Online-Whiteboards in der Lehre datenschutzgerecht nutzen

Bereits im Wintersemester 2020/21 haben wir uns zusammen mit engagierten Lehrenden und der Zentraleinrichtung Wissenschaftliche Weiterbildung und Kooperation an der TU (ZEWK) auf die Suche nach datenschutzkonformen Online-Tools begeben.

Insbesondere Whiteboard-Tools werden gern genutzt. Online-Whiteboards eignen sich zur Visualisierung von Abläufen und Zusammenhängen sowie zur Gestaltung digitaler Poster oder Präsentationen. Ein Teilen und kollaboratives Bearbeiten der Boards ist in der Regel möglich.

Die Tools können direkt im Browser aufgerufen werden, einige gibt es auch als App.

Wir haben uns drei Tools (Miro, Conceptboard und Collaboard) näher angesehen und konnten einen der Anbieter sogar motivieren, sein Tool (Collaboard) datenschutzfreundlich anzupassen.

Miro und Conceptboard

Bei dem Tool Miro fiel bei der Begutachtung sofort auf, dass es bei jedem Zugriff Daten in die USA überträgt, indem Tracker wie Google Analytics und weitere US-amerikanische Dienste eingebunden sind.

Miro verarbeitet als US-amerikanischer Anbieter die Daten in den USA, was demnach besonders problematisch ist. Es ist kaum vorstellbar, dass es geeignete Maßnahmen geben könnte, den Zugriff durch US-Behörden zu verhindern.

Anders gelagert ist es bei dem Anbieter von Conceptboard, der seinen Sitz in Halle hat und demnach DSGVO-konform agieren sollte. Leider werden aber dort ebenfalls externe Dienste eingebunden, u.a auch solche US-amerikanischer Unternehmen.

Eine Übertragung personenbezogener Daten in die USA ist aber ohne zusätzliche Maßnahmen nicht zulässig, wie der EuGH im Urteil Schrems II beschied, da sonst US-Behörden wie die NSA darauf zugreifen können ohne dass die Nutzer davon erfahren oder sich (juristisch) dagegen wehren können.

Für beide Tools kommen wir zu dem Ergebnis, dass eine Nutzung im Rahmen der Lehre unserer Einschätzung nach nicht zulässig ist, da aufgrund der Lehre als hoheitlicher Aufgabe und der notwendigerweise verpflichtenden Nutzung nur auf Artikel 6 Abs. 1 Satz 1 Buchstabe b) DSGVO abgestellt werden kann – eine Einwilligungslösung ist nicht anwendbar (s.a. unseren Blog-Beitrag zu den Rechtsgrundlagen).

Insofern schneiden sowohl Miro als auch Conceptboard in der datenschutzrechtlichen Bewertung schlecht ab – eine Nutzung ist nicht empfehlenswert.

Collaboard

Bei Collaboard, das von einem Schweizer Unternehmen angeboten wird, wurden zwar auch US-amerikanische Dienste eingebunden, jedoch trafen wir bei der Nachfrage beim Anbieter auf ein großes Entgegenkommen, den Dienst datenschutzfreundlicher zu gestalten.

Letztlich wurde vom Anbieter die zusätzliche EDU-Plattform

geschaffen, bei der keine Daten mehr in die USA übertragen werden.

Der Dienst wird auf Microsoft Azure Servern in der Schweiz und in der EU betrieben [1]. Es werden Inhalte von Microsofts CDN[2] nachgeladen, z.B. https://dc.services.visualstudio.com.

Die EDU-Plattform bindet keine weiteren externen Dienste ein und wird damit als datenschutzfreundlich bewertet.

Das ist insofern erwähnungswert, da in der EDU-Plattform kein Tracking-Tool eingesetzt wird, während die Website https://www.collaboard.app und das kommerzielle Angebot https://web.collaboard.app Tracker und andere externe Dienste einbindet, die Daten in die USA übertragen, u.a. Google Analytics und Facebook.

Nachtrag Juli 2022:

Empfehlungen für die Nutzung von edu.collaboard.app

Es gibt eine kostenlose und eine kostenpflichtige Version der EDU-Plattform, deren Funktionalität differiert, bspw. ist die Anzahl der Boards bei der kostenlosen Version beschränkt. Wir haben uns die kostenlose Version angesehen.

Wir empfehlen die Registrierung mit Ihrer persönlichen E-Mail-Adresse an der TU Berlin, wobei ein neues, separates Passwort gewählt werden muss, da erst bei einer universitätsweiten Lizensierung Single Sign On (SSO) umsetzbar ist.

Es besteht zwar die Möglichkeit, sich mit einem Google-, Microsoft- oder Apple-Account anzumelden, diese Option sollte jedoch aus Datenschutzgründen nicht genutzt werden. Die Anmeldung mit einer privaten E-Mail-Adresse wird ebenfalls für die Nutzung im Studium oder dienstliche Zwecke nicht empfohlen.

Wir empfehlen außerdem, die in den eigenen Boards erstellten Inhalte und ggf. auch den Account zu löschen, wenn sie nicht mehr benötigt werden.

Personenbezogene Inhalte sollten idealerweise nicht in den Boards gespeichert werden und, sofern es doch geschehen sollte, sind dabei die einschlägigen rechtlichen Normen zu beachten, u.a. die DSGVO.


[1] Auf die Problematik, dass sich US-Behörden dank des Cloud-Acts Zugang zu Servern US-amerikanische Anbieter außerhalb der USA verschaffen können, gehen wir nicht weiter ein, jedoch ist die Hürde um einiges höher als bei der Verarbeitung in der USA, s.a. https://de.wikipedia.org/wiki/CLOUD_Act

[2] CDN: Content Delivery Network, eine Technologie um Ressourcen (z.B. JavaScript- und Medien-Dateien) weltweit effizient zur Verfügung zu stellen. Die Ressourcen werden dabei lokalisiert, d.h. von einem gut angebundenen und zumeist in derselben (Internet-)Region gelegenen Server geladen, damit die Ladezeit (Latenz) gering ist, s.a. de.wikipedia.org/wiki/Content_Delivery_Network

Link zu den Tools und weiterführende Informationen

Nachtrag zu Conceptboard

Wir haben den Anbieter von Conceptboard über unsere Einschätzung informiert und Antwort erhalten.

Einerseits betont der Anbieter, dass sie den Dienst DSGVO-konform betreiben und nach Lösungen gesucht haben, die Einbindung US-amerikanischer Dienste zu reduzieren, indem einige davon als zusätzliche Funktionen deaktivierbar sind bzw. die Anwender darauf hingewiesen werden, diese nicht zu nutzen. Wir denken aber, dass es nicht reicht, so vorzugehen, sondern dass der Service ohne solche Dienste auskommen sollte.

Andererseits werden in der Datenschutzerklärung weitere genutzte Dienste benannt, u.a. nicht näher ausgeführte Marketing-Dienste sowie sowie der Einsatz von Tracking-Pixeln.

Bei den Marketing-Diensten wird seitens des Anbieters argumentiert, dass diese nicht für den Dienst Conceptboard, sondern nur für die Webseite genutzt werden und dass sie beabsichtigen, diese Dienste detaillierter zu beschreiben.

Unsere Einschätzung, dass Conceptboard nicht in der Lehre eingesetzt werden sollte, bleibt auch nach den Klarstellungen bestehen.

Nachtrag zu Collaboard vom 8. Juli & 14. November 2022

Die kostenlose Nutzung der in Deutschland gehosteten EDU-Plattform scheint nunmehr seitens des Anbieters auf 14 Tage beschränkt zu sein, wie der Seite www.collaboard.app/de/collaboard-edu?hsLang=de  zu entnehmen ist.

Die kostenfreie kommerzielle Plattform ist u.a. aufgrund der Einbindung US-amerikanischer Dienste (s.o.) datenschutzrechtlich bedenklich ist und kann insofern nicht empfohlen werden.

Die Aussagen scheinen sich nicht ganz zu decken:

Unter

kann weiterhin eine Registrierung für die kostenlose EDU-Plattform vorgenommen werden, die -zumindest dem Anschein nach- nicht auf 14 Tage beschränkt ist.

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

19 Gedanken zu „Online-Whiteboards in der Lehre datenschutzgerecht nutzen“

  1. Ahoi, conceptboard scheint inzwischen auf Matomo umgestiegen zu sein. (wenn ihr nochmal schauen wollt, das fand ich ganz spannend ).
    Liebe Grüße! Sebastian

    1. Hallo Seb,

      Danke, wenn statt Google Analytics Matomo genutzt wird ist das eine echte Verbesserung aus Datenschutzsicht.
      Zum Testen kommen wir derzeit aber nicht…
      Das kann gern jemand ergänzen (=Kommentar mit Link), der aktuell eine Evaluation/Prüfung vornimmt.

  2. Guten Tag,

    wenn man sich unter https://edu.collaboard.app registriert und ein Board erstellt, kann man dieses nur mit registrieten Nutzern von Collaboard teilen. Ein Teilen mit Gästen über einen Link (ohne Anmeldung) ist nur in einer kostenpflichtigen Version möglich. Ist es Studierenden zumutbar bzw. darf man es verlangen, dass sie sich bei dem Anbieter anzumelden?

    Ich habe gesehen, dass es nun auch ein Miro lite gibt, welches DGSVO-konform sein soll: https://www.digibits.de/materialien/miro-lite/ Keiner muss sich anmelden – aber das Board wird nach 24h gelöscht. Kann die Verwendung empfohlen werden?

    Vielen Dank und beste Grüße, Sabine

    1. Hallo Sabine,

      Danke für Deinen informativen Kommentar.

      Generell ist auch bei https://edu.collaboard.app eine Lizensierung durch die Hochschule anzuraten, um Tools im Lehrkontext zu nutzen.

      Zu dem von Ihnen erwähnten Miro lite können wir Ad Hoc feststellen, dass es natürlich gut ist, wenn keine Registrierung / Anmeldung entfällt und somit eine anonyme Teilnahme grundsätzlich möglich wäre.
      Dass die Boards nach 24 Stunden gelöscht werden ist im Lehrkontext u.U. aber auch problematisch, da ein längerer Zugriff durchaus sinnvoll sein kann – und dafür müsste dann Miro genutzt werden.

      Jedoch ist Google Analytics eingebunden (mit der JavaScript-Datei googletagmanager.js) und somit werden weiterhin Daten in die USA übertragen. Vermutlich werden die Boards von Miro auch in der USA verarbeitet, es ist ja ein US-amerikanisches Unternehmen. Aufgrund Schrems II weiterhionproblematisch…

      Bei der Nutzung willigt ein*e Nutzer*in auch die allgemeinen „Terms of Service“ und „Privacy Policy“ von Miro ein, hier ist kein Unterschied zu erkennen. Die Einwilligung gem. Art 6 Abs 1 lit a DSGVO ist der übliche Weg, bei dem die Datentransfers in die USA explizit erlaubt werden, insofern „entsprechemnd der DSGVO“.

      Aus Datenschutzsicht empfehlenswert erscheint es aber leider trotzdem nicht.

  3. Hallo,
    vielen Dank für diesen spannenden Artikel. Ich würde gerne ein Online Whiteboard im Verwaltungskontext einführen. Hast du dir auch die Optionen einer on premise Lösung angeschaut? Sendet Conceptboard in diesem Falle auch DAten in die USA?
    SChöne Grüße
    Matthias

    1. Hallo Matthias,

      wir haben uns nur die drei Online-Whiteboards angesehen, zu selbst gehosteten Lösungen können wir keine Aussage treffen.

    2. Conceptboard bietet mittlerweile sehr wohl eine Lösung ohne Datenübertragung in die USA an, sowohl als On Premise Variante oder Online auf dem rein deutschen Server IONOS.

      1. Hallo Jonas Lippert,

        Vielen Dank für Deinen Kommentar.

        Es freut uns, wenn andere Anbieter ihre Produkte datenschutzfreundlich(er) gestalten – nochmals geprüft haben wir ConceptBoard allerdings nicht darauf, ob weiterhin Daten in die USA fließen (u.a. war Google Analytics bei ConceptBoard eingebunden).

  4. Vielen Dank für Ihre Ausführungen/Empfehlungen zur Nutzung der kostenfreien Version des edu.collaboards. Gibt es ggf. auch eine Einschätzung zur Berücksichtigung der DSGVO-Konformität bei der kostenpflichtigen Version?

    1. Hallo Maritta,

      die Plattform collaboard.edu konnte kostenfrei und kostenpflichtig genutzt werden.

      Allerdings scheint eine kostenfreie Nutzung nur noch 14 Tage möglich zu sein: http://www.collaboard.app/de/collaboard-edu?hsLang=de

      Soweit uns bekannt ist bei der kostenpflichtige Plattform der Funktionsumfang größer und es sind -z.B. bei Lizensierung durch eine Universität- Anpassungen beim Login möglich bis hin zur Einbindung des Single-Sign-On mit dem Uni-Account. Geprüft haben wir es allerdings nicht.

      1. Hallo in die Runde,

        ich möchte an dieser Stelle noch auf das Hosting von Collaboard in Deutschland auf Servern der Telekom in der Open Telekom Cloud hinweisen. Das Hosting dort gibt es in einer kostenlosen Version, auf unbegrenzte Zeit, aber mit eingeschränktem Umfang. Meiner Recherche nach ist es von Trackern von Google etc. befreit. Collaboard spricht von DSGVO-Konformen Hosting.

        Die Hostings auf z.B. Microsoft Azure Cloud Servern, aber auch von den Servern in der Schweiz (dort wurde ja das EDU Angebot) sind meines Wissenstand nach komplett von dem Hosting in Deutschland und der Open Telekom Cloud getrennt. D.h. es sind auch unterschiedliche Accounts nötig.

        Leider kann man so natürlich schlecht die Boards von EDU auf das DE Angebot migrieren. Ob es da Möglichkeiten von und durch Collaboard gibt, kann ich derzeit nicht sagen.

        Liebe Grüße,
        Felix

        1. Hallo Felix,

          das hört sich grundsätzlich gut an. Auf der von mir verlinkten Seite wird allerdings nur von einem 14-tägigem kostenlosen Test gesprochen.

          Sonstn wäre das eine Alternative zu der im Blogbeitrag besprochenen EDU-Plattform, deren kostenlose Variante nurmehr etwas versteckt aufzufinden ist (siehe Kommentar weiter oben).

    1. Hallo Lea,

      doch, Collaboard ist bei Nutzung der EDU-Plattform datenschutzfreundlich und ist daher -im Gegensatz zu den anderen beiden Tools- empfehlenswert.

        1. Hallo Markus,

          das hängt von den Nutzungsbedingungen des Anbieters ab, das „edu“ in der URL lässt allerdings vermuten, dass es nur für den Bildungsbereich gedacht ist.
          Fragen Sie am Besten direkt bei Collaboard nach.

  5. Guten Tag,
    vielen Dank für Ihre Einschätzung!
    Nun ist es ja so, dass die Boards nicht nur registrierte Benutzerinnen und Benutzer verwenden können, sondern auch mithilfe eines Gastzugangs gearbeitet werden kann. Werden die Daten der Gäste denn ebenfalls getrackt bzw. wie ist in diesem Fall Ihre Einschätzung zum Thema Datenschutz?
    Vielen Dank und beste Grüße

    1. Liebe Barbara Decker,

      vielen Dank für Ihren Kommentar.

      Sofern ein Tool Tracker einsetzt -wie beispielsweise Miro- werden auch Gäste und Besucher getrackt. Eine Zuordnung zu einer Person/einem Account ist dabei zwar nicht immer eindeutig möglich, jedoch findet Profilbildung statt – diese Daten können dann aber vom Anbieter und/oder dem Trackingdienstleister wie Google mit anderen Daten kombiniert und oft einem Account/Gerät und damit einer Person zugeordnet werden.

      Tools, die auf Tracking verzichten machen hier den Unterschied.

Schreibe einen Kommentar zu Felix Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert