Edkimo – Umfrage Tool (Quick Check)

Lesezeit: 4 Minuten

Hinweis! Es handelt sich hier um einen Quick-Check, der nicht ganz so umfangreich ist, wie die anderen. Bei Zeit und Gelegenheit werde ich das zu einem normalen Datenschutz Check erweitern. sollten Sie hier jedoch auch schon ausreichend Informationen über mögliche Risiken bei einer Nutzung finden, die es Ihnen erlauben, sich eine eigene Meinung zu bilden.

Stand: 2020-09-27

Art von Plattform: Umfragetool

URL: https://app.edkimo.com/

Anbieter: Edkimo GmbH, Herrfurthstr. 23, 12049 Berlin

Monetarisierung: Die Nutzung der Plattform ist kostenpflichtig. NRW hat einen Vertrag mit Edkimo, der es allen Lehrkräften erlaubt, die Plattform kostenlos zu nutzen.

Datenschutzerklärung: Insgesamt fällt die Datenschutzerklärung unter https://edkimo.com/de/datenschutz/ sehr knapp aus. Zur Erstellung eines Kontos müssen Lehrkräfte Informationen angeben. Von Teilnehmern einer Befragung werden nach eigenen Angaben keine Daten erhoben.

Wir verkaufen keine Nutzerdaten und geben diese nicht an Dritte weiter.

Wir erstellen keine Schülerprofile und erheben keine personenbezogenen Daten von Teilnehmenden an Befragungen.

Nach Angaben des Anbieters ist die Schule selbst verantwortlich für die in Umfragen erhobenen Daten. Sie kann diese jederzeit eigenständig löschen. Server Log-Files werden nicht dauerhaft gespeichert.

Wir speichern keine Log-Files auf dem Server der Edkimo-App.

Mit dem Unterauftragnehmer Hetzner Online AG ist ein Vertrag zur Auftragsverarbeitung abgeschlossen.

:exclamation: Weitere Unterauftragnehmer werden nicht erwähnt

Es gibt keinen Hinweis, dass ein Vertrag zur Auftragsverarbeitung für Schulen bereitgestellt wird.

Genutzte Dienste Dritter

Eine Überprüfung mit Webbkoll Dataskydd ergibt, dass Edkimo, anders als in der Datenschutzerklärung ausgewiesen, weitere Unterauftragsverarbeiter in Anspruch nimmt. Nachweisen lassen sich so 76 Anfragen von 7 verschiedene Stellen:

  • freshchat.com – wird zur Bereitstellung einer Live Chat Lösung genutzt, der angemeldeten Nutzern (Lehrkräften) und Umfrageteilnehmern zur Verfügung steht, um Kontakt zum Anbieter aufzunehmen und Hilfethemen abzurufen. Freshchat ist ein US Anbieter. Die Plattform ist als 3rd party request und ein Script nachweisbar.
  • Typekit.net – ist ein gehosteter Dienst für Webschriftarten von Adobe. Auch hier erfolgt eine Abfrage durch die Server, um die Schriftarten zu laden. Nachweisbar ist der Dienst auch über Scripte. Typekit wird von Brave Browser als Tracker blockiert. Serverstandort ist USA.
  • Amazon S3 Server (AWS) – lassen sich nachweisen als 3rd party requests. Die IP Nummern verweisen auf US Standorte. Da bei Nutzung von deutschen AWS Serverstandorten auch IPs angezeigt werden, die auf deutsche Serverstandorte verweisen, muss davon ausgegangen werden, dass hier tatsächlich US AWS Server zum Einsatz kommen. Vermutlich werden diese von freshchat oder Typekit (Adobe) genutzt, um ihre Dienste zur Verfügung zu stellen.

Und außerdem

Nachweisbar ist auch das Analysetool Matomo über ein Script, dass vom Anbieter selbst auf dem eigenen Server betrieben wird. //matomo.edkimo.com/piwik.js

Im Nutzerkonto gibt es unter Eistellungen die Option, Nutzer Tracking durch Matomo durch Opt-out zu deaktivieren. Dazu wird erklärt:

Edkimo verwendet das Open-Source-Werkzeug Matomo, um die Nutzung der App zu messen. Die IP-Adressen unserer Nutzer werden vor der Speicherung anonymisiert. Wir verwenden kein Google Analytics, d.h. Ihre Nutzungsdaten werden nur auf unseren eigenen Servern gespeichert und niemals an Dritte weitergegeben. Alle Logfiles mit Nutzungsdaten werden spätestens nach 6 Monaten gelöscht. Wir respektieren die Do-not-Track-Einstellung Ihres Browsers. Sie können das App-Tracking jederzeit ein- und ausschalten, indem Sie auf den untenstehenden Link klicken.

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

Webbkoll Dataskydd zeigt außerdem an, dass app.edkimo.com (http://app.edkimo.com/dashboard/surveys) ungesicherte Abfragen durchführt (kein HTTPS).

Serverstandort(e):

Nach Angaben des Anbieters werden Server von Hetzner Online AG genutzt. Eine Überprüfung bestätigt dieses.

Nutzung und Funktionen

Mit Edkimo können Lehrkräfte Fragebögen erstellen, die entweder frei erstellt werden oder fertige Vorlagen nutzen. Fragen können als Auswahlantworten gestaltet werden oder als Eingabefelder für Text. Teilnehmer erhalten einen Code oder einen direkten Link, über welchen die Umfrage aufgerufen werden kann. Dieser Code bzw. Link ist für alle Teilnehmer identisch. Zur Teilnahme braucht es ein Endgerät mit Internetzugang.

Die Auswertung der Umfrage kann für Teilnehmer über den Link app.edkimo.com/results und ein Passwort freigegeben werden. Die Freigabe muss dazu explizit aktiviert werden. Erst dann wird das Passwort erzeugt.

Es gibt kein Schulkonto. Jede Lehrkraft erstellt ihr individuelles Konto und ordnet sich ihrer Schule zu. Die Schule selbst hat keine Möglichkeit, auf die Umfragen der Lehrkräfte zuzugreifen, da es keine zentrale Verwaltung gibt.

Neben der Nutzung über das Webportal von Edkimo werden auch Apps für iOS und Android angeboten, welche die gleiche Funktionalitäten bieten.

Welche Daten werden verarbeitet?

Von Lehrkräften werden Anmeldedaten verarbeitet, ein selbstgewählter Nutzername, ein Passwort, eine E-Mail Adresse und der Name der Schule. Außerdem werden den Lehrkräften die erstellten Umfragen zugeordnet. Außerdem fallen Logdateien der Server des Anbieters an, die aber nicht dauerhaft gespeichert werden und es fließen Daten über die Dienste Dritter ab. Wird Freshworks genutzt, um mit dem Anbieter in Kontakt zu treten, werden zusätzlich Inhalte des Chats verarbeitet. Werden über Freshworks Hilfethemen aufgerufen, werden auch diese verarbeitet und die Abfrage vermutlich der IP zugeordnet.

Gleiches trifft auch auf Schüler zu, nur dass bei diesen keine Anmeldedaten erhoben werden. Verarbeitet werden bei ihnen die Antworten in der Umfrage. Texteingaben können es unter Umständen ermöglichen, Antworten einem individuellen Umfrageteilnehmer zuzuordnen, auch wenn die Umfrageergebnisse für Lehrkräfte anonym abgegeben werden.

Edkimo, personenbezogene Daten und Risiken

Die Plattform lässt für Teilnehmer, in der Schule in der Regel Schüler und gelegentlich auch Lehrkräfte, eine für den Anbieter anonyme Beantwortung von Umfragen zu. Man kann davon ausgehen, dass der Anbieter selbst kein Interesse hat an Inhalten und Auswertungen von Umfragen. Ihn interessiert die Nutzung der Plattform generell, wozu das open source Analyse Tool Matomo eingesetzt wird, nach eigenen Angaben datenschutzfreundlich mit verkürzter IP Nummer. Risiken ergeben sich daraus für Nutzer nicht.

Edkimo sollte nicht genutzt werden, um persönliche Daten abzufragen. Dazu ist das Tool nicht gedacht und es würde zu unnötigen Risiken führen, da es bei freigegeben Ergebnissen von Umfragen denkbar wäre, dass Dritte Zugang dazu erhalten durch Raten eines Codes.

(a) Nutzung mit schulischen Endgeräten in der Schule

Solange Edkimo in der Schule mit einem schulischen Endgerät und ohne Login an anderen nicht-schulischen Plattformen genutzt wird, besteht für Nutzer kein Risiko. Bei Login an einer Plattform, die Typekit nutzt, könnte einem bereits bestehenden Profil die Information hinzugefügt werden, dass der Nutzer Edkimo genutzt hat. Über Zusammenführung mit Daten aus anderen Quellen könnte der Nutzer eventuell einer identifizierbaren Person zugeordnet werden. Ein signifikantes Risiko sollte sich daraus nicht ergeben für Nutzer, da Typekit keine Inhalte der Umfragen erfasst.

(b) Nutzung mit einem privaten Endgerät/ zu Hause

Für die Dienste Dritter, die im Hintergrund von Edkimo laufen, sind Nutzer potentiell über die IP Nummer und andere übermittelte Daten durch Zusammenführung mit Daten aus anderen Quellen identifizierbar. Da keiner der Drittanbieter die Inhalte der Umfragen erfasst, sollten die Risiken minimal sein.

Es ist möglich, die Dienste Dritter, die im Hintergrund von Edkimo laufen weitestgehend zu unterdrücken bzw. zu blockieren, ohne die Funktionalität der Seite zu beeinträchtigen. Das gilt auch für Freshworks, sofern man die Funktionalität nicht nutzen möchte.

Kritik

Auch wenn die Risiken für Nutzer bei Erstellung oder Teilnahme an Umfragen gering sind, wäre zu wünschen, wenn der Anbieter seinen Informationspflichten nach Art. 13. DS-GVO vollständig nachkäme. Es kann nicht sein, dass die Dienste Dritter über Scripte und Cookies genutzt, Nutzer getrackt werden und diese davon nichts erfahren. Positiv anzurechnen ist dem Anbieter, dass statt Google-Analytics auf das datenschutzfreundlichere Matomo setzt. Doch auch wenn Edkimo mit anonymisierten IP Nummern der Nutzer arbeitet, wäre Transparenz hier angebracht.