?

Zur Nutzung von Videokonferenz Plattformen ist die Verarbeitung von personenbezogenen Daten erforderlich. Bei einigen Plattformen benötigen nur die sogenannten Gastgeber ein Konto mit Anmeldung. Die Teilnehmer können dann ohne individuelles Konto per Link zur Videokonferenz eingeladen werden. Einzelne Plattformen lassen eine „anonyme“ Teilnahme sowohl für Gastgeber als auch Teilnehmer zu.

Aus Sicht des Datenschutz ist es unerheblich, ob der Zugang zur Plattform „anonym“1Eine echte Anonymität gibt es schon wegen der erhobenen technischen Daten, wie weiter unten beschrieben, nicht wirklich. Allerdings speichern je nach Einstellung zumindest die Open Source Videokonferenz Plattformen die Daten der Nutzer nicht dauerhaft. erfolgt oder mit einer Anmeldung bzw. einem persönlichen Konto. Hauptteil der Verarbeitung sind Bild- und Tondaten (Abbild des Nutzers, Stimme und gesprochene sowie gezeigte Inhalte. Einige Plattformen bieten zusätzlich Chat-Funktionen an, Screensharing, Teilen von Dateien, Aufzeigen, Abstimmung, Aufzeichnung des Videostreams, Häufigkeit der Redebeiträge u. Ä. Im Hintergrund werden bei allen Plattformen technische Daten erhoben, von denen zumindest ein Teil vollständig oder teilweise anonymisiert in Log-Dateien aufgezeichnet wird. Dazu gehören in der Regel Informationen zum Browser, Betriebssystem des Endgerätes, ungefährer Standort, Datum und Uhrzeit, Beginn und Ende der Videosession und je nach System auch Rolle (Gastgeber, Teilnehmer) und eventuell vorgenommene Einstellungen in der Plattform. Je nach Nutzungsszenario können auch Zugehörigkeit zu einer Organisation (hier Schule, Schulname) zu den verarbeiteten Daten gehören.

Bedacht werden sollte auch, dass bei bei Videokonferenzen mit Schüler um die Daten von Kindern und Jugendlichen geht, denen eine besondere Schutzwürdigkeit zukommt.2„Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, […] wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden“ Erwägungsgrund 75, DS-GVO

Bei Videokonferenzen fallen somit in der Regel sehr viele personenbezogene Daten an und diese können durchaus auch recht sensibel sein. Für Schulen sollte damit klar sein, mit dem Thema Videokonferenzen muss aus Sicht von Datenschutz sehr verantwortungsvoll umgegangen werden.

Welche Fragen sollte Schule sich stellen?

Grundsätzliche Fragen

  • Macht eine Videokonferenz für den beabsichtigten Zweck Sinn, ist sie erforderlich oder gibt es vielleicht Alternativen?
  • Ist die Plattform auf allen gängigen Endgeräten bzw. Betriebssystemen (sicher) nutzbar.
  • Welche Plattformen kommen in Fragen bzw. stehen zur Verfügung?

Fragen bei kommerziellen Anbietern

  • Erfüllen die Plattformen die datenschutzrechtlichen Voraussetzungen, welche sich für Schulen aus dem Schulgesetz, Landesdatenschutzgesetz und der DS-GVO ergeben?
  • Bietet die Plattform einen Vertrag zur Auftragsverarbeitung (AVV) oder ein vergleichbares Rechtsinstrument nach Art. 28 Abs. 3 DS-GVO, durch welches sichergestellt werden kann, dass die personenbezogenen Daten nur zu Zwecken der Schule verarbeitet werden?

Fragen bei nicht EU Anbietern (US Anbietern)

  • Wo stehen die Server, welcher Hoster, welcher Cloud Anbieter wird genutzt?
  • Hat sich der Anbieter EU-US Privacy Shield zertifiziert?
  • Bietet der Anbieter die Standard Vertragsklauseln (SCC; Standard Contractual Clauses) an?

Fragen bei kostenlosen kommerziellen Angeboten

  • Wie sehen die Datenschutzbestimmungen aus?
    • Werden Dritten (z.B. Facebook, Google, Werbenetzwerken, …) Zugriffe auf Nutzerdaten ermöglicht?
    • Werden Daten verkauft oder räumt sich der Anbieter das Recht dazu ein?
    • Werden Profile zur Anzeige von Werbung gebildet?
    • Wird in der Plattform Werbung angezeigt?

Fragen bei kostenlosen Angeboten (Open Source)

  • Wer ist der Betreiber und welche Datenschutzbestimmungen gelten?
  • Welche Serverplattform wird genutzt (eigene, Hoster aus D. oder EU, internationaler Cloud Anbieter wie AWS)?

Plattform und Datenschutz

  • Wie sicher ist die Plattform (HTTPS)?
  • Ist die Plattform frei von Trackern, Thirdpary Cookies oder anderen Mechanismen zum Ausspionieren von Nutzerverhalten?
  • Lässt sich der Zugang zu einer einzelnen Videokonferenz kontrollieren?
  • Ist der Zugriff auf allen Plattformen unter den gleichen Bedingungen in Bezug auf Datenschutz möglich?
    • Werden beim Zugriff mit Apps (iOS, Android) die gleichen Daten erhoben, die auch beim Browser-Zugriff anfallen oder weitere?
  • Lässt sich die Datenerhebung durch Nutzer individuell in der Plattform regulieren?
  • Ist eine Nutzung der Plattform auch bei Blockierung von Cookies/ Trackern ohne essentielle Funktionseinschränkungen möglich?
  • Ist eine Ende-zu-Ende Verschlüsselung der Kommunikation Standard oder einstellbar?

Handlungsempfehlungen

Kommerzielle Anbieter – kostenlos

Die kostenlosen Angebote kommerzieller Anbieter sind selten ganz umsonst zu haben. Oftmals sind diese Angebote sind in ihren Funktionalitäten deutlich eingeschränkt, und bei einem Teil dieser Angebote wird man auch davon ausgehen müssen, dass Nutzer mit personenbezogenen Daten für die Nutzung zahlen. Nutzer meint hier sowohl den Gastgeber, der die Videokonferenz startet und leitet, wie auch die Teilnehmer.[Letzteres ist besonders zu berücksichtigen, da diese Tatsache den eingeladenen Teilnehmern zumeist nicht bewusst ist.] Für Schulen sind diese kostenlosen Angebote von daher nicht geeignet, auch nicht mit Einwilligung der Betroffenen. Das gilt vor allem, wenn es um Schüler geht. Die Schule ist verpflichtet, die Schüler zu schützen und könnte dieses bei einem derartigen Angebot nicht. Wenn Lehrkräfte sich informell über einen solchen Kanal austauschen möchten, bleibt das ihrem persönlichen Ermessen überlassen. Für die Durchführung offizieller Konferenzen können die kostenlosen Angebote kommerzieller Anbieter definitiv nicht genutzt werden, denn neben der Problematik um den Abfluss von Nutzerdaten, fehlen hier außerdem die rechtlichen Voraussetzungen. Ohne finanzielle Gegenleistung durch den Nutzer wird kein kommerzieller Anbieter einen Vertrag zur Auftragsverarbeitung anbieten.

Kommerzielle Anbieter – kostenpflichtig

Da kommerzielle Plattformen in der Regel neben den oben beschriebenen sehr viele weitere personenbezogene Daten verarbeiten, um die Vielfalt an Funktionen innerhalb der Plattform bereitstellen zu können und da dort jeder Gastgeber ein eigenes Nutzerkonto erhält und auch Teilnehmerdaten anfallen, ob mit oder ohne Registrierung, müssen Schulen die Nutzung mit einem Vertrag zur Auftragsverarbeitung datenschutzrechtlich absichern. Der Vertrag sichert ab, dass alle anfallenden Daten durch den Anbieter nur für die Zwecke des Verantwortlichen, hier der Schule, verarbeitet werden und nicht für eigene Zwecke3Ausgenommen sind davon technische Nutzungsdaten, soweit es sich dabei nicht unmittelbar um personenbezogene Daten handelt, die zur Bereitstellung der Funktion der Plattform, zur Weiterentwicklung und zur Wahrung der Sicherheit erforderlich sind Das gilt sowohl für die Daten der Gastgeber wie auch der Teilnehmer an den Videokonferenzen. Bei bezahlten Konten werden diese Verträge von den meisten Anbietern bereitgestellt. Die ganz großen Anbieter in diesem Segment kommen überwiegend aus den USA. Hier ist es bei Server Standorten in den USA zu empfehlen, dass der Anbieter sich EU-US Privacy Shield zertifiziert hat. Außerdem sollte der Anbieter die Standard Vertragsklauseln anbieten. Rein formal erfüllen die Anbieter dann die Anforderungen der DS-GVO. Nicht unberücksichtigt bleiben sollte darüber hinaus die Gestaltung der Nutzungsbedingungen (Terms of Service) und die in der Plattform selbst möglichen Datenschutzvoreinstellungen.

Stimmen die Voraussetzungen, kann solch eine kommerzielle Plattform zur Kommunikation mit Schülern und auch zur Kommunikation von Lehrkräften untereinander eingesetzt werden. Ist die Kommunikation verschlüsselt und wird der Stream nicht aufgezeichnet, sollte das Risiko auch bezüglich der Inhalte von Lehrerkonferenzen gegen Null tendieren.

Nichtkommerzielle Anbieter

Die Videokonferenz Plattformen Jitsi wird überwiegend ohne finanzielle Interessen offen angeboten. Von BigBlueButton findet man vereinzelt solche Angebote. Man sollte hier schauen, wer der Anbieter ist und wie er seine Videokonferenz Plattform betreibt. Kommt der Anbieter aus der Freifunk Szene, hat mit dem Chaos Computer Club zu tun4Beispiele dafür sind „https://jitsi.hamburg.ccc.de“ und „jitsi.hamburg.freifunk.net„. Erkennen kann man hier die Zugehörigkeit zu den Domains „ccc.de“ oder „freifunk.net“. Bei allen anderen sollte der Betreiber recherchiert werden., ist ein Verein, der sich für Datenschutz und Bürgerrechte einsetzt oder gehört zu einer Universität, dann kann man in der Regel davon ausgehen, dass eine Nutzung nur geringe bis keine Risiken birgt und damit vorstellbar ist. Bei frei angebotenen BigBlueButton Servern müssten Lehrkräfte sich auf eigene Initiative anmelden. Einen Vertrag zur Auftragsverarbeitung erhält man von all diesen Anbietern in der Regel nicht.

Einwilligung oder Zustimmung?

Sobald eine Schule eine Videokonferenz Plattform selbst betreibt, auf einem eigenen Server oder mit Vertrag zur Auftragsverarbeitung mittels eines Dienstleisters, ist die Schule die verantwortliche Stelle. Sie verarbeitet die personenbezogenen Daten von Gastgebern und Teilnehmern bzw. lässt diese Daten im Auftrag verarbeiten. Dabei ist es unerheblich ob die Teilnahme mit identifizierbaren Nutzerkonten erfolgt oder ohne Anmeldung und mit selbstgewählten Nutzernamen. Auch wenn die Plattform keine dauerhafte Speicherung von personenbezogenen oder beziehbaren Daten vornimmt, so werden eben doch immer personenbezogene Daten aller Teilnehmer verarbeitet. Und diese sind höchst sensibel. Es geht um Bild- und Tonaufnahmen der Teilnehmer, Beiträge im Chat und eventuell geteilte Dateien.

Einwilligung bei Eigenbetrieb oder Nutzung mit Vertrag zur Auftragsverarbeitung

Das heißt, wenn die beschriebenen Voraussetzungen zutreffen, setzt die Teilnahme an Videokonferenzen durch Schüler und Lehrkräfte immer auch eine Einwilligung voraus, die informiert und freiwillig5Über das Thema der Freiwilligkeit im Zusammenhang mit der Pflichtveranstaltung Schule kann man je nach Art der Datenverarbeitung diskutieren. sein muss.

Zustimmung bei Nutzung ohne Vertrag zur Auftragsverarbeitung

Bei Videokonferenzplattformen, die sehr datenschutzfreundlich betrieben werden und deren Betreiber keine finanziellen Interessen mit dem Betrieb ihrer Plattform verbinden, wie bei vielen Jitsi Servern und auch einigen BigBlueButton Servern, erfolgt der Betrieb oftmals aus idealistischen Gründen. Gastgeberkonten können, wenn erforderlich, nur auf individueller Basis erstellt werden, Schulkonten gibt es nicht. Einen Vertrag zur Auftragsverarbeitung wird man dort auch nicht erhalten. Es gibt somit keine verlässliche Rechtsgrundlage, auf die man sich berufen kann, wenn man beabsichtigt, die Plattform zu nutzen. Eine Nutzung solcher Plattformen bzw. Angebote kann deshalb, wenn überhaupt, nur auf der Grundlage einer informierten und freiwilligen Zustimmung durch die Betroffenen erfolgen. Rechtlich bewegt man sich dabei jedoch auf sehr dünnem Eis.

Einwilligung bei Übermittlung von personenbezogenen Daten an Dritte

Alternativ könnte man die Nutzung einer Plattform, deren Anbieter keinen Vertrag zur Auftragsverarbeitung zur Verfügung stellt, noch auf eine Einwilligung in die Übermittlung von personenbezogenen Daten an Dritte stützen. Die Schule veranstaltet eine Videokonferenz und die Daten von Gastgeber und Teilnehmern werden dazu an einen Anbieter übermittelt. Das würde dann wieder eine Einwilligung der Betroffenen erfordern, in welcher auch in die erforderliche Übermittlung von personenbezogenen Daten eingewilligt wird.

Achtung! Keine der drei Möglichkeiten, wie Schulen sich aus datenschutzrechtlicher Sicht bei der Nutzung von Videokonferenz Plattformen absichern können, entlässt die Schule aus der Verantwortung. Wählt die Schule einen nicht geeigneten Anbieter aus, liegt die Verantwortung im Falle von Problemen zunächst bei ihr selbst, solange diese Probleme nicht durch unsachgemäßes Nutzerhandeln von Teilnehmern an einer Videokonferenz verursacht ist.

Nutzungsregeln vorab klären

Wie bei der Plattform, auf welcher Nutzer agieren und interagieren, ist es erforderlich, dass allen Beteiligten die Spielregeln klar sind. Welche Arten von selbstgewählten Nutzernamen, welche Inhalte sind zulässig. Wer darf teilnehmen? Was ist nicht erlaubt (z.B. Sceenshots, Mitschnitte, …)? Was darf über die Plattform geteilt werden? Wie wird mit Verstößen gegen die Regeln umgegangen?

No-gos

Einige Videokonferenz Plattformen, kommerzielle und auch kostenfrei nutzbare Open Source Angebote, verfügen über zusätzliche Funktionen, von deren Nutzung hier aus Gründen des Datenschutz nur dringlichst abgeraten werden kann. Dazu gehören:

  • Aufzeichnung von Videokonferenzen
  • Aufmerksamkeitsüberwachung der Teilnehmer
  • Überwachung der neben der Videokonferenz genutzten Programme

Die beste Lösungen

Für Schulen gibt es im Grunde genommen nur drei wirklich aus Sicht des Datenschutz gute Lösungen. Auch wenn große nicht-EU Anbieter wie etwa Zoom oder Cisco Webex rein formell die datenschutzrechtlichen Voraussetzungen der DS-GVO für eine Nutzung in EU Ländern erfüllen, stellen diese Anbieter nicht unbedingt die besten Lösungen für Schulen dar. Besser ist es, entweder

  1. auf Anbieter aus der EU oder Deutschland zu setzen, die einen Vertrag zur Auftragsverarbeitung anbieten,
  2. in Schulserver6    iServ bietet z.B. die Integration von Jitsi, siehe IServ-Modul Videokonferenz , in LMS 7   Moodle lässt es beispielsweise zu BigBlueButton über ein Plugin zu integrieren, wenn eine Instanz vorhanden ist oder in Schul-Apps 8     SchoolFox, DieSchulApp und schul.cloud sind Beispiele für Anbieter, die Videokonferenzfunktionen in ihre Angebote integrieren. integrierte Lösungen zu nutzen oder
  3. den Schulträger dazu zu bewegen, selbst oder über einen beauftragten IT Dienstleister eine Lösung wie BigBlueButton oder Jitsi bereitzustellen.

 

Ausführlichere Informationen zur Auswahl einer datenschutzfreundlichen Videokonferenz Plattform gibt es im Beitrag Videokonferenzen – eine Plattform auswählen.

Stand 05/2020