Volle Spackung?

Die Landeszentrale für politische Bildung hat eine Publikation zum Thema Medien online. Zwar schmückt man das Titelblatt noch mit einem Fragezeichen (eine Idee, die ich hier gleich aufgreife) aber im Heft findet sich eine lange Empfehlungsstrecke für Dienste von Dritten – darunter Padlet, um das es (weil es das bekannteste Tool sein dürfte) hier ausführlicher gehen soll.

Eine Analyse mit Webkoll zeigt die Problemstellen des Dienstes auf:

  • Der Dienstleister hat seinen Sitz in den USA
  • Padlet setzt 10 eigene Cookies – darunter zwei, die erst im Jahr 2069 verfallen und einer, der im Jahr 2042 verfällt
  • Padlet setzt 4 Cookies von Drittparteien, von denen 3 einen Monat gültig sind
  • 54 Anfragen gehen schon beim Aufruf der Seite an Drittdienste – darunter Amazon, Apple (iTunes), Cloudflare, Cloudfront, Google (auch Google Analytics und Doubleclick), Twitter und Quantserv, die so zumindest Kenntnis von der IP des Aufrufenden erhalten

Dass Google Analytics mit IP Anonymisierung eingesetzt wird spielt schon keine Rolle mehr, weil die vielen Drittdienste zur Datenquelle für Padlet werden dürfen:

We may also obtain information, including personal information, from third-party sources to update or supplement the information you provided or we collected automatically. This may include aggregated anonymous information or certain personal information that may be provided to us. [1]

Dazu kommt: Weitere Dienste – z.B. von Youtube, Vimeo und Freunden – werden bei der Arbeit mit Padlet in den meisten Fällen genutzt, weil in der Einbindung von Drittdiensten gerade der Witz von Padlet liegt. Es ist eine Art von Collagedienstleister. Die Zahl der Tracker und Datenkraken explodiert.

Vor diesem Hintergrund kann man mit Fug und Recht behaupten: Keine Lehrkraft – und erst Recht kein Schüler – hat da noch den Überblick über die Datenflüsse oder könnte gar seine Rechte aus der DSGVO durchsetzen.

Dass es auch keinen Dritten gibt, der die Angaben von Padlet und der vielen Dritten prüft und zertifiziert – das wäre eine der Voraussetzungen dafür (ISO 27001 und ISO 27018), dass eine Schule einen Vertrag zur DViA mit Padlet abschließen kann – rundet das Bild ab.

Vor diesem Hintergrund ist es mir ein Rätsel, wie eine staatliche Schule die Vorgaben des KM zum Datenschutz an Schulen erfüllen will, sollte sie Padlet nutzen.

Dass diese Probleme in den hier betrachteten Beiträgen der Seiten 8 bis 18 im Heft der Landeszentrale nicht einmal am Rande thematisiert werden macht deutlich: Es geht dem Autor nicht um die Schüler/innen und deren Grundrechte. Es geht um Digitalisierung first. Das Recht auf Informationelle Selbstbestimmung wird der Oberflächlichkeit geopfert. Hauptsache man ist mit dabei und cool. Gibt es da eigentliche eine Redaktion, die die Inhalte vor der Veröffentlichung inhaltlich prüft – oder korrigieren die nur die Kommasetzung?

Politische Bildung sieht für mich anders aus.

PS

Ein Einzelfall? Mitnichten! Empfohlen wird auch

Popplet

  • Sitz des Dienstleisters: USA
  • 1 Cookie von Dritten
  • 56 Anfragen an Dritte

Kahoot

  • Sitz des Dienstleister: USA
  • 12 Cookies, davon 5 von Dritten
  • 42 Anfragen an Dritte

Scribblemaps

  • Sitz des Dienstleisters: USA
  • 7 Cookies
  • 7 Anfragen an Dritte

Thinglink

  • Sitz des Dienstleisters: Irland
  • 20 Cookies, davon 6 von Dritten
  • 120 Anfragen an Dritte

Easelly

  • Sitz des Dienstleisters: USA
  • 13 Cookies, davon 5 von Dritten
  • 108 Anfragen an Dritte

usw usw. Ein Datenschutzmassaker.

Update 05.12.19

Zwei Runden Mails später wird nun eine Art von Disclaimer geplant, der die Kolleg/innen auf die rechtliche Situation und ihre Pflichten hinweisen soll. Die Zahl der Menschen auf CC hat sich ebenfalls erhöht – wir klettern gemeinsam die Behördenleiter nach oben. Schön. Dann sind wenigstens alle informiert und keiner kann sagen, er habe nichts gewusst.

Einsicht in eigene Fehler ist jedoch aus meiner Sicht noch nicht vorhanden. Da wird z.B. weiter vom einem Prüfverfahren durch Lehrer/innen geschrieben – als wären die in der Lage die technische Analyse zu leisten. Sieht man ja, dass sie das nicht waren.

Wo die Einsicht fehlt, ist auch eine Verfahrensänderung noch fern. Noch schreibe nur ich selbst davon, dass Publikationen zu Drittdiensten von technisch und rechtlich geschulten Fachkräften gesichtet werden müssten, dass der Fehler im Prüfverfahren selbst liegt, wenn die Ergebnisse so aussehen wie hier.

Mal sehen. Wenn alles gut läuft, dann kommt doch mehr dabei heraus als ein Hinweisschild auf der Webseite von P&U mit den Inhalt „Der Schutz Ihrer Daten ist uns wichtig!“

Satt

Es kommt der Punkt, an dem man sich überlegen muss, ob die eigenen Ressourcen richtig eingesetzt sind, ob sich das Projekt überhaupt lohnt.

Ich hab in den letzten Jahren sehr viel gelernt – über Netzwerktechnik, über die Administration von Servern und VMs, über Clients in großen Netzen und über Mailserver und andere serverbasierte Software. Techniken und Abläufe, die ich vor 10 Jahren nicht einmal hätte fehlerfrei aussprechen können, hab ich nun relativ ordentlich „drauf“. Ich rolle Mail- und Webserver inzwischen zügig aus, weiß zunehmend selbst, was ich warum tu, erkenne und behebe die meisten Bugs direkt selbst, kann mich auf Feinheiten konzentrieren.

Der nächste Entwicklungsschritt ist nicht, unter weiterem Totalverzicht auf Freizeit noch eine Generation an Tech für Dritte auszurollen, die das Angebot weder wollen noch schätzen. Ich sollte vielmehr verstärkt in die Entwicklung einsteigen, meine Bash-, PHP- und Python-Kenntnisse ausbauen, mein rudimentäres C tütteln. Solche Dinge. Das bringt mir mehr – und am Ende auch denen, die den dauernden Auseinandersetzungen um offene Netze, FOSS, Datenschutz und Bildung etwas abgewinnen können.

Ich sollte meine eigenen und die mir von Freunden anvertrauten Netze weiter konsolidieren, vermehrt die dort genutzten und gehosteten Dienste absichern, viel mehr Krypto ausrollen. Da kommt dann vielleicht wieder was zurück, was sich von Gemaule, Chaos und Wurstigkeit unterscheidet. Privatsphäre ist ein Elitenprojekt. Die Menge liebt, was für den Marktplatz taugt.

Irgendwo unterwegs scheine ich vergessen zu haben, dass es in einer Demokratie nicht um Wahrheit geht, sondern um Mehrheit. Wenn eine Generation an unkritischen Spacken unbedingt ihre Daten – und die Daten ihrer Kinder – mit dem Segen des Staates und der Öffentlichkeit Dritten zum Fraß vorwerfen will …  muss ich es einsehen: Die paar Pinguine werden die Demokratie und das Menschenrecht nicht retten können. Wir sind zu wenige. Uns geht die Luft aus. Der Arbeitsaufwand wächst nicht – er explodiert. Der Trend geht auch bei Software in Richtung autoritäre Systeme.

Ich muss zeitnah meine Exitstrategie klar haben. Der Punkt, an dem ich es lassen muss und dann abschalte könnte jederzeit kommen. Es macht mich schon fast nicht mehr traurig das zu schreiben: ich hab es satt.

Keine Scheu

Aus familiären Gründen war ich gerade auf einer Webseite des Stark-Verlages, denn hier wurde ein Werk aus diesem Verlag angeschafft, zu dem es MP3 Dateien geben soll. Diese sollten über eine Webseite abgerufen werden können.

Es kam, wie es heute wohl kommen muss: Die Webseite begrüßte mich mit den Trackern und Einbindungen von Drittdiensten wie oben zu sehen. Dazu dann eine „Datenschutzerklärung“ mit so schönen Hinweisen wie

Wir geben Ihre Daten an ausgewählte Konzerngesellschaften und Dienstleister innerhalb und außerhalb des Europäischen Wirtschaftsraums (EWR) weiter [Quelle]

Will man die MP3s haben, dann geht es weiter via Account anlegen – zu der Seite https://mystark.pearson.com/ . Dort hat es noch ein paar frische Tracker und Drittdienste mehr.

Muss ich erwähnen, dass die dann für einen Account Vorname, Name und E-Mail Adresse haben wollen?

So giert also der Stark-Verlag nach den Daten von Kindern.

Erhellend.

Ich für meine Seite habe Eure Dienste zum allerletzten Mal genutzt. Das gekaufte Heftchen geht zurück an den Händler mit dem Hinweis, dass diese Angaben weder notwendig sind, um ein paar Dateien herunter zu laden, noch dass diese Angaben im Heft selbst zu finden sind.

Empfehlungen zu Werken aus diesem Laden kommen mir nie wieder über die Lippen. Und ich werde in jedem nur erdenklichen Kontext – sollte eine andere Person diese Firma auch nur erwähnen – in Zukunft darauf hinweisen, wie das Wort „Datenschutz“ hier mit Leben gefüllt wird.

Was vom Jahre übrig bleibt

Ein Sammlung der Dinge, die geschahen, aber nicht haben dokumentiert werden können, weil zum jeweiligen Zeitpunkt keine Zeit war.

Und dann wäre da noch:

Ich schätze, dass es nächste Woche in die Vollen geht.

Digitaler Schulalltag

Außen

Ich war gestern und heute zur Unterrichtsbeobachtung an einer Schule, an der Unterricht mit iPads stattfand, wobei die SuS in der jeweils identischen Stunde selbst wählen konnten, ob sie diese nutzen, oder auf Poster als Präsentationslfäche zurückgreifen wollten. Zu erarbeiten war das Institutionengefüge der EU. Hierzu war ein Schaubild zu erstellen, das den Gesetzgebungsprozess wiedergab. Mir fiel auf, dass

  • viel Arbeitszeit in den SuS-Gruppen für die Anhübschung der grafischen Lösung investiert wurde; teilweise kannten sich nicht alle SuS mit der genutzten App in dem Maß aus, dass sie sich selbst helfen konnten, die Nebensitzer gaben notwendige Tipps zum Programmgebrauch.
  • der Austausch in den SuS-Gruppen, die als Produkt das Poster wählten, stärker auf sach-fachliche Korrektheit fokusierte und die Ergebnisse insgesamt vollständiger und komplexer waren. Der Austausch in den iPad Gruppen war technischerer Natur.
  • Kriterien für gute Schaubilder keine Rolle spielten und nur bei den Postern einmal kurz aufblitzten (Leserlichkeit).
  • auch Apple-TV technische Probleme aufwirft, so dass Präsentationen via Beamer nicht sofort beginnen können.
  • die SuS in den iPad-Gruppen viel häufiger komplett alleine arbeiteten, sobald ihre technischen Probleme gelöst waren oder sie keine hatten.
  • bei der Auswertung Inhaltsfehler bei den iPad-Lösungen nicht thematisiert wurden – aber bei den Postern durchaus.
  • die Korrektur an den Postern direkt erfolgte und bei den iPad-Lösungen unterblieb bzw. auf „nachher“ verschoben wurde.

Vor dem Hintergrund dessen, was ich sah, kann ich als Positiv für die iPad Gruppen festhalten: gute Leserlichkeit auch inhaltlich schlechter grafischer Lösungen; keine Notwendigkeit für Programmschulung durch die Lehrkraft aber dafür gegenseitige Unterstützung der SuS bei technischen Problemen. Auch der Wechsel der HDMI Quelle am Beamer konnte an die SuS delegiert werden (bzw. musste an diese delegiert werden, weil den L evtl. das Know-How fehlte).

Andererseits förderte die computergraphische Darstellung das Übersehen von Fehlern und betonte die sachfach-fremde kriterienfreie Würdigung von Oberflächlichkeit („schöne Darstellung“). In keinem Fall wurde hier durch den Einsatz von iPads eine tiefergehende Auseinandersetzung mit dem Arbeitsauftrag erreicht, was sich auch in der Bewertungs-/Beurteilungsphase (Demokratiedefizit?) zeigte.

Die Zahl der vertanen Chancen war Legion: Die L konnte nicht angeben, ob MDM zum Einsatz kommt und mit welchem Anbieter welcher Apps Verträge zur DViA vorliegen oder nicht vorliegen. Das Thema Datenschutz war keines, Risiken waren weder bekannt noch schienen diese je in dieser Institution thematisiert worden zu sein. Dafür wurde die Möglichkeit zur Noteneingabe am eigenen iPad positiv hervorgehoben, das nicht mit Passwort oder Pin gesichert war und ein paar mal über längere Zeit direkt vor den S in der ersten Reihe unbeaufsichtigt auf dem Pult lag. Eine Cloudlösung für den Austausch von Arbeitsergebnissen der S (oder ein Moodle) hat die Schule nicht (vielleicht sollte man darüber eher froh sein – ein Datenleck weniger). Die Posterlösungen wurden nicht fotografisch für alle S dokumentiert, obwohl sich diese am Ende als die korrigierten und insgesamt ja richtigeren Versionen herausstellten.

Summa: Viel Luft nach oben beim Schulalltag mit iPads.

Innen

Und dann gab es da (an einer anderen mir vertrauten Institution) eine Arbeitsgruppe Soziale Medien, die sich als Arbeitsgruppe Smartphones entpuppte.

Die Arbeitsgruppe positionierte sich recht eindeutig so, dass in Klasse 5 und 6 kein Einsatz von Smartphones im Unterricht erfolgen solle, keine Smartphones auf Ausflüge mitgenommen werden und auch in den Pausen etc. auf dem Schulgelände verboten sein sollten.

Die Begründungen verliefen im Einzelnen entlang der Linie mediale Dauerberieselung bzw Sucht sowie Soziale Hetzwerke bzw. Gefahren durch Cyber Grooming. Datenschutzaspekte spielten eine ebenso untergeordnete Rolle wie jegliche selbstkritische Reflektion eigenen Verhaltens oder eine Einordnung der Taschenwanzen in den gesellschaftlichen Wandel hin zu mehr Überwachung, Grundrechteabbau und hin zu autoritären Systemen.

Ich kann es ein Stück weit verstehen. Es ist eine auf den ersten Blick pragmatische Lösung für zumindest einen Teil der vielen Probleme mit Smartphones, diese in den untersten Stufen schlicht aus der Schule zu verbannen. Cyber-Mobbing bleibt so weitergehend im privaten Umfeld und die Pausen werden eher für Bewegung und Kommunikation genutzt als heute.

Nur fürchte ich, wird dies gerade in der Prägungsphase im Umgang mit dem Faustkeil nicht dazu führen, dass anschließend der Gebrauch dieser Werkzeuge reflektierter erfolgt. Vielmehr bleibt die notwendige Erziehungsarbeit bei den Eltern hängen – und da bleibt sie meiner Wahrnehmung nach liegen. Die bei den L schon fehlende selbstkritische Reflektion eigener Nutzungsgewohnheiten kommt hier verstärkt zum technischen Unverstand hinzu.

Zumindest über die technische Seite könnten im Rahmen der Schule stärker – nach intensiver Fortbildung – aufgeklärt werden. Z.B. könnte die Institution Schule Smartphones in naturwissenschaftlichen Fächern wie auch in Projekten oder in Blockunterrichts-Einheiten analysieren (im Sinne von zerlegen, Aufbau kennen lernen, in ihrem Verhalten bezüglich Datenweitergabe beobachten etc.) und die gewonnenen Erkenntnisse dann aktiv nutzen – sprich: einfache Smartphones selbst bauen, ein freies Android selbst kompilieren und flashen, das installierte Betriebssystem gegenüber Datenabflüssen so weit es geht mit einer Firewall absichern etc..

Die durch die Analyse gewonnenen Einsichten könnten zu Qualitätskriterien für Apps werden und die dann ausgewählten Apps könnten aus F-Droid oder direkt aus dem Git installiert und mit der schulischen Cloud (Kalender, Adressbuch, Dateiaustausch, Lernplattform, Messenger etc.) verdongelt werden.

Die SuS hätten am Ende des Prozesses die Erfahrung gemacht, dass Bildung dazu beiträgt, ein selbstbestimmteres Leben zu führen.

Aber Verbote gehen natürlich auch.

STUN/TURN Server und Nextcloud Talk

cloud kvfg

Nextcloud Talk in der KvFG Cloud

Nachdem ich heute Vormittag erfolgreich einen STUN/TURN Server ins Netz bekommen hatte, verdongelte ich diesen mit Nextcloud Talk und testete …

Mein dickes Katerchen Carlson war zwar im Rahmen des ersten Tests nicht sehr gesprächig, aber im Prinzip steht nun eine Videokonferenzlösung für das Kollegium zur Verfügung. Auch Externe können als Gäste an Videokonferenzen beteiligt werden, sofern man diesen den Link zum Konferenzraum (z.B. per Mail) schickt.

Läuft in allen modernen Browsern (Firefox, Chromium) und für die, die es nicht lassen können ist auch eine App für das Handy vorhanden. Schwierig könnte die Ressourcenausstattung meiner VM sein. Die muss im Alltag nun zeigen, dass sie es packt, bevor ich das größer bewerbe.

Hier kommt die Sonne …

1 – 2 – 3 … 9 – aus! [1] Will man im Neubau einen Film schauen, dann braucht man nicht nur einen windstillen Tag (damit die Jalousien unten bleiben), sondern möglichst auch noch einen trüben. Oder man hilft sich gegen die Sonne mit Postern und Tesa.

Was wir bräuchten wären Architekten, die schon in der Bauphase nicht nur hübsch denken (Jalousien sind schön! Helle Rollos sind schön!) und über das Zuhören reden, sondern das, was man ihnen sagt, dann auch umsetzen: Innenverdunkelung!

KI Lizenz

An Chefs mangelt es mir nicht und heute kam ein neuer dazu. Bis 5 Minuten vor Ende der Inthronisation war eigentlich noch alles OK – das übliche halt, wovon man weiß, dass es im Alltag flott untergehen wird: Dialog statt von Oben nach Unten; ich will erst einmal zuhören und lernen; alle haben bisher tolle Arbeit gemacht; ihre Expertise etc. wird benötigt; sie sind wichtig … so halt. Dazu noch ein wenig Phrasendropping und -drooling, das viel zu wenige als Humbug identifizieren, der Rest aber voll cool findet: Chancen der Künstliche Intelligenz! Muss man als Chef heute wohl gesagt haben. Will man den Gesamtverlauf positiv fassen, dann sagt man sich, es fehlte nur die Vorlage für ein Bullshit Bingo.

Aber dann brach es doch hervor, was sich zu Beginn nur andeutete: Lizenzen kaufen, föderale Dienste als Hindernis, Eigeninitiative als Zerfaserung, Notwendigkeit zentraler Dienste und Datentröge, Datenschutz als Hindernis … und als Krönung ein Vergleich mit Singapur, das sich Dank ein klein wenig Diktatur viel schneller und besser für die Digitalisierung aufstelle. Da war er ganz bei sich, Feuer und Flamme, ein Redner, der aus Überzeugung spricht.

Digitalisierung first – Bedenken second.

Ich hab dann noch versucht, mich wieder einzufangen, was mir nicht gelang. Also fuhr ich lieber ab, als ihn aus Versehen ihm nächstbesten Karpfenteich zu ertränken. Man muss wissen, wann es Zeit ist zu gehen. Mehr Professionalität brachte ich heute nicht auf.