Videokonferenzen: Warum gibt es keine Liste mit datensicheren Lösungen für Schulen?

28

BERLIN. Mit der Corona-Pandemie hat der digitale Unterricht Fahrt aufgenommen. Doch inzwischen nutzen so viele Lehrer und Schüler Videoschalten, dass es teils zur Überlastung kommt. Die funktionierenden Angebote US-amerikanischer Konzerne sehen Datenschützer kritisch. Warum gibt es noch immer keine Positiv-Liste von Lösungen, mit denen Schulen bedenkenlos arbeiten können?

Videokonferenzen mit Schülern müssen datensicher sein. Foto: Shutterstock

Der Fall erhitzte im vergangenen Jahr in Berlin die Gemüter: Mit dem Corona-Lockdown im März hatte einer Berliner Grundschule die Schule ein Medienkonzept entwickelt, um Schülerinnen und Schüler aus der Ferne zu Hause unterrichten zu können. Bei der Recherche nach geeigneten Instrumenten sei die Schule zunächst auf die Anwendung „Lernraum Berlin“ gestoßen, so berichtet der rbb – eine Anwendung, die die Senatsverwaltung kostenfrei zur Verfügung stelle.

Das entnervte Kollegium der Grundschule stellte den digitalen Unterricht komplett ein

Allerdings habe die Datenschutzbeauftragte Maja Smoltczyk gegen die Nutzung öffentlich Bedenken geäußert. Die Schule orientierte sich nach diesen Hinweisen um – und kam auf „Padlet“, eine Art digitale Pinnwand, sowie „Microsoft Teams“, ein Videokonferenz-Tool. Kurz darauf allerdings erhielt die Schulleitung Post von der Datenschutzbeauftragten. Inhalt: eine Verwarnung „wegen datenschutzwidriger Nutzung der Software“. Angeblich waren die Einwilligungserklärungen, die die Eltern hatten ausfüllen müssen, nicht korrekt. Ergebnis: Das entnervte Kollegium der Grundschule stellte den digitalen Unterricht komplett ein.

Ein grundsätzliches Problem. Nach wie vor stehen Schulen vor dem Problem, geeignete Tools für ihren Online-Unterricht zu finden. Die meisten Landesregierungen bieten zwar Lösungen an. Allerdings häufen sich Klagen über Ausfälle und Überlastung dieser Systeme.

Das Thüringer Bildungsministerium würde deshalb gern auch Videokonferenzsysteme in Betracht ziehen, deren Server in den USA stehen. Schließlich wird in Bundesländern wie Baden-Württemberg oder Bayern auch Software von US-amerikanischen Anbietern verwendet. Thüringens oberster Datenschützer Lutz Hasse warnt jedoch davor, auf Produkte zurückzugreifen, die über Server in den USA laufen. «Bestimmte Systeme sind aus meiner Sicht kritisch zu sehen, wenn sie ihre Server in den USA stehen haben und dort Daten verarbeitet werden», sagt er.

„Die Videokonferenzsysteme und Plattformen können von den Schulen frei genutzt werden – aber…“

Schulen seien zwar nicht an die Verwendung von nur einer Lernplattform gebunden. Hasse: «Die Videokonferenzsysteme und Plattformen können von den Schulen frei genutzt werden. Allerdings müssen sich die Schulen für datenschutzkonforme Systeme entscheiden.» Er weist auf ein Urteil des Europäischen Gerichtshofes vom Juli hin, das die EU-US-Datenschutzvereinbarung «Privacy Shield» für nichtig erklärte. In der «Privacy Shield» wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. «Diese Rechtsgrundlage ist entfallen», sagte Hasse. Zwar könnten Schulen Einwilligungen von volljährigen Schülern und von Eltern minderjähriger Schüler einholen. Doch dann müssten die Schulen diese Schüler und Eltern umfassend aufklären, was mit den Daten passiert. Es sei fraglich, ob dies in jedem Fall auch gelinge.

«Wir empfehlen die Produkte, die hier in Thüringen vom Land angeboten werden», sagt Hasse. Daran gebunden seien Schulen aber nicht. «Bei der Auswahl sind die Schulen frei. Aber wer frei ist, der muss eben auch entscheiden können – und das ist oft nicht ganz so einfach», sagt Hasse. Einen Kriterienkatalog hat der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, herausgegeben (hier geht es hin). Das Problem: Eindeutige Antworten, die Schulen in der Praxis wirklich helfen können, liefert das Papier nicht. Die Berliner Datenschutzbeauftragte hat unterdessen Videokonferenz-Dienste gecheckt – und eine Liste von Angeboten herausgegeben. Das Problem hier: Kein einziger der geprüften Dienste wird uneingeschränkt empfohlen.

Dabei gibt es laut ihrem Thüringer Kollegen durchaus Alternativen, die datenschutzkonform seien. Wäre schön, wenn die jemand mal den Schulen vorstellen würde. News4teachers / mit Material der dpa

Fahren die Kultusminister den Fernunterricht (schon wieder) an die Wand? Schüler: Serverkapazitäten massiv ausbauen – Desaster droht

Anzeige


28 KOMMENTARE

  1. Datenschutzbeauftragte – die Stellen sollte man abbauen (das spart immerhin nutzlos verbranntes Geld) oder die Aufgabenbeschreibung drastisch ändern: Kritische Einmischung nur bei Nennung einer gleichwertigen (!) Alternativlösung. Damit wären viele Probleme vom Tisch.

    • Ich habe da noch eine andere Theorie. Die Leute, die heute Datenschutzbeauftragte sind oder sich öffentlich vehement und kompromisslos für Datenschutz über allem einsetzen, das waren bis zum 25. Mai 2018 noch bemitleidenswerte Nerds, die in irgendwelchen fensterlosen Serverräumen arbeiten mussten und zu keiner Party eingeladen wurden.
      Über Nacht haben diese Leute Macht bekommen oder gar echte Stellen oder das Recht, zum allem ihren Senf geben zu dürfen. Das wirkt natürlich extrem suchterzeugend, inclusive Tendenz zur Dosissteigerung. Und etwas Rache ist sicher auch im Spiel. Wir müssen diese Leute wieder in die Serverräume einsperren, wo sie hingehören.

  2. Der Unterricht mit einem bestimmten VK-Tool ist nicht per se sicher oder unsicher. Es kommt immer auch darauf an, wie man die Einstellungen vornimmt und was man damit macht. So wie man im Chemieunterricht Experimente mit Salzsäure nicht einfach verbietet, sondern Regeln dafür aufstellt. Ich bin sehr froh, dass es bei uns keine Positiv- oder Negativlisten gibt. Man muss auch z.T. extrem abwegige Datenschutzbedenken gegen Praktikabilität und Leistungsfähigkeit abwägen dürfen. Der Absolutheitsanspruch und das dogmatische Denken muss einfach mal weg. Und ein bisschen mehr Wissen darüber, was die DSGVO tatsächlich vorschreibt und was nicht.
    „Wer will, findet Wege. Wer nicht will, findet Gründe“. Die Listen-Forderer suchen vielleicht auch nur nach Gründen. Ich bewahre mir da lieber ein wenig Freiheit.

      • Der folgende Teil in den Kommentaren darunter trifft es schon ganz deutlich:

        Kommentar 1:
        Was Jitsi und BBB leisten können, hat der CCC (Chaos Computer Club) auf dem diesjährigen Congress, der Remote als rc3 durchgeführt wurde, gezeigt. Da waren aber auch Profis dahinter, und so kommen wir zum Kernproblem der Schulen:
        Es gibt keinerlei IT-Administration. An einem Gymnasium in BW mit knapp 1000 Schülern, 200-250 Computern bekommen drei Lehrkräfte jeweils 2 Stunden Deputatserlass, wenn diese sich um die IT kümmern. Bei jedem Mittelständler wären da 2-3 Vollzeitleute beschäftigt. Hätten wir pro Schule mindestens 2 Vollzeit IT-Stellen, würden die Kultus-RZ sinnvoll ausgestattet (bis vor Corona waren all die netten Dinge Alibi-Installationen auf schwachbrüstiger Hardware). Die Schul-ITler könnten dann auch die Weiterbildung der Lehrer organisieren, denn daran scheitert es auch bei guter Infrastruktur.
        Würde der Staat als Anteilseigner endlich mal die Telekom zwingen, mit dem DFN (Deutsches Forschungsnetz) zu peeren, anstatt abartige Gebühren für die Connectivity zu verlangen, wäre schon viel getan. Einfach mal googlen nach: „DFN Peering Telekom“. Wer von zuhause aus dem Telekom Netz auf Schul- und Uniserver zugreifen will, hat zur Zeit Pech gehabt.
        Ich stimme insoweit zu, dass die DSGVO ein vorgeschobenes Thema ist. Auch die Anforderungen der DSGVO wäre natürlich weit einfacher zu erfüllen, wenn die ganze IT sauber im DFN-Netz läuft, statt dass in jeder Schule unterschiedliche Konstellationen von externen Anbietern verwendet werden.
        Der Tritt in den Hintern der Telekom, zu drastischen Verbesserung der Datenanbindung könnte in wenigen Stunden erledigt sein. Dann würde für viele Schüler schon etliches schneller laufen.

        Kommentar 2:
        Und die Antwort ist auch nicht der Informationsstand des Datenschutzbeauftragten. Das ist ein schlichte und schlechte Sündenbock Strategie. Grundsätzlich haben Schule, Behörden, Träger und Ministerien den richtigen Zeitpunkt verpasst für Rechtssicherheit, Planungssicherheit und Verträge zu sorgen. Die EU und der Bund haben es verpasst ihrer (eigentlich guten) Verordnung auch die Mittel für Forschung, Entwicklung und Betrieb der geeigneten Systeme zu geben.

          • Doch, genau das wird von dem System „eigenverantwortliche Schule“ hier in Niedersachsen erwartet. Und wie ich gehört habe, in vielen anderen Bündesländern auch.

            Das Schule vor Ort diese Vertragsexpertise haben, das ist einleuchtend. Daher waren ja gerade die Grundschulen davon abhängig, an eines der Landeslernplattformen angeschlossen zu werden.

          • Nein, in Hessen dürfen das nur die großen selbstständigen Schulen. Das sind i.d.R. nur große Berufsschulen.

        • Also, dass der Staat die Telekom an die Kandare nehmen soll, da gehe ich mit.

          Und dass der CCC Spaß an BBB hat, glaube ich sofort. Einerseits, weil Ästhetik (wie man an Logo und Logotypographie sehen kann) eine nachgeordnete Rolle spielt, andererseits, weil das natürlich spannend ist, auch halbgare Software am Laufen zu halten. Als ich noch Student war, hatte ich auch Spaß mit Linux (nur nicht zum Arbeiten).

          Aber das ist ja gerade der Witz an den vermaledeiten amerikanischen Lösungen: Ich muss eben keine Unmengen an Personal vorhalten, dass die Server händisch kühlt oder sonsteinen Spökes betreibt, und schon gar keins, dass den Kolleg:innen mit aus deren Sicht inhaltsleeren – weil rein technischen Fortbildungen – auf den Keks geht. Sondern es funktioniert dann einfach. Sogar übers Mobilfunknetz (Zoom). Und es sieht auch noch besser aus. Ich glaube, viele Kolleg:innen wollen einfach ihren Lernstoff vermitteln. Und damit wäre im Moment viel gewonnen. Die haben schon quengelnde Kinder am Bein und brauchen nicht noch einen sendungsbewussten EDV-Beauftragten, sondern Software, die funktioniert. Die kann ja meinetwegen auch von SAP kommen oder von 1&1 oder Tante Emma, damit Uncle Sam auch bloß nicht weiß, welche Quelle ich wann herangezogen habe, um über die römische Gründungssage zu sprechen. Nur muss sie halt laufen. Und vielleicht nicht nach WIN95 aussehen.

  3. Stimmt sicherlich alles irgendwie. Aber wohl nicht in Gänze. Es liegt meiner Meinung nach nicht an der DGSVO und auch nicht nur an den Datenschützern. Viele der Regelungen sind sinnvoll, insbesondere dann wenn es um den Schutz von Schülerdaten geht. Dennoch erfordert es Vorausssicht, Planung, effektive Hardware und dem rechtzeigen Abschließen von Verträgen mit den Anbietern. Das können Schulleitung nicht, woher soll auch die Expertise dafür kommen. Das ist mal wieder ein gutes Beispiel für ein Behörden- und Ministerialversagen, das auf jemand anderen abgewälzt wird.

    • Das mit der Hin- und Herschieberei stimmt. Nur hätte diese Erkenntnis der Schule ja unmittelbar nicht geholfen. Und dieser Missstand wird sich nicht beheben lassen, weil er systemimmanent ist.
      Was den Aspekt der Schüler:innendaten angeht, so ist ja vielleicht nicht so sensibel, welches Wort Farik aus der 3a als Beispiel für doppelten Konsonant nach kurzem Vokal ans Padlet pinnt, würde ich meinen. Und Noten werden sie da schon nicht drüber mitteilen haben wollen. Im Ergebnis hatten wir jedenfalls dann Dank einer offenkundig manischen Datenschutzbeauftragten offenbar eine Grundschule, die einfach aufgegeben hat. Das ist – zumindest unmittelbar – sicher schlechter für Farin gelaufen als mit Padlet (und ich bin kein Fan von Padlet, weil es designtechnisch völlig unausgegoren und unübersichtlich ist. Ich glaube ja (pssst), Padlet ist ein verkappter, früher, entwendeter OneNote-Klon von Libre Office, der nie veröffentlicht werden sollte.)

  4. Ich liebe solche Geschichten wie in Berlin:
    „ Statt „Teams“ oder „Padlet“ empfiehlt die Datenschutzbeauftragte: „Ein besonders für die schulische Nutzung geeignetes Angebot ist die Open Source Software ‚Big Blue Button‘. Sie kann entweder selbst betrieben oder als Auftragsverarbeitung durch verschiedene Anbieter bezogen werden.“
    Doch dafür benötigt die Schule einen eigenen Server. Der wurde laut Schulleiterin im März bestellt. Im Dezember soll er endlich geliefert werden – und müsste dann noch eingerichtet werden.“

    Einen eigenen Server für eine große Schule ist völlig irre – ohne IT-Fachleute. Und dann ist die Frage von Dokumentenablage, Mailsystem, digitalen Lernräumen für kollaboratives Arbeiten offen. Da kommt dann sicher wieder Jugend-forscht-Systeme, die alle einzeln zu bedienen sind und nie und nimmer mit professionellen Tools Schritt halten können.

    • Das ist halt das irre. Aber nur mit eigenem Server hat man halbwegs gescheites. Ich erstelle und pflege als Schulleiter seit 15 jahren die Schulwebseite, mittlerweile mit joomla. Ich habe ein datenschutzgerechtes, in Deutschland gehostetet Mailsystem integriert, einen datenschutzgerechten Newsletter für die Eltern, einen für die Schüler – und alles im Ehrenamt nebenbei.
      Die Datenschutzbeauftragten sollen, wenn sie nicht für das reale Leben mal liefern können, gerne auf eine Trauminsel in der Karibik auswandern. Die Kumis gleich mit.
      Schaut man sich die Protokolle der DSK an, dann ahnt man schon bei dem laienhaften Format, dass Leute, die noch nicht einmal ein ansprechendes Word-Dokument formatiert bekommen, warum den Leuten so gehörig auf die …. (harte Schale mit nussigem leckeren Inhalt) gehen. Sorry. Ist aber so.

    • Ja, und dafür dann ein Haufen Fortbildungen, die niemand will, weil alles eh nicht funktioniert. Und bei der nächsten Pandemie (bitte nicht!) dann wieder so: Die Schulen sind so schlecht vorbereitet! Die Lehrer:innen haben keinen Bock auf Digitalisierung! Und die dann so: „Ja, ich versuche hier mal eben auf meinem offiziellen Dienstrechner, den wir damals, nach der großen COVID-Krise von 2020, aus Gebrauchtbeständen vom Finanzamt bekommen haben, Ubuntu zu starten, den BBB-Client zu fixen und dann gebe ich mal die IP-Adresse vom Server händisch ein und versuche mal, die Libre-Office-Präsentation hier von meinem dreifach verschlüsselten USB-Stick…“

  5. Heute Feedback mit meinem 3. Lehrjahr Anlagenmechaniker gemacht. Schüler und ich (BS-Lehrer) können sehr gut mit elearning leben. Das böse Teams und onenote laufen problemlos und ich bin sehr sehr froh nicht mit 32 Mann in einem Raum sein zu müssen!

  6. Tipp: Zoom funktioniert 🙂

    Es ist das Tool weltweit für Videokonferenzen.

    Server sind in den USA stimmt – aber sehr gut verschlüsselt. Kein Problem.

    Was da Lehrer über WhatsApp alles mit Namen und Noten ihrer Schüler verschicken. Da wird’s mir eher Angst.
    Die Diskussion steht in keinem Verhältnis.

    Übrigens: Es gibt viele Schulen die präsentieren sich auf Facebook, Instagram….

    • Wichtig: Die End-to-End-Veschlüsselung soll bei Zoom erst seit Beginn Januar 2021 funktionieren bzw. installierbar sein.
      Es wird dazu geraden, die Intsallation auf beiden Seiten von Fachkunigen durchführen zu lassen.

    • Und Zoom ist barrierefrei f. blinde u. sehbehinderte SuS! Wurde v. DSB verboten, der nicht weiß, dass man m. ein paar richtig gesetzten Häkchen alles auf deutschen Servern laufen lassen kann. Humboldt- u. Techn. Universität Berlin wissen das u. nutzen Zoom, Schulen m. Blinden müssen zwischen Barrierefreiheit u. vermeintl. Legalität (anderen Tools, d. nur m. Assistenz bedienbar sind) wählen!!! So kann man Inklusion auch zunichte machen!!!!!

      • Und an unserer Schule von der Schulleitung explizit verboten. Nur BBB ist erlaubt. Grund? Weil der Schulträger das so will.

  7. Mein Großer Sohn studiert im 6.Sem. Daten- & Informationsrecht … also ich ihm dem Kram wg Microsoft Teams gegeben, mir gedolmetcht, mich aufklären, u über Vor-Nachteile u Alternativen beraten lassen. Ergebnis empfand ich beängstigend, aber was will ich & andere Eltern dagegen machen, wenn die Schule, der Kreis und andere Regierungsformrn einen dazu regelrecht nötigt? Nix! Ausgeliefert sind wir dem doch.
    ABER: Dieser junge Student sieht seine Aufgabe für die Zukunft darin, diese Vorgaben, Richtlinien, Zwänge, usw. FÜR UNS ALLE (Nutzer) wesenzlich verständlicher, sicherer, auch für Kinder geeignet, Datensammlungsloser und eingegrenzter für Anbieter zu machen! Er nutzt kein Facebok, Instagranm, Google Suchmaschine … warum wohl ….
    „Datenschutzbeauftragte/r der Schule ist x“ bedeutet dieser ist Ansprechpartner ….
    Ich als Ez im öffentl. Dienst war jahrelang “ „Brandschutzbeaufragte“ und habe keinen Lehrgang dafür, ich war Ansprechpartner bei Überprüfung … mehr nicht!
    Die studierten Jungen Leute haben Erfahrung durch ihre eigene Schulzeit, deswegen baue ich auf meinen Sohn und intelligente Arbeitgeber!
    Habe ja noch bis 2030 bis zum letzten Abi!

  8. Wo kämen wir denn dahin, wenn es klare Vorgaben der Bildungsminister zur IT-Mindestausstattung der Schulen gäbe oder gar eine Whitelist zur verwendbaren Software?
    Nein, statt dessen gibt es abgehobene „Leuchtturm-“ und „Best Practice-Projekte“ ohne jede Bindungsfunktion und an den Schulen wird weiterhin jedes Rad neu erfunden.

  9. Guten Tag,
    wir haben aus der Not heraus ein System entwickelt, das sich absolut Datenschutzkonform in jede IT-Landschaft einer Schule einbauen lässt.
    Als Basis dafür dient Jitsi, das bereits vielen bekanntist, aber einige große Schwächen aufweist und deshalb gegen Zoom oder Teams verliert. Diese Schwächen haben wir mit dem Jitsi-Admin behoben, womit es nun jedem Benutzer ganz einfach ist, eine Schulstunde zu erstellen und auch zu verwalten. Und das vor allem absolut DSGVO konform.

    Die Software wurde von uns Open Source und kostenlos erstellt und kann hier sofort getestet werden. Wenn das know how in der Schule vorhanden ist, kann es auch auf einem eigenen Server kostenlos installiert werden.

    Bei Fragen, einfach eine kurze Email und wir erklären wie das System auch in Ihrer Schule eingesetzt werden kann.

    • Halle Herr Schwiegelshon,

      Die Liste ist soweit korrekt, es ist jedoch nicht beachtet das mit Middleware die Leistung und Datensicherheit, sowie die Usability insbesondere von Jitsi gesteigert werden kann. Den großen Vorteil von selbst gehosteter, oder von einem Dienstleister auf einem eigenen Server betriebener Instanz, kann keine der großen Plattformen wie Zomm, oder Skype toppen.
      Ebenfalls ist es durch den Jitsi-Admin zu 100% vermeidbar, das ungebetene Gäste in eine Konferenz gelangen.

      Bei Interesse würde ich Ihnen gerne die Lösung präsentieren, welche Open Source ist und damit für wirklich jeden Nutzer kostenfrei verfügbar. https://github.com/H2-invent/jitsi-admin

Schreibe einen Kommentar zu Omg Antwort abbrechen

Please enter your comment!
Please enter your name here