Beschreibung
Genially ist eine Online-Plattform für die Erstellung und Präsentation interaktiver Inhalte mit Texten, Grafiken, Bild und Ton. Die Plattform richtet sich auch an Lehrkräfte und Schulen, etwa für die Erstellung von Präsentationen, Zeitleisten, Mindmaps, Lernkarten und -pfaden, Interaktiven Bildern und Infografiken, Quizzen und Escape Rooms. Vom Anbieter selbst werden diese Schöpfungen als Geniallys bezeichnet. Lehrkräfte können damit komplette Lerneinheiten und Bewertungshilfen erstellen. Um Nutzern die Arbeit zu erleichtern, gibt es viele Vorlagen. Ein Teil dafür ist nur für Nutzer mit Lizenz verfügbar. Inhalte wie Bilder, Audio und PowerPoint Präsentationen lassen sich importieren. Bedarf ist es möglich, andere Personen über einen Link zur Mitarbeit einzuladen. Die erstellten Inhalte sind nicht an die Plattform gebunden, sondern können als interaktives PDF, als JPG, als MP4-Video, SCORM-Paket oder HTML heruntergeladen werden, um die Interaktivität und Animation offline zu nutzen oder in andere Plattformen, wie etwa Moodle, einzubinden. Auch eine direkte Einbindung in Google Classroom und MS Teams ist verfügbar. Über einen Link wie den folgenden können Inhalte auch direkt aus der Online-Plattform in andere Websites eingebettet werden. https://view.genial.ly/62f3b7bbbb031800115c4b18
Wie dieses aussieht, zeigt die Seite – Genially – Beispiel Inhalt – beispielhaft. Datenschutzhinweis: Beim Aufruf des Links werden Google Fonts Server kontaktiert sowie Google-Analytics und Google Tag Manager Server.
Eine vertiefende Erklärung, was Genially ist und wie man es für den Unterricht nutzen kann, findet sich auf der Seite Digitales-Klassenzimmer unter dem Titel Genially für Einsteiger. Neben dem öffentlichen Teilen von Inhalten besteht auch die Möglichkeit, Inhalte über die Funktion “Kontrolle der Privatsphäre” mit nicht öffentlichem Link und mit Passwortschutz zu teilen.
Die Nutzung von Genially zur Erstellung von interaktiven Inhalten setzt die Erstellung eines Kontos voraus. Neben der Anmeldung über ein Konto von Google, Microsoft, Facebook, Twitter und LinkedIn besteht auch die Möglichkeit, dafür eine E-Mail Adresse zu nutzen. Anzugeben sind neben der E-Mail Adresse, ein Name und ein Passwort. Kinder vor Vollendung des 16. Lebensjahres dürfen ein Konto nur erstellen, wenn sie dazu die Einwilligung der Eltern haben. Genially kann kostenlos genutzt werden. Gegen Entgelt sind zusätzliche Funktionen verfügbar.1Die Preismodelle für die verschieden Versionen sind nur von einem Konto aus einsehbar. Es gibt neben der Free Version noch die kostenpflichtigen Student, Edu Pro und Master Versionen, die sich durch Kosten und Funktionsumfang von einander unterscheiden. In der Master Version lassen sich so beispielsweise auch Anzeige-Statistiken und Verhaltensstatistiken einsehen und das Nutzerverhalten und interaktive Fragen nachverfolgen. Für Bildungsinstitutionen gibt es eine Team Version. Die Plattform verfügt über eine Nutzerverwaltung und es sind verschiedene Rollen und Berechtigungen möglich: Eigentümer, Administrator, Mitarbeiter und Gast. Nur Gäste können ohne ein eigenes Konto auf Inhalte zugreifen. Um Gästen die kollaborative Mitarbeit an Inhalten zu ermöglichen, wird ein kostenpflichtiges Konto benötigt.
Datenschutz, Sicherheit
Serverstandort, Anbieter
Genially Web, S.L., ist eine spanische Firma (Plaza Ramón y Cajal 4 – Planta 4, con Postleitzahl 14003, Córdoba (Spanien)). Der Anbieter nutzt Amazon Server mit Standort Europa, um die verschiedenen Komponenten seiner Plattform zu betreiben.
Datenschutzerklärung
Die Datenschutzerklärung ist auf Deutsch verfügbar. Sie beschreibt die Datenverarbeitung für die Website, mit welcher der Anbieter sein Produkt bewirbt, wie auch die Plattform für interaktive Inhalte. Im Folgenden werden nur die für die Nutzung von Genially als Plattform für interaktive Inhalte zutreffenden Informationen beschrieben.
Erhobene Daten
- Name und E-Mail (nur angemeldete Nutzer),
- Browsing-Daten,
- Analysedaten2Wird in der Datenschutzerklärung mit den Worten “Daten über die Vorlieben und Interessen der Nutzer in Bezug auf die auf der Genially-Website angebotenen digitalen Inhalte” beschrieben.,
- Server Logdaten,
- Sprachpräferenz des Nutzers.
Verarbeitungszwecke
Es werden hier Informationen gegeben, die recht allgemein sind. Die derart grob beschriebenen Verarbeitszwecke werden nach fünf Rechtsgrundlagen für die Verarbeitung eingeteilt
- Berechtigte Interessen
- Zustimmung
- Verwaltung einer vorvertraglichen Beziehung
- Verwaltung einer vertraglichen Beziehung
- Erfüllung einer gesetzlichen Verpflichtung
Bei Zustimmung wird angegeben, dass die Verarbeitung dort in Übereinstimmung “mit den geltenden Vorschriften und den von der spanischen Datenschutzbehörde zum Zeitpunkt der Erstellung dieser Datenschutzrichtlinie herausgegebenen Richtlinien, um das ordnungsgemäße Funktionieren aller Funktionen der Website zu gewährleisten,” erfolgt. Hinter Zustimmung verbergen sich laut Cookie Einstellungspräferenzen Datenverarbeitungen im Zusammenhang mit der Analyse von Nutzerverhalten, dem Tracking über Websites hinweg und der Personalisierung von Inhalten bzw. Werbung.
Dienstleister
Unter der Überschrift Mit wem teilen wir deine Daten? werden diverse Dienstleister aufgeführt, die eingesetzt werden, um die verschiedenen Plattformen des Anbieters zu betreiben und um Informationen über ihre Nutzung zu erhalten. Die Datenschutzerklärung differenziert auch hier nicht direkt nach Website und Plattform.
Zu den Dienstleistern wird der Nutzungszweck angegeben, welche Daten dort verarbeitet werden und es gibt Links zu den Datenschutzerklärungen. Genially erklärt, dass die Dienstleister “in der Regel” aus der EU, dem EWR oder Ländern mit angemessenem Datenschutzniveau kommen. Es könne jedoch auch internationale Datentransfers geben. In solchen Fällen wolle man mit den Dienstleistern Standardvertragsklauseln (Standard Contractual Clauses, SCC) abschließen.
Folgende Dienstleister kommen für alle Nutzer in Betracht, die kein Konto bei Genially haben, sondern als Gast über einen Link eingeladen werden:
- AWS – Hosting der Angebote
- Stripe – Bezahldienst
- Logrocket – Protokolliert Nutzung der Plattform
- Google-Analytics – Analyse von Nutzerverhalten über die Plattform hinaus
Mit Nutzerkonto kommen folgende Dienstleister hinzu, etwa weil sie auf der Login-Seite für eine Social Login eingebunden sind:
- Facebook, LinkedIn, Google, Microsoft, Twitter
Einige der genannten Dienste können von Nutzern auch eingesetzt werden, um Inhalte aus ihrem Konto zu teilen. Hinzu kommen dafür noch weiter Dienstleister:
- Tumblr, Reddit, Pinterest
Cookies, Tracking
Der Anbieter stellt seine Cookie Richtlinie unter Cookie-Richtlinie zur Verfügung. Die Ausführungen sind hier sehr detailliert und transparent gestaltet. Eine Aufführung aller vom Anbieter und seinen Dienstleistern verwendeten Cookies findet sich allerdings nur in der englischsprachigen Version, Cookie Policy, zur Verfügung.
Ruft ein Nutzer als Gast einen Link zu einem aus einem kostenlosen Genially Konto erstellten interaktiven Inhalt auf, erscheint ein Cookie Banner.
Dort kann man einfach zustimmen oder die Einwilligungspräferenzen verwalten. Das folgende Bild zeigt die Voreinstellung, wenn der Nutzer die “Einstellungen zum Verwalten oder Ablehnen der Cookies” aufruft. Nutzer können die Vorauswahl im Dialog direkt bestätigen mit “Meine Auswahl bestätigen.”
Cookies laut Cookie Banner
Die “Unbedingt erforderlichen Cookies” werden immer gesetzt. Im Menü werden folgende Domains, denen sie zugeordnet sind, aufgeführt:
- cookielaw.org, csn.cookielaw.org
- PayPal.com, www.PayPal.com
- typeform.com
- genial.y
- m.stripe.com
- Erstanbieter-Cookies
Hinter Erstanbieter-Cookies verbergen sich, alle über eine *.genial.ly Domain laufenden Cookies, mit Dauer angegeben, 19 an der Zahl. Sie werden für wenige Sekunden gesetzt, eine Sitzung lang, 365 Tage und in einigen Fällen bis in alle Ewigkeit (2914081 Tage). Es gehören dazu Cookies für:
- die technische Abwicklung der Sitzung,
- die Authentifizierung der Nutzer,
- die Speicherung von Einstellungen,
- die Verknüpfung mit Moodle
- für Logins mit Google
aber auch für
- den Bezahldienst Stripe und
- die Abwicklung der Einwilligung in die Datenverarbeitung durch Cookies mit OneTrust.
Auch hinter genial.y verbergen sich Cookies, die im Zusammenhang mit einem Drittanbieter stehen. Hier geht es um:
- Interkom – Anonymous visitor identifier cookie, womit nicht angemeldete Nutzer eine ID erhalten, die 365 Tage in ihrem Browser gespeichert wird und der Plattform ein Wiedererkennen erlaubt
Durch alle die bisher genannten Dienste werden, so lässt das Cookie Banner erwarten, auf jeden Fall Cookies gesetzt, wenn ein Gast einen Link zu einem geteilten interaktiven Inhalt aufruft.
Klickt der Nutzer das Cookie Banner mit dem leicht lesbaren und gut erkennbaren blau unterlegten Alle Cookies akzeptieren weg, werden laut Cookie Banner außerdem sämtliche Leistungs-Cookies, Funktionellen Cookies und Cookies für Marketingzwecke gesetzt. Dazu gehören Cookies von Dienstleistern wie:
- Google-Analytics – Tracking, Marketing
- Microsoft Bing Ads – Tracking, Marketing
- Visual Website Optimiser, von Wingify (USA)
- New Relic – Leistungsüberwachung
- AddThis – Tracking, Marketing
- Facebook – Tracking, Marketing
- Pinterest – Tracking
- YouTube (Google)
- LinkedIn – Tracking, Marketing
Auch diese Cookies werden unterschiedlich lange gespeichert. Teilweise erfolgt die Speicherung bis zu 5946 Tage lang.
Nachgewiesene Cookies – ohne Einwilligung
Ruft man den Teilen Link mit WebKollDataSkydd auf, bleibt das Cookie Banner unberührt. Es lassen sich deshalb nur Cookies und Serverkontakte nachweisen, die vor Klicken einer Auswahl im Cookie Banner gesetzt werden bzw. stattfinden. So wird
- ein First-Party Cookie zur Einwilligung mit dem Cookie Banner gefunden
und es lassen sich neben den Aufrufen von *.genial.ly URLs zusätzlich 22 Anfragen an 4 einzigartige Hosts nachweisen. Das sind
- cdn.cookielaw.org (Einwilligungsverwaltung)
- fonts.googleapis.com (Schriftarten)
- fonts.gstatic.com (Schriftarten)
- geolocation.onetrust.com (Einwilligungsverwaltung durch Cookielaw)
Eine Prüfung mit urlscan.io bestätigt dieses Ergebnis.
Wo sind die Cookies?
In den Entwicklertools von Chromebrowsern lassen sich, lehnt man die über die notwendigen Cookies hinausgehenden Cookies ab, nicht alle Cookies nachweisen, die auch im Cookie Banner ausgewiesen werden. Wie kommt das?
Das Cookie Banner wird identisch angezeigt, wenn man die Produkt Website des Anbieters, die Datenschutzerklärung, Cookie Policy oder Hilfeseiten aufruft oder ein Konto erstellt. Das heißt, der Anbieter informiert hier der Einfachheit halber immer über alle Cookies, die er setzen könnte, setzt sie aber je nach Kontext u.U. gar nicht tatsächlich ein.
Nachgewiesene Cookies – Nur Unbedingt erforderliche Cookies
Wird die Möglichkeit genutzt, alle Cookies bis auf die Unbedingt erforderlichen Cookies abzulehnen, lassen sich
- zwei First-Party Cookies nachweisen, die zum Einwilligungsmanagement mit CookieLaw gehören: OptanonConsent und OptanonAlertBoxClosed. Über das Cookie OptanonConsent wird dem Nutzer eine ID zugewiesen, consentId, und es werden Parameter zur Einwilligung festgehalten. Das Cookie gilt für 7 Tage.
- ein Cookie im Sitzungs-Speicher, das festhält, ob der Nutzer in der EU ist oder nicht, is_eu.
Nachgewiesene Cookies – Alle Cookies Akzeptieren
Klickt der Nutzer einfach auf Alle Cookies akzeptieren, sollten laut Cookie Policy auch Leistungs-Cookies, Funktionellen Cookies und Cookies für Marketingzwecke gesetzt werden.
Nachweisen lassen sich über die Entwicklertools des Chromebrowsers im Cookie Speicher die folgenden 21 Cookies
Host | Cookie | Funktion |
.bing.com | MUID | Microsoft Bing, Analytics |
doubleclick.net | test_cookie | Google, Marketing |
.genial.ly | _fbp | Facebook, Analytics, Marketing |
.genial.ly | _ga | Google-Analytics |
.genial.ly | _gat_UA-141180000-1 | Google-Analytics |
.genial.ly | _gid | Google-Analytics |
.genial.ly | _uetsid | Microsoft Bing, Analytics |
.genial.ly | _uetvid | Microsoft Bing, Analytics |
.genial.ly | OptanonAlertBoxClosed | CookieLaw, Einwilligungsverwaltung |
.genial.ly | OptanonConsent | CookieLaw, Einwilligungsverwaltung |
.view.genial.ly | _pin_unauth | Tabelle |
.view.genial.ly | ln_or | LinkedIn, testet ob Oribi-Analysen möglich sind |
ads.linkedin.com | lang | LinkedIn, speichert Spracheinstellung für Werbung |
.linkedin.com | AnalyticsSyncHistory | LinkedIn, prüft Synchronisierung mit anderem LinkedIn Cookie |
.linkedin.com | bcookie | LinkedIn, Browserkennung. Identifiziert Geräte, die auf LinkedIn zugreifen |
.linkedin.com | lang | LinkedIn, speichert Spracheinstellung |
.linkedin.com | li_gc | LinkedIn, verwaltet Einwilligung für nicht zwingend erforderliche Cookies |
.linkedin.com | lidc | LinkedIn, Auswahl des Datenzentrums |
.linkedin.com | UserMatchHistory | LinkedIn, Synchronisation der IDs von LinkedIn Werbung |
.linkedin.com | bscookie | LinkedIn, speichert Status der Zwei-Faktor-Authentifizierung eines bei LinkedIn eingeloggten Nutzers |
.ct.pinterest.com | _pinterest_ct_ua | Pinterest, gruppiert Aktionen für Nutzer, die nicht durch Pinterest identifiziert werden können |
Die Gültigkeitsdauer dieser Cookies beträgt bis zu 6 Monate. Darüber hinaus wird im Sitzungs-Speicher (Session Storage)
- das Cookie is_eu abgelegt.
Im Lokalen Speicher (Local Storage) des Browsers werden vier Cookies, die zu Microsoft Bing (Marketing/Tracking) gehören, abgelegt
- _uetsid und _uetsid_exp – eine ID und ihre Verfallsdatum (24 Stunden)
- _uetvid und _uetvid_exp – eine weitere ID und ihr Verfallsdatum (25 Tage)
Nachgewiesene Cookies – eingebettete interaktive Inhalte
Werden interaktive Inhalte von Genially über einen Link oder Embedd Code in eine Website eingebunden, taucht kein Cookie Banner auf. Das macht Sinn, denn es werden im Browser nachweislich auch keine Cookies abgelegt. Nachweisbar sind jedoch neben Aufrufen von Servern des Anbieters zur Darstellung der Inhalte auch Serverkontakte zu
- Google-Analytics
- Google Tag Manager
- Google Fonts
Über in den interaktiven Inhalt eingebettete Scripte werden Informationen über den Aufruf des interaktiven Inhalts innerhalb einer Website an Google-Analytics und Google Tag Manager übermittelt. Details zu den hierbei stattfindenden Serverkontakten finden sich ausgelagert auf zwei zusätzlichen Seiten zu diesem Datenschutz-Check: Genially Beispiel Inhalt und Genially Beispiel Inhalt 2.
In eingebetteten interaktiven Inhalten findet sich unten links ein Genially Icon. Der Anbieter bezeichnet dieses als Wasserzeichen. Wird es (versehentlich) angeklickt, werden Nutzer auf die Genially Website geleitet und es erscheint das Cookie Banner und zwingt zum Handeln. Außerdem werden ohne Einwilligung Cookies gesetzt für Google-Analytics, LogRocket und Wingify. 3Bei Master und Team Lizenz lässt sich dieses Wasserzeichen wohl entfernen.
Nachgewiesene Cookies – Login als registrierter Nutzer
Für einen Login an der Plattform steht für registrierte Nutzer nur der Link https://auth.genial.ly/de/login zur Verfügung. Auf diesen gelangt man über die Startseite, auf welcher die Plattform beworben wird. Hier erscheint, sofern die Seite nicht zuvor besucht worden ist, der oben beschriebene Cookie-Banner. Nach Ablehnen der nicht unbedingt erforderlichen Cookies, lassen sich auf dieser Seite u.a. Google Analytics (Marketing, Analytics), Wingify (Marketing Optimization) und LogRocket Analytics (Performanz der Website) nachweisen. Klickt man auf den Link zum Login und loggt sich ein, landet man im Dasboard und der Subdomain https://app.genial.ly/. Es werden dort weitere Cookies gesetzt. Hinzu kommen zusätzliche Cookies der schon genannten Dienstleister und außerdem Cookies von Stripe (Bezahldienst) Alle erscheinen als First-Party Cookies.
Vertrag zur Auftragsverarbeitung
Der AVV wird unter DPA heruntergeladen und dann unterschrieben an legal@genially.com geschickt. Dabei wird der AVV über https://powerforms.docusign.net/ erstellt, indem in ein Online-Formular Informationen eingegeben werden. Es wird dann ein Bestätigungs-Code an die angegebene E-Mail Adresse geschickt. Nach Verifizierung will die Plattform den Standort abrufen. Mit Setzen eines Häkchens willigt der Nutzer in die Aufzeichnung der elektronischen Signatur ein. Im vorletzten Schritt wird digital unterzeichnet. Dabei kann eine eigene Unterschrift erstellt oder eine von der Plattform vorgeschlagene genutzt werden. Diese wird eingefügt und der AVV kann als PDF heruntergeladen werden. Er ist in spanischer Sprache abgefasst. Nach Abschluss erhält man das unterzeichnete Dokument auch per E-Mail zugesandt mit dem Hinweis “Alle Parteien haben den Umschlag „Aplicar DocuSign a: DPA_Genially_ES.pdf“ signiert.” Damit gilt der AVV als abgeschlossen.
Der Vertrag zur Auftragsverarbeitung wurde für eine Überprüfung mit Hilfe von DeepL und im Abgleich mit der Wortwahl in Mustervorlagen ins Deutsche übersetzt und kann hier unter Translated copy of DPA_Genially_ES.pdf eingesehen werden.4Für eine juristisch verbindliche Übersetzung kann keine Gewähr übernommen werden. Die Übersetzung sollte jedoch sinngemäß weitestgehend stimmig sein. Er entspricht weitestgehend einem Standardvertrag zur Auftragsverarbeitung.
Sicherheit
Zur Erstellung eines Kontos mit einer E-Mail Adresse ist für das Passwort eine Mindestlänge von 6 Zeichen vorgesehen. Die Plattform prüft das Passwort auf seine Komplexität und gibt Empfehlungen, wie das Passwort sicherer gemacht werden kann. Akzeptiert werden jedoch auch Passwörter, die aus sechs mal dem gleichen Zeichen (z.B. 111111) bestehen.
Datenschutz Bewertung Übersicht
Genially macht intensiven Gebrauch von diversen Analyse- und Marketing Diensten und gewährt dafür Drittanbietern wie Google, Facebook, LinkedIn, Microsoft und Pinterest Zugriff auf die Daten der Nutzer, ob diese angemeldet sind oder auf interaktive Inhalte als Gäste zugreifen. Der Einsatz der Drittanbieter für Analyse- und Marketing Dienstleistungen wird über einen Einwilligungsdialog im Cookie Banner rechtlich abgesichert, wenn interaktive Inhalte direkt über die Genially Website aufgerufen werden.
Lehnt der Nutzer über das Cookie Banner Leistungs-Cookies, Funktionelle Cookies und Cookies für Marketingzwecke ab, werden die abgelehnten Cookies nicht gesetzt. Die gesetzten Cookies beschränken sich auf das Einwilligungsmanagement. Ein anderes Bild bietet sich, wenn der Nutzer Alle Cookies akzeptieren wählt. Dann werden durch die oben genannten Dienstleister zahlreiche Cookies gesetzt, welche es ihnen ermöglicht, Nutzer einer identifizierbaren Person zuzuordnen.
Das Cookie Banner ist gerade im Kontext Schule problematisch, da davon ausgegangen werden muss, dass Schülerinnen und Schüler hier aus Unwissen oder Bequemlichkeit einfach einwilligen. Das Ablehnen der einwilligungspflichtigen Cookies kostet einen zusätzlichen Klick und erfordert vor allem genaues Hinschauen und Lesen.
Im unteren Bereich von Genially Seiten, über die von Nutzer erstellte interaktive Inhalte angezeigt werden, erscheint eine Aufforderung, ein eigenes Nutzerkonto zu erstellen. Auch das ist im Kontext Schule problematisch, da Schülerinnen und Schüler hier zur Registrierung animiert werden. Vor Vollendung des 16. Lebensjahres wären sie ohne vorherige Zustimmung der Eltern jedoch nicht einwilligungsfähig.
Werden mit Genially erstellte Inhalte in andere Websites eingebettet, erscheint kein Cookie Banner. Cookies lassen sich auch nicht nachweisen. Trotzdem fließen Informationen über die Personen, welche die Website mit dem eingebetteten Genially Inhalt aufrufen nicht nur an den Anbieter ab, sondern auch an Google-Analytics und Google Tag Manager. Bei einer Nutzung mit privaten Endgeräten, auf denen Nutzer über die Anmeldung an privat genutzten Google Diensten wie YouTube und Gmail oder über andere genutzte Dienste identifizierbar sind, kann der Aufruf eines bestimmten Genially Inhaltes dann einer identifizierbaren Person zugeordnet werden. Vieles deutet in den zugehörigen Scripten darauf hin, dass über Google-Analytics das Nutzerverhalten in Bezug auf den Genially Inhalt erfasst wird, etwa welche Funktionen genutzt, welche Menüs aufgerufen, welche Buttons geklickt und welchen Links gefolgt werden.
Nicht unproblematisch ist an Einbettungen das integrierte Wasserzeichen, über welches Nutzer auf einer Seite landen, mit welcher der Anbieter sein Produkt bewirbt, wodurch ohne Einwilligung diverse Cookies gesetzt werden.
Auch wenn Inhalte von einem Nutzer mit kostenpflichtigem Konto, hier getestet mit der Student Lizenz, erstellt und geteilt werden, ändert sich das oben beschriebene Verhalten der Seite nicht. Alles verhält sich identisch.
Mit einer Master Lizenz erhalten Nutzer von Genially weitere Funktionen. Das zeigt der zusätzliche Serveraufruf bei der Einbettung eines von Genially selbst bereitgestellten interaktiven Inhalts,5Weitere Informationen hierzu gibt es unter: Wie du Metriken deiner Geniallys erhältst Genially Inhalt Beispiel. Über den Server analytics.genial.ly werden plattformeigene Analyse-Funktionen bereitgestellt, über die sich für jeden einzelnen interaktiven Inhalt Nutzerverhalten anzeigen und auswerten lässt. Dafür wird ein Genially eigenes Analyse Tool integriert. Dieses stellt Funktionen für drei Bereiche zur Verfügung: Anzeige-Statistiken, Verhaltensstatistiken und Nachverfolgung des Nutzerverhaltens und interaktive Fragen. Nutzer können Besucher ihrer interaktiven Inhalte über die Plattform bitten, ihnen einen Nutzernamen oder ein Alias anzugeben. Dieser kann im Browser hinterlegt werden. Damit lassen sich Interaktionen über die Analys-Funktion einzelnen Nutzern zuordnen.
Wer sich als Nutzer auf der Plattform anmeldet, muss sich einem Daten-Striptease mit Google Analytics und weiteren Tools unterziehen. Nach ablehnen aller nicht unbedingt erforderlichen Cookies werden viele der in der Cookie Richtlinie und im Cookie Banner aufgeführten Cookies dann auch tatsächlich gesetzt und begleiten den Nutzer über die Dauer der Nutzung innerhalb der Plattform und zum Teil wohl auch außerhalb der Plattform.
Der Anbieter stellt einen Vertrag zur Auftragsverarbeitung zur Verfügung, der von Schulen abgeschlossen werden kann. Inhaltlich sollte der Vertrag alle Bereiche von Standardverträgen abdecken, sollte jedoch vor Vertragsabschluss gegebenenfalls noch einmal im Detail mit Checklisten abgeglichen werden.
Im Zusammenhang mit diesem AVV stellt sich jedoch auch die Frage, inwieweit die Verarbeitung von personenbezogenen Daten der Nutzer – hier Personen, die einen von einem anderen Nutzer erstellten interaktiven Inhalt aufrufen – über eingebettete Scripte von Google-Analytics und Google Tag Manager mit diesem vereinbar sind. Genially verarbeitet hier Nutzerdaten zu eigenen Zwecken. Es fragt sich, auf welcher Rechtsgrundlage dieses erfolgt? Offen ist auch, wie die integrierten Drittanbieter Tools arbeiten, wenn eine Schule ein Organisationskonto (Teams Lizenz) hat und schulische Nutzer sich über dieses anmelden. Sollte dort das gleiche Verhalten der Plattform unter app.genial.ly/ stattfinden wie bei einem Nutzer mit Student Lizenz, wäre das definitiv nicht mit einem Vertrag zur Auftragsverarbeitung vereinbar.
Hinweise zur Nutzung durch Schulen
Grundsätzliches
Die Plattform Genially ist für Schulen sehr attraktiv, da sie es erlaubt, mit wenig Aufwand interaktive Inhalte in verschiedenen Formaten zu erstellen. Das ist vor allem für Lehrkräfte interessant, kann aber auch für eine unterrichtliche Nutzung mit Schülerinnen und Schülern von Interesse sein, die damit beispielsweise Lernprodukte erstellen können. Wie hoffentlich gezeigt werden konnte, sollte man die Plattform mit Bedacht einsetzen. Je nach Art und Weise der Nutzung können Daten von Nutzern an den Anbieter und seine Dienstleister abfließen, die den Nutzer identifizieren, zur Erstellung von Profilen und zur Anzeige von Werbung genutzt werden können.
Wollen Lehrkräfte die Plattform nutzen, um Unterrichtsinhalte für Schülerinnen und Schülern aufzubereiten, ist der aus Datenschutzsicht beste Weg, diese dann zu präsentieren, die Einbindung in eine Website oder ein LMS wie Moodle, da hier das Cookie Banner nicht erscheint. Schülerinnen und Schüler können somit nicht in das Setzen der oben beschriebenen Cookies von Drittanbietern einwilligen. Auch wenn auf schuleigenen Geräten in der Schule und ohne Anmeldung an anderen nichtschulischen, privat genutzten Plattformen in der gleichen Sitzung Schülerinnen und Schüler auch auf direkt auf genial.ly angezeigten Inhalten nicht identifiziert werden können, wird dort das Cookie Banner angezeigt und Schüler müssen reagieren. Deshalb sollten sie Genially Inhalte nicht über einen geteilten Link aufrufen.
Leider ist aber auch die Einbettung über Link oder Einbettungscode nicht komplett unproblematisch, da über im Hintergrund laufende Scripte von Google-Analytics und Google Tag Manager Nutzungsdaten und weitere Metadaten an Google abfließen. Welche Daten neben Nutzungsdaten und den üblichen Browserdaten erfasst, wofür sie verwendet werden und wer darauf Zugriff hat, bleibt offen. Damit ist es auch schwierig, Risiken exakt zu bewerten.
Wenn Lehrkräfte mit einem kostenlosen privaten Konto Genially Inhalte erstellten, sollten sie diese Schülerinnen und Schülern immer über eine Einbettung zur Verfügung stellen. Schulen, die Genially regelmäßig und vielfältig nutzen wollen, sollten den Vertrag zur Auftragsverarbeitung mit dem Anbieter abschließen. Die Erstellung von Nutzerkonten sollte über schulische E-Mail Adressen erfolgen. Vor Abschluss eines AVV sollten Schulen den Anbieter um eine Ausfertigung in deutscher Sprache ersuchen, damit sie die Vertragsinhalte verstehen. Außerdem sollte geklärt werden, welche Daten genau über die Scripte von Google-Analytics und Google Tag Manager erhoben und zu welchen Zwecken diese genutzt werden. Es könnte erforderlich sein, hier eine Zusatzvereinbarung abzuschließen, um die Verarbeitung von personenbezogenen und -beziehbaren Daten durch den Anbieter und Google mittels dieser Scripte eindeutig zu klären. Ideal wäre, wen man den Anbieter dazu bewegen könnte, diese Tools aus Genially zumindest was die Nutzung durch Schulen angeht, komplett zu entfernen.
Datenschutz Bewertung Übersicht
Nutzung in der Schule mit schulischen Endgeräten
Solange die unterrichtliche Nutzung von Genially Inhalten auf schuleigenen Geräten in der Schule stattfindet und Schülerinnen und Schüler auf den Geräten in der gleichen Sitzung nicht an anderen nichtschulischen, privat genutzten Plattformen angemeldet sind, über welche Google sie identifizieren könnte, sind mit der Nutzung keine Risiken verbunden. Schülerinnen und Schüler können unter diesen Bedingungen nicht durch die in eingebettete Genially Inhalte integrierten Google-Analytics Tools identifiziert werden. Auch wenn sie versehentlich auf das Genially Wasserzeichen klicken ergeben sich keine Risiken für sie.
Nutzung auf privaten Endgeräten/BYOD/1:1/zu Hause
Durch die im Hintergrund laufenden Google-Analytics Tools sind Schülerinnen und Schüler bei einem Zugriff auf eingebettete Genially Inhalte potentiell identifizierbar. Das kann über Querverbindungen mittels anderer Logins an privat genutzten Plattformen erfolgen oder auch über andere Techniken wie Browser Fingerprinting oder ähnlich. Sich hieraus ergebende Risiken dürften gering sein. Trotzdem ist der Einsatz derartiger Tools in einer schulisch genutzten Plattform nicht akzeptabel. Klicken sie versehentlich das Genially Wasserzeichen, erhöhen sich die Risiken, da dann Cookies von Analyse und Tracking Dienstleistern wie Google-Analytics gesetzt werden.
Nutzung durch registrierte Nutzer/ Lehrkräfte
Selbst bei kostenpflichtigen Konten (hier mit Student Lizenz getestet), werden Nutzer auch nach Login in der Plattform durch Drittanbieter Tools wie Google-Analytics beschattet. Lehrkräfte müssen selbst entscheiden, ob sie sich dem aussetzen möchten. (Sollten diese Tools auch aktiv sein, wenn eine Schule eine Schul-Team-Lizenz nutzt, wäre dieses nicht akzeptabel.
Fazit
Genially ist ein echt europäischer Anbieter und versteht sich selbst auch als DS-GVO konform mit seiner Plattform, doch ist deshalb für eine schulische Nutzung tatsächlich alles im grünen Bereich? Daran bestehen Zweifel. Nutzer haben die Möglichkeit, alle Cookies bis auf die unbedingt erforderlichen Cookies abzulehnen oder in die Verarbeitung ihrer Daten durch die zusätzlichen Leistungs-Cookies, Funktionellen Cookies und Cookies für Marketingzwecke einzuwilligen. Für Schulen dürften eigentlich nur die unbedingt erforderlichen Cookies gesetzt werden, ohne einen Entscheidungsdialog. Ein Problem ist der Einsatz von Scripten von Google-Analytics und Google Tag Manager, die sich aller Nutzerkontrolle entziehen. Mögliche Risiken, die sich durch deren Einsatz ergeben, sind sicher nicht mit denen vergleichbar, die sich aus den in einer Plattform wie Padlet eingesetzten Drittanbieter Tools ergeben, doch trotzdem sind derartige Scripte in einer Plattform, die unterrichtlich von Kindern und Jugendlichen genutzt werden soll, fehl am Platz. Den Einsatz mit berechtigten Interessen des Anbieters zu begründen, ist vor allem im Zusammenhand mit einer schulischen Nutzung, idealerweise sogar mit AVV, nicht nachvollziehbar. Hier müsste der Anbieter dringend nachbessern und könnte das Problem leicht lösen, wenn er für Schulen eine datenschutzfreundliche Version unter einer anderen Subdomain anbietet, etwa edu-app.genial.ly. Außerdem sollte der Anbieter aus interaktiven Inhalten für eine unterrichtliche Nutzung sein Wasserzeichen bzw. den dort enthaltenen Link zu seiner Website entfernen
Stand 01/2023