Datenschutz konkret

Im Mai 2021 veröffentlichte Marc Albrecht einen Tweet auf dem er eine grafische Zusammenstellung von neun einfachen Regelungen für den Datenschutz im schulischen Alltag vorstellte. Dieser Beitrag zeigt einige meiner konkreten Umsetzungen.

Marcs Flyer ist unter Verwendung des Hashtags #twitterlehrerzimmer auf Basis von Vorschlägen verschiedener “Twitterlehrer*innen” entstanden.

Ich fand die grafische Umsetzung großartig und in meinem Antwort-Tweet habe ich auf die Notwendigkeit der konkreten Umsetzung hingewiesen.

Dabei habe ich, im Kontext von Schule, aber auch Lehrerausbildung, nicht nur an die Lehrkräfte, sondern auch an Schülerinnen und Schüler gedacht. Um dem Tweet Taten folgen zu lassen, möchte ich in diesem Beitrag einige konkrete Ideen der Umsetzung vorstellen, die ich nutze bzw. mit denen ich gute Erfahrungen gemacht habe. Leitlinien, die nicht immer zu hundert Prozent umsetzbar waren sind:

  • das Tool, die App sollte möglichst plattformunabhängig sein
  • es sollte möglichst Open Source Software verwendet werden
  • die DSGVO sollte Beachtung finden

Meine Konkretisierungen betreffen nicht alle von Marcs Punkten, sind aber die, die für mich am wichtigsten sind und mit denen ich arbeite 😉.

🔒 Immer neue und sichere Passwörter nutzen

Hierzu bietet sich aus meiner Sicht ein so genannter Passwordmanager an. Zwar bieten auch viele Browser eine solche Funktion an. Allerdings werden die Daten werden entsprechend auf den entsprechenden Server-Systemen gespeichert, die nicht zwangsläufig in Europa oder in Deutschland stehen. Ich empfehle deshalb einen Verbleib der sensiblen Zugangsdaten möglichst vollständig auf den lokalen Geräten. Ich nutze seit einiger Zeit den Passwordmanager KeyPass XC. Er läuft auf den gängigen OS (Windows, MacOS, Linux) und es handelt sich um Open Source Software. Nach der erfolgreichen Installation wird eine Datenbank der persönlichen Passwörter erstellt, die mit einem eigenen Namen versehen kann. Diese Datenbank wird auf dem lokalen Gerät gespeichert. Wer möchte kann die Datenbank außer mit einem Passwort im Sinne der Zwei-Faktoren-Authetifizierung noch weiter schützen. Ich habe mich für einen Security Key entschieden, den YubiKey. KeyPass XC selbst bringt einen Passwordgenerator mit, so dass per Klick schnell sichere Passwörter generiert werden können. Obwohl ich mit KeyPass XC zufrieden bin, möchte ich doch auf zwei mögliche Einschränkungen hinweisen:

  1. Es gibt keine mobile Version von KeyPass XC. Die Entwickler selbst begründen dies damit, dass das Programm hierfür neu programmiert werden müsste und sensible Daten wie persönliche Passwörter auf mobilen Geräten nicht besonders sicher seien. Sie empfehlen stattdessen mit gleichen Funktionen für Android die Apps KeePassDX und KeyPass2Android. Die Empfehlungen für iOS sind Strongbox und KeePassium.
  2. Da die Datenbank der Passwörter lokal auf dem eigenen System gespeichert wird, ist eine Synchronisation mit anderen (lokalen) Geräten wie etwa einem Laptop so erst einmal nicht möglich. Eine Lösung wäre, die Datenbank in einer Cloud zu speichern und so zwischen den einzelnen Geräten zu synchronisieren. Hierzu kann auch ein Pluginverwendet werden. Ob und in wie weit man das Sicherheitskonzept von KeyPass XC derart ändern möchte, muss individuell entschieden werden. Meine persönliche Lösung: ich kopiere die Datenbank regelmäßig via USB-Stick vom Desktop-Rechner auf den Laptop. Falls man auf eine Synchronisation gar nicht verzichten möchte kann, ist Bitwarden möglicherweise eine Alternative. Diese Open Source Software synchronisiert die Datenbank der Passwörter online in der Cloud. Ein guter Vergleich von Bitwarden und KeyPass XC findet sich auf Golem.

💻 Freie Software nutzen

Bitwarden als ein Beispiel für freie Software - vielleicht bekannter unter dem Namen Open Source - ist gerade genannt worden. Die Angebote an Open Source Software sind vielfältig und viele Projekte nach meiner Einschätzung absolut konkurrenzfähig. Auf wikipedia findet sich zum Beispiel eine gute Übersicht mit einem extra Abschnitt “Educational”. An dieser Stelle folgen einige Empfehlungen, die ich sehr überzeugend finde:

🍪 Cookies im Blick behalten

Mit Urteil vom 01.10.2019 (Az. C-673/17) hat der EuGH für den Einsatz von Cookies, die für den Betrieb einer Website oder die Gewährleistung spezifischer Seitenfunktionen nicht zwingend erforderlich sind, eine grundsätzliche Einwilligungspflicht bestätigt. Wer kennt die Folgen davon nicht: man surft auf eine Website und als erstes erscheint ein Popup-Fenster das uns auffordert, den Cookies zu zustimmen. Ja, das nervt und schnell klickt man auf “alle akzeptieren” oder “allen zustimmen” und schon fließen mehr Daten ab als notwendig. Bei vielen Websites lohnt es sich nämlich, kurz einmal genau hinzuschauen und ggf. ein oder zweimal mehr zu klicken. Die Website des Duden beispielsweise bietet folgende Auswahloptionen an:

/static/images/datenschutzkonkret/cookies_01.png

Durch einen Klick auf “Einstellungen” gelangt man zu den Auswahloptionen.

/static/images/datenschutzkonkret/cookies_02.png

Ich kann nun bestimmten, welche persönlichen Daten erhoben werden sollen und welche nicht. Häufig ist auch die Option “Nur technisch notwendig” oder eine ähnliche Formulierung vorhanden. Welche Cookies aus juristischer Sicht technisch notwendig sind ist kann man hier nachlesen. Es gibt Internetseiten, die den Einsatz von Cookies prüfen und ausgeben, wie etwa auf TrackerTracker. Für noch mehr Informationen über die Weitergabe von Daten lohnt sich die Seite webkoll.

💾 Speicherorte für Dateien stets im Blick behalten

Wie Marc auf dem Flyer schreibt, ist das Speichern von sensiblen Daten in der Cloud in dienstlichen Zusammenhängen i.d.R. nicht erlaubt. Arbeitsblätter mit Bildern, Erklärvideos und ähnliches fallen zwar nicht unbedingt unter diese Kategorie, verbrauchen aber auf der lokalen Festplatte viel Speicherplatz. Eine Cloud schafft da für viele Kolleginnen und Kollegen Abhilfe. Um die Daten in der Wolke, auch wenn sie keine sensiblen Daten enthält, zu sichern bietet es sich trotzdem an, diese zu verschlüsseln. Cryptomator und Boxcryptor sind hier für mich die Tools der Wahl, wie ich im entsprechenden Blogbeitrag ausgeführt habe. Wer mag kann sich außerdem seine eigene Cloud basteln. Ich nutze zum Beispiel Nextcloud auf einem Raspberry Pi.

🔍 Datensparsame Suchmaschinen nutzen

Googlen als Verb hat es ja mittlerweile in den Duden geschafft. Bekannt ist sicher auch, dass der Suchmaschinen-Gigant Daten der Nutzerinnen und Nutzer sammelt, um so gezielt und persönlich werben zu können. Die wohl derzeit bekannteste Alternative, speziell wenn es um Datensparsamkeit geht, ist die Suchmaschine DuckDuckGo. Die Nutzerzahlen der Ente sind stark steigend, wie etwa hier nachzulesen ist. Ich nutze seit einiger Zeit DuckDuckGo als Standard-Suchmaschine und bin sehr zufrieden. Einschränkungen bisher: keine.

Fazit

Was bleibt? Datenschutz ist wichtig und kein Hexenwerk. Entscheidend ist in erster Linie immer der sensible Umgang mit personenbezogenen oder personenbeziehbaren Daten. Nicht zum Datenschutz Schutz dieser Daten, sondern zum Schutz der Menschen auf die sich diese Daten beziehen. Eine sehr gute Informationsquelle für mich ist - wenn auch sicher nicht in letzter Konsequenz zu hundert Prozent rechtsverbindlich - die Seite des geschätzten Kollegen Dirk Thiede aus dem schönen Sauerland 🌲🌳.