Allgemein, Computer, Datenschutz, Technik, Unterricht

Schulschließungen und digitaler Unterricht: Auf in Runde 2! (Datenschutz #2.5)

In Baden-Württemberg sind wir noch im „Fernunterricht“. Der Schulbetrieb ab 4. Mai gilt zunächst für Abschlussklassen, der Rest ist noch unsicher. Da also schon absehbar ist, dass der Fernunterricht für einige Klassen noch eine Weile andauern wird, habe ich für unsere Schule eine Übersicht populärer Tools erstellt und wie diese aus Datenschutz-Sicht einzuschätzen sind. Das hehre Ziel: dem Datenschutz gerecht werden. Nach fast sechs Wochen können wir uns nämlich nicht mehr damit herausreden, dass schnell irgendeine Lösung genutzt wurde, um zu reagieren. Mittlerweile war Zeit, verschiedene Dienste zu testen und ein Urteil zu fällen.

Bereits im ersten Beitrag zum Fernunterricht hatte ich auf die Wünsche vieler Lehrkräfte hingewiesen und entsprechende Hinweise gegeben. Der folgende Beitrag ist eine ähnliche, aber kompaktere Übersicht mit meiner persönlichen (!) Einschätzung zu den Risiken der verwendeten Programme und Tools mit entsprechenden Quellenangaben als Links, soweit möglich. Doch zunächst werfen wir einen Blick auf die rechtlichen Vorgaben des Kultusministeriums (KM), die neben den Rechtsnormen EU-DSGVO, Landesdatenschutzgesetz und „Verwaltungsvorschrift für Datenschutz an öffentlichen Schulen“ schließlich den Rahmen für alle Überlegungen bilden.

Allgemeine Vorgaben des KM Baden-Württemberg

Das KM empfiehlt:
• ausschließlich mit Dienstleistern zusammenzuarbeiten, die Ihren Sitz im Geltungsbereich der EU-DSGVO haben, dabei ist auch auf Unterauftragnehmer zu achten.
• sich im Vertrag schriftlich zusichern zu lassen, dass keine Verarbeitung personenbezogener Daten außerhalb der EU erfolgt und auch keine Daten an Stellen außerhalb der EU (auch an staatliche Stellen, Behörden) übermittelt werden.

(Quelle: FAQ Datenschutz an Schulen, Punkt 5 „Cloud Computing“)

Der Vertrag darf keine Aussage darüber enthalten, dass die AGBs bzw. andere Vertragsbestandteile einseitig geändert werden können. […]
Eine Verarbeitung personenbezogener Daten von Schulen außerhalb des Geltungsbereichs der EU-DSGVO sollte grundsätzlich unterbleiben und ist nur im Ausnahmefall (z.B. Auslandsschule) mit Zustimmung des Kultusministeriums zulässig. Bei US-amerikanischen Anbietern ist noch eine Besonderheit zu beachten: Diese Anbieter sind auch bei Rechenzentren, die im europäischen Wirtschaftsraum liegen, der Gesetzeslage in ihren Heimatländern verpflichtet. Dies bedeutet im konkreten Fall, dass Daten aus diesen Rechenzentren US-Sicherheitsbehörden zugänglich gemacht werden können. Aus der Sicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfD) stellt die mögliche Datenweitergabe aus dem EU-Gebiet heraus die Inanspruchnahme derartiger Cloud-Angebote grundsätzlich in Frage (siehe 30. Tätigkeitsbericht des LfD).

(Quelle: Cloud-Dienste im schulischen Bereich)

Angebote/Dienste

simpleclub

Durch (zeitlich begrenzte) kostenlose Lizenzen wird der Dienst gern genutzt. Diese kostenlose Nutzung wird vom Landesmedienzentrum (LMZ) empfohlen. Bei der Registrierung werden personenbezogene Daten (pbD) erhoben, die laut DS-Erklärung auch an „externe Dienstleister“ weitergegeben werden. Die App erlaubt die Registrierung via Facebook- oder Google-Konto, was auf keinen Fall gemacht werden sollte.
Einschätzung: Kostenlos in Ordnung, auf Datensparsamkeit achten.

OneNote (und andere Microsoft-Produkte)

Firmensitz USA, allein deshalb problematisch. Alle Daten, auch pbD, werden in die USA übertragen. Inhalt und Nutzerdaten der Cloud werden maschinell ausgewertet. Hinweis aus dem Interview mit Ministerin Eisenmann (Südwestumschau, 16.4.2020, S. 6):
„Viele dieser Dienste sind datenschutzrechtlich bedenklich. Dafür gibt es von uns keine Freigabe. Aber die Zeit erfordert kreative Maßnahmen. Wenn Schulen sowas in Eigeninitiative machen, mischen wir uns momentan nicht ein. Aber Standard wird das nicht. Wir arbeiten deshalb an einer eigenen Platform.“
Einschätzung: Als reine Notizen-App ohne Konto und ohne Einbezug pbD in Ordnung. Alle MS-Produkte sind aber fragwürdig, werden aufgrund der Monopolstellung aber geduldet (Betriebssystem Windows, Office-Paket). Die Cloud-Lösungen waren und sind weiterhin explizit verboten. Das gilt aus gleichen Gründen auch für ähnliche Produkte von Anbietern wie Google.

Fokus: Videokonferenzen

  • Übersicht von „noyb“: Die Kamera im Wohnzimmer
  • Häufig sind es private (und in der Regel kostenpflichtige) Anbieter, daher ist eine schriftliche Einwilligung Pflicht.

GoToMeeting

Kostenpflichtiger Dienst. Firmensitz USA über Mutterfirma LogMeIn, entsprechende Übermittlung der pbD in USA und andere Länder. Keine eigenständige DS-Erklärung auf der Homepage; versteckte, umständliche Weiterleitung auf DS-Erklärung von LogMeIn. AGB/DS-Erklärung können einseitig geändert werden, was nicht zulässig ist. Eine Art Vertrag zur Auftragsdatenverarbeitung (VAV) ist u.U. möglich.
Einschätzung: Extrem undurchsichtig und daher in allen Belangen ungenügend.

Discord

Firmensitz USA, entsprechende Übermittlung der pbD in USA und andere Länder. Teilnehmer*innen benötigen ein Konto. PbD „können auch in Datenbanken aufgenommen werden, die im Besitz von Tochtergesellschaften, Agenturen und Dienstleistern sind, und von diesen verwaltet werden.“ (aus DS-Erklärung) Regeländerungen einseitig und ohne Ankündigung möglich, was nicht zulässig ist. Ein VAV ist nicht möglich.
Einschätzung: US-Konzern, Zwang zu Kontoerstellung und löchrige DS-Erklärung. Wegen fehlendem VAV nicht einmal rechtskonform einsetzbar.

Zoom

Kostenpflichtiger Dienst. Firmensitz USA, entsprechende Übermittlung der pbD in USA und andere Länder. Unkontrollierte Datenübermittlung an diverse Drittfirmen wie Facebook (aktuell wohl behoben) und Co. Daher sogar in New York City verboten. AGB/DS-Erklärung können einseitig von Zoom geändert werden, was nicht zulässig ist. Keine Angaben zu VAV.
Einschätzung: Weit verbreitet, aber viele Probleme. Nicht empfehlenswert.

Skype/MS Teams

Beide gehören zu Microsoft, daher gilt das gleiche wie für die Office-Cloud-Dienste.

Empfehlungen

Die umfassendste Lernumgebung, die alles Nötige bietet und problemlos einsetzbar ist, ist das von BelWue gehostete Moodle. Darauf weist auch das KM hin. Da mittlerweile auch die ersten Schulen mit BigBlueButton auf Moodle arbeiten können, gibt es auch eine datenschutzkonforme Möglichkeit für Videokonferenzen.

Linksammlungen

Dokumente (kollaborativ) online nutzen

Videokonferenzen

Ein Gedanke zu „Schulschließungen und digitaler Unterricht: Auf in Runde 2! (Datenschutz #2.5)“

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s