Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Dies ist eine alte Version des Dokuments!


>Der folgende Text ist ein Entwurf und noch nicht als Artikel Bestandteil dieses Wiki!

Digitale Lehre

Die Digitale Lehre gerade wenn sie in einem weiten Sinn verstanden wird, geht über die Nutzung von Lernmanagementsystem(z.B. moodle) und Videokonferenzsystem hinaus und umfasst sämtliche Formen des Lernens, die zumindest digital unterstützt werden.

Aus Datenschutzsicht ergibt sich damit die Herausforderung, dass eine große Menge an personenbezogenen Daten verarbeitet wird. Weiterhin besteht die Problematik, dass Lernmanagementsystem und Videokonferenzsystem in der Regel gut dokumentiert sind (siehe VVT) und auch meist einen guten Datenschutzstandard aufweisen, während die Lage bei anderen Tools durch die Breite und Dynamik des Angebots weitaus schwieriger ist.

Auswahl von Tools für die digitalen Lehre

Wenn zusätzliche Tools zum Einsatz kommen sollen, sollten die Grundsätze der Softwarebeschaffung (siehe insbesondere die To Do) beachtet werden.

Als erste Näherung könnten folgende Punkte geprüft werden:

  • Webseite des Anbieters
    • Gibt es ein vernünftiges Impressum? Ist eine konkrete natürliche oder juristische Person angegeben? (Wenn schon auf der Webseite nicht klar ist, mit wem man es eigentlich zu tun hat, ist das in der Regel ein schlechtes Zeichen.)
    • Ist auf der Webseite Content von Drittanbietern, insbesondere von problematischen Drittanbietern, enthalten? Kann der durch intuitiv handhabbare Einstellungen verhindert werden? (Ein Anbieter, die schon die personenbezogenen Daten der Besucher seiner Webseite über das gesamte Internet verteilt, wird mit den wertvolleren Daten seiner Kunden kaum datenschutzfreundlicher umgehen. Klassische No Go´s: Google, insb. Google Analytics aber auch andere datenschutzunfreundliche Tools für Web Analytics, Facebook und andere soziale Netzwerke, Content Delivery Networks.)
    • Gibt es eine vernünftige Cookie-Policy? (Leichtes Abwählen von Cookies insbesondere zu Marketingzwecken? Wünschenswert ist, dass Cookies gleich auf das technisch notwendige beschränkt werden.)
    • Hat die Webseite eine einfach erreichbare, sachlich formulierte, informative Datenschutzerklärung? (Keine Datenschutzerklärung oder eine Datenschutzerklärung, die relevante Informationen in einem Schwall aus Marketing-Sprech versteckt sind Indizien, dass es der Anbieter mit dem Datenschutz nicht genau nimmt.)
  • Ort der Verarbeitung
  • Accounts
    • Für welche Personen bzw. Tätigkeiten sind personenbezogene Accounts notwendig (Administration, Lehre, Nutzung)?
    • Wie werden notwendige Accounts administriert? (Übermittlung aller potentiellen Nutzer an den Anbieter ist problematisch. Nutzung des Identity Management und Shibboleth ist grundsätzlich sinnvoll und erleichtert Einwilligungen).
  • Anwendung des Tools
    • Ist die Nutzung durch die betroffenen Personen verbindlich oder beruht sie auf tatsächlicher Freiwilligkeit? (Freiwilligkeit ist eine notwendige Voraussetzung für eine Verarbeitung auf Basis einer Einwilligung, was z.B. bei einer Verarbeitung in einem Drittland wie den USA Lösungen vereinfacht oder überhaupt erst ermöglicht. Bei Verarbeitungen, die für die betroffene Person verbindlich sind, ist die Sicherstellung der Rechtmäßigkeit der Verarbeitung bei Drittlandübermittlungen bedeutend schwieriger. Auch bei Verarbeitungen ohne Einwilligung kann es für Güterabwägungen hilfreich sein, wenn kein Zwang zu einer Verarbeitung vorliegt.)
    • Gibt es nutzbare Alternativen? Gibt es beschaffbare Alternativen? (Die Frage der Alternativen hängt mit der Freiwilligkeit zusammen aber sie hat auch eigenständige Bedeutung bei notwendigen Güterabwägungen z.B. für die Erforderlichkeit einer Verarbeitung.)
  • Unterstützung des Datenschutzes durch den Anbieter (fortgeschrittener Ansatz)
    • Liefert der Anbieter ein - möglichst brauchbares - Muster für einen AV-Vertrag beziehungsweise vergleichbare Dokumente bei gemeinsamer Verantwortlichkeit oder C2C? (Vor Anbieter gestellte - gute - Vertragsentwürfe lassen sich erfahrungsgemäß besser prüfen und passen eher zur konkreten Verarbeitung. Schlechte Vertragsentwürfe des Anbieters lassen Rückschlüsse auf dessen Qualität zu.)
    • Liefert der Anbieter Muster für die Dokumentation der Verarbeitung, insbesondere ein Muster-VVT? (Gute Zuarbeiten sparen viel Zeit und lassen darauf schließen, dass sich der Anbieter des Themas Datenschutz bewusst ist.)

Die Aufzählung darf nicht so verstanden werden, dass ein problematischer Punkt (oder eine bestimmte Anzahl problematischer Punkte) zu einem Ausschluss von einer Beschaffung führen müssen. ABER: Je datenschutzunfreundlicher das Ergebnis der Prüfung ausfällt, desto schwieriger und insbesondere zeitaufwendiger wird eine datenschutzgerechte Einführung des Tools wahrscheinlich sein. Das kann bis hin zu einer faktischen Unmöglichkeit eines datenschutzgerechten Einsatzes führen. Je höher der absehbare Aufwand der Einführung eines Tools ist, um so intensiver sollte auch geprüft werden, dass die Beschaffung nicht redundant ist, weil ein vergleichbares Tool schon existiert.

Drucken/exportieren
QR-Code
QR-Code Digitale Lehre (erstellt für aktuelle Seite)