DSGVO: Meine To-Dos

Ich lebe in Europa, bin Lehrerin, arbeite bei vielen Projekten mit. Somit habe ich mit personenbezogenen Daten zu tun. Wie viele andere habe ich mich gefragt, welche Schritte ich unternehmen muss, meine Webseiten und meine beruflichen Praxis, datenschutzkonform gemäß der DSGVO zu gestalten. Seit einigen Wochen wird auf Twitter viel über dieses Thema diskutiert. Hier haben die Bildungspunks ein Zumpad und eine Sammlung an Ressourcen veröffentlicht, damit Antworten und Lösungen kollaborativ gefunden werden können.

Als ich die Barcamp EDUnautika in Hamburg am 7. April 2018 besuchte, war ich bei einer Session namens „DSGVO und Digitaler Workflow“ von @foorbie dabei. Die Notizen zur Session sind hier zu finden. Diese Session war wertvoll, weil mir klar wurde, dass ich noch viel tun und entscheiden muss. Kudos an @foorbie, weil sie es geschafft hat, die Teilnehmenden zu motivieren, Schritte zu setzen. Was habe ich getan und was muss ich noch tun?

Auf meiner persönliche To-Do- Liste steht:

  • Alle Webseiten datenschutzkonform zu gestalten. Hier habe ich noch nicht angefangen, weil ich mir noch überlege, in welcher Form meine WordPress-Webseiten weiter gehen sollen.
  • Meine Clouddienste verschlüsseln. Mithilfe von Diensten wie Cryptomator ist es möglich, Daten auf Dropbox, Google Drive und OneDrive mit einem Tool zu verschlüsseln.
  • Daten von Schülerinnen und Schüler, die ich nicht mehr benötige, dauerhaft zu entfernen. Ich habe verschiedene Lernplattformen (cloudschool.org, lms.at, Google Classroom) über die Jahre verwendet, und war bisher nicht immer dahinter, die Daten der SuS nach unserer Zusammenarbeit zu löschen.
  • Ein System für die Anonymisierung und Pseudonymisierung von Daten der SuS entwickeln, um eine sichere Arbeitsumgebung zu gewährleisten.
  • Für jede Klasse und jedes Fach eine eigene, personalisierte Datenschutzerklärung am Anfang des Schuljahres unterschreiben lassen, damit Eltern sowie Kinder und Jugendlichen wissen, wie ihre Daten verarbeitet werden, und welche Online-Tools wir nutzen werden. Als Verarbeiterin von Daten habe ich die Pflicht, die Zwecke zu nennen.

Webseite auf WordPress

Da ich die Koordination für das Projekt „Ö1 macht  Schule“ mache, habe ich folgende To-Do Liste aufgesetzt und teilweise umgesetzt. Die Webseite ist selbstgehostet auf WordPress.

  1. Webseite per SSL verschlüsseln. Tooltipp: Let’s Encrypt.
  2. Cookie-Erklärung einrichten. Auch muss entschieden werden – per Du oder per Sie? Verlinkung auf Infoseite und Opt-out?
  3. Google Analytics entfernen. Falls vorhanden ausschalten.
  4. Eine eigene Seite für die Datenschutzbestimmungen einrichten. Text anpassen und Webseiten-Betreiber nennen.
  5. Lösung für iFrames finden. Eingebettete Elemente tracken IPs. D. h. entweder individuelle Lösungen finden (wie Plugin z. B. für youtube Videos einrichten), Inhalte anders darstellen oder sie entfernen.
  6. Plugin für Webseiten-Statistik auf „anonym“ einstellen. Hier können Plugins die Besucherzahlen ohne IPs tracken.
  7. Google Fonts selbst hosten. Da eine Nutzung ohne Tracking an Google nur so möglich ist.
  8. Dialogfelder für Kommentare und Kontaktformular mit Checkbox einrichten. Hier sollen Nutzerinnen und Nutzer die Weitergabe ihrer Daten explizit zustimmen (Kasten darf nicht im Voraus „abgehackt“ werden).
  9. Drittanbieter Referrers entfernen.
  10. Eine Lösung für Emojis finden. Hier ist eine Erklärung, weshalb dies nötig ist.
  11. Social Media Icons datenschutzkonform gestalten. Diese haben wir derzeit entfernt.

Ist nicht so schlimm, oder? emojismiley

DSGVO und Schule

Für die Schule hat die DSGVO weitreichende Konsequenzen für alle Lehrerinnen und Lehrer. Ich habe Fragen und ein Paar Antworten in diesem Online-Dokument zusammengefasst.

dsgvoschule

Last but not least …

Da ich eine Vielzahl an Online-Tools in meiner Praxis verwende, wollte ich wissen, was die Toolanbieter an Maßnahmen für die Implementierung der DSGVO umsetzen. Ich habe mich entschlossen, Kahoot, Evernote und Learningapps direkt zu kontaktieren und danach zu fragen. Ihre Antworten sind kundenorientiert und allgemein gehalten, daher denke ich, dass es OK ist, sie hier zu posten. Das habe ich geschrieben.

Dear Team!

As a user of your platform, please inform me about measures you have implemented/will implement to your software to be GDPR compliant.

I am a teacher and collect student data in my daily work. Students visit notes with their mail accounts/individual IPs – are these tracked? What procedure is in place to have their tracking data removed on request? Are your servers located in the EU or elsewhere?

Thanks for your prompt response.

Alicia Bankhofer

Hier die Antwort von Evernote:

Hello,

Thank you for contacting Evernote support. My name is (removed) and I will be assisting you. I understand you have questions about Evernote and GDPR compliance.

As we make clear in our Three Laws of Data Protection, Evernote is committed to protecting the privacy and security of our users’ data. We believe that GDPR complements our existing data protection policies and processes, giving us a solid foundation and helping us maintain a strong commitment to data privacy. In addition to updating our Privacy Policy to reflect our new obligations, we are implementing processes in place to support users seeking to export or access their personal data in a seamless way, and training our staff on how build and design privacy-conscious products.

To help guide our readiness initiatives, Evernote actively collaborates with privacy experts from the Center for Democracy and Technology (CDT) and the Future of Privacy Forum (FPF). Evernote continues to be EU-US Privacy Shield and Swiss-US Privacy Shield certified.

Being ready for GDPR is important to us and we welcome this opportunity to help our users understand what we’re doing to prepare. For Evernote users interested in learning more about GDPR and how we are adopting these principles, please contact us by email at privacy@evernote.com. Evernote Business customers looking for a data protection agreement should contact their customer success agent, or email privacy@evernote.com for more information.

Our GDPR Commitment

I hope this helps. Please feel to reach out with any further questions or issues.

Hier die Antwort von Kahoot:

Hi Alicia,

I’m (removed) , Thanks for reaching out!

Thanks for being concerned about the GDPR. The privacy of our users are very important to us. We are actually headquartered in Oslo, Norway and we have many users in Europe. We have therefore been preparing for the GDPR for quite some time. We will be compliant with the GDPR when it comes into effect throughout Europe as of May 2018 and are already making sure the data of our users are stored safe and as it should according to the GDPR.

Please check this link: https://kahoot.com/privacy-policy/

Happy Kahoot!‘ing!

Hier die Antwort von learningapps.org:

Dear Mrs. Bankhofer,

Thank you for your feedback. We endeavour to comply with DSGVO requirements wherever possible. We are currently revising the data protection information and will adapt it accordingly in the next few days. Data protection is very important to us: When accessing LearningApps.org, only data necessary to provide the service is collected and we do not pass on any personal data to third parties.

We would also like to point out that LearningApps.org is a non-profit organization, has no commercial interests and no advertising etc. is planned for the future. Detailed information on the sponsoring association „LearningApps – interactive learning modules“ can be found at http://verein.learningapps.org/ In particular, we refer here to Article 6 of the Articles of Association:
 „III. finances Art. 6 Sources of income The association finances its activities, in particular the operating costs of the platform, exclusively through donations from sponsors and patrons.

Kind regards,
(removed)

Ich denke, die Anbieter werden

Fazit

Ich behaupte nicht, mich ganz gut auszukennen. Bin aber froh, dass ich halbwegs Schritte definieren und selbst unternehmen kann, um die neue Verordnung gerecht zu werden. Jetzt heißt es, weiterhin forschen, darüber lesen und umsetzen. Wir schaffen das schon!

Links

Videoanleitung: WordPress DSGVO Google Fonts und Referrers händisch ausschalten https://youtu.be/jVXjSueixTc

Webinarreihe von Wirtschaftskammer Österreich: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/webinare-dsgvo.html#heading_Basis_Webinar__Datenschutz_jetzt_neu_angehen_

Bildungspunkssammlung: Webseiten nach der DSGVO gestalten

Webseiten auf Sicherheit überprüfen: https://webbkoll.dataskydd.net/en

Datenschutz Checkliste für Blogs: https://datenschmutz.net/dsgvo-checkliste-fuer-blogs/

Datenschutzgeneratoren:

 

 

Titelbild unter CC0

Emoji Smiley unter CC0

 

SaveSaveSaveSaveSaveSaveSaveSave

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s