Unsere Kita Lifehacks
In jeder Ausgabe unseres Newsletters stellen wir euch einen #MäuschenKitaLifehack vor – einen Tipp, der euch die organisatorische Arbeit erleichtert.
Januar 2023
(Alte) Privatgeräte in sichere Dienstgeräte umwandeln
Gebetsmühlenartig wird die Empfehlung zur Digitalisierung wiederholt, dabei muss man die meisten Kita-Praktiker:innen von den Chancen längst nicht mehr überzeugen! Die vom Team favorisierte Wunschlösung wird häufig trotzdem nicht eingeführt – oder nur schleppend, weil irgendeine Voraussetzung fehlt.
Ein häufiger Engpass: Es gibt keine oder zu wenige Dienstgeräte, und Privatgeräte sollen nicht eingesetzt werden. Gleichzeitig liegen aber in vielen Haushalten (des Teams und spendenwilliger Eltern) ausgemusterte Privat-Smartphones und sogar Tablets herum. Warum nicht einfach diese Geräte in sichere, datenschutzkonforme Dienstgeräte umwandeln – als Übergangs- oder sogar dauerhafte Lösung?
Tatsächlich erfordert das nur wenige Schritte, die technikaffine Kollegen:innen im Team in Eigenregie umsetzen können:
1. Alte Nutzerdaten entfernen
Stellt zunächst sicher, dass niemand die Daten auf dem alten Gerät mehr benötigt. Am besten erstellt ihr noch ein Backup des Geräts an einem sicheren Ort.
Löscht nun alle persönlichen Informationen und Daten (inkl. Konten, Bilder, Apps, Spiele etc.) vom Gerät. Am einfachsten, indem ihr einfach einen Werks-Reset durchführt.
2. Mit dienstlichem Account neu einrichten
Richtet euch unter einer Dienst-Email-Adresse ein Konto bei Apple oder Google (für Android-Geräte) ein, und über die gleiche Adresse auch alle weiteren benötigten Accounts z.B. für bestimmte Apps (siehe auch nächste Schritte).
Überlegt euch vorab, ob ihr dieselbe Adresse (und damit auch den selben Account) für alle Geräte oder eine pro Gerät verwenden möchtet. Hierzu gibt es keine klare Empfehlung, sondern es hängt von euren Präferenzen ab:
- Ein Account pro Gerät bietet etwas mehr Kontrolle, Flexibilität und auch Sicherheit
- Ein Account für alle Geräte ist dafür in der Verwaltung etwas einfacher (z.B. bei App-Einkäufen und Account-Einstellungen)
Tipp: Wenn ihr zwar für jedes Gerät einen Account verwenden aber dafür nicht lauter neue Email-Konten einrichten möchtet, erstellt euch einfach für jedes Gerät eine Alias-Email-Adresse, die an eure normale dienstliche Email-Adresse weitergeleitet wird. Je nach Träger geht das entweder direkt über eure IT / euren Anbieter oder ihr erstellt euch einen kostenlosen Account bei AnonAddy, wo ihr dann beliebig viele Adressen im Format dienstgeraet1@EuerAccount.anonaddy.me zur Weiterleitung an eure „echte“ dienstliche Email-Adresse einrichten könnt.
3. Multi Device Management (MDM) aktivieren
Eine Multi Device Management Lösung ist eine (meistens) Browser-basierte Anwendung, mit der ihr alle anderen hier aufgezählten Schritte „aus der Ferne“ einrichten und verwalten könnt. Ihr müsst also das Gerät nicht selbst in der Hand halten und könnt auch mehrere Geräte auf einmal einrichten. Außerdem könnt ihr verlorene und defekte Geräte temporär sperren oder vollständig löschen.
Eine MDM Lösung ist unserer Meinung nach die wichtigste und zentrale Komponente bei der sicheren und datenschutzkonformen Verwendung von Dienstgeräten.
Eine gute Übersicht findet ihr im Vergleich aktueller MDM Lösungen des trusted Portals.
Unsere zwei Favoriten heißen Cortado und Relution (übersichtliche Lösungen, faire Preisstruktur für „kleine Unternehmen“, Erfahrung im Bildungssektor, Sitz in Deutschland).
Das erscheint euch als erster Schritt bzw. für eine kleine Einrichtung zu komplex? Dann haben wir einen Tipp: Aktiviert stattdessen auf den Dienstgeräten einfach die Kindersicherungsfunktion. Damit müsst ihr zwar jedes Gerät zum Konfigurieren in die Hand nehmen (und euch die Admin-Zugangsdaten separat notieren), aber ansonsten habt ihr viele ähnliche Einstellungsmöglichkeiten wie in MDM Lösungen:
*Leider wird die Funktion auf vielen Drittanbietergeräten mit Android nicht angeboten. Für diese bietet Google die extra installierbare App Family Link an
4. Sicherheitsmaßnahmen hinterlegen
Legt zunächst ein sicheres Passwort fest. Sowohl für Apple als auch Android kann man heute statt einer reinen Zahlen-PIN auch ein Passwort aus Zahlen, Buchstaben und ggf. Zeichen verwenden. Da die Geräteanmeldung schnell gehen muss, präferiert ihr sicher ein kurzes Passwort. Dafür ist dann umso wichtiger, dass ihr drei oder sogar alle vier Zeichentypen verwendet:
- Großbuchstaben
- Kleinbuchstaben
- Zahlen
- Sonderzeichen
Unser Tipp: Wählt einfach für jedes Gerät ein Lied, Tischsprüchlein, o.ä. aus dem Alltag und bildet das Passwort aus den Anfangsbuchstaben der ersten 6 Wörter. Z.B. wird aus Viele kleine Fische, schwimmen heut zu… erstmal das Passwort VkFshz. Ersetzt dann noch an einer passenden Stelle jeweils einen Buchstaben durch eine Zahl und ein Sonderzeichen. Z.B. könnte man für Viele die größte einstellige Zahl 9 einsetzen und für heut die Sonne *. Das endgültige Passwort wäre dann 9kFs*z. Ziemlich schwer zu knacken, aber für euch im Team gut zu merken. Ein „Codewort“ für das Tischsprüchlein könntet ihr sogar auf die Geräterückseite kleben (z.B. Fische).
Falls ihr eure Dienstgeräte in der Einrichtung teilt, könnt ihr auch durchaus für alle Geräte das gleiche Passwort wählen. Wichtiger ist, dass niemand außer eurem Team es kennt. Dann müsst ihr allerdings das Passwort jedes Mal auf allen Geräten ändern, wenn z.B. ein Teammitglied die Einrichtung verlässt.
Falls ihr die Dienstgeräte sowieso personalisiert verwendet, gebt also lieber jedem Gerät ein eigenes Passwort.
Die zweite essenzielle Sicherheitskomponente für Dienstgeräte ist eine Mobile Security App, die z.B. Viren erkennt, den Aufruf von Phishing-URLs verhindert und vor unsicheren WLANs warnt. In manchen MDM Lösungen (siehe Punkt 3) ist das schon integriert. Falls ihr allerdings keine MDM Lösung oder eine ohne Security Funktionen verwendet: Die kostenlose Mobile Security App von Avast für iOS / iPadOS und Android bietet neben den aufgezählten Grundfunktionen eine Reihe weiterer nützlicher Sicherheitswerkzeuge, ohne dabei zu nerven oder das Gerät zu verlangsamen.
5. Benötigte und zulässige Apps festlegen
Deinstalliert zunächst erstmal alle Apps, die nach dem Zurücksetzen (Schritt 1) vorinstalliert sind aber von euch gar nicht benötigt werden. Manche Apps lassen sich nicht löschen, aber können dann zumindest über eine Lösung aus Punkt 3 gesperrt werden.
Installiert anschließend nur Apps aus sicheren Quellen, d.h. am besten aus dem offiziellen App Store für iOS bzw. Play Store für Android. Aber Achtung: Auch diese Apps können einmal Sicherheitslücken haben oder zwar den Kriterien von Apple bzw. Google gerecht werden, aber nicht denen eurer Bundes- und Landes-Aufsichtsbehörden. Generell solltet ihr immer dann etwas genauer hinschauen und euch im Zweifelsfall nochmal rückversichern, wenn eine App scheinbar unnötige Berechtigungen erfragt (z.B. auf euren Standort, die Kontakte oder Clouds).
Wenn ihr mit einer App personenbezogene Daten (insb. eurer betreuten Kinder) verwalten möchtet, solltet ihr noch genauer hinschauen und insb. auf folgende Aspekte achten:
- Optimal: Der/die Anbieter:in besitzt ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS), z.B. nach ISO27001 oder BSI Grundschutz
- Es werden nur wirklich benötigte Daten verarbeitet, d.h. ihr könnt den Zweck aller verarbeiteten Daten nachvollziehen
- Falls Daten in Clouds / über Server übertragen werden, stehen diese in der EU
- Sowohl der Anbieter als auch seine Subdienstleister sitzen in der EU
Alternativ zur – zugegebenermaßen nicht immer leichten – selbstständigen Prüfung könnt ihr euch auch einfach auf Empfehlungen von vertrauenswürdigen Institutionen stützen, z.B. die hervorragende Aufstellung von Kita-Apps des Bayerischen Staatsinstituts für Frühpädagogik (IFP)*. Zusätzlich sollte und muss natürlich auch immer euer/eure Datenschutzbeauftragte:r Lösungen prüfen, mit denen ihr personenbezogene Daten Verarbeitet und / oder Zugriff darauf gewährt.
* Die Mäuschen App ist noch zu neu und daher nicht in der Auflage von 2021 enthalten. Wir rechnen aber mit der Aufnahme in der nächsten Auflage in diesem Jahr.
November 2022
Aufnahmen veröffentlichen
„Klar, für Website, Social Media und Rundbriefe verwenden wir nur Aufnahmen von Kindern, deren Eltern uns die Einwilligung erteilt haben. (Und die Kinder machen wir sowieso unkenntlich.)“
So hören wir es oft und das ist auch ein guter Grundsatz. Aber ist es auch die beste Praxis?
Bei generellen Einwilligungen z.B. im Betreuungsvertrag können Eltern nicht unbedingt abschätzen, in welchen Situationen ihre Kinder zukünftig gezeigt werden. Jede Veröffentlichung birgt deshalb immer noch Konfliktpotenzial.
Umgekehrt stimmen vielleicht Eltern im Einzelfall einer Veröffentlichung von Aufnahmen zu, die das generell im Betreuungsvertrag abgelehnt haben. Und andere Eltern, die normal auf ein Unkenntlich Machen ihrer Kinder bestehen, verzichten vielleicht im Einzelfall auch mal darauf.
Unser Tipp: Holt euch für jede Veröffentlichung eine einzelne Einwilligung ein, und fragt dabei auch gleich, ob das Gesicht zu sehen sein darf. Dann wissen alle eindeutig Bescheid und ihr könnt oft mehr mit der Aufnahme machen, als ihr gedacht hättet. So einfach geht’s:
- Vordruck erstellen (Vorlage siehe oben)
- Jede zu veröffentlichende Aufnahme ausdrucken und auf Vordruck kleben
- Eltern beim Bringen / Abholen Einwilligung ankreuzen und unterschreiben lassen
- Einwilligung sicher dokumentieren (scannen oder abheften)
In Zukunft bieten wir euch das übrigens vollkommen papierlos als Funktion in der Mäuschen App an.