Damian Duchamps' Blog

Datenschutz & Schule – nur Pragmatismus bringt uns weiter

Posted in Datenschutz, Medienwelt, Schulentwicklung, Schulpolitik by damianduchamps on September 29, 2017

Mal ganz ehrlich, Datenschutz und Schule gehen momentan gar nicht zusammen. Schulen sollen digitale Lösungen in den Unterricht integrieren, doch ständig erhebt jemand warnend den Zeigefinger und sagt, in Bezug auf den Schutz der persönlichen Daten der Schülerinnen und Schüler und Lehrkräfte geht dieses nicht und das nicht und grundsätzlich geht sowieso gar nichts. Mit solch einem Ansatz werden wir nicht weiterkommen. Das ist nichts anderes als Verhinderungskultur. Was wir brauchen, sind Lösungsansätze, die uns im schulischen Alltag weiterbringen anstatt uns zu blockieren. Datenschutzschutzbeauftragte sollten nicht nur sagen, was nicht geht, sondern Schulen helfen, pragmatische Lösungen zu finden.

Damit hier kein Missverständnis aufkommt aufkommt, den Schutz der persönlichen Daten von Schülerinnen und Schülern halte ich für absolut unverzichtbar.

Wenn wir in der Schule vom Schutz der persönlichen Daten sprechen, gehen wir von Vorstellungen aus, die meiner Meinung nach völlig unrealistisch und überzogen sind. Natürlich sollen und müssen persönliche Daten geschützt werden. Dazu sind wir verpflichtet und es ist selbstverständlich. Ein Restrisiko ist jedoch nie auszuschließen, wie überall im Leben. Beim Datenschutz versuchen wir jedoch genau dieses. Man tut so, als müsse ist den perfekten Schutz geben, und ist man sich da nicht sicher, so ist die Lösung tabu, die Lernplattform, das App, das Lernmanagementsystem können nicht genutzt werden.

Landesdatenschutzbeauftragte geben für die Microsoft Cloud Deutschland kein grünes Licht, weil noch Unklarheit über irgendein Komma besteht in der Dokumentation. Derweil nutzen große Konzerne die Lösung schon lange, denn diese Lösungen sind von diversen Instituten der Wirtschaft und von anderen Institutionen zertifiziert und geprüft. Das gilt auch für die G-Suite von Google. Bei Firmen geht es um Wirtschaftsdaten und Wirtschaftsspionage. Das hat in der Regel mehr Gewicht als persönliche Daten, denn es geht um Millionen- oder Milliardenbeträge.
Man fragt sich, warum geht in Schule nicht, was in der Wirtschaft geht? Die Wirtschaft hat nicht weniger zu verlieren als Schule mit persönlichen Daten.

Wenn es um Schule und Datenschutz geht, fehlt uns ein vernünftiges Maß. Im Schulleben außerhalb der digitalen Welt sieht das völlig anders aus. Seien wir doch mal realistisch. Verzichten wir darauf, mit unseren Schülerinnen und Schülern ins Schwimmbad zu gehen, nur weil eventuell ein Kind sich nicht an die Regeln halten könnte und vom Rand ins Becken springt, oder heimlich auf das Dreimeterbrett klettert unter herrunter springt? Nein, tun wir nicht. Wir nehmen das Risiko in Kauf, denn es gibt keinen absoluten Schutz. Ja, aber beim Schutz der persönlichen Daten, könnte so etwas doch lebenslange Folgen haben, wird mancher nun entgegnen. Doch könnte es nicht auch lebenslange Folgen haben, wenn eines der Kinder beim Schwimmunterricht nun doch vom Rand springt und verletzt sich dabei so, dass es lebenslänglich unter den Folgen zu leiden hat? Ich hoffe, an diesem Beispiel aus der analogen Welt wird deutlich, dass wir, wenn wir vom Thema Datenschutz sprechen, vollkommen überzogen reagieren. Den absoluten Schutz der persönlichen Daten gibt es nicht. Das soll nicht heißen, dass wir leichtfertig oder fahrlässig umgehen sollten mit den persönlichen Daten der uns anvertrauten Schülerinnen und Schüler. Was wir jedoch brauchen, sind pragmatische Lösungen, die einen möglichst großen Schutz der persönlichen Daten ermöglichen und Schule gleichzeitig nicht unnötig ausbremsen, indem jegliche Lösung aus Datenschutzgründen negiert wird.

Um dieses zu erreichen, braucht es eigentlich gar nicht viel. Für mich gibt es einige Grundsätze, die, wenn man sie beachtet, viele Lösungen ermöglichen.

Persönliche Daten von Schülerinnen und Schülern gehören grundsätzlich nicht in Lernplattformen, Lernmanagementsysteme, Apps oder ähnlich
Namen

Wer zwingt uns dazu, dass Schülerinnen und Schüler mit ihren echten Namen in einem Lernmanagementsystem angemeldet sein müssen? Eine pragmatische Lösung könnte darin bestehen, stattdessen Pseudonyme zu verwenden oder anonymisierte Account Namen. Natürlich müssen Lehrkräfte in der Lage sein, diese Pseudonyme oder anonymisierten Accountnamen Schülern zuzuordnen. Man kann jetzt einwenden, dass sich diese Daten verbinden lassen und schon weiß man wieder, wer wer ist. Das funktioniert immer. Und selbst aus anonymisierten Daten kann man mit etwas Geschick wieder eine Zuordnung herstellen, wenn man das will. Den perfekten Schutz vor “bösen” Konzernen oder Geheimdiensten gibt es nicht. So realistisch muss man einfach sein. Und selbst wenn wir ein System haben, welches den deutschen Datenschutzvorgaben absolut genügt (auf Server in Deutschland laufend, alle Vorschriften erfüllt und so weiter), auch dann gibt es keine absolute Sicherheit. Die Server könnten gehackt und die Kontodaten gestohlen werden. Und wenn die Schüler sich von ihren Smartphones oder von zu Hause aus in der Plattform einloggen, mit einem Pseudonym oder anonymisierten Account, dann könnten natürlich, wenn man Standortdaten oder Gerätedaten ausliest und diese möglicherweise noch mit gestohlenen Daten vom Einwohnermeldeamt kombiniert oder mit Daten von einem sozialen Netzwerk, die exakten persönlichen Daten der Personen herausgefunden werden. Lässt sich alles konstruieren, alles ist möglich. Aber hallo! Bleiben wir doch einfach mal realistisch. Auf dem Weg in die Schule sind auch schon Kinder überfahren worden. Lassen wir die Kinder deshalb nicht in die Schule laufen? Es gibt immer ein gewisses Restrisiko im Leben.

Noten

Es sollte auch völlig klar sein, dass Noten in jeglicher Form, Leistungsbewertungen, nichts in Lernplattformen, Lernmanagementsystem oder ähnlich zu suchen haben. Das schließt aber nicht aus, dass man innerhalb der Plattform Feedback gibt und Angaben macht, ob eine Aufgabe gelöst ist oder nicht. Das genau ist eine der Stärken digitaler Plattformen, das unmittelbare Feedback, um Schülerinnen und Schülern in ihren Lernprozessen zu unterstützen. Und solange Schülerinnen und Schüler keine Accounts nutzen, die direkt über den Namen persönlich zuordenbar sind, sehe ich darin kein Problem. Und da es auch keine Erfordernis gibt, Noten direkt über eine Plattform mitzuteilen, sehe ich darin auch keinen Grund, solche Plattformen nicht zu nutzen.

Nutzungsordnung & pädagogischer Auftrag

Dass persönliche Daten in schulischen digitalen Anwendungen nichts zu suchen haben, kann man Schülerinnen und Schülern durchaus verständlich machen. Auch in anderen Plattformen sollten Schülerinnen Schüler mit ihren persönlichen Daten sparsam umgehen. In einer schulischen Anwendung können sie lernen, wie man persönliche Daten vermeidet. Es ist ein pädagogischer Auftrag der Schule, dieses zu vermitteln. Ich nutze Google Classroom und meine Schülerinnen und Schüler wissen, dass persönliche Daten nichts in der Plattform zu suchen haben. Sie sprechen sich untereinander in der Plattform mit ihren englischen Pseudonymen an. Das funktioniert wunderbar. Über eine Nutzungsordnung haben wir geregelt, dass persönliche Daten nicht in Google Classroom auftauchen. Geregelt ist dort auch, dass der Nutzer Account nicht mit privaten Accounts verknüpft wird. Was aber, wenn sich jemand nicht an diese Regel hält? Was wenn die Accounts zu Hause auf dem heimischen PC verknüpft werden, da auf dem gleichen PC auch die Daten des privaten Accounts sind? Was, wenn auf dem privaten Gerät ein Trojaner mitliest? Pech gehabt! Auch wenn wir unsere Schülerinnen und Schüler immer wieder ermahnen, nicht auf dem Treppengeländer herunter zu rutschen, so tun es leider doch immer wieder welche und alle Jahre wieder liegt jemand unten am Fuß der Treppe und hat sich den Arm gebrochen. So ist das Leben.

Pragmatismus ist gefragt

Wie ich hoffentlich zeigen konnte, kann man, wenn man mit den Anforderungen an den Schutz der persönlichen Daten unserer Schülerinnen und Schüler auf einem realistischen, alltagstauglichen Maß bleibt, durchaus pragmatische Lösungen finden, um im schulischen Alltag zurecht zu kommen. Es bringt niemanden weiter, wenn wir durch überhöhte, unrealistische und auch praktisch nicht einlösbare Anforderungen in Bezug auf den Datenschutz an der Nutzung sehr vieler digitaler Angebote gehindert werden. Leider haben deutsche Firmen im internationalen Vergleich kaum etwas zu bieten, was vergleichbar wäre zu Office 365 mit der Cloud, G-Suite for Education oder Edmodo, Formative und vielen weiteren Apps und Plattformen, die für ein zeitgemäßes Lernen in Schule unverzichtbar sind. Und ganz ehrlich, wer garantiert uns, dass deutsche Firmen und Geheimdienste weniger Interesse an den persönlichen Daten der uns anvertrauten Schülerinnen und Schülern haben?

Datenschützer sind gefragt, praktikable Lösungen zu bieten

Meiner Meinung nach sollten die Datenschützer auf jeder Ebene, vom schulischen Datenschutzbeauftragten bis zu den Landesdatenschutzbeauftragten und den entsprechenden Verantwortlichen in den Ministerien für Schule ihre Aufgabe nicht primär darin sehen, nur den warnenden Zeigefinger zu heben und dieses und jenes zu verbieten. Natürlich sollen sie Schulen helfen, den Schutz der persönlichen Daten ihrer Schülerinnen Schüler so gut wie möglich sicherzustellen und nicht in irgendwelche Fallen zu tappen. Ganz wichtig wäre jedoch auch, dass diese Institutionen nach Lösungen suchen, wie man digitale Angebote trotzdem nutzen kann, ohne die persönlichen Daten der Schülerinnen und Schüler zu gefährden, und Schulen beim Finden solcher Möglichkeiten unterstützen. Außerdem sollten sie eine Aufgabe darin sehen, gemeinsam mit den Anbietern digitaler Angebote Lösungen zu finden, welche Schulen in ihren Verpflichtungen in Bezug auf den Datenschutz unterstützen. Bei der Vielzahl der Angebote kann dieses sicher nicht nur mit einer begrenzten Zahl von Angeboten erfolgen. Es wäre aber schon hilfreich, wenn es englischsprachige Orientierungshilfen für die Anbieter von Lernplattformen, Apps und LMS gäbe, die ihnen helfen könnten, ihre Angebote auf deutsche Datenschutzanforderungen auszurichten. Darauf könnten dann Schulen, die ein Angebot nutzen wollen, diese Anbieter verweisen. Wenn wir hier pragmatischer sind, wenn Schulen Unterstützung erhalten, wenn sie loslegen können, dann wird der deutsche Markt für Anbieter aus anderen Ländern auch attraktiver und das wiederum macht es für diese Firmen interessanter, den deutschen Markt mit seinen speziellen Anforderungen stärker bei der Entwicklung von Angeboten zu berücksichtigen, sei es dass man beispielsweise Server in Deutschland aufstellt oder anmietet oder dass man angepasste Formen der Nutzerregistrierung und -verwaltung und der Speicherung von Daten anbietet.

Datenschutz und Schule muss definitiv neu gedacht werden, vor allem von den oben genannten Institutionen. Wir brauchen pragmatische Lösungen, keine Kultur der Verhinderung und Beschränkung, sondern eine der Ermöglichung.

Noch gut zu wissen

Was vielen vermutlich nicht klar ist: wenn wir ohne persönliche Daten arbeiten, entfallen viele der engen Vorschriften der Datenschutzgesetzgebung. Werden keine persönlichen Daten verarbeitet, braucht es kein Verfahrensverzeichnis und auch keinen Vertrag zur Datenverarbeitung im Auftrag mit dem Anbieter einer digitalen Plattform. Eine Absicherung mit einer Nutzungsvereinbarung ist dabei aber unbedingt erforderlich. Ohne begibt sich die Schule auf juristisches Glatteis! Sind die Produkte, welche Schüler etwa in einer Plattform wie Office 365 mit der Cloud produzieren, frei von persönlichen Daten und auch sonst nicht zuordenbar, sehe ich keine Erfordernis diese Daten als persönliche Daten zu behandeln. Wenn überhaupt, dann geht es hier noch um Urheberrechte der Schüler. Es muss an dieser Stelle jedoch angemerkt werden, dass dieses nicht jeder Datenschutzbeauftragte das so sieht. Genauso, wie es auch Datenschutzbeauftragte gibt, die meinen, auch nicht persönliche Daten dürfen nicht in Drittstaaten gehen. Deshalb auch mein Appell, pragmatisch zu denken.

Auch mit einer informierten und freiwilligen Einwilligung der Betroffenen geht eigentlich alles. Für Schulen ist dieses allerdings eine Lösung, von der ich abraten würde.

Advertisements

Differenzieren in Google Classroom

Posted in Creative Commons, Datenschutz, Google Classroom, Tools by damianduchamps on September 11, 2016
Ein Hinweis zur datenschutzrechtlichen Problematik der Nutzung von Google Classroom in deutschen Schulen findet sich am Ende des Beitrags

Eines für alle

Problem

Innerhalb von Google Classroom kann man über das Anhängen von Dateien an ein Assignment an alle Schüler nur ein und dasselbe Material austeilen. Jeder erhält so das gleiche Material. Was, wenn man gerne differenzieren möchte?

Lösung

Will man differenzieren, muss man sich mit einem kleinen Trick behelfen.
Anstelle eines Materials, welches jeder Schüler in Kopie gleich erhält, wird ein nicht bearbeitbares Hyperdokument erstellt. Das ist nichts anderes als ein Dokument, welches Links enthält, die auf weitere Materialien verweisen.
Über dieses Hyperdokument, im Folgenden als das zentrale Arbeitsblatt bezeichnet, werden die Links zu den Differenzierungsmaterialien weitergegeben, welche die Schüler dann in ihren Drive kopieren, bearbeiten und anschließend als Lösung über die Aufgabenstellung/Assignment einreichen können.

(more…)

Schulhomepage – Datenschutzfalle – Social Plugins?

Posted in Datenschutz, Schule und Recht by damianduchamps on April 17, 2016

Auch auf Schulhomepages ist es nicht unüblich, Social Plugins wie den Facebook Like oder Teilen auf Facebook Button, einen Twitter, Google+ oder Pinterest Button anzubieten. Im Prinzip ist das auch keine schlechte Idee, ermöglicht man so den Besuchern, Gefallen anzuzeigen oder Inhalte der Schulhomepage in ihren sozialen Netzwerken zu teilen.

Aber leider gibt es da ein klitzekleines Problemchen.

social_longshadow_icons_by_aha_soft_icons-d7ynkqo

By aha-soft-icons, deviant art; CC BY 3.0

Über Social Plugins hinterlassen Besucher einer Webseite Spuren. Klickt ein Besucher also den Facebook Like Button unter einem interessanten Beitrag über eine tolle Schulveranstaltung, so wird dieses bei Facebook registriert und mit dem Profil des Facebook Nutzers verknüpft. Das gilt auch, wenn man den Inhalt über Facebook teilt. Als Facebook User fügt man so wieder ein kleines Mosaiksteinchen zu seinem Persönlichkeitsprofil hinzu und hilft Facebook damit, ein gläsernes virtuelles Double seiner selbst zu erstellen. Den meisten Facebook Usern wird dieses nicht einmal bewusst sein.Doch wer sich jedoch mit diesen Dingen beschäftigt, sollte das wissen. Vielen ist allerdings nicht bekannt, dass die Tracking Funktion des Facebook Like Buttons auch aktiv ist, ohne dass der Button aktiv geklickt wird. Der Like Button registriert dann zumindest den Besuch der Seite – und auch das ist keine wertlose Information für Facebook. Was für den Facebook Like Button gilt und natürlich auch den Teilen auf Facebook Button, das gilt auch für viele andere Social Plugins von Twitter und Pocket bis zu WordPress und Pinterest. Solange der User nicht anonym im Netz unterwegs ist, erfassen diese Plugins seine Spur und zeichnen sie beim jeweiligen Anbieter auf, auch ohne dass „Gefällt mir“ oder „Teilen“ geklickt wurde.

Und hier wird die Sache nun spannend, egal ob es sich um gewerbliche Internetauftritte handelt oder um die von Schulen. In dem Moment, wo auf einer Schulhomepage Social Plugins integriert sind, kann durch diese Plugins das Thema Datenschutz zum Problem werden. Gemäß Paragraf 13 des TMG (Telemedien Gesetzes) ist es rechtswidrig, personenbezogene Daten ohne Zustimmung der Nutzer an Dritte – Betreiber entsprechender Dienste – zu übertragen. Und genau das geschieht hier. Gleiches gilt übrigens auch, wenn die Schulhomepage externe Statistik-Tools nutzt oder Web-Schriftarten („Webfonts“), die nicht auf dem Webserver der Schulhomepage selbst gespeichert sind, sondern von Anbietern wie Google fremdgeladen werden beim Aufruf eines Inhalts von der Homepage der Schule.

Das Landgericht Düsseldorf entschied Anfang 2016 (Az. 12 O 151/15, pdf), dass durch die Einbindung von Social Plugins auf Webseiten gegen die Datenschutzvorschriften verstoßen wird.

Welche Möglichkeiten hat man nun als Betreiber einer Schulhomepage, nicht gegen die Datenschutzvorschriften zu verstoßen?

  1. Social Plugins entfernen – anders als Firmen sind Schulen nicht existentiell auf die Dienste von Facebook & Co. angewiesen, um die soziale Reichweite der Informationen auf der Schulhomepage zu vergrößern
  2. Datenschutzerklärung anpassen – viele Schulen werden zwar ein Impressum für ihre Homepage haben, denn das ist verpflichtend. Eine Datenschutzerklärung werden sie aber oft nicht haben. Es wäre also vielleicht eine Idee, einmal eine solche anzulegen. Das kann man kostenlos auf e-recht24.de (Datenschutzerklärung erstellen) erledigen.
  3. Sharing Buttons ändern – es gibt die Möglichkeit, die Sharing Buttons von Facebook & Co. anzupassen, so dass sie beim Aufruf einer Webseite vom User bei Bedarf aktiviert werden müssen, bevor man sie zum Teilen nutzen kann.

Datenschutz auf der Schulhomepage ist nun die eine Sache, was diese Social Plugins angeht. Versäumnisse, eine entsprechende Datenschutzerklärung auf der Webseite vorzuhalten, könnten aber Folgen haben, wie man damals bei Einführung der Impressumspflicht sah. Firmen wurden reihenweise abgemahnt von spezialisierten Anwälten. Ob Ähnliches nun auch hier folgen wird, ist schwierig abzuschätzen. Inwieweit damals auch Schulen abgemahnt wurden oder ob es überhaupt solche Fälle gab, ist mir nicht bekannt. Von daher ist es auch nicht einfach zu sagen, ob für Schulen von einer fehlenden Datenschutzerklärung ein Gefahr ausgehen könnte. Ich denke, es muss noch etwas Zeit ins Land gehen, bevor einschlägige Seiten oder Ministerien hier Empfehlungen abgeben.

Wie man die Sharing Buttons ändert und noch ein paar Hintergründe zur Thematik findet man unter Abmahnwelle durch Social Plugins? So kannst du dich schützen (auf t3n).

Mehr zum Fall vor dem Landgericht Düsseldorf gibt es unter Gerichtsurteil: „Social-Plugins“ dürfen keine Daten ohne Zustimmung erheben auf Netzpolitik.org

Und Cookies?

Wie man seit einiger Zeit beim Besuch vieler Webseiten sieht, ist auch das Thema Cookies aktuell. Mit einem Screen am oberen oder unteren Rand der Webseite wird man über den Einsatz von Cookies informiert. Auch hier geht es um Datenschutz. Dass Cookies für Schulhomepages ein Thema sein können, zeigt beispielsweise ein Beitrag auf lo-recht von 2003. Wer mehr zum Thema Cookies und Datenschutz wissen möchte, liest den Beitrag Cookie-Hinweis gemäß Google ab 30.09.2015 Pflicht! Was haben Websitebetreiber zu beachten?