ISY-Schule – Elternkommunikation Grundschule

Lesezeit: 5 Minuten

Beschreibung

ISY-Schule ist eine Plattform zur Kommunikation mit Eltern an Grundschulen. Der Anbieter selbst beschreibt die Plattform als ein Kommunikationssystem zur Kommunikation und zum Informationsaustausch zwischen Eltern (Erziehungsberechtigten, etc.) sowie Lehrerinnen und Lehrer. Die Plattform bietet dafür eine Anzahl von Funktionen. Dazu gehören Neuigkeiten, ein Buchungssystem für Elternsprechtage, ein Online Fotoalbum, ein Kalender, eine Verwaltung von Abwesenheiten und Krankmeldungen, eine Möglichkeit zum Anlegen von Profilen für jedes Kind der Schule mit Angaben zur Erreichbarkeit und Notfallinformationen und eine Mediathek, in welcher Dateien hinterlegt werden können. Über die Funktionen der Plattform können Eltern informiert werden, lassen sich Übermittagsbetreuung und OGS buchen und Zustimmungen der Eltern digital einholen. Auch Zahlungen können darüber gesteuert werden. Das Modul Website ermöglicht es Schulen, bestimmte Informationen öffentlich, das heißt ohne Login, bereitzustellen. Nutzer werden von der Schule angelegt und über Einladungs-E-Mails eingeladen.

Es handelt sich um eine kostenpflichtige Plattform, die zum Testen zwei Monate lang kostenfrei genutzt werden kann. Der Zugang zur Plattform erfolgt über den Browser. Zusätzlich gibt es Apps für iOS und Android.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Die Server des Anbieters sind in den Niederlanden lokalisiert – server.isy-school.nl – Alfion B.V. (Markt 10, 6019 AV Wessem, Niederlande). Von dort kommt der Anbieter (ISY School B.V., Louis Eijssenweg 2A, 6049 CD Herten). Mit Isy2connect GmbHStadttor 1, 40219 Düsseldorf hat er jedoch auch eine deutsche Niederlassung.

Datenschutzerklärung

Die Datenschutzerklärung für die Schulplattform ist nicht direkt auf der Website einsehbar. Sie kann jedoch beim Anbieter angefordert werden. Laut Anbieter erfolgt sämtliche Verarbeitung von personenbezogenen Daten auf den Servern in den Niederlanden. Zu den in der Plattform verarbeiteten Daten gehören laut Datenschutzerklärung:

  • Vorname und Nachname des Kindes,
  • Gruppenzugehörigkeit des Kindes,
  • Vor- und Nachname der Eltern/Erziehungsberechtigten/Verwandten/Freunde,
  • E-Mail Adresse,
  • Angabe der Beziehung zum Kind,
  • Gründe von Abwesenheit,
  • Telefonnummer, Mobilrufnummer der Eltern/Erziehungsberechtigten,
  • Notfallrufnummern,
  • Angabe des Hausarztes,
  • vermeidbare Produkte,
  • IP-Adresse,
  • Datum und Uhrzeit der Anfrage.

Auch Gesundheitsdaten des Kindes (besondere Kategorien personenbezogener Datengemäß Artikel 9 DS-GVO) gehören, falls angegeben, zu den verarbeiteten Daten. Außerdem fallen bei der Arbeit mit ISY-Schul weitere personenbezogenen oder -beziehbare Daten an. Das sind die Informationen, welche die Lehrkräfte und Eltern bei der Nutzung der Funktionen der Plattorm eingeben und übermitteln. Sichtbar in der Plattform sind für Personen mit entsprechender Berechtigung auch Datum und Uhrzeit des letzten Logins eines Nutzers.

In der Datenschutzerklärung wird auch auf bei der Nutzung der mobilen App die anfallenden Cookies hingewiesen und dabei zwischen transienten und persistenten Cookies unterschieden. Um welche Cookies es sich dabei handelt, wird nicht angegeben. Es wird auch nicht differenziert zwischen dem Zugang über den Browser und über die Apps.

Nach Angaben von ISY-Schul verbleiben alle Daten in den Niederlanden. Es werden keine Daten an Dritte verkauft.

Datenflüsse

29 Datenflüsse zu 11 verschiedenen Anbietern lassen sich neben denen zu den Servern des Anbieters nachweisen zu

  • Google (fonts.googleapis.com, fonts.gstatic.com, ajax.googleapis.com) – Stellt Schriftarten zur Verfügung.
  • Google-Analytics – Google Analyse Tool
  • Google Tag Manager – Google Analyse Tool
  • Cloudflare (cdnjs.cloudflare.com) – CDN, über welches Websites und Inhalte von Websites bereitgestellt werden können
  • BootstrapCDN (maxcdn.bootstrapcdn.com) – Plattform zur Bereitstellung von Bootstrap, einem Frontend-CSS-Framework, mit dem Websiten besonders für mobile Darstellung gestaltet werden können.
  • Typekit (use.typekit.net, p.typekit.net) – Plattform von Adobe. Stellt Schriftarten zur Verfügung.
  • UNPKG (unpkg.com) – ein spezialisiertes CDN
  • AddEvent (addevent.com) – Dienst, der es ermöglicht, Kalendereinträge auf Nutzerkalender zu übertragen

In der Regel fließen dabei auch Informationen zurück an die Anbieter. Im Minimum ist das dann die IP Nummer des Nutzers.

Cookies, Tracking

Google-Analytics

Es werden drei Google-Analytics Cookies gesetzt (_ga, _gid, _gat_gtag_UA_12345678_2), von denen eines zwei Jahre gültig ist und das andere einen Tag. Beide sind als 1st party cookies gesetzt, laufen also unter der Domain des Anbieters Der Anbieter hat die IP Anonymisierung aktiviert.

Ob diese korrekt implementiert ist, lässt sich auf diesem Weg nicht überprüfen.

Weitere Cookies

Gesetzt werden außerdem ein Session Cookie (PHPSessionID) und Cookies zur Authentifizierung des Nutzers (LoginToken, LoginEmail), wenn beim Login „Zugangsdaten speichern“ ausgewählt wird.

Sicherheit

ISY-Schule gibt an, ein den ISO Standards entsprechend sicheres Rechenzentrum zu nutzen und erklärt im auf Anfrage vorab zur Einsicht erhältlichen Vertrag zur Auftragsverarbeitung, dass Unterauftragnehmer (Subunternehmer) den gleichen datenschutzrechtlichen Verpflichtungen unterliegen, denen er sich selbst im Vertrag zur Auftragsverarbeitung dem Auftraggeber gegenüber verpflichtet. Bei Beauftragung von Subunternehmer aus Drittstaaten erklärt ISY-Schule „sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln).“ Ob letzteres im Rahmen der aktuellen Rechtslage nach Schrems II möglich ist, müssen im Zweifelsfall Gerichte entscheiden. Da es bei den oben beschriebenen Datenflüssen sämtlich um US Dienstleister geht, fallen diese unter die vom Anbieter beschriebenen Subunternehmer. Die Risiken sollten für Betroffene allerdings nicht essentiell sein, da diese Drittanbieter zur Bereitstellung ihrer Funktionen keinen Zugriff auf personenbezogene oder -beziehbare Inhalte der Plattform erhalten.

Rechte und Rollen

Um Zugriffe auf Daten innerhalb der Plattform zu steuern, verfügt diese über ein Rechte- und Rollensystem:

  • Verwalter – Volle Kontrolle über Isy
  • Mitarbeiter – Elemente plazieren und den Zugriff auf Schülerinformationen beschränken
  • Elternrat – Verwalten Sie eigene Zahlungsanforderungen</option>
  • Gruppe Eltern – Verwalten Sie die Nachrichten, Agenda, das Fotobuch und die Mediathek
  • Extern – Leserechte für alle Nachrichten und Tagesordnungspunkte</option>
  • Eltern / Erziehungsberechtigte – Leserechte für Gruppen ihrer eigenen Kinder

So kann beispielsweise gesteuert werden, dass nur Lehrkräfte einer Klasse auf die Profile der Schüler mit den dort hinterlegten Informationen zugreifen können. Zusätzliche Einstellungen zu Berechtigungen können durch den Administrator unter Zugangs-Einstellungen vorgenommen werden.

Passwort Sicherheit

Die Plattform verfügt über keine Passwortrichtlinie für sichere Passwörter. Eine Lehrkraft kann sich ohne Probleme ein Passwort wie 12345 geben und die Plattform akzeptiert dieses. Im Verwaltungsbereich von ISY-Schule gibt es keine Möglichkeit, hierauf Einfluss zu nehmen. Das ist mit Blick auf die in der Plattform hinterlegten personenbezogenen Daten sehr kritisch zu sehen. Schafft es eine unbefugte Person sich Zugang über ein Mitarbeiter oder Verwalter (Admin) Konto zu verschaffen, erhält sie auch Zugriff auf die darüber einsehbaren Kinderprofile mit möglicherweise geheimen Telefonnummern und Adressen von Erziehungsberechtigten oder auch hinterlegte Notfallinformationen und Gesundheitsdaten. Das stellt ein großes Sicherheitsrisiko dar.

Datenschutz Bewertung Übersicht

ISY-Schule ist eine nützliche Plattform, um den Informationsaustausch und die Organisation von schulischen Abläufen zwischen Grundschulen und Eltern zu organisieren. Sie ist recht einfach zu nutzen und ansprechend gestaltet. Über ein Einladungssystem wird sichergestellt, dass die Schule in der Hand hat, wer sich an der Plattform anmelden kann. Sollen Information für unregistrierte Nutzer zur Verfügung gestellt werden, kann dieses über eine aus der Plattform heraus erzeugbare öffentliche Website erfolgen.

Für Schulen ist die Plattform nützlich, da Eltern hier eigenständig Informationen zur Erreichbarkeit, Notfallinformationen und auch Informationen zur Gesundheit des Kindes hinterlegen können. Aktuell stellen diese Daten allerdings auch das größte Sicherheitsrisiko dar, da die Plattform über keine ausreichende Absicherung der Zugänge verfügt. Darüber hinaus erhalten verschiedene Drittanbieter, welche von ISY-Schule genutzt werden, etwa um bestimmte Inhalte und Schriftarten in die Plattform einzubinden, bei der Nutzung der Plattform zumindest die IP Adresse der schulischen Nutzer. Damit können sie unter Umständen Informationen gewinnen, die zu bestehenden von ihnen oder anderen Anbietern erstellten Profilen hinzugefügt werden können. Von daher wäre es sinnvoll, wenn der Anbieter hier nachbessern würde.

Empfehlung

Schulen, die sich für ISY-Schule interessieren, sollten das Modul Kinderprofil aus Sicherheitsgründen vorerst deaktivieren, solange der Anbieter keine sicheren Passwortregeln in die Plattform integriert. So bleiben sensible Informationen aus der Plattform. Viele Schulen erfassen diese Informationen ohnehin auf anderem Wege. Sollte der Anbieter in Sachen Sicherheit nachbessern, kann man das Modul immer noch nachträglich aktivieren und nutzen.

Zur Nutzung der Plattform sollten Schulen Nutzern Informationen zur Datenverarbeitung gemäß Art. 13 DS-GVO zur Verfügung stellen1Dafür können sie die Informationen aus dem Dokument „Datenschutzerklärung zur Verwendung der mobilen App Isy-Schule“ nutzen. und eine Einwilligung einholen. Die Einwilligung kann durch die Anmeldung des Zugangs als einwilligende Handlung eingeholt werden. Dieses muss aus dem Einwilligungsschreiben jedoch deutlich hervorgehen.

Stand 06/2021