Tools zur Zusammenarbeit
Liebe Mitarbeiter*innen,
gerade im Bereich der Jugendarbeit benötigen Sie häufig externe Dienste (Webseiten), um die Zusammenarbeit innerhalb der Gruppe zu organisieren oder Spiele anbieten zu können. Oft sind die gängigen Angebote jedoch nicht datenschutzgerecht, ich habe daher für Sie hiermit eine Auswahl zusammengestellt und jeweils aus Sicht des Datenschutzes bewertet.
Gerne nehme ich Rückmeldungen oder Erfahrungen von Ihnen entgegen.
Bitte beachten Sie auch meinen Artikel über Videokonferenzen und weiteren Tools zur Zusammenarbeit:
Videokonferenzen: Hinweise zu Sicherheitsrisiken u. Alternativen zu Zoom
Tools zur Organisation von Teams bzw. Veranstaltungen:
Online-Terminkalender:
Gängig ist der Dienst "Doodle", jedoch ist dieser Online-Dienst nicht datenschutzgerecht. Für diesen Dienst sprechen eher seine Bekanntheit und Funktionalität.
1. Alternative: Online-Terminkalender von Dataport und dem Land Schleswig-Holstein:
https://terminfinder.schleswig-holstein.de/#/home
Sicherer und datenschutzkonformer Terminkalender, der vom IT-Dienstleister der öffentlichen Verwaltungen bereitgestellt wird.
Der Quellcode wurde als Free Open Source Software (FOSS) auf OpenCoDE veröffentlicht und ist somit objektiv überprüfbar. Die Umfragen (und somit auch die Daten) können mit einem Passwort geschützt werden, so dass sich dieses Tool auch für sensiblere Daten eignet.
2. Alternative: Online-Terminkalender des "Vereins zur Förderung eines Deutschen Forschungsnetzes":
https://www.dfn.de/dienstleistungen/dfnterminplaner/
Auszug aus dem KomFIT-Aktuell-Newsletter v. 18.09.2014 hierzu:
Mit dem DFNTerminplaner stellt der DFN-Verein (Verein zur Förderung eines Deutschen Forschungsnetzes) ein kostenloses Hilfsmittel zur Abstimmung von Terminen bereit. Der DFNTerminplaner schenkt dabei insbesondere dem Datenschutz sowie der Datensparsamkeit höchste Beachtung und verzichtet damit bewusst auf das eine oder andere Komfortmerkmal. So kann der DFNTerminplaner ohne Anmeldung genutzt werden. Auch werden beim Zugriff auf den DFNTerminplaner keine IP-Adressen gespeichert. Alle Daten der Terminplanungen werden ausschließlich in Deutschland beim DFN-Verein gespeichert, nicht an Dritte weiter gegeben und für keinen anderen Zweck außer der jeweiligen Terminplanung verwendet. Zu jeder Terminplanung muss darüber hinaus ein Ablaufdatum angeben werden, zu dem die betreffende Terminplanung inklusive aller dazu eingegebenen Daten automatisch gelöscht wird.
Datenschutzhinweise zum "DFNTerminplaner": DFNTerminplaner Datenschutzhinweise
3. Alternative: Online-Terminkalender "Nuudel" des "Digitalcourage e.V.":
https://nuudel.digitalcourage.de/#Online-Terminkalender%20digitalcourage
Datenschutzhinweise zum Online-Terminkalender "Nuudle" des Vereins "Digitalcourage": Hinweise zum Online Terminkalender digitalcourage
Hinweise zu DFNTerminplaner / Nuudel:
Beide Verfahren können ohne eine Anmeldung / Benutzerauthentifizierung genutzt werden. Somit ist der kryptische, aus Zufallszahlen generierte Link der einzige Zugriffsschutz vor einer unberechtigten Einsichtnahme. Der Link könnte an Unberechtigte weitergeben werden, dies wäre bei einer Benutzerkenneung aber ebenso möglich. Eine zufällige Einsichtnahme (wie z.B. beim "Zoom-Bombing") ist zwar sehr unwahrscheinlich, aber nicht gänzlich ausgeschlossen. Aus diesem Grund sollten keine besonders schützenswerten Daten eingetragen werden.
s.a. Link zur Datenschutzerklärung im Anhang.
Toolbox für Beteiligungsverfahren:
https://adhocracy.plus/
Unklar ist, inwieweit dieses extern eingebunden werden kann oder ob Beteiligungsverfahren über deren Seite laufen müsste.
Einschätzung DSB:
Serverstandort in Deutschland, keine US-Firmen eingebunden, gemeinnütziger Verein. Die Plattform kann auch auf eigenen Servern selbst aufgesetzt und betrieben werden (Open Source).
https://barcamps.eu/
Im Beispiel ein Barcamptool des Deutschen Bundesjugendrings.
Einschätzung DSB:
Müsste im Einzelfall geprüft werden. Auf den Beispielseiten sind unzulässige US-Tools wie Google Analytics aktiv.
Tool für Abstimmungen und Pro/Contra Abwägungen:
https://www.tricider.com
Einschätzung DSB:
Angebot einer Firma mit Sitz in Deutschland. Laut eigenen Angaben in deren Datenschutzerklärung erfolgen umfangreiche Auswertungen und ggf. auch Datenweitergaben. Daher vermutlich nicht für personenbezogene oder anderweitig schützenswerte Daten geeignet.
VHS-Cloud zur Organisation v. Online-Kursen:
https://www.vhs.cloud
Einschätzung DSB:
Serverstandort in Deutschland, keine US-Firmen eingebunden, Open Source. Aussagekräftige Datenschutzerklärung, keine Bedenken aus Datenschutz-Sicht.
Verfahren zur Organisation v. Ferienprogrammen f. Kinder u. Jugendliche sowie zur Verwaltung v. Kindertagesstätten:
https://www.nupian.de
Einschätzung DSB:
Engagiertes Projekt des deutschen Anbieters "nupian GmbH" mit Sitz in Augsburg. Es wird mit der Einhaltung der EU-DSGVO explizit geworben, leider werden dennoch die Google-Dienste Googletagmanager (als Cookie-Abfrage), Google-Analytics und die Google-Werbeplattform Google AdWords und Google Conversion-Tracking eingebunden. Zumindest den Dienst "Google-Analytics" kann man per Cookie-Abfrage deaktivieren. Diese Angaben beziehen sich auf die Webseite des Anbieters. Die konkrete Ausgestaltung im Echteinsatz kann höchstwahrscheinlich dennoch datenschutzgerecht gestaltet werden, wie z.B. in Freiburg (https://www.unser-ferienprogramm.de/freiburg2020/programm.php)
https://feripro.de
Einschätzung DSB:
Bei dem Angebot eines deutschen Anbieters wird explizit mit einem sehr hohen Datenschutzniveau und deren Auditierung geworben. Laut eigener Datenschutzerklärung wird "Google Analytics" mit einer Google-Anonymisierungsfunktion für die Anbieterwebseite verwendet. Ich konnte jedoch keine Verwendung dieses Dienstes feststellen. Stattdessen wurde die datenschutzgerechte Variante "Matomo" des deutschen Anbieters "mecodia.cloud" angewendet. Vermutlich ist die Datenschutzerklärung in diesem Punkt veraltet. Die Verwendung im Echteinsatz, z.B. bei der Gemeinde Kirchheim, ergab identische Ergebnisse, dort allerdings mit korrigierter Datenschutzerklärung: https://kirchheim.feripro.de/
Fazit:
Der Einsatz ist nach summarischer Prüfung datenschutzrechtlich zulässig.
Social-Media-Plattformen:
Mastodon:
Datenschutzkonformer Social-Media-Dienst, der seit der Übernahme v. Twitter durch Elon Musk im April 2022 vermehrt als alternativer Kurznachrichtendienst genutzt wird. Die Dienste werden als Besonderheit über dezentrale Server bereitgestellt, das Projekt ist spendenfinanziert. Der Dienst wird von vielen Behörden, u.a. der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit; der Europäische Datenschutzbeauftragten; BSI genutzt.
Mastodon
Stage:
Social Media datenschutzkonform verpackt: Der Dienst "Stage" der Jaimo Solutions GmbH aus Bad Schönborn ermöglicht den datenschutzkonformen Zugriff auf social-media-Inhalte für Bürger*innen. Zusätzlich können eigene Inhalte über diese Plattform bereitgestellt werden.
Stage der Jaimo Solutions GmbH
Einschätzung DSB:
Der Dienst verbindet die Vorteile von social-media-Präsenzen mit den Anforderungen des Datenschutzes und ermöglicht nach eigenen Angaben "Datensouveränität aus Deutschland: Datenschutzkonformer Kommunikationsstandard aus Deutschland", der Anbieter verspricht, "100% DSGVO-konform" zu sein. Nach sumarischer Prüfung scheint dies auch der Fall zu sein, der Dienst kann daher empfohlen werden.
mit lokalem Bezug:
Dorffunk:
https://www.digitale-doerfer.de/unsere-loesungen/dorffunk/
Einschätzung DSB:
Im Vergleich zu marktgängigen Social-Media-Plattformen der US-Anbieter (z.B. Facebook, Instagram) bietet dieses Angebot des deutschen Anbieters "Fraunhofer- Institut" ein höheres Datenschutzniveau, wenn auch derzeit noch mit Schwächen wie Schnittstellen zu Facebook, Anmeldung über einen US-Authentifikationsserver, Nutzung der AWS (Amazon)-Cloud und einer nicht ausreichend geregelten Verantwortlichkeit.
Artikel dazu in der Segeberg Zeitung v. 17.11.2023:
Dorffunk_App_hat_sich_in_Hartenholm_bewährt__SZ_2023_11_17
https://kommunenfunk.de
Einschätzung DSB:
Bei dem Angebot eines deutschen Anbieters wird explizit mit einem hohen Datenschutzniveau geworben. Laut eigener Datenschutzerklärung wird "Google Analytics" mit einer Google-Anonymisierungsfunktion für die Anbieterwebseite verwendet. Ich konnte jedoch keine Verwendung dieses Dienstes feststellen. Stattdessen wurde die datenschutzgerechte Variante "Matomo" des deutschen Anbieters "mecodia.cloud" angewendet. Vermutlich ist die Datenschutzerklärung in diesem Punkt veraltet.
App zur Push-Benachrichtigung v. Nachrichten mit lokalem Bezug:
https://www.ppush.eu
Einschätzung DSB:
Bei dem Angebot eines deutschen Anbieters wird explizit mit einem hohen Datenschutzniveau und DSGVO-Konformität geworben. Laut eigener Datenschutzerklärung wird für die Webseite "Google Analytics" verwendet, ich konnte jedoch die Einbindung (und damit den Datenabfluss) zu zahlreichen andern US-Diensten wie z.B. Youtube beobachten. Auf der anderen Seite wird damit geworben, dass bei der App keine Daten von den Nutzern erhoben werden. Überprüfen lässt sich das kaum, an dieser Stelle muss man dem Anbieter vertrauen.
Fazit: Ich halte das Risiko eines Datenmissbrauchs durch diesen Anbieter für vertretbar, da die Haftung hierfür bei einem deutschen Anbieter liegt, der dafür auch realistisch juristisch in Anspruch genommen werden kann.
Tools für die interaktive Zusammenarbeit in Gruppen:
https://whiteboard.segeberg.digital/
Einschätzung DSB:
Es handelt sich um eine quelloffene, überprüfbare Anwendung, die auf kreiseigenen Servern läuft. Das Tool kann daher aus Datenschutzsicht unbedenklich eingesetzt werden.
Anleitung:
Whiteboard Kreis Segeberg Anleitung
https://www.taskcards.de
Pinwände für Lehrer / Schüler; die Schüler*innen können Stichworte auf Moderationskarten festhalten, der Lehrer kann diese auf seiner Tafel übernehmen und frei verschieben sowie mit Überschriften versehen.
Einschätzung DSB (Stand: 07.03.2024):
Angebot einer Firma mit Sitz in Deutschland. Das Angebot wirbt explizit mit der Einhaltung der DSGVO. Eine Nutzung ist erst nach einer Lizenzierung (Lehrerlizenz) möglich, Schüler*innen benötigen keine Lizenz. Sie erhalten über den v. Lehrer verteilten Token Zugriff. Auf der Webseite sind keine Fremdanbieter eingebunden. Das Vertragsverhältnis wird in Form eines DSGVO-gerechten ADV-Vertrages begründet. Es gibt Bezahlmodelle und für Anwendungen mit einem geringen Umfang auch eine kostenfreie Einzel-Lizenz. Zusätzlich gibt es ein Tool, mit dem "padlets" zu TaskCards umgezogen werden können.
Fazit:
Das Angebot hat einen hohen Anspruch und scheint ihn auch wirksam umsetzen zu können. Dafür sprechen das nachvollziehbare Finanzierungsmodell (nicht umsonst), der Firmensitz, der selbst erhobene hohe Anspruch und die vorhandene Darstellung. Aus diesen Gründen halte ich das Angebot aus datenschutzrechtlicher Sicht für herausragend und sehr empfehlenswert!
https://yopad.eu
Anbieter: Bundesjugendring
Stellt gemeinsam für alle Tln. zu bearbeitende Dokumente (wie Beschlussvorlagen) bereit, auch "Etherpad" genannt.
Einschätzung DSB:
Serverstandort in Deutschland, keine US-Firmen eingebunden.
https://www.oncoo.de
Die Schüler können Stichworte auf Moderationskarten festhalten, der Lehrer kann diese auf seiner Tafel übernehmen und frei verschieben sowie mit Überschriften versehen.
Einschätzung DSB:
Angebot einer Firma mit Sitz in Deutschland. Es gibt keine Möglichkeit von personalisierten Zugängen. Der Anbieter empfiehlt daher, keine personenbezogenen Daten zu verarbeiten. Daher vermutlich nicht für personenbezogene oder anderweitig schützenswerte Daten geeignet.
https://flinga.fi
Whiteboard zur Visualisierung, es können Symbole inkl. Beschriftung dargestellt und von allen frei verschoben werden. Auch gut geeignet, damit sich alle Tln. selbst einzelnen Arbeitsgruppen zuordnen können.
Einschätzung DSB:
Es handelt sich um ein Webangebot der Fa. Nordtouch in Espoo / Finnland, das Angebot unterliegt somit der EU-DSGVO. Beim Aufruf der Hauptseite wird zusätzlich eine Verbindung zu "ajax.googleapis.com" hergestellt, weiterhin nutzt der Anbieter gem. seiner Datenschutzerklärung "Google Analytics". Die Einhaltung des Datenschutzes ist daher fraglich, das Tool sollte nicht in einem sensiblen Umfeld genutzt werden.
https://www.ilias.de
Einschätzung DSB:
Serverstandort in Deutschland, keine US-Firmen eingebunden, Open Source. Aussagekräftige Datenschutzerklärung, keine Bedenken aus Datenschutz-Sicht.
https://wechange.de
Einschätzung DSB:
Es handelt sich um ein Angebot einer Genossenschaft mit Sitz in Berlin. Nach eigenen Angaben erfolgt keine Nutzung der Daten zu anderen Zwecken. Die Datenschutzerklärung ist vollständig, es werden keine Drittanbieter außerhalb des Geltungsbereichs der EU-DSGVO verwendet. Das Angebot macht daher einen sehr guten und datenschutzgerechten Eindruck. Aufgrund seiner Betreiberstruktur sind keine Datenschutzverletzungen zu erwarten.
https://cryptpad.fr
Einschätzung DSB:
Es handelt sich um ein Open-Source-Projekt, das demnach datenschutzkonform auch auf eigenen Servern betrieben werden könnte. Sofern die Cloud-Lösung genutzt werden soll, handelt es sich vermutlich um den Anbieter "xwiki" mit Sitz in Frankreich. Das Projekt verspricht durch besondere Verschlüsselungstechniken besonders sicher zu sein, jedoch sind im Gegensatz dazu die Datenschutzerklärung sowie die Nennung der Verantwortlichen unzureichend. Zumindest auf der Webseite sind div. Google-Dienste mit eingebunden, eine Cookie-Abfrage erfolgte nicht.
Fazit: Der Betrieb auf eigenen Servern ist datenschutzgerecht möglich. Bei Nutzung des Cloud-Dienstes kann dies nicht beurteilt werden, da hier wesentliche Angaben fehlen. Evtl. ist dies der offenen Open-Source-Kultur und -Community geschuldet und erfolgt nicht vorsätzlich.
Zusätzlich gibt es öffentlich nutzbare Instanzen (Services), wie z.B. des Chaos Computer Club Wien (C3W): https://c3w.at/services/
Auch der Chaos-Computer-Club Hamburg (https://hamburg.freifunk.net/impressum ) bietet ein Hosting an.
https://pinnet.eu/open?from=index
Einschätzung DSB:
Es handelt sich um ein Webangebot von Tim Schrock aus Berlin. Es werden keine Drittanbieter außerhalb des Geltungsbereichs der EU-DSGVO verwendet. In der Datenschutzerklärung werden aussagekräftige Angaben zur Datenverarbeitung gemacht.
Das Angebot ist demnach datenschutzgerecht.
https://pinnwand.online/
Einschätzung DSB:
Es handelt sich um ein Webangebot der Fa. "LeanCodeConsulting OÜ", Estland und somit innerhalb des Geltungsbereiches der EU-DSGVO. Eine summarische Prüfung des Angebots und der Datenschutzerklärung vermittelte einen sehr positiven Eindruck.
Das Angebot ist demnach datenschutzgerecht.
https://draw.chat/
Einschätzung DSB:
Auf der Webseite werden keine aussagekräftigen Angaben zum verantwortlichen Betreiber gemacht, selbst in der Datenschutzerklärung fehlt diese pflichtige Angabe. Zusätzlich sind diverse US-Anbieter wie "Google Analytics" eingebunden, die rechtlich erforderliche Cookie-Abfrage fehlt.
Von diesem Angebot ist aus datenschutzrechtlicher Sic hat dringend abzuraten, die Vorgaben der EU-DSGVO sowie weiterer rechtlicher Vorgaben werden nicht erfüllt.
https://nextcloud.com/de/
Einschätzung DSB:
Es handelt sich um ein Webangebot der Nextcloud GmbH in Stuttgart. Laut der Datenschutzerklärung werden diverse US-Anbieter verwendet. Entgegen den Angaben in dieser Erklärung ist dies nicht EU-DSGVO-konform möglich.
Das Angebot ist daher nicht datenschutzkonform und sollte nicht bei Verwendung personenbezogener Daten verwendet werden.
https://padlet.com
Einschätzung DSB:
Es handelt sich um ein Webangebot eines Anbieters aus den USA. Die Datenschutzerklärung erläutert zahlreiche Datenübermittlungen. Allein beim Aufruf der Webseite werden zahlreiche US-Anbieter mit eingebunden und somit personenbezogene Daten übermittelt. Das Angebot ist daher nicht datenschutzkonform und sollte nicht bei Verwendung personenbezogener Daten verwendet werden. Aus diesen Gründen ist der Einsatz in Schulen in Hessen durch die hessische Aufsichtsbehörde untersagt worden, siehe:
Padlet kein ausreichender Datenschutz 2021 02 08
https://discord.com
Einschätzung des Datenschutzbeauftragten für Schulen, Hr. Torsten Mai; Stand 10.06.2021:
Ich habe "discord", ebenso wie das IQSH, nie umfangreich geprüft. Vom Wesen her ist es eine Plattform, die in Gamerkreisen wohl primär verwendet wird.In einem anderen Zusammenhang habe ich eine kursorische Prüfung vorgenommen und sehr schnell anhand der Datenschutzhinweise entschieden, dass ein Einsatz in Schule nicht möglich sein wird.
Folgende Punkte aus der Datenschutzerklärung https://discord.com/privacy sind m. E. ausreichend um den Betrieb zu untersagen:
- Anmeldung jedes Nutzers ist erforderlich
- Der Abschluss eines AVV ist nicht vorgesehen
- Für die Registrierung wird u. a. das Geburtsdatum abgefragt, was gem. § 11 Abs. 4 SchulDSVO nicht zulässig ist
- Der Dienst blendet Werbung ein, was im Schulbereich durch das SchulG verboten ist
- der Dienst sammelt pbD zu eigenen Zwecken (IP, Geräte-ID, Aktivitäten) ->" Diese Informationen werden von unseren Diensten verwendet und mit anderen Informationen ergänzt, um…"
- Es findet eine Art Profiling statt: "Um unsere Nutzer besser verstehen und unsere Dienste optimieren zu können, untersuchen wir auf der Grundlage der gesammelten Informationen demografische Daten, Interessen und Verhaltensweisen unserer Nutzer.", "Auf unserer Webseite verwenden wir Analysewerkzeuge von Drittanbietern wie Google Analytics…"
- Es finden Drittlandübermittlungen statt, die halbherzig in Kauf genommen werden: "Unabhängig von Ihrem Standort stimmen Sie der Verarbeitung und Weitergabe Ihrer Daten in den USA und anderen Ländern zu. Die Datenschutzgesetze in den USA und in anderen Ländern können im Hinblick auf Sicherheit und Umfang von denen Ihres Landes abweichen."
- Discord beruft sich auf das vom EuGH für unwirksam erklärte Privacy-Shield: "Discord entspricht den Rahmenrichtlinien des EU-US-Datenschutzschildes und denen des Schweiz-US-Datenschutzschildes."
Diese Punkte sind m. E. ausreichend für eine Feststellung der Unzulässigkeit eines Einsatzes in Schule.
Einschätzung DSB:
Insbesondere aufgrund der Datenübertragungen in Drittländer ist der Dienst auch für alle anderen Anwendungszwecke nicht EU-DSGVO-konform möglich. Das Angebot ist daher nicht datenschutzkonform und sollte nicht bei Verwendung personenbezogener Daten verwendet werden.
https://conceptboard.com/de
Virtuelles Whiteboard
Einschätzung DSB:
Es handelt sich um ein Angebot eines deutschen Anbieters, der explizit mit der Einhaltung der EU-DSGVO wirbt. Jedoch werden gem. Datenschutzerklärung Dienste aus unsicheren Drittstaaten (MS Azure) eingesetzt, so dass das Angebot nicht der DSGVO entspricht. Es besteht aber evtl. die Möglichkeit, den Dienst auf eigenen Servern selbst zu hosten. In diesem Fall kann die DSGVO eingehalten werden.
Gegen die Seriösität des Anbeiters spricht, dass wahrheitswidrig behauptet wird:
Mit Collaboard kannst Du Deine Daten in der MS Azure Europe oder MS Azure Switzerland Cloud hosten. Ansonsten kannst Du Deine Daten selbst on-premises oder in Deiner Cloud hosten. Als vollständig europäisches Unternehmen musst Du Dir keine Sorgen über die jüngsten Entwicklungen bezüglich Privacy Shield und Schrems II machen.
Zudem werden bereits beim Aufruf der Seite zahlreiche, nicht DSGVO-konforme Verbindungen zu Servern v. US-Anbietern wie Facebook oder Google aufgebaut.
Nähere Informationen dazu von der Technischen Universtität Berlin:
Whiteboards_Datenschutz_TU_Berlin_2021_08_11
https://edu.collaboard.app/authenticate/
Virtuelles Whiteboard
Einschätzung DSB:
Es handelt sich um ein Angebot eines schweizer Anbieters, der explizit mit der Einhaltung der EU-DSGVO wirbt. Nach Nachbesserungen aufgrund von Nachfragen der Technischen Universität Berlin wurde diese datenschutzfreundliche Variante (Endung edu.) geschaffen. Der Dienst kann in dieser Version problemlos genutzt werden.
Nähere Informationen und Nutzungshinweise dazu von der Technischen Universtität Berlin:
Whiteboards_Datenschutz_TU_Berlin_2021_08_11
https://prezi.com
Einschätzung DSB:
Das Tool ermöglicht die animierte Darstellung von Präsentationen, es kann zur Präsentation ein Live-Videobild des Vortragenden eingeblendet werden.
Das Angebot ist nicht datenschutzkonform, da der Anbieter seinen Hauptsitz in den USA (San Francisco) hat. Zudem werden Daten an diverse Dienste wie Google übermittelt. Somit dürfen keine personenbezogenen Daten verarbeitet werden.
Dienst zur Erstellung von Kurzlinks:
https://kurzelinks.de
Einschätzung DSB:
Angebot eines deutschen Unternehmens mit minimierter Datenspeicherung. Das Angebot ist datenschutzkonform.
Dienst zur Planung und Durchführung v. Veranstaltungen:
https://eveeno.com/de/
Einschätzung DSB:
Es handelt sich um ein Webangebot eines deutschen Anbieters. Es wird explizit damit geworben, dass die datenschutzrechtlichen Vorgaben der EU-DSGVO eingehalten werden. Nach einer summarischen Prüfung gehe ich davon aus, dass dieses Angebot datenschutzkonform ist.
Umfragetools:
https://tedme.com
Tool für Live-Umfragen (ähnlich den TED-Balken im Fernsehen) mit Ergebnisanzeige in Echtzeit. Darüber hinaus können Online-Quizze erstellt und sogar Wahlen durchgeführt werden.
Einschätzung DSB:
Es handelt sich um ein Webangebot eines deutschen Anbieters. Dienste v. Drittstaaten werden nicht eingebunden (die derzeitige Einbindung v. cloudfare und youtube soll in Kürze abgestellt werden, sie kann aber auch ohne Einschränkung der Funktion geblockt werden; Stand: 17.11.2022). Das Angebot ist somit DSGVO-konform und kann datenschutzgerecht genutzt werden.
Der Kreis hat für das Projekt "Jugend im Kreistag" eine Jahreslizenz erworben.
Ansprechpartner: Olaf Kuhlbrodt, Datenschutzbeauftragter; Angela Klimpel, FD 51.10
https://www.empirio.de
Kostenloses Umfragetool
Einschätzung DSB:
Gemäß seiner eigenen Datenschutzerklärung (Stand 12.11.2021; Datenschutzerklärung Empirio) nutzt der Anbieter „bei Einwilligung“ US-Dienste wie Google Analytics oder Facebook-Marketing-Dienste. Zudem wird der US-Zahlungsdienstleister „Stripe“ genutzt. Zusätzlich gibt es Querverbindungen / Datenabflüsse zu Diensten der Anbieter polyfill.io und synatix.com, auf die nicht in der Erklärung hingewiesen wird. Insofern halte ich die Einhaltung des Datenschutzes zumindest für fraglich, das Tool sollte nicht für sensible Inhalte verwendet werden.
https://www.lamapoll.de
Tool für Umfragen.
Einschätzung DSB:
Es handelt sich um ein Webangebot eines deutschen Anbieters. Dienste v. Drittstaaten werden nicht eingebunden. Das Angebot ist somit DSGVO-konform und kann datenschutzgerecht genutzt werden.
https://www.umfrageonline.com
Dieser Anbieter eröffnet die Möglichkeit, einen EU-DSGVO-konformen Vertrag abzuschließen.
Der FD 10.50 hat eine Lizenz erworben, Ansprechpartner: Dennis Stelling, FD 10.50
https://www.mentimeter.com
Einschätzung DSB:
Es handelt sich um ein Webangebot eines schwedischen Anbieters. Nach eigenen Angaben werden diverse US-Anbieter verwendet.
Das Angebot ist daher nicht datenschutzkonform und sollte nicht bei Verwendung personenbezogener Daten verwendet werden.
https://pollynow.com
Einschätzung DSB:
Es handelt sich um ein Webangebot eines deutschen Anbieters. Nach eigenen Angaben werden leider diverse US-Anbieter mit eingebunden (Facebook, Google Analytics etc.).
Das Angebot ist daher nicht datenschutzkonform und sollte nicht bei Verwendung personenbezogener Daten verwendet werden.
https://www.slido.com
Es handelt sich um ein Webangebot eines US-amerikanischen Anbieters (Cisco Systems). Eine datenschutzgerechte Nutzung ist daher nicht möglich.
Tool für interaktive Pausen:
https://www.wonder.me
Einschätzung DSB:
Angebot einer Firma mit Sitz in Deutschland, jedoch unter Einbindung von US-Firmen. In deren Datenschutzerklärung wird explizit auf die mögliche Datenweitergabe an diese Firmen hingewiesen. Dieses Angebot ist daher nicht datenschutzgerecht.
Plattformen zum Spielen:
https://de.actionbound.com
Plattform (App) zum Erkunden v. Orten, Lösen von Rätseln z.B. in Form einer aktiven Schnitzeljagd.
Einschätzung DSB:
Deutscher Anbieter mit hervorragender Datenschutzerklärung. Es gibt jedoch Einschränkungen, da für bestimmte Dienste folgende US-Anbieter eingebunden werden:
- Videokonferenzen / Online-Meetings: Zoom
- Kartendienste: Google Maps
- Google-Fonts (Schriftarten)
Sofern beide Dienste, insbesondere "Zoom" nicht genutzt werden, halte ich das Angebot für datenschutzkonform.
Eine Einschränkung bleibt jedoch aufgrund der zwangsweisen Nutzung v. Google-Fonts.
https://skribbl.io
Einschätzung DSB:
Das Angebot ist nicht datenschutzkonform, es sind Google-Dienste direkt eingebunden, eine Datenschutzerklärung und Angaben zum Anbieter fehlen.
Da es sich hier lediglich um eine reine Spiele-Seite handelt, ist dies ggf. unschädlich, sofern keine personenbezogenen Daten eingegeben werden.
https://among-us.en.softonic.com
Einschätzung DSB:
Das Angebot ist nicht datenschutzkonform, da es sich um einen US-Anbieter (InnerSloth) handelt. Da es sich hier lediglich um eine reine Spiele-App handelt, ist dies ggf. unschädlich, sofern keine personenbezogenen Daten eingegeben werden.
http://play.werwolfonline.eu/Werwolf.php
Einschätzung DSB:
Es handelt sich um ein Online-Spiel von Florian Lindenbauer in Österreich und somit im Geltungsbereich der EU-DSGVO. Leider werden keine Angaben zu den genutzten Servern gemacht, es fehlt eine Datenschutzerklärung.
Da es sich hier lediglich um ein Spiel handelt, ist dies ggf. unschädlich, sofern keine personenbezogenen Daten eingegeben werden.
https://play.unofreak.com
Einschätzung DSB:
Es handelt sich um ein Online-Spiel, der Webadresse nach vermutlich aus den USA. Leider werden keine Angaben zum Anbieter gemacht, es fehlt eine Datenschutzerklärung. Positiv anzumerken ist immerhin, dass die Like-Buttons (Google, Facebook, Twitter) durchgestrichen dargestellt wurden und nicht aktiv waren.
Da es sich hier lediglich um ein Spiel handelt, ist dies ggf. unschädlich, sofern keine personenbezogenen Daten eingegeben werden.
https://www.geocaching.com/play
Einschätzung DSB:
Geocaching ist ein Spiel, bei dem versteckte Gegenstände, sog. Geocaches, vor Ort gesucht werden. Verwendet werden dafür GPS-Geräte, die es offline oder in Form von Apps für das Smartphone gibt. Bei geocaching.com handelt es sich um eine Datenbank, in der die Koordinaten und weitere Angaben zu den einzelnen Geocaches veröffentlicht werden. Da es sich um einen US-Anbieter handelt, werden die datenschutzrechtlichen Vorgaben der EU-DSGVO nicht eingehalten. Da das Spiel ortsgebunden ist, wird, zumindest bei Verwendung der Geocaching-App, fortlaufend der aktuelle Standort an den Anbieter übermittelt. Daraus allein können folgende Schlüsse gezogen werden:
1. Wo ist der Betroffene (bzw. wo ist er nicht, z.B. zu Hause)?
2. Mit wem spielt er zusammen?
3. Welche Verkehrsmittel nutzt er (zu Fuß, Fahrrad, Auto etc.)?
4. Wo war er wann und wie lange?
Es ist eine anonyme Anmeldung möglich, so dass zumindest nicht unmittelbar auf eine natürliche Person geschlossen werden kann. Andere Nutzer der Plattform können jedoch anhand der erfolgten Logs von Geocachen sehen, wo sich jemand aufhält, z.B. im Ausland, und so z.B. einen Einbruch planen.
Hier muss man abwägen, ob man dieses Risiko eingehen möchte.
Verbesserungsvorschläge:
1. Verwendung von offline-GPS-Geräten zum Geocachen: Die GPS-Ortungsgenauigkeit sowie die -Empfindlichkeit sind höher. Die Logs einer Tour oder eines Urlaubs können gesammelt übertragen werden, so dass der Aufenthalt nicht in Echtzeit ermittelt werden kann. Andere Nutzer können nur sehen, wo man in der Vergangenheit war.
2. Nutzung des deutschen Pendants
https://www.opencaching.de
Allerdings wird auf dieser Plattform nur eine deutlich geringere Anzahl von Geocachen veröffentlicht.
https://m.brettspielwelt.de
Einschätzung DSB:
Die Webseite verwendet bereits beim Aufruf diverse Google-Dienste (googletagmanager.com, googlesyndication.com, so dass personenbezogene Daten (zumindest die eigene IP-Adresse) an diese US-Anbieter übermittelt werden. Die diesbezügliche Erklärung unter Punkt 3.1.2. der Datenschutzerklärung ist somit falsch. Ansonsten handelt es sich um ein Angebot eines deutschen Anbieters, so dass von weiteren Verstößen nicht auszugehen ist.
Da es sich hier lediglich um ein Spiel handelt, ist dies ggf. unschädlich, sofern keine personenbezogenen Daten eingegeben werden.
https://de.boardgamearena.com
Einschätzung DSB:
Es handelt sich um ein Online-Spiel, der Webadresse nach vermutlich aus den USA. Leider werden keine Angaben zum Anbieter gemacht, es fehlt eine Datenschutzerklärung.
Da es sich hier lediglich um ein Spiel handelt, ist dies ggf. unschädlich, sofern keine personenbezogenen Daten eingegeben werden.
Erstellung eines Quiz:
Für Teilnehmende: https://kahoot.it
Um ein eigenes Quiz zu erstellen: https://kahoot.com
Einschätzung DSB:
Es ist nicht ersichtlich, wer die verantwortliche Stelle (Anbieter) ist, es werden 2 Adressen, eine in Norwegen und eine in den USA, aufgeführt. Im Zweifel ist dieses Angebot daher nicht datenschutzkonform und sollte nicht bei Verwendung personenbezogener Daten verwendet werden.
Über Rückmeldungen sowie Anregungen für weitere Themen würde ich mich sehr freuen.
Quelle: Kreis Segeberg