Stadt Frankfurt stellt „Dialog-Plattform: frankfurt-macht-schule.de“ online mit fragwürdigen Verfahrensweisen
Das heißt, man möchte meinen, dass diese Plattform von der Stadt Frankfurt betrieben wird. Schaut man etwas tiefer, stellt man fest, dass die Seite von Zebralog (zebralog.de) aus Berlin bereit gestellt wird. Dass die Stadt Frankfurt keine Kompetenz hat, diese Plattform selbst zu betreiben ist eine Sache und in meinen Augen traurig genug. Einige Ungereimtheiten sind dann aber nicht geeignet, das Vertrauen in die Verarbeitung personenbezogener Daten zu stärken. Auf der Seite (https://www.isep.frankfurt-macht-schule.de/dialog/regionalisierung) wird man zunächst mit der unfreiwilligen Einbindung von Google-Fonts konfrontiert. Hat man also keinen entsprechenden Schutz in seinem Browser implementiert, werden Daten unmittelbar an Google weiter geleitet. Ein Hinweis darauf findet sich in der Datenschutzerklärung nicht. Zumindest findet man eine Datenschutzerklärung. Diese weißt darauf hin, dass man den Dienst "Piwik" benutzen würde. Nun ist dieser Dienst bereits seit dem 9.1.2018 umbenannt worden in Matomo. Kann passieren, jedoch sind seit dem zumindest zwei Updates herausgebracht worden. Bei einem funktionierenden, kontinuierlichen Evaluationsprozess sollte das aber eigentlich auffallen. Die zwangsläufige (und rein hypothetische) Annahme, dass diese Updates nicht eingespielt worden sind, wäre allerdings fatal. Allein im letzten Update wurden üner 130 Änderungen vorgenommen, von denen einige die Umsetzung der DSGVO und Bugfixes betreffen. Genährt wird diese Vermutung jedoch durch den Umstand, dass auch die Datenschutzerklärung von Zebralog selbst Fragen aufwirft. Hier kann man lesen, dass zur Bewältigung des Spams auf den Dienst von mollom.com zurück gegriffen wird. Voller Stolz wird betont, dass diese US-Amerikanische Firma dem europäischen Datenschutz unterworfen wäre. Klickt man auf den entsprechenden Link, erwartet den interessierten, potentiell Betroffenen allerdings eine Überraschung. Es erfolgt eine Weiterleitung auf einen Beitrag der Firma vom 27.4.2017. In diesem ist zu lesen, dass der Dienst zum 2.4.2018 eingestellt werden wird. Dementsprechend gibt es natürlich auch keine (aktuelle) Datenschutzerklärung. Dieser Umstand hätte dem Betreiber also seit über einem Jahr bekannt sein müssen und spätesten seit über einem Monat hätte die Datenschutzerklärung angepasst werden müssen. Spätestens hier hört mein Verständnis auf. Nicht erst mit der DSGVO sondern bereits heute ist der Auftraggeber verpflichtet, sich vorab von der Zuverlässigkeit des Auftragsdatenverarbeiters/Auftragsverarbeiters zu überzeugen. Ich kann nur hoffen, dass die interne Verarbeitung personenbezogener Daten besser funktioniert, als die öffentlich zugänglichen Informationen. Zu gute gehalten werden kann der Umsetzung zumindest, dass eine pseudonyme Nutzung auch ohne Registrierung möglich ist und auf diese Möglichkeit mitsamt Hinweisen zur Pseudonymisierung in der Datenschutzerklärung deutlich eingegangen wird, vorausgesetzt man liest sie. Diesem Lichtblick ungeachtet stellen sich folgende Fragen: 1) Ist Matomo/Piwik auf den Servern implementiert und ist der Patchstand aktuell? 1.1) Warum wurde die Datenschutzerklärung nicht entsprechend angepasst und gibt es weitere Punkte darin, die eventuell nicht dem aktuellen Stand entsprechen? 2) Wurde der (nicht existierende) Dienst mollom.com auch für diese Plattform implementiert? 2.1) Wenn nicht, welcher Spam-Schutz, wenn überhaupt, wurde statt dessen implementiert? 3) Warum werden Google-Fonts auf der Webseite implementiert? 3.1) Warum ist in der Datenschutzerklärung hierüber nichts zu lesen? 4) Warum ist die Stadt Frankfurt nicht in der Lage, einen solchen Dienst selbst zur Verfügung zu stellen?
Update 09.05.2018
Zebralog.de hat reagiert.
Siehe dazu auch die Beiträge von Zebralog-Mitarbeiterinnen in den nachstehenden Kommentaren.
Hallo zusammen,
wir schauen uns die Hinweise an und melden uns kurzfristig zurück!
Besten Gruß, Oliver Märker (Zebralog)
Gute Analyse! Gerne mehr davon für andere (Frankfurter) Seiten.
Ublock hilft beim Schutz vor den Google Schriftarten.
Hallo Herr Maerker,
wenn Sie dem nachgehen, korrigieren Sie bei der Gelegenheit doch den fehlerhaften Link auf Ihre Webseite im Impressum von frankfurt-macht-schule.de, auch wenn das jetzt nicht soo wahnsinnig kritisch ist. ;-)
Mit besten Grüßen
Jürgen Erkmann
Hallo Erkmann,
danke für Ihr wachsames Auge! Haben wir korrigiert.
Besten Gruß,
Oliver Märker
Lieber Herr Erkmann,
vielen Dank für den Hinweis in diesem Blogeintrag, der einige wichtige Fragen aufwirft. Wir haben diese Vorwürfe sehr ernst genommen, sofort überprüft und, wo nötig, Maßnahmen ergriffen, um den Schutz personenbezogener Daten vollständig gewährleisten zu können.
Tatsächlich wurden auf dieser Seite bisher Schriftarten über einen Dienst bei google.com nachgeladen. Dies war in den Datenschutzbestimmungen nicht dokumentiert. Wir haben nachgebessert, sodass die Schriftarten ausschließlich über die eigene Domain frankfurt-macht-schule.de und nicht mehr über externe Dienste nachgeladen werden.
Zudem wurde auf eine Namensänderung der Webanalytik-Software Piwik hingewiesen, die nicht in unseren Datenschutzbedingungen widergespiegelt wurde. Dies ist nun behoben. Wir betreiben im Übrigen unseren eigenen Tracking-Dienst mit der Software Piwik/Matomo und halten diese auf dem aktuellen Stand, funktionale Updates werden monatlich eingespielt. Sicherheitsupdates spielen wir unverzüglich ein.
Außerdem wurde darauf hingewiesen, dass wir laut unserer eigenen Datenschutzerklärung auf zebralog.de den Dienst „mollom.com“ nutzen, der aber nicht mehr verfügbar ist. Tatsächlich wurde der Anti-Spam-Dienst mollom.com bis Ende 2017 durch die zebralog.de genutzt. Der Dienst wurde im April 2018 eingestellt. Daher haben wir auf zebralog.de den Spamschutz durch einen internen Algorithmus ersetzt, der ohne das Erfassen von personenbezogenen Daten arbeitet. Die Datenschutzerklärung von zebralog.de wurde entsprechend aktualisiert, hat für frankfurt-macht-schule.de aber keine Relevanz. Auf dieser Seite wird mollom.com nicht genutzt.
Über die Fragen zum Datenschutz hinaus wurde die Notwendigkeit, dass zebralog diese Seite bzw. diesen Dialog betreut, angesprochen. 2014 wurden wir damit beauftragt, eine Plattform zu designen, aufzubauen und zu hosten, auf der zentral, transparent und interaktiv über den Beteiligungsprozess zum Schulentwicklungsplan informiert werden kann. Redaktionell wird diese Seite ausschließlich vom Stadtschulamt Frankfurt betreut. Wie bereits auch schon im Frühjahr 2017 (damals zum Schulentwicklungsplan für berufliche Schulen) ist die Seite vergangene Woche um einen Online-Dialog erweitert worden. Für den Online-Dialog wurde eine neutrale, allparteiliche Moderation hinzugezogen. Diese Rolle übernimmt zebralog mit einem erfahrenen Moderations-Team.
Wir hoffen, damit zu allen wichtigen Punkten ausreichend informiert zu haben. Sollten noch Fragen offen geblieben sein, können Sie diese hier oder gerne auch an datenschutz@zebralog.de stellen.
Mit freundlichen Grüßen,
Juliane Henn (Moderation „Frankfurt macht Schule“)
Hallo Frau Henn,
hallo Herr Märker (jetzt auch in richtiger Schreibweise, bitte entschuldigen Sie),
zunächst einmal vielen Dank für die schnelle Beantwortung der Fragen und die Korrekturen.
Mit besten Grüßen
Jürgen Erkmann
Hallo Herr Erkmann,
wir danken ebenfalls!
Besten Gruß, Oliver Märker
P.S: Schreibweise – kein Problem! Habe ja meinen Namen versehentlich selbst so geschrieben ;-)