Schutz der Schüler und Lehrer - wo sind eure Grenzen?

Hi zusammen,

ich habe manchmal Bauchschmerzen, wenn Kolleginnen und Kollegen externe Dienste anschleppen, integrieren und nicht nur vereinzelt nutzen, sondern schulweit einführen wollen.

Ich habe keine klare Position, weil ich kein Experte bin. Würde das mit euch gerne erörtern, vielleicht hat ja jemand eine klare Position, die sich gut begründen lässt.

  1. moodle, nextcloud, Matrix/RocketChat - Dienste im Netz, die ich guten Gewissens anbieten kann, weil ich oder mein Hostinganbieter (Belwue o.a.) in meinem Auftrag die Datenflüsse unter Kontrolle haben.

  2. Ab jetzt wird es für mich schwierig, undurchsichtig bis hin zu unmöglich, eine Bewertung abzugeben, wovor wir unsere Schüler:innen schützen müssen und was wir ihnen (mit Aufklärung) zumuten können, weil ich mich vor allem mit Datenschutzvorgaben zu wenig auskenne.

Ich versuche mal folgende Kategorisierung und vllt. ist dieser Versuch Teil des Verständnisproblems:

Schulisch bezogene fachunabhängige Plattformen, Schülereingaben erwünscht

Schulisch bezogene Plattformen ohne Schülerzugriff

Schulisch fachspezifische Plattformen mit Schülereingaben

unspezifische Plattformen

Bei jeder dieser Dienste stelle ich mir hier folgende Fragen:

  • Greifen die SuS von Schulgeräten darauf zu oder von eigenen Geräten?
  • Welche dieser Dienste greifen auf externe Skripte bei google, apple, facebook, amazon, microsoft (GAFAM) zu?
  • Sind die SuS gleichzeitig eingeloggt bei obigen GAFAM , so dass tracking trivial für GAFAM ist?
  • Welche der Dienste erfordern ein Schülerlogin und welche funktionieren ohne Login?
  • Welche der Dienste erfordern ein personalisiertes Schülerlogin (Klarnamen, E-Mail-Adresse)?
  • Haben die SuS Schulleihgeräte in 1:1-Zuordnung, welche Vorgaben sollte man dort festlegen (z.B. iPad über MdM) oder vereinbaren (z.B. Linuxlaptops)
  • Welche Privacy Policy hat der Dienst (DSVGO-konform: ja, nein) ?
  • Was, wenn die Dienste in Moodle / mein LMS integriert werden, das ansonsten „safe“ ist, aber durch die Einbindung die Daten an Drittanbieter (viertanbieter) schickt?

Ich habe gar nicht die Zeit diese Fragen tatsächlich bei allen Plattformen durchzugehen, aber ich will irgendein gutes Vorgehen meinen Kolleg:innen an die Hand geben.

Was ist eure Meinung dazu? Bin ich zu penibel? Bin ich zu locker? Zu ignorant, weil das „doch vollkommen klar ist“?

Wo zieht ihr die Grenze: Das geht nicht, aber das geht durch?

Denkanstoß zur Digitalität!
VG, Tobias

Hallo Tobias,

Weil ich erst mal suchen musste.

Gruß

Alois

1 Like

Beispielanalyse

Da die Problematik m.E. vielschichtig ist, hier ein Beispiel aus der MAthematik:

Geogebra - Webanwendung:

  • verwendet google-analytics.com und hotjar.com wenn man es zulässt. Scheint aber in diesem Fall nicht und bei google-analytics in keinem Fall relevant für die Funktionalität
  • braucht keine Schülerzugangsdaten, kann man aber als Lehrer einrichten, auch um ganze Klassen einzurichten und zu verwalten
  • vermutlich DSGVO-konform: Privacy – GeoGebra (englisch…)
  • kostenlos, kein Geschäftsmodell erkennbar

bettermarks - Webanwendung

graspablemath - Webanwendung

  • verwendet google-analytics, doubleclick, usw. Manche dafür für die Funktionalität nicht nötig, in meinem Beispiel ist aber wenigstens google.com nötig, damit die Anzeige „normal“ funktioniert.
  • kostenlos, wie mir scheint. Geschäftsmodell unklar.
  • nicht DSGVO-konform, wie mir scheint: Graspable Math

Für alle drei gibt es Apps für mobile Plattformen, habe ich nicht untersucht, Ist auch schwer, reellen traffic (meta-daten, personalisierte Daten) dafür zu messen, zumindest für Schulen.

VG, Tobias

Hallo,

etwas OT, aber es muss 'raus:

Ganz einfach würde es, wenn die KuK selbst die AGBs lesen müssten und dann gemeinsam mit dem Vorschlag der Software eine Abwägung machen müssten. Davon kann ich aber nur träumen. Das klappt natürlich so nicht (jedenfalls bei uns nicht).

Und bei uns wird (wie bei Vielen) häufig genutzt, was so daherkommt und einige haben sich nie damit befasst, dass kostenlos nicht kostenlos ist. („Ich habe doch nichts zu verbergen“, gibt’s auch bei unseren KuK recht häufig. Alternativ: „Das muss doch gehen!“)

Aber auch offizielle Fortbildungen gibt’s, die das Problem verschärfen: Im März belegte ich eine Padlet-Fortbildung, angeboten vom pädagogischen Landesinstitut (RLP), um in der abschließenden Frage-Zeit zu erfahren, dass die Hessen es aus Datenschutzgründen nicht verwenden dürften (habe ich nicht geprüft, sondern gebe das Gerücht hier weiter).

Wenn es zu diesen Tools eine Seite gäbe (vielleicht kann man hier einen Verein nutzen, der in diesem Bereich schon aktiv ist???), wäre mir auch sehr geholfen.

@Tobias: Danke für Deine erste Zusammenstellung!
(Machen statt meckern! Das geht auch!)

Ansonsten kann man ja vielleicht einfach den Datenschutzbeauftragten der Schule einbinden - der ist ja dafür zuständig.
(Ob das für jede Schule das zielstrebigste Vorgehen ist, muss jeder selbst hypothetisieren.)

Und dann frage ich mich aber auch noch: Wenn ich so ein Tool in Moodle einbinde: Gilt dann dasselbe wie auf der Website?
(Spätestens dann bräuchte ich nicht mehr unterrichten, wenn ich die Programmwünsche der KuK prüfen würde.)

Viele Grüße,
Daniela

1 Like

Hallo Tobi,

beim Lesen, tat sich bei mir noch folgende Frage auf: Ist es überhaupt rechtlich einwandfrei, wenn die KuK bzw. die Schule mit dritten, hier externen Anbietern, in das Recht auf informationelle Selbstbestimmung der SuS eingreift.

Bei eigenen Diensten (Intranet, Homepage usw.) muss dieses die Schule ja mit der Verantwortlichen der SuS „verhandeln“/sich bestätigen lassen.

Aber wie sieht das bei den von dir genannten Diensten aus?

Beste Grüße

Thorsten

Hallo Daniela,

finde ich nicht OT

Ja, das klappt bei uns auch (nur teilweise). Und wenn ein geschätzter Kollege:in, oder schlimmer noch ein:e Fortbildner:in etwas empfiehlt, dann würde ich das doch auch als „geprüft“ einfach einsetzen.

Genau, mein Thread ist hier also vielleicht fehl am Platz und ich sollte für jede einzelne Aufgabe mal unseren Datenschutzbeauftragten fragen. Da wir keinen haben, wäre das vermutlich der LfDI (Hr. Brink?).
Aber: selbst wenn man das Stück für Stück macht, habe ich dann das was ich will? Eine Schmerzgrenze, vorgegeben durch den LfDI (oder lokalen Datenschutzbeauftragten)?

Erstens glaube ich nicht, dass da schwarz/weiß rauskommt, so etwa: geogebra geht, bettermarks nicht, sondern dass die Handlungsempfehlungen sehr verschwurbelt rauskommen. „geogebra geht, wenn Sie dafür Sorge tragen, dass…“ und bei bettermarks ebenso.

Damit wäre eine Übersichtsseite schon einigermaßen füllbar.

Aber zweitens habe ich noch ein Problem mit der Umsetzung und der Glaubwürdigkeit. Diese Argumente werden kommen:

D.h. selbst wenn ich dann eine Liste habe und die Grenzen ausgelotet habe, wird das so realistisch sein, dass es irgendjemand hören will?

Vor allem: es muss die Liste aktualisiert werden, wenn sich die AGBs ändern.

VG, Tobias

Hallo Thorsten,

frag das doch mal Lehrer: die wissen nicht, was dieses Recht sein soll.
Die denken auch, dass wir eine NExtcloud haben, weil mir das so Spaß macht. Dropbox täte es doch auch.

VG, Tobias

1 Like

Hallo Daniela,

hier: Podcast Datenfreiheit – Folge 13: Ergebnis Praxistest MS Office 365 an Schulen | Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

habe ich ab Minute 27:50 Uhr ein paar Antworten auf diese Fragen… Achtung, wer den Podcast ganz anhört, weiß, dass kurz vorher gesagt wird, für Schulen gelten strengere Vorschriften, weil wir Vorbildfunktion haben und rechtlich andere Maßstäbe angelegt sind.
Und selbst bei den laxeren Richtlinien für Datenschutz gilt „beim Bäcker“ etwas, was Dr. Brink zu so einer Aussage veranlasst:

„Wo kommen wir hin, wenn wir Standardprogramme abschalten,… so läuft moderne Technik nicht …Antwort: Die Rolle des Verantwortlichen besteht darin verantwortlich zu handeln. Und wenn ich Produkte einsetze, die ich nicht im Griff habe, dann handle ich nicht verantwortlich.“

Fazit: Aufgabe des LfDI: Empfehlungen aussprechen und/oder im Gespräch herausbekommen in welcher Konfiguration, in welcher Version usw. verantwortlicher Einsatz möglich ist.

Klingt für mich als Anlaufpunkt, wenn man es wirklich herausbekommen will, was rechtlich ok ist.

VG, Tobias