====== Digitale Lehre ====== Die **Digitale Lehre** gerade wenn sie in einem weiten Sinn verstanden wird, geht über die Nutzung von [[:Lernmanagementsystem]](z.B. [[:tu:moodle|moodle]]) und [[Videokonferenzsystem]] hinaus und umfasst sämtliche Formen des Lernens, die zumindest digital unterstützt werden. Aus Datenschutzsicht ergibt sich damit die Herausforderung, dass eine große Menge an [[:personenbezogene Daten|personenbezogenen Daten]] [[:Verarbeitung|verarbeitet]] wird. Weiterhin besteht die Problematik, dass Lernmanagementsystem und Videokonferenzsystem in der Regel gut dokumentiert sind (siehe [[:VVT]]) und auch meist einen guten Datenschutzstandard aufweisen, während die Lage bei anderen Tools durch die Breite und Dynamik des Angebots weitaus schwieriger ist. ===== Auswahl von Tools für die digitalen Lehre ===== Wenn zusätzliche Tools zum Einsatz kommen sollen, sollten die Grundsätze der [[:Softwarebeschaffung]] (siehe insbesondere die [[:softwarebeschaffung#to_do|To Do]]) beachtet werden. Als erste Näherung könnten folgende Punkte geprüft werden (Reihenfolge der Punkte entspricht der möglichst sinnvollen, zeitlichen Prüfreihenfolge und zugleich etwa dem Zeitaufwand): - Webseite des Anbieters - Gibt es ein vernünftiges Impressum? Ist eine konkrete natürliche oder juristische Person angegeben? (Wenn schon auf der Webseite nicht klar ist, mit wem man es eigentlich zu tun hat, ist das in der Regel ein schlechtes Zeichen.) - Ist auf der Webseite Content von Drittanbietern, insbesondere von problematischen Drittanbietern, enthalten? Kann der durch intuitiv handhabbare Einstellungen verhindert werden? (Ein Anbieter, die schon die personenbezogenen Daten der Besucher seiner Webseite über das gesamte Internet verteilt, wird mit den wertvolleren Daten seiner Kunden kaum datenschutzfreundlicher umgehen. Klassische No Go´s: Google, insb. Google Analytics aber auch andere datenschutzunfreundliche Tools für [[:Web Analytics]], Facebook und andere soziale Netzwerke, [[:Content delivery network|Content Delivery Networks]].) - Gibt es eine vernünftige Cookie-Policy? (Leichtes Abwählen von Cookies insbesondere zu Marketingzwecken? Wünschenswert ist, dass Cookies gleich auf das technisch notwendige beschränkt werden.) - Hat die Webseite eine einfach erreichbare, sachlich formulierte, informative [[:Datenschutzerklärung]]? (Keine Datenschutzerklärung oder eine Datenschutzerklärung, die relevante Informationen in einem Schwall aus Marketing-Sprech versteckt sind Indizien, dass es der Anbieter mit dem Datenschutz nicht genau nimmt.) - Ort der Verarbeitung - Hat der Anbieter seinen Sitz in der Europäischen Union oder einem [[:Drittland]] mit Angemessenheitsbeschluss nach [[https://dejure.org/gesetze/DSGVO/45.html|Artikel 45]] [[DSGVO]]? - Wird eine [[:Verarbeitung]] ausschließlich in der Europäischen Union oder einem [[:Drittland]] mit Angemessenheitsbeschluss nach [[https://dejure.org/gesetze/DSGVO/45.html|Artikel 45]] [[DSGVO]] zugesichert? - Accounts - Für welche Personen bzw. Tätigkeiten sind personenbezogene Accounts notwendig (Administration, Lehre, Nutzung)? (Ein möglichst kleiner Kreis an Personen mit personenbezogenen Accounts ist aus Datenschutzsicht grundsätzlich sinnvoll; vor allem wenn solche für die Verarbeitung nicht [[:Erforderlichkeit|erforderlich]] sind.) - Wie werden notwendige Accounts administriert? (Übermittlung aller potentiellen Nutzer an den Anbieter ist problematisch. Nutzung des [[:Identity Management]] und [[:Shibboleth]] ist grundsätzlich sinnvoll und erleichtert [[:Einwilligung|Einwilligungen]].) - Anwendung des Tools - Ist die Nutzung durch die [[betroffene Person|betroffenen Personen]] verbindlich oder beruht sie auf tatsächlicher [[:Freiwilligkeit]]? (Freiwilligkeit ist eine notwendige Voraussetzung für eine [[:Verarbeitung]] auf Basis einer [[:Einwilligung]], was z.B. bei einer Verarbeitung in einem [[:Drittland]] wie den USA Lösungen vereinfacht oder überhaupt erst ermöglicht. Bei Verarbeitungen, die für die betroffene Person verbindlich sind, ist die Sicherstellung der [[Rechtmäßigkeit der Verarbeitung]] bei Drittlandübermittlungen bedeutend schwieriger. Auch bei Verarbeitungen ohne Einwilligung kann es für Güterabwägungen hilfreich sein, wenn kein Zwang zu einer Verarbeitung vorliegt.) - Gibt es nutzbare Alternativen? Gibt es beschaffbare Alternativen? (Die Frage der Alternativen hängt mit der Freiwilligkeit zusammen aber sie hat auch eigenständige Bedeutung bei notwendigen Güterabwägungen z.B. für die [[:Erforderlichkeit]] einer Verarbeitung.) - Integration in bestehende Plattformen wie das [[:Lernmanagementsystem]]? (Keine Integration bedeutet eine [[:Insellösung]] mit ihren spezifischen Nachteilen. Eine Integration in eine bestehende Plattform kann Vorteile haben, z.B. bei der Nutzerverwaltung aber auch erhebliche Nachteile durch [[:Verkettung]] von Daten und der Schaffung von Sicherheitsrisiken für eine erheblich größere Menge von Daten.) - Ist die Software für alle relevanten Personen intuitiv nutzbar? Gibt es erforderlichenfalls Hilfsangebote in Form von Tutorials, Hilfseiten, FAQ in möglichst niedrigschwelliger und barrierearmer Form? (Auf den ersten Blick nicht unbedingt ein Thema für den Datenschutz aber intuitive Nutzbarkeit und Hilfsangebote leisten einen wichtigen Beitrag für die [[:Richtigkeit der Verarbeitung]].) - Unterstützung des Datenschutzes durch den Anbieter (fortgeschrittener Ansatz) - Liefert der Anbieter ein - möglichst brauchbares - Muster für einen [[:AV-Vertrag]] beziehungsweise vergleichbare Dokumente bei [[:gemeinsame Verantwortlichkeit|gemeinsamer Verantwortlichkeit]] oder [[:C2C]]? (Vor Anbieter gestellte - gute - Vertragsentwürfe lassen sich erfahrungsgemäß besser prüfen und passen eher zur konkreten Verarbeitung. Schlechte Vertragsentwürfe des Anbieters lassen Rückschlüsse auf dessen Qualität zu.) - Liefert der Anbieter Muster für die Dokumentation der Verarbeitung, insbesondere ein Muster-[[:VVT]]? (Gute Zuarbeiten sparen viel Zeit und lassen darauf schließen, dass sich der Anbieter des Themas Datenschutz bewusst ist.) Die Aufzählung darf nicht so verstanden werden, dass es eine zwingend abzuarbeitende Checkliste wäre oder dass ein problematischer Punkt (oder eine bestimmte Anzahl problematischer Punkte) zu einem Ausschluss von einer Beschaffung führen **müssen**. ABER: Je datenschutzunfreundlicher das Ergebnis der Prüfung ausfällt, desto schwieriger und insbesondere zeitaufwendiger wird eine datenschutzgerechte Einführung des Tools **wahrscheinlich** sein. Das **kann** bis hin zu einer faktischen Unmöglichkeit eines datenschutzgerechten Einsatzes führen. Je höher der absehbare Aufwand der Einführung eines Tools ist, um so intensiver sollte auch geprüft werden, dass die Beschaffung nicht redundant ist, weil ein vergleichbares Tool schon existiert. {{tag>Artikel 2022}}