Beschreibung
Schulbücherei.com ist eine Online-Plattform zur Verwaltung von Büchern und Medien, Schülern und Benutzern. Die Plattform ist über Browser und mobile Endgeräte nutzbar. Das Angebot ist ein Projekt von Christian Stahl, einem Programmierer, der Apps für verschiedene Auftraggeber erstellt. Die Plattform ist kostenlos nutzbar nach einer einfachen Registrierung. Die anmeldende Person ist dann Administrator. Weitere Benutzer können angelegt werden. Dabei sind zwei Berechtigungen möglich: Administrator und Ausleihe. Während der Administrator volle Rechte in der Plattform hat, kann Ausleihe nur Schüler und Bücher anlegen und verwalten und Bücher ausleihen und zurücknehmen. Zum Anlegen eines Verwalter sind die Angabe eines Namens und einer E-Mail erforderlich. Ein Passwort ist optional anzugeben.
Schüler werden mit Name und Klasse angelegt. In welcher Form Namen eingegeben werden, entscheidet die Schule. Eine ID kann optional mit angegeben werden. Alternativ zur individuellen Anlage von Schülern ist auch ein Import über eine csv Datei möglich. Gleiches gilt auch für Medien und Bücher. Bücher können automatisch über Eingabe der ISBN eingepflegt werden. Eine Vorschau der Titelbilder wird über Google abgerufen.
Zur der Ausleihe kann ein Buchtitel von Hand oder über Einscannen des Barcodes (der ISBN) eingegeben werden. Bei Schülerinnen und Schülern wird der Name oder die Klasse eingegeben. Gibt man die Klasse ein, werden alle Mitglieder der Klasse angezeigt und die betreffende Person kann ausgewählt werden. Bei Eingabe des Namens wird mit jedem Buchstaben die angezeigte Liste mit Namen eingegrenzt auf passende Namen.
Neben Ausleihe und Rückgabe beherrscht die Plattform noch Verlängerung. Es gibt eine Statistik bezüglich der Häufigkeit der Ausleihe von einzelnen Büchern. Es gibt darüberhinaus eine Recherche Funktion für Bücher, die sich nicht in der Bibliothek befinden. Welche Quelle dazu genutzt wird, ist nicht angegeben. Das angegebene “Anzahl gelesen” dürfte sich entweder aus allen in die Plattform eingepflegten Büchern bedienen oder eventuell bei Antolin, zu welchem es ebenfalls einen Abgleich gibt, wenn Bücher gesucht werden. Für den Fall, dass Bücher nicht zurückgegeben werden, kann die Plattform auch Mahnungen erstellen. Eine Vorlage dazu wird in der Verwaltung der Schuldaten erstellt, wo auch Leihfrist und Verlängerung eingestellt werden.
Zusätzlich zur Online Plattform gibt es auch ein iOS App. Mit diesem lässt sich die Arbeit mit der Plattform noch etwas leichter gestalten, da die Kamera eines iPad oder iPhone zum Scannen von Barcodes genutzt werden kann. Außerdem kann das App die Login Daten des Nutzers speichern, so dass er sich nicht wie im Browser immer wieder neu anmelden muss.
Datenschutz, Sicherheit
Serverstandort, Anbieter
Der Anbieter Christian Stahl kommt aus Deutschland. Zur Bereitstellung des Angebotes werden Server bei Mittwald CM Service GmbH & Co. KG in Deutschland genutzt.
Datenschutz
Eine Art Datenschutzerklärung liegt vor. Sie bezieht sich auf das komplette Angebot, die Seite, über welche die Plattform beworben wird und die eigentliche Schulbücherei und wurde mit einem Datenschutzerklärungs-Generator erstellt. Unter dem Impressum finden sich Nutzungsbedingungen. Wesentliche Angaben, die mit den Funktionen der Schulbücherei zusammenhängen, fehlen deshalb. So gibt es beispielsweise keine Angaben bezüglich der Löschfristen beim Löschen von Nutzern, angelegten Schülerinnen und Schülern oder Mahnungen. Angaben zu Auftragsverarbeitern gibt es nicht.
Auf Nachfrage stellt der Anbieter eine Verarbeitungsübersicht zur Verfügung wie auch ein Sicherheitskonzept. Dort ist angegeben, dass mit genutzten Dienstleistern Verträge zur Auftragsverarbeitung abgeschlossen wurden. Ein Dienstleister ist die Mittwald CM Service GmbH & Co. KG für das Hosting und deren IT-Sicherheitskonzept stellt der Anbieter ebenfalls auf Anfrage zur Verfügung. Welche anderen Dienstleister genutzt werden, wird nicht aufgeführt.
Cookies, Tracking
In der Datenschutzerklärung weist der Anbieter die Nutzung von Cookies aus, gibt jedoch keine spezifischen Informationen zu Arten von Cookies. Über die Entwickler Konsole des Chrome Browers lassen sich mehrere 1st Party Cookies nachweisen, die sämtlich funktionalen Charakter haben. Cookies und Tracker von Drittanbietern sind nicht nachweisbar. Dazu gehört auch ein PHPSESSID.
Sicherheit
Eine Überprüfung mit WebbKoll DataSkydd ergibt u.A.:
- HTTPS als Voreinstellung ist nicht vorhanden. Das bedeutet, eine ungesicherte Übertragung von Daten zwischen Nutzer und Server ist möglich und damit angreifbar.
- X-Content-Type-Options Header nicht vorhanden –
- X-Frame-Options (XFO) Header fehlt –
- X-XSS-Protection Header fehlt – die Seite ist vor Cross-Site Scripting (XSS) Attacken nicht geschützt. Angreifer könnten eventuell auf den Server gelangen und Daten auslesen.
In der praktischen Erprobung zeigt sich, die Website kann auch mit http://schulbuecherei.com/ anstelle von https://schulbuecherei.com/ aufgerufen werden. Damit ist eine unverschlüsselte Übertragung von Daten zwischen Browser und Server des Anbieters möglich.
Bezüglich der Erstellung von Passwörtern für Verwalter gibt es keine Regelvorgaben für sichere Passwörter. Ein Passwort wie 123456 wird akzeptiert.
iOS App
Das App verhält sich ähnlich wie die Online Plattform. Es nimmt allerdings noch zusätzlich Kontakt zu r3.o.lencr.org auf. Dieses ist eine Domain von LetsEncrypt und der Aufruf dient in der Regel der Überprüfung der Gültigkeit eines ausgestellten Zertifikates.
Vertrag zur Auftragsverarbeitung
Einen Vertrag zur Auftragsverarbeitung (AVV) stellt der Anbieter nach eigenen Angaben nicht zur Verfügung.
Hinweise zur Nutzung durch Schulen
Grundsätzliches
Schulbücherei.com ist ein Angebot, welches bei vielen Schulen auf Interesse stoßen dürfte zumal es kostenlos nutzbar ist und sogar noch eine kostenfreie iOS App bietet, die eine komfortablere Nutzung ermöglicht. Die Plattform ist sehr datensparsam, da sie darauf verzichtet, übermäßig viele Daten zu erheben. Drittanbieter Tools kommen nicht zu Einsatz. Schülerinnen und Schülern können mit frei wählbaren Namen angelegt werden. Das könnten beispielsweise auch Nummern sein.
Negativ fällt jedoch auf, dass die Plattform auch einen unsicheren Zugriff ohne HTTPS ermöglicht. Die Seite scheint auch für Cross-Site Scripting (XSS) anfällig. Das könnte im ungünstigsten Fall möglicherweise ausgenutzt werden, um in der Plattform gespeicherte Daten auszulesen.
Auch ein Vertrag zur Auftragsverarbeitung wird nicht angeboten. In den Nutzungsbedingungen behält der Anbieter sich das Recht vor, das Angebot jederzeit einstellen zu können. Das ist keine Grundlage für eine dauerhafte verlässliche Nutzung.
Zwar müssen für Schülerinnen und Schüler aus der Nutzung der Plattform keine möglichen Risiken entstehen, wenn anstelle von Namen lediglich zufällige Nummern verwendet werden, doch die Daten der Verwalter enthalten zumindest ein E-Mail und ein Passwort.
Datenschutz Bewertung Übersicht
Nutzung der Plattform
Die beschriebenen Mängel wie auch das Fehlen eines Vertrag zur Auftragsverarbeitung sprechen gegen eine Nutzung.
Fazit
Auch wenn die Plattform durch ihrer kostenlose Bereitstellung und einfache Nutzbarkeit für Schulen interessant ist, kann eine Nutzung für Schulen nicht empfohlen werden, da wichtige Voraussetzungen für eine sichere und rechtskonforme Verarbeitung von personenbezogenen Daten aus der Schule nicht erfüllt werden. Zwar können mögliche Risiken für Schülerinnen und Schülern als Entleiher durch die Nutzung von Pseudonymen in Form von Zufallszahlen vermieden werden, doch ob das reicht, um die Nutzung der Plattform vertreten zu können, bleibt dahingestellt.
Eine Alternative könnte hier eventuell https://librishare.de/ sein. Der Datenschutz-Check dazu findet sich unter Librishare – Schulbibliothek online verwalten.
Stand: 10/2022