Archiv der Kategorie: Unterricht

Unterricht und Ausbildung

Die Berliner Landesbeauftragte bleibt auf Konfrontationskurs

Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Berlin, Maja Smoltczyk, hat im Streit mit Microsoft und Zoom nachgelegt. In der heute (03.07.2020) veröffentlichten Handlungshilfe „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten“ gibt es ein Ampelsystem zur Kennzeichnung von Diensten, die aus datenschutzrechtlicher Sicht geeignet oder eben auch nicht geeignet sind. Skype, Skype Business und Zoom sind weiterhin mit rot als nicht geeignet gekennzeichnet. Gleiches gilt übrigens auch für Microsoft Teams.

Die Nutzung dieser Dienste geht als weiter mit dem Risiko eines Datenschutzverstoßes einher, der bußgeldbewehrt ist. Die Begründungen, warum einzelne Anbieter so bewertet wurden, finden sich im Abschnitt „Anmerkungen zu den einzelnen Anbietern“ am Ende des Dokuments. Im Grunde geht es um die rechtswidrige Nutzung von Teilnehmerdaten und um unklare Verarbeitungsvorgänge.

Datenschutz, Schulen und Videokonferenzen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit BW veröffentlichte am 24. Juni 2020 eine Pressemitteilung zum Thema Zoom im Besonderen und Videokonferenzen im schulischen Umfeld im Allgemeinen.

Er erkannte an, dass Zoom nach allen bisher geäußerten Kritikpunkten reagiert und nachgebessert hat.

Interessant an der Pressemitteilung finde ich folgende Stelle:

Die Corona-Warn-App

Installieren oder nicht installieren? Das scheint die Frage der Woche zu sein. Dabei schlagen die Wellen ziemlich hoch. Ich will hier weiß Gott niemanden bekehren oder belehren.

Was wissen wir denn? Wir wissen, dass der Quellcode der App öffentlich zugänglich ist. Gleiches gilt für die Dokumentation der App. (Quelle) Ich konnte bisher noch keinen Bericht von bild.de über heise.de bis zu netzpolitik.org finden, der sich generell negativ zur App äußert.

Beschäftigt man sich mit den Maßnahmen zur Pseudonymisierung so kann man feststellen, dass hier hohe Maßstäbe angelegt wurden. In vielen populär gehaltenen Texten wird das Thema sehr knapp dargestellt. Die App erzeugt zunächst einen zufälligen Schlüssel auf dem Smartphone – einen TEK (Temporary Exposure Key). Dieser Schlüssel ändert sich alle 24 Stunden und wird nach 14 Tagen gelöscht und anschließend komplett neu angelegt.

Aus dem TEK wird alle 10 bis 20 Minuten ein 128-Bit-Schlüssel generiert, der RPI (Rolling Proximity Identifier).

Jetzt sendet das Smartphone etwa 4 bis 5 mal pro Sekunde den RPI via Bluetooth Low Energy (BLE) in die Gegend. BLE ist ein Standard, der technisch auf älteren Geräten nicht verfügbar ist. Hier hat man wohl abgewogen: Akku sparen und Reichweite einschränken (BLE) oder Akku belasten bei höherer Reichweite (Bluetooth Klasse 1, 2 oder 3).

Alle 5 Minuten lauscht gleichzeitig das Smartphone in der Gegend herum und sammelt RPIs anderer Geräte. 5 Minuten beträgt die durchschnittliche Expositionszeit, in der es zu einer erfolgreichen Infektion kommen kann.

An diesem Punkt sollte vielleicht erwähnt werden, was die App nicht tut. Die auf dem Smartphone generierten Schlüssel verlassen das Gerät zunächst einmal nicht. Eine Geolokalisation findet nicht statt. Also weder die App noch der Server, auf dem Infektionen erfasst werden können, kennen den Aufenthaltsort des Smartphones.

Und was passiert nun im Infektionsfall? Wir erinnern uns: Smartphones, die sich begegnen, tauschen ihre RPIs miteinander aus, wenn die Begegnung länger als 5 Minuten dauert. Wird nun ein Nutzer der App positiv auf eine Corona-Infektion getestet, so kann er frei entscheiden, ob dieser Fakt weiter verfolgt werden soll. Also auf freiwilliger Basis kann nun der TEK des Smartphones auf einen zentralen Server geladen werden. Der TEK lässt keinen Rückschluss auf das Smartphone des Nutzers zu.

Auf dem zentralen Server muss nun noch der Infektionsfall über einen QR-Code (deshalb benötigt die App Zugriff auf die Kamera) oder über eine PIN (nicht alle Labore können QR-Codes erzeugen) autorisiert werden. Wäre diese Sicherheitsschwelle nicht eingebaut, könnte man ja „fröhliches Infektionswellen lostreten“ spielen.

Nun kann die App die Liste aller aktuell als „infiziert“ gemeldeten TEKs vom zentralen Server laden. Noch immer wissen wir nicht, welches Smartphone, also welche Person, sich hinter den TEKs verbirgt. Aus den TEKs werden nun nur noch die RPIs berechnet. Die Liste der RPIs wird mit der lokal gespeicherten Liste der „Begegnungszentrum-RPIs“ verglichen. Liegt eine nÜbereinstimmung vor. Wird eine Warnung ausgegeben. Und noch immer ist unbekannt, wer wo und wann zu einem Infektionsrisiko für den App-Nutzer wurde.

Nun kann man trotzdem den Aluhut aufsetzen, an allem zweifeln und die App nicht nutzen. Das ist ok, weil das gesamte Verfahren ist freiwillig. Wir sind hier weder in Ungarn, noch in Südkorea oder in China.

Wer es gerne etwas kürzer, dafür aber mit Bilderchen haben möchte, kann gerne hier die Zusammenfassung lesen.

Das Ding mit den Videokonferenzen

Seit Beginn der Corona-Pandemie wird die Diskussion geführt, welches Videokonferenz-System sicher und datenschutzgerecht ist und welches das nicht ist.

Es geistern Tools wie Microsoft Teams, Skype, Zoom, Jitsi, Big Blue Button, Webex und noch viele weitere durch die Gegend.

Zu Beginn dieser Phase war Zoom mit der App ganz dolle böse. Die App gab Daten weiter. Das Problem wurde dann behoben. Da war Zoom zunächst einmal ein ganz gut geeignetes Tool. Die Daten allerdings liegen in den USA.

Wie soll man denn nun vorgehen, wenn es um die Bewertung von Hilfsmitteln im Hinblick auf das Thema Datenschutz geht?

Wer ist die verantwortliche Stelle?

Datenschutz gilt ausdrücklich nicht im Privaten (Art. 2 Abs. 2 lit. c DS-GVO). Also als Privatperson kann ich jedes Tool nutzen, das mir gerade über den Weg läuft. Gestalte ich als Lehrperson meinen Unterricht, kommuniziere ich mit Kunden, mit Patienten usw., dann ist mein Arbeitgeber die verantwortliche Stelle und die DS-GVO kommt zur Anwendung.

Werden überhaupt personenbezogene Daten erhoben, gespeichert, verarbeitet oder weitergegeben?

In einem Zustand der völligen Anonymität muss Datenschutz nicht berücksichtigt werden. Sobald aber die genutzten Daten einer natürlichen Person zugeordnet werden können, sieht das anders aus. Bei Videokonferenzen fallen Transportdaten (IP-Adressen, ev. Mail-Adressen, Autorisierungsangaben…) an. Mindestens IP- und Mail-Adresse lassen eine Identifizierung zu. Bei den Inhaltsdaten kommen Videodaten ins Spiel, wenn die Kamera genutzt wird. Textangaben werden vielleicht im Chat erhoben.

Auf welche Rechtsgrundlagen kann sich die verantwortliche Stelle beziehen?

Schön isses immer, wenn es eine gesetzliche Grundlage für die Datennutzung gibt. Da fällt mir keine ein, die bei Videokonferenzen herangezogen werden könnte.

Hat man in weiser Voraussicht entsprechende Formulierungen in Verträgen stehen, dann kann man sich auf Vertragserfüllung als Ausnahmetatbestand berufen. Das können Schulen z. B. im Schul- oder im Ausbildungsvertrag regeln. Vielleicht ist auch die Schulordnung ein geeigneter Platz.

Dann gäbe es noch die Einwilligung. Eine Einwilligung muss freiwillig erfolgen und sie muss dokumentiert sein. Außerdem ist sie jederzeit widerrufbar. Die Einwilligung ist also wenig geeignet, Unterricht in Zeiten der Pandemie mit Videokonferenztools zu gestalten.

Bleibt das besondere Interesse der verarbeitenden Stelle. Das allerdings ist ein Leichtgewicht-Argument. Nur wenn es absolut keine datenschutzgerechten Alternativen gibt, kann ich vielleicht das besonderes Interesse ins Feld schicken.

Mein Fazit zu diesem Punkt: Wer nicht in der Glaskugel die Pandemie hat heraufziehen sehen und vorsorglich seine Verträge vor Vertragsschluss angepasst hat, steht doof da, zumindest was die Nutzung von Videokonferenzen und einiger anderer Online-Tools betrifft.

Wie kann man nun sauber aus diesem Dilemma heraus kommen?

Wie bereits gezeigt: Vertragserfüllung ist die beste Lösung. Auf diese werden sich aber viele verantwortliche Stellen nicht berufen können. Die Einwilligung ist blöd. Was mache ich mit den SuS, die nicht einwilligen?

Schritt 1: Eigener Server – Beim eigenen Videokonferenz-Server verlassen die Daten nicht die verantwortliche Stelle. Eine Weitergabe der Daten nach außen oder gar in ein unsicheres Drittland (z. B. USA) kommt nun nicht mehr vor.

Schritt 2: Auswahl einer geeigneten Software – Die Lizenzform Open Source garantiert ein beachtliches Maß an Transparenz. Wenn dann dann noch die Plattform technik- und softwareneutral genutzt werden kann, ist schon mal viel gewonnen. Ich zwinge die Nutzer nicht, eine App zu installieren, wenn das Meeting auch im Web-Browser läuft.

Schritt 3: Minimierung der genutzten personenbezogenen Daten – Wenn keine Anmeldung zu einem Meeting mit einer Webadresse erforderlich ist, fällt diese Datenkategorie schon mal weg. Treten die SuS mit ausgeschalteter Kamera dem Meeting bei, ist auch diese Hürde ausgeräumt. Da der Chat innerhalb der verantwortlichen Stelle bleibt und zum Ende des Meetings gelöscht wird, ist das Thema auch kein wirkliches Thema mehr. Heikel bleiben Aufzeichnungen der Meetings. Aber die können ja untersagt werden.

Wenn man diesen Punkten Beachtung schenkt, dann sieht das Leichtgewicht „Besonderes Interesse der verantwortlichen Stelle nach Risikoabwägung“ plötzlich gar nicht mehr wie ein Leichtgewicht aus. Vielmehr eröffnet sich hiermit die Möglichkeit, Videokonferenzen datenschutzkonform durchzuführen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit schreibt zum Thema in ihrer „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ vom 22. Mai 2020:

Digitaler Unterricht mit LearningView – Teil 1

An unseren Schulen gibt es eine Arbeitsgruppe „Unterricht 4.0“. Gemeinsam überlegen wir, wie Unterricht im Zeitalter der Digitalität gestaltet werden kann. Ich setze gerne Padlet ein. Dazu habe ich immer mal was geschrieben. Für Neuanmeldungen ist die Anzahl der Padlets, die kostenfrei erstellt werden können, auf 3 beschränkt. Das ist nicht so schön und wir suchen gemeinsam nach Alternativen.

Eine Kollegin wurde auf Learningview aufmerksam. Sie bat mich um eine datenschutztechnische Einschätzung des Angebotes. Wir wollen Lehrkräfte und Schüler zusammen bringen. Da kommt man um das Thema „Datenschutz“ nicht herum. Die Plattform kann gegenwärtig kostenlos genutzt werden. Sie kommt von der Pädagogischen Hochschule Schwyz. Da die Schweiz im Sinne des Datenschutzes sicherer Drittstaat ist, seht einer Nutzung zunächst einmal nichts im Weg.

Ich habe in dieser Woche mal bissel mit der Plattform gespielt. Sie unterstützt auch Apps in beiden großen mobilen Welten. Um dem Datenschutz nun vollständig zu entsprechen, habe ich meine Schüler durch ihre Vornamen anonymisiert.

Nach Registrierung als Lehrer kann man einen neuen Kurs (eine neue Klasse) anlegen.

Kursname rein – fertig

Der neue Kurs kann nun mit Schülern und Lehrern „befüllt“ werden.

Kursübersicht

Die Schüler müssen nicht per Hand eingegeben werden. Man kann bequem eine Liste importieren. Einzige Voraussetzung: Die Liste muss die Schüler durch Absatz trennen und die Schreibweise muss „Vorname, Name“ lauten.

Mit dem Button „Anmeldecodes anzeigen“ wird eine Liste generiert. In dieser Liste stehen alle Schüler des Kurses. Für jeden Schüler gibt es einen QR-Code sowie eine Kombination aus Login und Passwort. Diese Liste kann als PDF-Dokument exportiert, gespeichert und ausgedruckt werden.

Nur noch zerschnippeln und an Schüler austeilen

Im nächsten Teil werde ich dann Aufgaben erstellen. Das kann spannend werden.

27. Januar 2020 – Das iPad feiert 10. Geburtstag

Nachdem Steve Jobs am 27. Januar 2010 das iPad vorstellte, schrieb das Wall Street Journal dazu: „Das letzte Mal, als es dermaßen viel Aufregung um eine Tafel gab, standen darauf ein paar Gebote.“

Bis 2018 waren die iPad-Umsatzzahlen rückläufig. Inzwischen sind sie wieder leicht gestiegen. Das Aus für Tablets wurde bereits mehrfach prognostiziert. So ein richtiges Ende allerdings kann ich derzeit nicht erkennen.

Ich bin seit vielen Jahren intensiver iPad-Nutzer. Ich lese Bücher auf meinem iPad, ich kommuniziere via E-Mail, ich nutze mein iPad für Social Media. Seit etwa einem Jahr schreibe ich längere Texte mit einer externen Tastatur. Gerade tue ich das übrigens auch.

Mein iPad ist für mich ein unverzichtbarer Begleiter im Arbeitsalltag. Hier bereite ich meinen Unterricht vor. Ich plane und organisiere Unterrichtsprojekte und ich nutze es zur Medienwiedergabe. Um geräteneutral arbeiten zu können, setze ich AppleTV 2 ein. Ich kann mich so frei im Klassenraum bewegen und trotzdem Inhalte für meine Schüler projizieren.

Ich sage an der Stelle einfach mal: Herzlichen Glückwunsch iPad. Schön, dass es Dich gibt!

Ein Lehrer, eine Schule und das Recht am eigenen Bild

Am 6. September 2019 musste sich das Verwaltungsgericht Koblenz mit einer Situation aus dem Schulalltag beschäftigen, in der es um das Recht am eigenen Bild im Schulalltag ging.

Ein Lehrer fühlte sich in seinen Persönlichkeitsrechten missachtet. Eine Fotografin hatte von zwei Klassen Fotos gemacht, auf denen auch der Lehrer zu sehen ist. Diese beiden Fotos wurden im Schuljahrbuch veröffentlicht. Genau an dieser Stelle sah der Lehrer seine Persönlichkeitsrechte missachtet. Dabei berief er sich auf § 22 des Kunsturhebergesetzes (KUG): „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden…“

Das Verwaltungsgericht lehnte die Klage ab. Alle Lehrer waren über den Fototermin und über den Verwendungszweck der Fotos informiert. Beim Erzeugen der Fotos hätte der Lehrer die Chance gehabt, aus dem Bild zu treten. Hinzu kommt, so das VG Koblenz, dass in diesem Fall § 23 des KUG herangezogen werden kann: „(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:
1. Bildnisse aus dem Bereiche der Zeitgeschichte…“ Und genau diesen Ausnahmetatbestand sieht das Gericht erfüllt.

Stellt sich noch die Frage: Warum hat der Lehrer nicht auf Grundlage der DS-GVO geklagt? Seine Klage richtete sich ausschließlich gegen die Veröffentlichung von Fotos, auf denen seine Person gezeigt wurde. Er forderte den Rückruf aller verkauften Jahrbücher, das Unkenntlich machen seiner Person und das Schwärzen seines Namens in der Bildunterschrift. Die Veröffentlichung von Personenbildnissen wird im KUG geregelt und ist kein Problem der DS-GVO.

Was kann man für den Schulalltag aus dieser Situation ableiten?

  • Eine dokumentierte, also schriftliche, Einwilligung vermeidet Stress. Dabei ist es unerheblich, ob man sich auf das KUG berufen kann. Die DS-GVO spielt zumindest im Hintergrund immer mit.
  • Für konkrete Fototermine bedarf es einer konkreten Ankündigung. Diese sollte Anlass, Verwendungszweck und Publikationsform enthalten.
  • Ist ein Bild erst einmal publiziert, kann es unmöglich sein, es zu entfernen.

„Schule kann mehr“ – Schule überdenken

Helmut Hochschild hat 40 Jahre im Schuldienst verbracht. Er ist Mathelehrer, war Schulleiter und Schulrat in Berlin und hat sich zuletzt als Seminardirektor um die Ausbildung von Referendaren gekümmert. Nun mach seit August er zusammen mit dem Journalisten Leon Stebe einen Podcast zu den Themen Schule, Bildung, Lernwelten.

Ich habe mich mal in den Podcast eingehört und finde das Konzept spannend. Die angesprochenen Themen sind nicht nur für Lehrende und Lernende interessant. Ich finde, über Bildung nachzudenken, kann nicht schaden.

Ausbildung Altenpflege – Gruppenarbeit

Ich habe heute Unterricht in einer sehr kleinen Klasse der Fachrichtung Altenpflege. Mir stehen vier Unterrichtseinheiten zur Verfügung. In diesen vier Unterrichtsstunden möchte ich meinen Schülern zeigen, welche Alternativen es zur Ergebnispräsentation mit PowerPoint gibt. Den Stoff binde ich in eine konkrete Gruppenarbeit ein.

Es gibt vielfältige Gründe, für die Präsentation von Gruppenarbeitsergebnissen nicht auf PowerPoint zu setzen: Zuerst einmal ist ein Vortragender erforderlich. Die Präsentation begleitet den Vortrag linear. Bei Rückfragen zu einem bereits dargestellten Inhalt, ist ein vergleichsweise aufwendiger Rücksprung erforderlich. Gibt der Vortrtagende die Präsentation als Datei oder als Ausdruck weiter, friert er den inhaltlichen Zustand ein. PowerPoint ist nicht unbedingt als universell verfügbar einzustufen.

Ich möchte meinen Schülern eine Möglichkeit vorstellen, die folgenden Überlegungen Rechnung trägt: Ein Vortragender wird nicht benötigt. Die Konsumenten entscheiden, wann sie welche Inhalte lesen. Dabei müssen aber alle Inhalte gelesen werden. Der Zugriff auf die Inhalte ist in einem geografisch abgegrenzten Raum möglich (Wohnbereich, Dienstzimmer, Korridor…). Am Ende wirdt ein Quiz zur Erfolgskontrolle absolviert.

Die Saison der Infektionskrankeiten steht in den Startlöchern. Also Habe ich mir das Thema „Handhygiene und Hautpflege“ ausgewählt. Die Schüler arbeiten in drei Gruppen: Notwendigkeit von Handhygiene, Hygienemaßnahmen umsetzen, Hautpflege.

Nachdem ich die Klasse in das Projekt eingeführt habe, die Gruppen gebildet sind und jede Gruppe ihr Thema gewählt hat, steigen wir in die Informationsrecherche ein. Dafür habe ich 25 Minuten eingeplant.

Nun stelle ich meinen Schülern Microsoft Sway als Online-Publikationsplattform vor. Die Benutzerführung ist simpel. Alle Änderungen werden sofort publiziert. Und das Ganze ist auch noch kostenlos. Für die Einführung in Sway habe ich 45 Minuten kalkuliert.

In 45 Minuten erstellen die Gruppen jetzt ihre Inhalte, bestehend aus Texten, Bildern und Videos.

Zum Abschluss zeige ich, wie die Sway-Seiten so publiziert werden können, dass darauf ein Zugriff erfolgen kann. Die kryptischen Webadressen, die Sway für die Seiten generiert, werden in QR-Codes verpackt. Für das Erzeugen von QR-Codes kann ein beliebiges kostenloses Online Tool verwendet werden. Diese QR-Codes bringen wir in der Schule an passenden Stellen an. Das Quiz für eine mögliche Erfolgskontrolle erstellen die Gruppen gemeinsam. Für das Quiz verwenden wir learningapps.org. Zuletzt testen wir alles. Dafür benötigen wir weitere 45 Minuten.