Hinweis: Dieser Datenschutz-Check wurde im November 2022 überarbeitet und berücksichtigt den zu diesem Zeitpunkt aktuellen Stand.
Beschreibung
SchoolFox ist ein Schulmessenger, der je nach Version zusätzliche Funktionen wie Cloud-Speicher, Gruppen Diskussionen, Hausaufgaben, Stundenplan, Notfallnachrichten, Meldung von Absenzen, Organisation von Schulterminen und Sprechtagen, einen digitalen Assistenten, digitale Unterschriften, Zahlungsanforderungen, ein Portfolio, Umfragen und Videokonferenzen einschließt. Die Funktion für Mitteilungen lässt es zu, dass Eltern bzw. Schüler um eine Antwort gebeten werden, um Beantwortung einer Umfrage und um Zusage einer Teilnahme. Besonders beliebt bei Schulen in deren Einzugsgebieten es viele Elternhäusern mit Migrationshintergrund gibt, ist die Funktion zum Versenden von Nachrichten in 40 Sprachen. SchoolFox kann über den Browser genutzt werden. Ergänzend gibt es Apps für iOS und Android. Die Android Version kann auch als APK geladen werden, was für Personen interessant ist, die z.B. FDroid nutzen oder das App ohne PlayStore über ein MDM verteilen wollen. Nach eigenen Angaben wird die Plattform zur Zeit von 5.000 Einrichtungen genutzt.
Schoolfox gibt es aktuell in drei Versionen (BASIC, PLUS, MAX), die sich im Funktionsumfang und Preisen unterscheiden. Worin die Versionen sich unterscheiden, wird unter Ihre individuelle Schullizenz und im dort verfügbaren PDF “Vergleichen Sie unsere Lizenzen” erklärt. Für alle Versionen bietet der Anbieter einen Vertrag zur Auftragsverarbeitung an. Dieser wird auf Anfrage auch vorab zur Verfügung gestellt.
Lehrkräfte werden zu SchoolFox durch eine Einladung per E-Mail hinzugefügt. Der Admin kann sie dabei manuell anlegen oder über eine bestehende CSV Liste importieren. Sie werden dann den Klassen der Schule als Klassenadmin oder einfach nur als Lehrkraft (Co-Lehrer*in) zugewiesen. Klassenadmin können einer Klasse eigenständig Schüler aus dem Bestand der Schule hinzufügen. Im Profil können Lehrkräfte optional weitere Informationen ergänzen. Dazu gehören Notfallkontaktinformationen (E-Mail und Telefonnummer) und Spracheinstellungen für das App und die Übersetzungssprache. Das Menü bietet außerdem die Möglichkeit, das Passwort zurückzusetzen, die Löschung des Kontos zu beantragen, Benachrichtigungen per E-Mail zu aktivieren und für die Push Benachrichtigungen im App Ruhezeiten und eine Wochenend-Stummschaltung einzurichten. Lehrkräfte können die Informationen der Kinder ihrer Klassen aufrufen und sehen dort die Informationen, welche auch Eltern sehen. Sie können die Informationen – vom Namen und Vornamen abgesehen – verändern und ergänzen. Im Notizenfeld können sie Text eintragen und Einträge von anderen Personen bearbeiten und löschen. Unter dem Menü Zugriff können sie sehen, wer auf die Daten des Kindes Zugriff hat. In der Regel sind das Eltern. Lehrkräfte können hier interne Notizen anlegen. Die Daten der Eltern können sie nicht verändern, doch mit der Funktion Klassenadmin haben sie die Möglichkeit, den Zugriff der angezeigten Personen zu trennen, falls erforderlich. Lehrkräfte mit Klassenadmin Rechten können außerdem weitere Lehrkräfte zur Klasse hinzufügen und löschen sowie bestehende Co-Lehrer*innen zu Klassenadmins befördern.
Schüler und Eltern sind immer Klassen zugeordnet. Klassen werden durch den Administrator der Schule eingerichtet. Dabei wird unterschieden, ob es eine Lehrkräfte – Eltern oder eine Lehrkräfte – Schüler Klasse sein soll. Erstere sind für die Kommunikation mit Eltern, letztere für die Kommunikation mit Schülern gedacht. Das heißt, es kann von einer Klasse sowohl eine Klasse für die Kommunikation mit den Schülerinnen und Schülern geben als auch eine für die Kommunikation mit ihren Eltern. Schülerinnen und Schüler wie auch Lehrkräfte können bereits durch den Administrator zugewiesen werden. So trennt die Plattform die beiden Bereiche. Lehrkräfte können selbst keine Klassen erstellen, haben jedoch als Klassenadmin die Berechtigung, Schülerinnen und Schüler zu einer Klasse hinzuzufügen. Für diese können sie dann Einladungscodes erstellen, die je nach Klassentyp für die Schüler bzw. Eltern gedacht sind. Wenn der Schuljahreswechsel bevorsteht oder eine Klasse aufgelöst wird, lassen sich Klassen durch einen Klassenadmin archivieren. Dafür werden “sämtliche bisherigen Mitteilungen, Diskussionen und Dateien aus FoxDrive werden archiviert und stehen 3 Jahre zur Verfügung.” Schulische Administratoren haben die Möglichkeit, einen Code zu erzeugen, den sie Lehrkräften geben. Dieser Verbindungscode, der im Menü erstellt wird, in welchem Lehrkräfte verwaltet werden, gibt einer Lehrkraft die Möglichkeit, selbst Klassen anzulegen und diese mit “Schüler*innen aus der Admin-Schüler*innenliste” zu füllen und Nutzer*innen zu verbinden oder neue Einladungscodes zu erstellen.
Eltern werden über einen für jeden Schüler und jede Schülerinnen individuellen Einladungscode zur schulischen Instanz hinzugefügt. Dieser Code wird schülerspezifisch erstellt. Die Eltern laden sich zur Eingabe des Codes die App des Anbieters herunter und folgen den Anweisungen oder sie gehen auf my.schoolfox.app und wählen die Option “Konto erstellen.” Dort kommen sie auf eine Seite, auf welcher sie zur Eingabe des von der Schule zur Verfügung gestellten Codes aufgefordert werden. Bevor es nach Eingabe des Codes weitergeht, müssen Eltern bestätigen, dass sie die Informationen zum Datenschutz gelesen haben.
Darin wird erklärt, dass der Anbieter die personenbezogenen Daten im Rahmen eines Vertrags zur Auftragsverarbeitung verarbeitet und die auf der linken Seite angezeigte Schule Verantwortlicher im Sinne von Art. 28 DS-GVO ist. Danach erfolgt eine Auswahl, in welcher Beziehung die Person, welche den Code eingibt, zum genannten Kind steht (Mutter, Vater, Andere) und ob sie Erziehungsberechtige(r) ist oder nicht. Im letzten Schritt erfolgt die Erstellung der Zugangsdaten. Dazu müssen eine E-Mail Adresse und ein Passwort angegeben werden. Die Vorgabe für das Passwort ist, dass dieses mindestens 6 Zeichen hat. Alternativ ist der Login über Single sign-on (SSO). Angeboten wird aktuell die Nutzung eines bestehenden (Web)Untis Zugangs zur Authentifizierung. Abschließend erhält der Nutzer noch einmal die Möglichkeit, die E-Mail-Adresse zu korrigieren. Nach der Bestätigung der E-Mail-Adresse wird das Konto um eine Anrede, Vorname, nach Name und eine optionale Notfallkontaktnummer ergänzt. Zur Absicherung wird von der Plattform ein Aktivierungs-E-Mail an die angegebene E-Mail-Adresse gesandt. Diese muss bestätigt werden, damit das Konto genutzt werden kann. Die Einstelloptionen im Profil sind bis auf die Möglichkeit zur Angabe einer zweiten Notfallrufnummer zu denen der Lehrkräfte identisch. Bezüglich ihrer Kinder haben Eltern die Möglichkeit, deren in der Plattform hinterlegte Daten einzusehen und abgesehen von Name und Vorname zu bearbeiten. Zusätzlich lassen sich Notizen hinterlegen, die für alle sichtbar sind, die Zugriff auf das Konto des Kindes haben. In einem Extra-Menü wird aufgeführt, wer Zugriff auf die Daten des Kindes hat. Hier wäre etwa ein zweiter Elternteil aufgeführt, sofern dieser in der Plattform angemeldet und mit dem Kind verknüpft ist. Eltern haben in ihrem Konto in SchoolFox die Möglichkeit, weitere Codes einzugeben, etwa für die Lehrkräfte – Eltern Klasse eines Geschwisterkindes.
Schülerinnen und Schüler können wie Lehrkräfte vom Admin manuell oder über CSV Import angelegt werden. Vorname, Nachname und Zuweisung zu einer Klasse sind Pflichtangaben. Optional lassen sich Geschlecht und Geburtsdatum, eine Adresse sowie eine Schüler*innenkennzahl angeben. Um die Plattform selbst aktiv nutzen zu können, erhalten Schülerinnen und Schüler ähnlich wie Eltern einen individuellen Einladungscode. Der Anmeldeprozess verläuft nahezu identisch zu dem von Eltern. Es gibt jedoch einen Unterschied. Sie machen keine Angabe bezüglich der Beziehung zum Schüler. Um die Plattform nutzen zu können, brauchen Schülerinnen und Schüler deshalb eine eigene E-Mail Adresse. Das kann beispielsweise eine schulische E-Mail-Adresse sein.
Die Übersetzungsfunktion steuern Nutzer über ihre Profileinstellungen. Dort lässt sich sowohl die Sprache der App einstellen als auch die Übersetzungssprache. Erhaltene Mitteilungen werden von der Plattform gemäß der Übersetzungssprache übersetzt, wenn der Nutzer die Übersetzungsfunktion auslöst. Einstellungen zur Anzeige- und Übersetzungssprache können jederzeit verändert werden.
Falls gewünscht, kann der schulische Administrator kann die Übersetzungsfunktion für alle Nutzer der Schule deaktivieren.
Klassenbuch und Abwesenheiten lassen sich unabhängig voneinander nutzen. Schüler und Eltern können Nachrichten über Abwesenheiten versenden. Mögliche Empfänger sind die Lehrkräfte des Kindes. Im Klassenbuch besteht eine Möglichkeit für Lehrkräfte, Abwesenheiten einzutragen. Dabei werden Benachrichtigungen über verschickte Abwesenheitsnachrichten angezeigt. Die entsprechenden Schülerinnen und Schüler müssen jedoch von der Lehrkraft noch einmal durch Setzen eines Häkchens als abwesend im Klassenbuch markiert werden. Abwesenheiten lassen sich zusätzlich in der Übersicht der Klasse anzeigen. In der Administrationsansicht lassen sich Absenzen klassenweise als CSV Dateien herunterladen. Die Übersicht zeigt dann Klasse, Schüler*in, Von, Bis, Begründung, Gesendet von und Gesendet am an. Auch Klassenbücher können als CSV Dateien exportiert werden. Dieses muss die jeweilige Lehrkraft vornehmen. Klassenbuch Exporte beinhalten die Absenzen nicht.
Sprechtage werden zentral geplant und angelegt. Teilnehmer werden eingeladen.
Videokonferenzen setzt der Anbieter mit Jitsi um, das auf eigenen Servern betrieben wird. Teilnehmer lassen sich direkt per Nachricht über die SchoolFox einladen. Alternativ ist auch eine Einladung über einen Meeting-Link möglich.
Portfolio ist eine digitale Sammelmappe, und werden nach Aktivierung durch den Administrator durch die Lehrkräfte in ihren Klassen freigeschaltet. In der jeweiligen Klasse steht so pro Schüler ein individuelles Portfolio zur Verfügung. “So können Sie pro Klasse ein individuelles Portfolio für jede*n Schüler*in erstellen, in dem Fotos, Videos und Audiodateien einen Gesamteindruck der kreativen Leistungen des Schuljahres geben” beschreibt der Anbieter die Funktion. Neben den Schülern selbst können die mit ihnen verbundenen Nutzer, etwa Eltern aber auch Lehrkräfte das Portfolio einsehen. Es ist möglich, Schülern die Möglichkeit zu geben, eigenständig Inhalte einzustellen. Die Lehrkraft kann einstellen, dass sie alle Uploads freischaltet, bevor sie im Portfolio sichtbar werden. Wer Zugriff auf ein Portfolio hat, kann Inhalte daraus herunterladen. Sofern die Lehrkraft der Klasse die Funktion zum Teilen aktiviert hat, können alle Personen, die Zugriff auf das Portfolio haben, dieses per Link teilen, innerhalb und außerhalb der Plattform.
FoxDrive ist quasi die Grundlage für Portfolio und funktioniert ähnlich. Auch hier kann die Lehrkraft Berechtigungen voreinstellen. Beim Erstellen eines Ordners kann Nutzern die Möglichkeit gegeben werden, den Ordner per Link freizugeben. Darüber hinaus muss bestimmt werden, welche Nutzer Zugriff auf den Ordner haben sollen und welche Rechte sie dabei haben:
- Dateien sehen aber nicht hochladen
- Dateien sehen und hochladen
- Dateien hochladen, aber nur die eigenen Dateien sehen
Berechtigungen lassen sich durch die Lehrkraft jederzeit nachträglich verändern. Nutzer mit Zugriff können Schüler und Lehrkräfte der Klasse sein, bzw. Eltern und Lehrkräfte der Klasse bei Elternklassen. Anders als beim Portfolio gibt es bei FoxDrive keine Vorabkontrolle von durch Nutzer hochgeladenen Inhalten. Es gibt jedoch eine Löschmöglichkeit.
FoxServices ist ein Zusatzmodul, welches der Administrator einer Schule für diese aktivieren kann. Hinter den FoxServices verbirgt sich ein Angebot, das zumindest in Teilen noch im Entstehen ist. Der Anbieter selbst beschreibt diesen Teil seines Angebotes wie folgt: “FoxServices bietet Services und Angebote an, die von unserem Team sorgfältig ausgewählt und auf den Einsatz in Schulen, Kitas und Vereinen zugeschnitten sind. Für alle verfügbar, die am Schulleben beteiligt sind.” Es finden sich sechs Kategorien in den FoxServices: Hilfestellung, Lehrinhalte, Lernhilfe, Apps, Hardware und Schulmaterial. Wenn freigeschaltet, können FoxServices von allen Nutzern, also Lehrkräften, Eltern und Schülern aufgerufen werden.
Datenschutz, Sicherheit
Serverstandort, Anbieter
Fox Education Services GmbH ist ein österreichischer Anbieter mit Hauptsitz in Wien und einem Nebenstandort in Berlin. Gegründet wurde das Unternehmen bereits 2015. SchoolFox besteht in der jetzigen Rechtsform seit 2017. GoStudent GmbH war lange Zeit Gesellschafter bei SchoolFox und ist seit September 2021 zu 100% Eigentümer von SchoolFox.
Gegenwärtig nutzt man für die Bereitstellung des Angebotes Server des deutsch-österreichischen Cloud-Anbieters Exoscale. Beim Zugang im Browser wie auch im App (getestet auf iOS) werden sämtliche Inhalte der Plattform von Servern des Anbieters geladen. Beim Klicken eines Links, der zu einer externen Seite führt (Fox Services), wird der Nutzer darauf hingewiesen, dass man SchoolFox verlässt und die Website des Partners aufruft. Diesem muss der Nutzer extra zustimmen.
Die Übersetzungsfunktion, die in der Vergangenheit unter direkter Einbindung eines externen Dienstleisters funktionierte, wozu der Browser bzw. das App des Nutzers diesen Dienstleister kontaktierte, die Texte dorthin übermittelte und die Übersetzung zur Anzeige in der Plattform zurück erhielt, wurde umgebaut, um den Datenschutz zu verbessern. Man hat einen Zwischenschritt eingebaut und übermittelt die zu übersetzenden Texte nun von den Servern des Anbieters aus zum Übersetzungsdienst von Microsoft Azure mit Serverstandort in den Niederlanden. Sie werden anschließend wieder über den eigenen Servern an den Browser oder das App des Nutzers geschickt, wo der Text dann in Übersetzung angezeigt wird. Dadurch gibt es keinen direkten Kontakt mehr zwischen Nutzer und Dienstleister. Der Dienstleister erfährt dabei auch nicht, von welchem Nutzer die Anfrage zur Übersetzung kommt, außer die Nachrichten enthalten selbst Inhalte, die eine Identifizierung des Nutzers ermöglichen. Um das zu vermeiden, gibt es vor Auslösen der Übersetzung einen Datenschutzhinweis in der vom Nutzer gewählten Anzeigesprache.
“Übersetzungen und Datenschutz
Unser Übersetzungsdienst in Echtzeit wird von Microsoft Azure zur Verfügung gestellt. Bevor Sie fortfahren, achten Sie darauf, dass der Nachrichtentext keine personenbezogenen Daten, insbesondere keine Gesundheitsdaten enthält. Microsoft Azure verarbeitet ausschließlich den Nachrichtentext und keinerlei Metadaten. Die Datenverarbeitung geschieht innerhalb der Europäischen Union.”
Wird der Datenschutzhinweis bestätigt, erfolgt die Übersetzung. Alternativ kann die Übersetzung abgebrochen werden. Übersetzungen erfolgen anders als in der Vergangenheit nicht länger automatisch, sondern müssen vom Nutzer immer wieder ausgelöst werden. Den Datenschutzhinweis kann der Nutzer deaktivieren.
Datenschutzerklärung
Die Datenschutzerklärung für die Plattform ist auf der Website des Anbieters unter Datenschutz: APP abrufbar. Dort wird in einfacher Sprache, unterstützt durch Grafiken erklärt, welche Datenschutzprinzipien für das Angebot gelten: Privacy by Design, kein Geld mit Werbung, Server in der EU und vertrauensvolle Partner. Letzteres meint von SchoolFox beauftragte Dienstleister. Man betont ausdrücklich, DS-GVO konform zu sein und hat sich sogar einer Prüfung (Audit) unterzogen. Nach dieser Prüfung durch AppVisory, welche sich auf die iOS (Version 6.5.0) und Android (Version 6.5.0) Apps bezieht, erhalten diese das TRUSTED APP SIEGEL. Demnach gilt:
- Verschlüsselte Übermittlung sensibler und vom Nutzer bestätigter Daten
- Authentifizierte Empfänger der übermittelten Daten
- gesetzliche Datenschutz- und Datensicherheitsrichtlinien werden eingehalten
- DSGVO-konforme Datenverarbeitung bestätigt
- Sichere Datenspeicherung auf dem Device
- geprüfte AGB und Datenschutzerklärung
Schulen, die detailliertere Informationen zur Datenverarbeitung durch die Plattform haben möchten, etwa zu eingesetzten Dienstleistern, müssen sich direkt an den Anbieter wenden. Dort ist neben dem Vertrag zur Auftragsverarbeitung auch ein Verzeichnis der Verarbeitungstätigkeiten erhältlich.
Cookies, Tracking
In der Webanwendung von SchoolFox unter https://my.schoolfox.app/ lassen sich ohne Login keine Cookies nachweisen. Im Local Storage wird unter school-fox.settings eine Information zu den Spracheinstellungen abgelegt. Mit einem Login werden die Informationen unter school-fox.settings im Local Storage um die App Version, das Datum und einen Nutzerschlüssel ergänzt. Zusätzlich werden unter school-fox.auth weitere Informationen abgelegt. Dazu gehört der zuvor beschriebene Nutzerschlüssel mit einer Rolle (parent, teacher, student). Haben Nutzer mehr als eine Rolle, werden hier mehrere Nutzerschlüssel abgelegt. Für jede Nutzerrolle wird außerdem ein Token abgelegt und es wird das aktive Token angezeigt. Ergänzt werden die Informationen um Profilinformationen und von der Plattform angelegte Merkmale (Rolle, Sprache, Datum der Konto Erstellung, Nutzerschlüssel des Erstellers des Kontos, E-Mail, E-Mail Benachrichtigungseinstellungen, Name, Nutzerschlüssel, Telefonnummer, mehrere Rollen erlaubt, Nutzerschlüssel eines Nutzers zu dem die Person in Beziehung steht, Datenschutz angenommen, Aktualisierungsdatum des Profils und Nutzerschlüssel der aktualisierenden Person). Auch einen Eintrag zu Marketing E-Mail zugelassen gibt es, der im Testkonto auf “false” steht.
Sicherheit
Der Anbieter gibt im Vertrag zur Auftragsverarbeitung unter Nr. 9 an, durch geeignete technische und organisatorische Maßnahmen für die Sicherheit und den Schutz bei der Verarbeitung von personenbezogenen Daten zu garantieren:
“Der Auftragsverarbeiter erklärt rechtsverbindlich, dass er ausreichende technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO ergriffen hat, um ein dem Risiko angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten zu erreichen und um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden.”
Technische und organisatorische Maßnahmen werden dann in Anlage 1 aufgeführt. Dort wird unter anderem angegeben, dass man Penetrationstests durchführt und die Inhaltsdaten getrennt von den Nutzerdaten verarbeitet.
Die Plattform ist als eine Kommunikationsplattform gedacht und sollte deshalb auch nur für allgemeine Inhalte oder im Fall einer unterrichtlichen Nutzung für den Austausch von Unterrichtsinhalten verwendet werden. SchoolFox wird auch damit beworben, dass man statt eines Mitteilungsheftes nun den Messenger hätte und man so Abwesenheitsmeldungen elektronisch über das Smartphone oder den Computer schicken könne. Die Abwesenheitsmeldungen beschränken sich dabei auf ein DropDown Menü mit den Optionen Krankheit, Arztbesuch, Privater Termin, Familiäre Gründe und Sonstiges. Weitere Informationen außer Datum und Uhrzeit des Beginns und Endes und Ganzer Tag können hier nicht angegeben werden. Das ist positiv zu bewerten, da so keine sensiblen Informationen im Zusammenhang mit einer Abwesenheit übermittelt werden können.
Links zum Teilen von Inhalten aus FoxDrive und Portfolio bestehen aus https://my.schoolfox.app/#/share-link/… und einer alphanumerischen Zeichenkette aus 26 Zeichen. Die Wahrscheinlichkeit, den Link durch Ausprobieren zu erraten, ist recht gering. Trotzdem sollten über einen derartigen Link keine Inhalte geteilt werden, die besonders schützenswert sind, da es außer dem Link keinen Schutz wie ein Passwort gibt. Links zum Teilen sollten gelöscht werden, sobald der Anlass zum Teilen entfällt.
Die Anforderungen an Passwörter sind sehr gering. Es gibt lediglich die Vorgabe, dass diese 6 Zeichen lang sein müssen. Ohne weitere Passwortregeln sind so Passwörter wie 123456 oder 111111 möglich. Das gilt für alle Konten, auch die von Lehrkräften. Passwörter können dadurch leicht erraten werden. Bei Eingabe eines falschen Passwortes wird ein Fenster angezeigt, in welchem entweder der Hinweis auf eine falsche Eingabe bestätigt oder Hilfe aufgerufen werden kann. Eine Begrenzung der Anzahl der Anmeldeversuche innerhalb eines bestimmten Zeitraumes besteht nicht. Damit wäre es möglich, mit einem Script bei bekannten Schul-E-Mail Adressen automatisiert endlos mögliche Passwörter durchzutesten. Auch das Konto des schulischen Admins ist nicht besonders abgesichert. Eine zusätzliche 2-Faktor-Authentifizierung (2FA) gibt es nicht. Wer sich hier Zugriff verschaffen kann, hat die Möglichkeit, auf alle Daten in der Instanz zuzugreifen.
Sofern Nutzer sich auf einem mobilen Endgerät nicht nach der Nutzung abmelden, bleiben sie dauerhaft im App angemeldet. Der Zugriffsschutz beschränkt sich dann auf den des Smartphones oder Tablets selbst. Die mobilen Apps für iOS und Android bieten keine Option für eine Entsperrung mittels Fingerabdruck oder eines anderen biometrischen Merkmals. Viele Nutzer werden so, um dem Eintippen des Passworts zu entgehen, dauerhaft angemeldet bleiben oder aber ein sehr einfaches Passwort wählen. Einigen Nutzern ist möglicherweise nicht klar, dass dieses Passwort auch für einen Login in SchoolFox via Browser verwendet wird. Vor allem bei Konten von Lehrkräften kann dieses ein Sicherheitsrisiko darstellen.
Vertrag zur Auftragsverarbeitung
Im Vertrag zur Auftragsverarbeitung werden neben den üblichen Angaben im Anhang auch technische und organisatorische Maßnahmen detailliert. Interessant am Vertrag ist, dass SchoolFox weitere Unterauftragsverarbeiter nur nach schriftlicher Genehmigung des Auftraggebers, also der Schule, einsetzen darf.
“Der Auftragsverarbeiter darf ein anderes Unternehmen als weiteren Auftragsverarbeiter nach Art. 4 Abs. 8 DSGVO nur dann heranziehen, wenn der Auftraggeber dem schriftlich zustimmt (Art. 28 Abs. 2 DSGVO).”
Fraglich ist, wie der Anbieter eine schriftliche Genehmigung bei 5.000 Kunden umsetzen möchte und welche Folgen es hätte, wenn einige von diesen nicht zustimmten.
In der aktuellen Version werden vier Dienstleister aufgeführt:
- Exoscale Cloud Hosting (Server-Host (Apps/Website))
- Link11 GmbH (IT-Security (Apps))
- rapidmail GmbH (E-Mail-Benachrichtigungs-Dienst)
- sms.at mobile internet services GmbH (SMS-Benachrichtigungs-Dienst)
Nicht aufgeführt wird als Dienstleister Microsoft. Das ist aus Sicht des Anbieters nicht erforderlich, da bei der Übersetzung wie oben beschrieben, keine personenbezogenen Daten durch Microsoft verarbeitet werden.
SchoolFox zeigt Eltern bei der Erstellung eines Kontos an, dass man ihre Daten im Rahmen eines Vertrags zur Auftragsverarbeitung mit der nebenstehenden Schule verarbeitet. Das ist so nicht ganz zutreffend, da die Schule, anders als bei Schülern und Lehrkräften, keine Möglichkeit hat, diese Konten zu löschen. Eltern erstellen ihr Konto eigenständig und unabhängig von der Schule. In dem Sinne ist hier SchoolFox selbst Verantwortlicher. Die Verantwortlichkeit der Schule beginnt erst ab dem Moment, wenn Eltern sich über einen Code der Schule (einer Eltern-Klasse) hinzufügen. Sämtliche Verarbeitung von personenbezogenen Daten der Eltern im Rahmen dieser Beziehung erfolgt dann in Verantwortung der Schule.
Verzeichnis von Verarbeitungstätigkeiten
SchoolFox stellt Schulen auch ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DS-GVO zur Verfügung. Dort sind alle Informationen enthalten, welche eine Schule braucht, um das eigene Verzeichnis von Verarbeitungstätigkeiten anzulegen wie auch die Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO zu erstellen. Das Verzeichnis von Verarbeitungstätigkeiten beschreibt unter anderem die verschiedenen Kategorien von Personen, die von der Verarbeitung betroffen sind, und die Kategorien von verarbeiteten Daten sowie deren Löschfristen und ob es sich bei den Daten um besondere Datenkategorien handelt. Es fällt auf, dass es neben den Stammdaten nur wenige Kategorien von Inhaltsdaten gibt:
- Notizen durch Lehrer/Eltern
- Mitteilungen von Lehrern/Eltern
- Video- und Ton
Mitteilungen von Schülerinnen und Schülern fehlen hier wie auch Inhalte der Portfolios, die immer einen Personenbezug haben, da sie an einen Schüler gebunden sind. Auch die Inhalte der Klassenbücher sind personenbezogenen, da sie von einer einzelnen Lehrkraft erstellt und dieser zugeordnet sind. Gleiches gilt für Absenzen. Der Anbieter fasst diese unter Mitteilungen. Werden sie im Klassenbuch durch eine Lehrkraft erstellt, sind sie von der Kategorie Mitteilungen von Lehrern/ Eltern nicht abgedeckt. Absenzen sollten als eigene Kategorie von verarbeiteten Daten dargestellt werden, auch wenn sie im engeren Sinne nicht unter Art. 9 DS-GVO fallen. Sie könnten aber im weiteren Sinne durchaus unter Gesundheitsdaten gefasst werden, da Arzttermin und Krankheit als Abwesenheitsgründe angegeben werden können.
Angegeben werden im Verzeichnis von Verarbeitungstätigkeiten auch die Lösch- und Aufbewahrungsfristen. Inhalte von Videokonferenzen werden nicht über die Dauer einer Videokonferenz hinaus gespeichert. Bei den anderen Daten wird unterschieden zwischen einer Aufbewahrung für 3 Jahre und bis zum Ende der Geschäftsbeziehung. Bei der gesetzlichen Aufbewahrungsfrist von 3 Jahren wird auch das elektronische Klassenbuch genannt. Dieses ist eine Regelung, die in Österreich gilt. In NRW müssen Klassenbücher gem. § 9 VO-DV I Abs. 1 Nr 4 für 10 Jahre aufbewahrt werden Die dauerhafte Aufbewahrung muss dabei nicht in der Plattform erfolgen und sollte es auch nicht. Die Frist von 3 Jahren läuft ab dem Moment, wenn eine Lehrkraft mit Admin Rechten eine Klasse archiviert.
Alle Inhaber von schulischen SchoolFox Konten, Lehrkräfte wie Schüler können die Löschung ihres Kontos eigenständig über ihre Profileinstellungen beantragen.
Datenschutz Bewertung Übersicht
SchoolFox ist eine Plattform, die sich seit ihrer Gründung 2015 deutlich verändert hat, auch um dem Datenschutz besser Rechnung zu tragen. Ein Beispiel dafür ist die Verlagerung der Übersetzung von Mitteilungen auf das Backend der Plattform, wodurch der Nutzer mit dem Dienstleister nicht mehr direkt in Berührung kommt. Aus dem ursprünglichen Messenger und digitalen Mitteilungsheft ist mittlerweile eine multifunktionale Plattform geworden, die schulische Abläufe organisieren hilft, etwa mit dem digitalen Klassenbuch, einer Absenzenverwaltung sowie der Planung von Sprechtagen, und auch Funktionen für die Durchführung von Unterricht einschließt, wie die Online-Dateiablage, FoxDrive und Videokonferenzen. Durch die Unterscheidung von Eltern- und Schülerklassen ist eine saubere Trennung der Kommunikation mit Eltern und Schülern für Lehrkräfte möglich. Die Plattform erlaubt es, die Verbindung von Nutzern zu kontrollieren, so dass Missbrauch durch Fremde im Fall eines falsch zugestellten Einladungs-Codes vermieden werden kann, sobald der Irrtum auffällt. Nur in wenigen Bereichen bietet die Plattform Möglichkeiten, Inhalte nach außerhalb der Plattform zu teilen. Das sind FoxDrive, das Portfolio und die Videokonferenzen, bei denen auch Personen, die kein Nutzerkonto in der Plattform haben, Zugriff erhalten können. Bei FoxDrive und Portfolio lassen sich Berechtigungen differenziert für einzelne Ordner setzen, so dass nie komplette Verzeichnisse freigegeben oder Vollzugriff mit Lese- und Schreibrechten gegeben werden muss. Die Absicherung der Freigaben über einen Link, der auch von Personen außerhalb der Plattform genutzt werden kann, erfolgt über die Länge der Zeichenkette am Ende des Links. Da es keinen zusätzlichen Passwortschutz gibt, besteht so potentiell die Möglichkeit, Zugriff auf den Inhalt durch zufälliges Erraten des Links oder endloses Ausprobieren zu erhalten. Auch wenn die Wahrscheinlichkeit dafür extrem gering ist, sollte man über eine solche Freigabe keine sensiblen Inhalte teilen.
Positiv fällt an SchoolFox auf, dass die Erstellung von Konten mit wenigen Angaben möglich ist. Ausführlichere Angaben sind optional. Allerdings werden Nutzer durch eine Aufforderung, das Profil zu ergänzen, dazu gedrängt, weitere Angaben zu hinterlegen. Auch wenn sich die Meldung deaktivieren lässt, erscheint sie unangemessen.
Wer innerhalb der Plattform Zugriff auf welche Daten und Inhalte erhält, wird maßgeblich durch die Struktur der Plattform bestimmt. Neben der Trennung in Klassen für Schüler und Eltern gibt es noch die Steuerung über die Beziehung der Personen untereinander. Lehrkräfte, die einer Klasse zugewiesen sind, erhalten im Standard Zugriff auf die Schüler-Profildaten. Für Zugriff auf weitere Daten, wie im Portfolio hinterlegte Inhalte, muss anderen Lehrkräften das Recht erst erteilt werden. In FoxDrive ist dieses vergleichbar geregelt.
Wie oben gezeigt werden konnte, stellt die SchoolFox nur recht einfache Sicherheitsfunktionen zur Verfügung. Nach den Angaben des Anbieters scheint zwar der direkte Zugriff auf die auf den Servern gespeicherten Daten gut abgesichert, doch anders als das Backend ist das sogenannte Frontend, über welche Nutzer auf die Plattform zugreifen, nur schwach abgesichert. Die Passwortregeln beschränken sich auf die Vorgabe einer Zeichenlänge von 6 Zeichen. Passwörter werden nicht auf Komplexität geprüft oder mit Listen verbreiteter Passwörter abgeglichen und es gibt keine Vorgaben für die Verwendung von Sonderzeichen oder Klein- und Großbuchstaben. Weder das Konto des schulischen Administrators noch die von Lehrkräften lassen sich über 2FA absichern.
Der Anbieter hält dieses für ausreichend, vermutlich auch da er davon ausgeht, dass in der Plattform keine besonderen Kategorien von personenbezogenen Daten gem. Art. 9 DS-GVO verarbeitet werden. Zwar gehören Absenzen im engeren Sinne nicht unmittelbar in diese Kategorie, können aber in Kombination mit der Angabe Krankheit durchaus im weiteren Sinne unter diese Kategorie gefasst werden. Fehlzeiten aufgrund von Krankheit sind Gesundheitsdaten! Erhalten Unbefugte auf diese Daten Zugriff, können sich daraus hohe Risiken für Betroffene ergeben, etwa wenn es um die Vergabe von Ausbildungsplätzen geht.
Schulen, die mit SchoolFox Absenzen verwalten wollen, sollten ihre Lehrkräfte per Dienstanweisung zur Verwendung sicherer Passwörter verpflichten und ihnen hierzu konkrete Vorgaben machen. Das könnte eine Vorgabe sein wie: Das Passwort muss aus mindestens 8 Zeichen bestehen und dabei mindestens ein Sonderzeichen, Zahlen und Groß- und Kleinbuchstaben enthalten und darf kein Wort nachbilden, also kein $OnnenSche1n. Ob und wie diese Vorgabe von der einzelnen Lehrkraft umgesetzt wird, kann die Schule allerdings nicht nachhalten.
SchoolFox ist eine Plattform zur Kommunikation, zur Bereitstellung von Inhalten, zur Organisation und Dokumentation und in Teilen auch zur Durchführung von Unterricht. Schulen sich bewusst sein, dass es sich bei SchoolFox nicht um eine Plattform für besonders schützenswerte Daten handelt. Lehrkräfte, Schüler und Eltern sollten deshalb vor der Nutzung eingewiesen und auf die vom Anbieter bereitgestellten Informationen aufmerksam gemacht werden. Allen Beteiligten sollte klar sein, wie und wofür die Plattform genutzt werden soll, und vor allem, welche Daten bzw. Informationen nicht darin landen sollten. Sensible personenbezogene Daten, Daten der pädagogischen Dokumentation, also etwa Notenlisten oder Gutachten und Beurteilungen oder Daten der schulinternen Verwaltung sollten nicht in SchoolFox verarbeitet werden, da die Plattform hierfür vom Anbieter nicht vorgesehen ist und mit entsprechenden Sicherheitsfunktionen ausgestattet wurde.
Schulen sollten auch auf die Löschfristen der Plattform achten. Digitale Klassenbücher müssen am Ende des Schulhalbjahres und Schuljahres heruntergeladen und gesichert werden. Lehrkräfte laden dazu die Klassenbücher als CSV Datei herunter und übermitteln sie an das Sekretariat der Schule. Dort werden die Dateien dann nach Kontrolle durch die Schulleitung dauerhaft archiviert, um die Aufbewahrungs- und Löschfristen des Schulgesetzes einzuhalten. Entsprechend ist mit Absenzen-Listen zu verfahren. Welches Verfahren die Schule hier wählt, muss sie für sich selbst entscheiden. Inhalte von Portfolien müssen vermutlich ebenfalls gesichert werden, wenn sie Schülerinnen und Schülern dauerhaft zur Verfügung stehen sollen. Diese haben die Möglichkeit, sie eigenständig herunterzuladen.
In Bundesländern, die vergleichbare Regelungen zu §8 Abs. 2 Schul NRW in Verbindung mit § 120 Abs. 5 (bezogen auf die Daten der Schüler*innen) und § 121 Abs. 1 Satz 1 SchulG NRW (bezogen auf die Daten der Lehrer*innen) haben, sollte es möglich sein, SchoolFox zur verpflichtenden Nutzung für Schülerinnen und Schüler sowie Lehrkräfte per Beschluss der Schulkonferenz einzuführen. Die Nutzung für Eltern ist dabei immer freiwillig, bedarf jedoch keiner Einwilligung, sondern lediglich einer Information über die Datenverarbeitung gem. Art. 13 DS-GVO. Dazu kann die Vorlage unter diesem Abschnitt genutzt werden. Inwieweit eine verpflichtende Einführung von SchoolFox für Lehrkräfte mitbestimmungspflichtig sein könnte, wäre zu prüfen.
FoxServices ist eine Zusatzfunktion, über welche der Anbieter Inhalte Dritter, die auch kostenpflichtig sein können, “bewirbt.” Nach Einschätzung des Verfassers dieses Beitrags haben derartige Inhalte nichts in einer schulischen Plattform zu suchen. Besser wäre es hier, wenn die Schule selbst Verlinkungen zu von ihr genutzten Dienste/ Plattformen oder den Angeboten anderer öffentlicher Stellen wie der Agentur für Arbeit einstellen könnte. Ohne die Option, die Inhalte hier selbst zu bestimmen, empfiehlt es sich für Schulen diesen Bereich nicht zu aktivieren.
Stand 09/2023