Volle Spackung?

Die Landeszentrale für politische Bildung hat eine Publikation zum Thema Medien online. Zwar schmückt man das Titelblatt noch mit einem Fragezeichen (eine Idee, die ich hier gleich aufgreife) aber im Heft findet sich eine lange Empfehlungsstrecke für Dienste von Dritten – darunter Padlet, um das es (weil es das bekannteste Tool sein dürfte) hier ausführlicher gehen soll.

Eine Analyse mit Webkoll zeigt die Problemstellen des Dienstes auf:

  • Der Dienstleister hat seinen Sitz in den USA
  • Padlet setzt 10 eigene Cookies – darunter zwei, die erst im Jahr 2069 verfallen und einer, der im Jahr 2042 verfällt
  • Padlet setzt 4 Cookies von Drittparteien, von denen 3 einen Monat gültig sind
  • 54 Anfragen gehen schon beim Aufruf der Seite an Drittdienste – darunter Amazon, Apple (iTunes), Cloudflare, Cloudfront, Google (auch Google Analytics und Doubleclick), Twitter und Quantserv, die so zumindest Kenntnis von der IP des Aufrufenden erhalten

Dass Google Analytics mit IP Anonymisierung eingesetzt wird spielt schon keine Rolle mehr, weil die vielen Drittdienste zur Datenquelle für Padlet werden dürfen:

We may also obtain information, including personal information, from third-party sources to update or supplement the information you provided or we collected automatically. This may include aggregated anonymous information or certain personal information that may be provided to us. [1]

Dazu kommt: Weitere Dienste – z.B. von Youtube, Vimeo und Freunden – werden bei der Arbeit mit Padlet in den meisten Fällen genutzt, weil in der Einbindung von Drittdiensten gerade der Witz von Padlet liegt. Es ist eine Art von Collagedienstleister. Die Zahl der Tracker und Datenkraken explodiert.

Vor diesem Hintergrund kann man mit Fug und Recht behaupten: Keine Lehrkraft – und erst Recht kein Schüler – hat da noch den Überblick über die Datenflüsse oder könnte gar seine Rechte aus der DSGVO durchsetzen.

Dass es auch keinen Dritten gibt, der die Angaben von Padlet und der vielen Dritten prüft und zertifiziert – das wäre eine der Voraussetzungen dafür (ISO 27001 und ISO 27018), dass eine Schule einen Vertrag zur DViA mit Padlet abschließen kann – rundet das Bild ab.

Vor diesem Hintergrund ist es mir ein Rätsel, wie eine staatliche Schule die Vorgaben des KM zum Datenschutz an Schulen erfüllen will, sollte sie Padlet nutzen.

Dass diese Probleme in den hier betrachteten Beiträgen der Seiten 8 bis 18 im Heft der Landeszentrale nicht einmal am Rande thematisiert werden macht deutlich: Es geht dem Autor nicht um die Schüler/innen und deren Grundrechte. Es geht um Digitalisierung first. Das Recht auf Informationelle Selbstbestimmung wird der Oberflächlichkeit geopfert. Hauptsache man ist mit dabei und cool. Gibt es da eigentliche eine Redaktion, die die Inhalte vor der Veröffentlichung inhaltlich prüft – oder korrigieren die nur die Kommasetzung?

Politische Bildung sieht für mich anders aus.

PS

Ein Einzelfall? Mitnichten! Empfohlen wird auch

Popplet

  • Sitz des Dienstleisters: USA
  • 1 Cookie von Dritten
  • 56 Anfragen an Dritte

Kahoot

  • Sitz des Dienstleister: USA
  • 12 Cookies, davon 5 von Dritten
  • 42 Anfragen an Dritte

Scribblemaps

  • Sitz des Dienstleisters: USA
  • 7 Cookies
  • 7 Anfragen an Dritte

Thinglink

  • Sitz des Dienstleisters: Irland
  • 20 Cookies, davon 6 von Dritten
  • 120 Anfragen an Dritte

Easelly

  • Sitz des Dienstleisters: USA
  • 13 Cookies, davon 5 von Dritten
  • 108 Anfragen an Dritte

usw usw. Ein Datenschutzmassaker.

Update 05.12.19

Zwei Runden Mails später wird nun eine Art von Disclaimer geplant, der die Kolleg/innen auf die rechtliche Situation und ihre Pflichten hinweisen soll. Die Zahl der Menschen auf CC hat sich ebenfalls erhöht – wir klettern gemeinsam die Behördenleiter nach oben. Schön. Dann sind wenigstens alle informiert und keiner kann sagen, er habe nichts gewusst.

Einsicht in eigene Fehler ist jedoch aus meiner Sicht noch nicht vorhanden. Da wird z.B. weiter vom einem Prüfverfahren durch Lehrer/innen geschrieben – als wären die in der Lage die technische Analyse zu leisten. Sieht man ja, dass sie das nicht waren.

Wo die Einsicht fehlt, ist auch eine Verfahrensänderung noch fern. Noch schreibe nur ich selbst davon, dass Publikationen zu Drittdiensten von technisch und rechtlich geschulten Fachkräften gesichtet werden müssten, dass der Fehler im Prüfverfahren selbst liegt, wenn die Ergebnisse so aussehen wie hier.

Mal sehen. Wenn alles gut läuft, dann kommt doch mehr dabei heraus als ein Hinweisschild auf der Webseite von P&U mit den Inhalt „Der Schutz Ihrer Daten ist uns wichtig!“

2 Gedanken zu „Volle Spackung?

    1. d.weller Beitragsautor

      Es handelt sich nicht um die Bundeszentrale für politische Bildung, sondern um die Landeszentrale. Politik & Unterricht ist eine (im Grunde wirklich gute) Publikation aus BaWü. Nur dieses mal haben sie sich IMHO ein Loch ins Knie geschossen vor lauter „wir auch“.

      Die App-Liste auf dem LBS ist jedoch … äh … toll. Im Sinne von Irrsinn.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

8 + 2 =