Online-Whiteboards in der Lehre datenschutzgerecht nutzen

Bereits im Wintersemester 2020/21 haben wir uns zusammen mit engagierten Lehrenden und der Zentraleinrichtung Wissenschaftliche Weiterbildung und Kooperation an der TU (ZEWK) auf die Suche nach datenschutzkonformen Online-Tools begeben.

Insbesondere Whiteboard-Tools werden gern genutzt. Online-Whiteboards eignen sich zur Visualisierung von Abläufen und Zusammenhängen sowie zur Gestaltung digitaler Poster oder Präsentationen. Ein Teilen und kollaboratives Bearbeiten der Boards ist in der Regel möglich.

Die Tools können direkt im Browser aufgerufen werden, einige gibt es auch als App.

Wir haben uns drei Tools (Miro, Conceptboard und Collaboard) näher angesehen und konnten einen der Anbieter sogar motivieren, sein Tool (Collaboard) datenschutzfreundlich anzupassen.

Miro und Conceptboard

Bei dem Tool Miro fiel bei der Begutachtung sofort auf, dass es bei jedem Zugriff Daten in die USA überträgt, indem Tracker wie Google Analytics und weitere US-amerikanische Dienste eingebunden sind.

Miro verarbeitet als US-amerikanischer Anbieter die Daten in den USA, was demnach besonders problematisch ist. Es ist kaum vorstellbar, dass es geeignete Maßnahmen geben könnte, den Zugriff durch US-Behörden zu verhindern.

Anders gelagert ist es bei dem Anbieter von Conceptboard, der seinen Sitz in Halle hat und demnach DSGVO-konform agieren sollte. Leider werden aber dort ebenfalls externe Dienste eingebunden, u.a auch solche US-amerikanischer Unternehmen.

Eine Übertragung personenbezogener Daten in die USA ist aber ohne zusätzliche Maßnahmen nicht zulässig, wie der EuGH im Urteil Schrems II beschied, da sonst US-Behörden wie die NSA darauf zugreifen können ohne dass die Nutzer davon erfahren oder sich (juristisch) dagegen wehren können.

Für beide Tools kommen wir zu dem Ergebnis, dass eine Nutzung im Rahmen der Lehre unserer Einschätzung nach nicht zulässig ist, da aufgrund der Lehre als hoheitlicher Aufgabe und der notwendigerweise verpflichtenden Nutzung nur auf Artikel 6 Abs. 1 Satz 1 Buchstabe b) DSGVO abgestellt werden kann – eine Einwilligungslösung ist nicht anwendbar (s.a. unseren Blog-Beitrag zu den Rechtsgrundlagen).

Insofern schneiden sowohl Miro als auch Conceptboard in der datenschutzrechtlichen Bewertung schlecht ab – eine Nutzung ist nicht empfehlenswert.

Collaboard

Bei Collaboard, das von einem Schweizer Unternehmen angeboten wird, wurden zwar auch US-amerikanische Dienste eingebunden, jedoch trafen wir bei der Nachfrage beim Anbieter auf ein großes Entgegenkommen, den Dienst datenschutzfreundlicher zu gestalten.

Letztlich wurde vom Anbieter die zusätzliche EDU-Plattform

geschaffen, bei der keine Daten mehr in die USA übertragen werden.

Der Dienst wird auf Microsoft Azure Servern in der Schweiz und in der EU betrieben [1]. Es werden Inhalte von Microsofts CDN[2] nachgeladen, z.B. https://dc.services.visualstudio.com.

Die EDU-Plattform bindet keine weiteren externen Dienste ein und wird damit als datenschutzfreundlich bewertet.

Das ist insofern erwähnungswert, da in der EDU-Plattform kein Tracking-Tool eingesetzt wird, während die Website https://www.collaboard.app und das kommerzielle Angebot https://web.collaboard.app Tracker und andere externe Dienste einbindet, die Daten in die USA übertragen, u.a. Google Analytics und Facebook.

Empfehlungen für die Nutzung von edu.collaboard.app

Es gibt eine kostenlose und eine kostenpflichtige Version der EDU-Plattform, deren Funktionalität differiert, bspw. ist die Anzahl der Boards bei der kostenlosen Version beschränkt. Wir haben uns die kostenlose Version angesehen.

Wir empfehlen die Registrierung mit Ihrer persönlichen E-Mail-Adresse an der TU Berlin, wobei ein neues, separates Passwort gewählt werden muss, da erst bei einer universitätsweiten Lizensierung Single Sign On (SSO) umsetzbar ist.

Es besteht zwar die Möglichkeit, sich mit einem Google-, Microsoft- oder Apple-Account anzumelden, diese Option sollte jedoch aus Datenschutzgründen nicht genutzt werden. Die Anmeldung mit einer privaten E-Mail-Adresse wird ebenfalls für die Nutzung im Studium oder dienstliche Zwecke nicht empfohlen.

Wir empfehlen außerdem, die in den eigenen Boards erstellten Inhalte und ggf. auch den Account zu löschen, wenn sie nicht mehr benötigt werden.

Personenbezogene Inhalte sollten idealerweise nicht in den Boards gespeichert werden und, sofern es doch geschehen sollte, sind dabei die einschlägigen rechtlichen Normen zu beachten, u.a. die DSGVO.


[1] Auf die Problematik, dass sich US-Behörden dank des Cloud-Acts Zugang zu Servern US-amerikanische Anbieter außerhalb der USA verschaffen können, gehen wir nicht weiter ein, jedoch ist die Hürde um einiges höher als bei der Verarbeitung in der USA, s.a. https://de.wikipedia.org/wiki/CLOUD_Act

[2] CDN: Content Delivery Network, eine Technologie um Ressourcen (z.B. JavaScript- und Medien-Dateien) weltweit effizient zur Verfügung zu stellen. Die Ressourcen werden dabei lokalisiert, d.h. von einem gut angebundenen und zumeist in derselben (Internet-)Region gelegenen Server geladen, damit die Ladezeit (Latenz) gering ist, s.a. de.wikipedia.org/wiki/Content_Delivery_Network

Link zu den Tools und weiterführende Informationen

Nachtrag zu Conceptboard

Wir haben den Anbieter von Conceptboard über unsere Einschätzung informiert und Antwort erhalten.

Einerseits betont der Anbieter, dass sie den Dienst DSGVO-konform betreiben und nach Lösungen gesucht haben, die Einbindung US-amerikanischer Dienste zu reduzieren, indem einige davon als zusätzliche Funktionen deaktivierbar sind bzw. die Anwender darauf hingewiesen werden, diese nicht zu nutzen. Wir denken aber, dass es nicht reicht, so vorzugehen, sondern dass der Service ohne solche Dienste auskommen sollte.

Andererseits werden in der Datenschutzerklärung weitere genutzte Dienste benannt, u.a. nicht näher ausgeführte Marketing-Dienste sowie sowie der Einsatz von Tracking-Pixeln.

Bei den Marketing-Diensten wird seitens des Anbieters argumentiert, dass diese nicht für den Dienst Collaboard, sondern nur für die Webseite genutzt werden und dass sie beabsichtigen, diese Dienste detaillierter zu beschreiben.

Unsere Einschätzung, dass Conceptboard nicht in der Lehre eingesetzt werden kann, bleibt auch nach den Klarstellungen bestehen.

 

 

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

3 Gedanken zu „Online-Whiteboards in der Lehre datenschutzgerecht nutzen“

  1. Guten Tag,
    vielen Dank für Ihre Einschätzung!
    Nun ist es ja so, dass die Boards nicht nur registrierte Benutzerinnen und Benutzer verwenden können, sondern auch mithilfe eines Gastzugangs gearbeitet werden kann. Werden die Daten der Gäste denn ebenfalls getrackt bzw. wie ist in diesem Fall Ihre Einschätzung zum Thema Datenschutz?
    Vielen Dank und beste Grüße

    1. Liebe Barbara Decker,

      vielen Dank für Ihren Kommentar.

      Sofern ein Tool Tracker einsetzt -wie beispielsweise Miro- werden auch Gäste und Besucher getrackt. Eine Zuordnung zu einer Person/einem Account ist dabei zwar nicht immer eindeutig möglich, jedoch findet Profilbildung statt – diese Daten können dann aber vom Anbieter und/oder dem Trackingdienstleister wie Google mit anderen Daten kombiniert und oft einem Account/Gerät und damit einer Person zugeordnet werden.

      Tools, die auf Tracking verzichten machen hier den Unterschied.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.