Hervorgehobener Beitrag

Ihr Datenschutzbeauftragter – Blog

Guten Tag und herzlich willkommen in meinem Datenschutz-Blog.

Spätestens seit dem 25. Mai 2018, dem Tag, an dem die Datenschutz-Grundverordnung der Europäischen Union in Kraft trat, ist das Thema Datenschutz zu einem festen Begleiter geworden.

Ich greife verschiedene Themen auf und stelle sie hier vor. Bei Fragen kann ich unter ulf.tschech@ihrdatenschutzbeauftragter.info kontaktiert werden.

Das Ding mit den Videokonferenzen

Seit Beginn der Corona-Pandemie wird die Diskussion geführt, welches Videokonferenz-System sicher und datenschutzgerecht ist und welches das nicht ist.

Es geistern Tools wie Microsoft Teams, Skype, Zoom, Jitsi, Big Blue Button, Webex und noch viele weitere durch die Gegend.

Zu Beginn dieser Phase war Zoom mit der App ganz dolle böse. Die App gab Daten weiter. Das Problem wurde dann behoben. Da war Zoom zunächst einmal ein ganz gut geeignetes Tool. Die Daten allerdings liegen in den USA.

Wie soll man denn nun vorgehen, wenn es um die Bewertung von Hilfsmitteln im Hinblick auf das Thema Datenschutz geht?

Wer ist die verantwortliche Stelle?

Datenschutz gilt ausdrücklich nicht im Privaten (Art. 2 Abs. 2 lit. c DS-GVO). Also als Privatperson kann ich jedes Tool nutzen, das mir gerade über den Weg läuft. Gestalte ich als Lehrperson meinen Unterricht, kommuniziere ich mit Kunden, mit Patienten usw., dann ist mein Arbeitgeber die verantwortliche Stelle und die DS-GVO kommt zur Anwendung.

Werden überhaupt personenbezogene Daten erhoben, gespeichert, verarbeitet oder weitergegeben?

In einem Zustand der völligen Anonymität muss Datenschutz nicht berücksichtigt werden. Sobald aber die genutzten Daten einer natürlichen Person zugeordnet werden können, sieht das anders aus. Bei Videokonferenzen fallen Transportdaten (IP-Adressen, ev. Mail-Adressen, Autorisierungsangaben…) an. Mindestens IP- und Mail-Adresse lassen eine Identifizierung zu. Bei den Inhaltsdaten kommen Videodaten ins Spiel, wenn die Kamera genutzt wird. Textangaben werden vielleicht im Chat erhoben.

Auf welche Rechtsgrundlagen kann sich die verantwortliche Stelle beziehen?

Schön isses immer, wenn es eine gesetzliche Grundlage für die Datennutzung gibt. Da fällt mir keine ein, die bei Videokonferenzen herangezogen werden könnte.

Hat man in weiser Voraussicht entsprechende Formulierungen in Verträgen stehen, dann kann man sich auf Vertragserfüllung als Ausnahmetatbestand berufen. Das können Schulen z. B. im Schul- oder im Ausbildungsvertrag regeln. Vielleicht ist auch die Schulordnung ein geeigneter Platz.

Dann gäbe es noch die Einwilligung. Eine Einwilligung muss freiwillig erfolgen und sie muss dokumentiert sein. Außerdem ist sie jederzeit widerrufbar. Die Einwilligung ist also wenig geeignet, Unterricht in Zeiten der Pandemie mit Videokonferenztools zu gestalten.

Bleibt das besondere Interesse der verarbeitenden Stelle. Das allerdings ist ein Leichtgewicht-Argument. Nur wenn es absolut keine datenschutzgerechten Alternativen gibt, kann ich vielleicht das besonderes Interesse ins Feld schicken.

Mein Fazit zu diesem Punkt: Wer nicht in der Glaskugel die Pandemie hat heraufziehen sehen und vorsorglich seine Verträge vor Vertragsschluss angepasst hat, steht doof da, zumindest was die Nutzung von Videokonferenzen und einiger anderer Online-Tools betrifft.

Wie kann man nun sauber aus diesem Dilemma heraus kommen?

Wie bereits gezeigt: Vertragserfüllung ist die beste Lösung. Auf diese werden sich aber viele verantwortliche Stellen nicht berufen können. Die Einwilligung ist blöd. Was mache ich mit den SuS, die nicht einwilligen?

Schritt 1: Eigener Server – Beim eigenen Videokonferenz-Server verlassen die Daten nicht die verantwortliche Stelle. Eine Weitergabe der Daten nach außen oder gar in ein unsicheres Drittland (z. B. USA) kommt nun nicht mehr vor.

Schritt 2: Auswahl einer geeigneten Software – Die Lizenzform Open Source garantiert ein beachtliches Maß an Transparenz. Wenn dann dann noch die Plattform technik- und softwareneutral genutzt werden kann, ist schon mal viel gewonnen. Ich zwinge die Nutzer nicht, eine App zu installieren, wenn das Meeting auch im Web-Browser läuft.

Schritt 3: Minimierung der genutzten personenbezogenen Daten – Wenn keine Anmeldung zu einem Meeting mit einer Webadresse erforderlich ist, fällt diese Datenkategorie schon mal weg. Treten die SuS mit ausgeschalteter Kamera dem Meeting bei, ist auch diese Hürde ausgeräumt. Da der Chat innerhalb der verantwortlichen Stelle bleibt und zum Ende des Meetings gelöscht wird, ist das Thema auch kein wirkliches Thema mehr. Heikel bleiben Aufzeichnungen der Meetings. Aber die können ja untersagt werden.

Wenn man diesen Punkten Beachtung schenkt, dann sieht das Leichtgewicht „Besonderes Interesse der verantwortlichen Stelle nach Risikoabwägung“ plötzlich gar nicht mehr wie ein Leichtgewicht aus. Vielmehr eröffnet sich hiermit die Möglichkeit, Videokonferenzen datenschutzkonform durchzuführen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit schreibt zum Thema in ihrer „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ vom 22. Mai 2020:

Aktualisiert – Leitlinien zur Einwilligung in Nutzung von Websites

Am 5. Mai 2020 aktualisierte der Europäische Datenschutzausschuss (EDSA) die Leitlinien. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit Prof. Ulrich Kelber ist Mitglied des EDSA. Er begrüßte die Änderungen.

Ausgangslage

Immer noch existieren Websites, die durch geeignete Maßnahmen den Nutzern Tracking unterjubeln.

Leitlinien

Ein Cookie-Wall ist eine Maßnahme, die das Nutzen einer Website ohne Cookie-Einwilligung unmöglich macht. Die Leitlinien erlauben Cookie-Walls nur noch, wenn eine Nutzungsalternative, beispielsweise als Bezahldienst, existiert.

Zweiter wichtiger Fakt: Die Nutzung einer Website stellt keine Einwilligung dar. Das ist an sich nicht neu. Bisher galt bereits, dass eine Einwilligung immer durch einen aktiven Akt erklärt werden muss.

Digitaler Unterricht mit LearningView – Teil 1

An unseren Schulen gibt es eine Arbeitsgruppe „Unterricht 4.0“. Gemeinsam überlegen wir, wie Unterricht im Zeitalter der Digitalität gestaltet werden kann. Ich setze gerne Padlet ein. Dazu habe ich immer mal was geschrieben. Für Neuanmeldungen ist die Anzahl der Padlets, die kostenfrei erstellt werden können, auf 3 beschränkt. Das ist nicht so schön und wir suchen gemeinsam nach Alternativen.

Eine Kollegin wurde auf Learningview aufmerksam. Sie bat mich um eine datenschutztechnische Einschätzung des Angebotes. Wir wollen Lehrkräfte und Schüler zusammen bringen. Da kommt man um das Thema „Datenschutz“ nicht herum. Die Plattform kann gegenwärtig kostenlos genutzt werden. Sie kommt von der Pädagogischen Hochschule Schwyz. Da die Schweiz im Sinne des Datenschutzes sicherer Drittstaat ist, seht einer Nutzung zunächst einmal nichts im Weg.

Ich habe in dieser Woche mal bissel mit der Plattform gespielt. Sie unterstützt auch Apps in beiden großen mobilen Welten. Um dem Datenschutz nun vollständig zu entsprechen, habe ich meine Schüler durch ihre Vornamen anonymisiert.

Nach Registrierung als Lehrer kann man einen neuen Kurs (eine neue Klasse) anlegen.

Kursname rein – fertig

Der neue Kurs kann nun mit Schülern und Lehrern „befüllt“ werden.

Kursübersicht

Die Schüler müssen nicht per Hand eingegeben werden. Man kann bequem eine Liste importieren. Einzige Voraussetzung: Die Liste muss die Schüler durch Absatz trennen und die Schreibweise muss „Vorname, Name“ lauten.

Mit dem Button „Anmeldecodes anzeigen“ wird eine Liste generiert. In dieser Liste stehen alle Schüler des Kurses. Für jeden Schüler gibt es einen QR-Code sowie eine Kombination aus Login und Passwort. Diese Liste kann als PDF-Dokument exportiert, gespeichert und ausgedruckt werden.

Nur noch zerschnippeln und an Schüler austeilen

Im nächsten Teil werde ich dann Aufgaben erstellen. Das kann spannend werden.

27. Januar 2020 – Das iPad feiert 10. Geburtstag

Nachdem Steve Jobs am 27. Januar 2010 das iPad vorstellte, schrieb das Wall Street Journal dazu: „Das letzte Mal, als es dermaßen viel Aufregung um eine Tafel gab, standen darauf ein paar Gebote.“

Bis 2018 waren die iPad-Umsatzzahlen rückläufig. Inzwischen sind sie wieder leicht gestiegen. Das Aus für Tablets wurde bereits mehrfach prognostiziert. So ein richtiges Ende allerdings kann ich derzeit nicht erkennen.

Ich bin seit vielen Jahren intensiver iPad-Nutzer. Ich lese Bücher auf meinem iPad, ich kommuniziere via E-Mail, ich nutze mein iPad für Social Media. Seit etwa einem Jahr schreibe ich längere Texte mit einer externen Tastatur. Gerade tue ich das übrigens auch.

Mein iPad ist für mich ein unverzichtbarer Begleiter im Arbeitsalltag. Hier bereite ich meinen Unterricht vor. Ich plane und organisiere Unterrichtsprojekte und ich nutze es zur Medienwiedergabe. Um geräteneutral arbeiten zu können, setze ich AppleTV 2 ein. Ich kann mich so frei im Klassenraum bewegen und trotzdem Inhalte für meine Schüler projizieren.

Ich sage an der Stelle einfach mal: Herzlichen Glückwunsch iPad. Schön, dass es Dich gibt!

Datenschutz in Zeiten von Digitalisierung und Digitalität

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit Ulrich Kelber gab in dieser Woche eine Stellungnahme zur Datenstrategie der Bundesregierung ab.

Bereits sein Einstieg regt zum Nachdenken an: „eine Datenstrategie innerhalb einer Digitalisierungsstrategie muss zwingend eine klare Linie beim Datenschutz beinhalten. Datenschutz ist in Europa von den Grundrechten abgeleitet und nicht optional.“ Datenschutzmaßnahmen sind in der Europäischen Union eben keine nette Nebensächlichkeit. Sie sind grundlegend. Das vergessen wir zu leicht. Hinterfragen wir wirklich immer unser Tun unter diesem Gesichtspunkt? Wie gehe ich mit Schülerdaten, mit Patienten- oder mit Kundendaten um? Sensibilisiere ich mein Umfeld zu Fragen des Datenschutzes?

„Bereits heute sind Daten nicht mehr auf ein paar Informationen über unsere Person beschränkt. Sie ermöglichen ein vollständiges Abbild des Menschen, seiner Familie und Freunde, seiner Ausbildung und Arbeit, seiner Hobbys, Krankheiten, Vorlieben und Schwächen, seines täglichen Bewegungsradius, seine Einkäufe, seine politischen und religiösen Einstellungen, seines Gemütszustands usw. Das ist angesichts der Verschränkung des digitalen und des nicht-digitalen Lebens von herausragender Bedeutung. heute sind Daten nicht mehr auf ein paar Informationen über unsere Person beschränkt. Sie ermöglichen ein vollständiges Abbild des Menschen, seiner Familie und Freunde, seiner Ausbildung und Arbeit, seiner Hobbys, Krankheiten, Vorlieben und Schwächen, seines täglichen Bewegungsradius, seine Einkäufe, seine politischen und religiösen Einstellungen, seines Gemütszustands usw. Das ist angesichts der Verschränkung des digitalen und des nicht-digitalen Lebens von herausragender Bedeutung.“

Stellungnahme des Bundesbeauftragten Ulrich Kelber

Zu oft wird Datenschutz als Hemmnis in Digitalisierungsprozessen gesehen. Dieser Logik folgend müsste das gesamte Silicon Valley in Aufruhr sein. Hat doch gerade erst Kalifornien in einem Alleingang ein Datenschutzrecht beschlossen, das in einigen Punkten schärfer eingreift, als die DS-GVO. Haben wir verzweifelte Aufschreie gehört? Droht eine gigantische Abwanderung von Konzernen aus Kalifornien? Nichts der Gleichen passiert.

Datenschutz und Informationsfreiheit müssen m. E. stärker im Unterricht eine Rolle spielen. Lehrer haben eine Vorbildfunktion auch unter diesen Gesichtspunkten. Wenn wir unsere Daten zu schätzen wissen, dann können wir auch den Schutz unserer Daten würdigen.

Neuer Podcast

Es gibt einen neuen Podcast von Zeit-Online: „Unter Pfarrerstöchtern„. Sabine Rückert und ihre Schwester Johanna Haberer erzählen Geschichten aus der Bibel. Sabine Rückert, stellvertretende Chefredakteurin der Zeit und Akteurin im Podcast Zeit-Verbrechen kam während eines Auftrittes bei Jan Böhmermann auf die Idee, einen Bibel-Podcast zu machen. Johanna Haberer ist Theologie-Professorin in Erlangen. Ihr Vater war Pfarrer. Das kann nur eine spannende und unterhaltsame Mischung werden. Teil 1 habe ich gehört und finde den Podcast jetzt schon super.

Bemerkenswertes Bußgeld

Der Bundesbeauftragte für Datenschutz und informationelle Selbstbestimmung hat gegenüber der 1&1 Telecom GmbH ein Bußgeld in Höhe von 9.550.000 Euro verhängt. Die Telefonhotline von 1&1 gab umfangreiche Auskünfte zu Kundendaten. Eine Identifikation erfolgte lediglich über Name und Geburtsdatum. Obwohl sich 1&1 einsichtig zeigte und Maßnahmen ergriff („…bitte halten Sie ab sofort immer Ihre persönliche 1&1 Service-PIN sowie zusätzlich Ihre 1&1 Rufnummer oder Ihre 1&1 Vertragsnummer bereit, wenn Sie bei uns anrufen. So kann der telefonische Kundenservice Sie als Vertragspartner identifizieren.“ aus der Kunden-E-Mail), fiel das Bußgeld doch bemerkenswert hoch aus.

Der Bundesbeauftragte dazu:

Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden.“ (https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Pressemitteilung_Link/HP_Text_Pressemitteilung.html)

Wo wohnt der Weihnachtsmann?

Ja, wo genau wohnt er denn nun, der Weihnachtsmann? Wer, wenn nicht das NORAD (North American Aerospace Defense Command), könnte das wissen. NORAD hat gerade seine Website zum Verfolgen des Fluges des Weihnachtsmannes zu den Familien weltweit freigeschaltet.

Und weil es noch etwas Zeit ist, bis der Weihnachtsmann startet, können alle Interessierten in der Zwischenzeit das Dorf des Weihnachtsmannes am Nordpol erkunden.

Und wer es nicht erwarten kann:

Entstanden ist die Tradition des Weihnachtsmanntrackers übrigens durch einen Zufall. Die veröffentlichte Telefonnummer der Weihnachtsmannhotline eines Kaufhauses enthielt einen Zahlendreher. Kinder, die eigentlich den Weihnachtsmann erreichen wollten, landeten beim Stab des CONADs. Das CONAD war der Vorgänger vom NORAD. Colonel Harry Shoup spielt mit und gab den Kindern die Koordinaten des Weihnachtsmannes durch. So entstand der Weihnachtsmanntracker, der seitdem in jedem Jahr am 1. Dezember startet.

Eine schöne und friedliche Adventszeit Euch allen!