Stadt Frankfurt stellt “Dialog-Plattform: frankfurt-macht-schule.de” online mit fragwürdigen Verfahrensweisen

Jürgen Erkmann/ Mai 8, 2018/ alle Beiträge, Regionales/ 7Kommentare

Das heißt, man möchte meinen, dass diese Plattform von der Stadt
Frankfurt betrieben wird. Schaut man etwas tiefer, stellt man fest, dass
die Seite von Zebralog (zebralog.de) aus Berlin bereit gestellt wird.

Dass die Stadt Frankfurt keine Kompetenz hat, diese Plattform selbst zu
betreiben ist eine Sache und in meinen Augen traurig genug. Einige
Ungereimtheiten sind dann aber nicht geeignet, das Vertrauen in die
Verarbeitung personenbezogener Daten zu stärken.

Auf der Seite
(https://www.isep.frankfurt-macht-schule.de/dialog/regionalisierung)
wird man zunächst mit der unfreiwilligen Einbindung von Google-Fonts
konfrontiert. Hat man also keinen entsprechenden Schutz in seinem
Browser implementiert, werden Daten unmittelbar an Google weiter
geleitet. Ein Hinweis darauf findet sich in der Datenschutzerklärung nicht.

Zumindest findet man eine Datenschutzerklärung. Diese weißt darauf hin,
dass man den Dienst "Piwik" benutzen würde. Nun ist dieser Dienst
bereits seit dem 9.1.2018 umbenannt worden in Matomo. Kann passieren,
jedoch sind seit dem zumindest zwei Updates herausgebracht worden. Bei
einem funktionierenden, kontinuierlichen Evaluationsprozess sollte das
aber eigentlich auffallen. Die zwangsläufige (und rein hypothetische)
Annahme, dass diese Updates nicht eingespielt worden sind, wäre
allerdings fatal. Allein im letzten Update wurden üner 130 Änderungen
vorgenommen, von denen einige die Umsetzung der DSGVO und Bugfixes
betreffen.

Genährt wird diese Vermutung jedoch durch den Umstand, dass auch die
Datenschutzerklärung von Zebralog selbst Fragen aufwirft. Hier kann man
lesen, dass zur Bewältigung des Spams auf den Dienst von mollom.com
zurück gegriffen wird. Voller Stolz wird betont, dass diese
US-Amerikanische Firma dem europäischen Datenschutz unterworfen wäre.

Klickt man auf den entsprechenden Link, erwartet den interessierten,
potentiell Betroffenen allerdings eine Überraschung. Es erfolgt eine
Weiterleitung auf einen Beitrag der Firma vom 27.4.2017. In diesem ist
zu lesen, dass der Dienst zum 2.4.2018 eingestellt werden wird.
Dementsprechend gibt es natürlich auch keine (aktuelle)
Datenschutzerklärung. Dieser Umstand hätte dem Betreiber also seit über
einem Jahr bekannt sein müssen und spätesten seit über einem Monat hätte
die Datenschutzerklärung angepasst werden müssen.

Spätestens hier hört mein Verständnis auf. Nicht erst mit der DSGVO
sondern bereits heute ist der Auftraggeber verpflichtet, sich vorab von
der Zuverlässigkeit des Auftragsdatenverarbeiters/Auftragsverarbeiters
zu überzeugen. Ich kann nur hoffen, dass die interne Verarbeitung
personenbezogener Daten besser funktioniert, als die öffentlich
zugänglichen Informationen.

Zu gute gehalten werden kann der Umsetzung zumindest, dass eine
pseudonyme Nutzung auch ohne Registrierung möglich ist und auf diese
Möglichkeit mitsamt Hinweisen zur Pseudonymisierung in der
Datenschutzerklärung deutlich eingegangen wird, vorausgesetzt man liest sie.

Diesem Lichtblick ungeachtet stellen sich folgende Fragen:
1) Ist Matomo/Piwik auf den Servern implementiert und ist der Patchstand
aktuell?
1.1) Warum wurde die Datenschutzerklärung nicht entsprechend angepasst
und gibt es weitere Punkte darin, die eventuell nicht dem aktuellen
Stand entsprechen?
2) Wurde der (nicht existierende) Dienst mollom.com auch für diese
Plattform implementiert? 2.1) Wenn nicht, welcher Spam-Schutz, wenn
überhaupt, wurde statt dessen implementiert?
3) Warum werden Google-Fonts auf der Webseite implementiert?
3.1) Warum ist in der Datenschutzerklärung hierüber nichts zu lesen?
4) Warum ist die Stadt Frankfurt nicht in der Lage, einen solchen Dienst
selbst zur Verfügung zu stellen?

Update 09.05.2018

Zebralog.de hat reagiert.

Siehe dazu auch die Beiträge von Zebralog-Mitarbeiterinnen in den nachstehenden Kommentaren.

 

 

7 Kommentare

  1. Hallo zusammen,
    wir schauen uns die Hinweise an und melden uns kurzfristig zurück!
    Besten Gruß, Oliver Märker (Zebralog)

  2. Gute Analyse! Gerne mehr davon für andere (Frankfurter) Seiten.

    Ublock hilft beim Schutz vor den Google Schriftarten.

  3. Hallo Herr Maerker,

    wenn Sie dem nachgehen, korrigieren Sie bei der Gelegenheit doch den fehlerhaften Link auf Ihre Webseite im Impressum von frankfurt-macht-schule.de, auch wenn das jetzt nicht soo wahnsinnig kritisch ist. ;-)

    Mit besten Grüßen
    Jürgen Erkmann

    1. Hallo Erkmann,
      danke für Ihr wachsames Auge! Haben wir korrigiert.
      Besten Gruß,
      Oliver Märker

  4. Lieber Herr Erkmann,

    vielen Dank für den Hinweis in diesem Blogeintrag, der einige wichtige Fragen aufwirft. Wir haben diese Vorwürfe sehr ernst genommen, sofort überprüft und, wo nötig, Maßnahmen ergriffen, um den Schutz personenbezogener Daten vollständig gewährleisten zu können.

    Tatsächlich wurden auf dieser Seite bisher Schriftarten über einen Dienst bei google.com nachgeladen. Dies war in den Datenschutzbestimmungen nicht dokumentiert. Wir haben nachgebessert, sodass die Schriftarten ausschließlich über die eigene Domain frankfurt-macht-schule.de und nicht mehr über externe Dienste nachgeladen werden.

    Zudem wurde auf eine Namensänderung der Webanalytik-Software Piwik hingewiesen, die nicht in unseren Datenschutzbedingungen widergespiegelt wurde. Dies ist nun behoben. Wir betreiben im Übrigen unseren eigenen Tracking-Dienst mit der Software Piwik/Matomo und halten diese auf dem aktuellen Stand, funktionale Updates werden monatlich eingespielt. Sicherheitsupdates spielen wir unverzüglich ein.

    Außerdem wurde darauf hingewiesen, dass wir laut unserer eigenen Datenschutzerklärung auf zebralog.de den Dienst “mollom.com” nutzen, der aber nicht mehr verfügbar ist. Tatsächlich wurde der Anti-Spam-Dienst mollom.com bis Ende 2017 durch die zebralog.de genutzt. Der Dienst wurde im April 2018 eingestellt. Daher haben wir auf zebralog.de den Spamschutz durch einen internen Algorithmus ersetzt, der ohne das Erfassen von personenbezogenen Daten arbeitet. Die Datenschutzerklärung von zebralog.de wurde entsprechend aktualisiert, hat für frankfurt-macht-schule.de aber keine Relevanz. Auf dieser Seite wird mollom.com nicht genutzt.

    Über die Fragen zum Datenschutz hinaus wurde die Notwendigkeit, dass zebralog diese Seite bzw. diesen Dialog betreut, angesprochen. 2014 wurden wir damit beauftragt, eine Plattform zu designen, aufzubauen und zu hosten, auf der zentral, transparent und interaktiv über den Beteiligungsprozess zum Schulentwicklungsplan informiert werden kann. Redaktionell wird diese Seite ausschließlich vom Stadtschulamt Frankfurt betreut. Wie bereits auch schon im Frühjahr 2017 (damals zum Schulentwicklungsplan für berufliche Schulen) ist die Seite vergangene Woche um einen Online-Dialog erweitert worden. Für den Online-Dialog wurde eine neutrale, allparteiliche Moderation hinzugezogen. Diese Rolle übernimmt zebralog mit einem erfahrenen Moderations-Team.

    Wir hoffen, damit zu allen wichtigen Punkten ausreichend informiert zu haben. Sollten noch Fragen offen geblieben sein, können Sie diese hier oder gerne auch an datenschutz@zebralog.de stellen.

    Mit freundlichen Grüßen,
    Juliane Henn (Moderation “Frankfurt macht Schule”)

  5. Hallo Frau Henn,
    hallo Herr Märker (jetzt auch in richtiger Schreibweise, bitte entschuldigen Sie),

    zunächst einmal vielen Dank für die schnelle Beantwortung der Fragen und die Korrekturen.

    Mit besten Grüßen
    Jürgen Erkmann

    1. Hallo Herr Erkmann,
      wir danken ebenfalls!
      Besten Gruß, Oliver Märker

      P.S: Schreibweise – kein Problem! Habe ja meinen Namen versehentlich selbst so geschrieben ;-)

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*