Beschreibung
Schulmanager Online ist eine webbasierte, modulare Plattform, die Schulen bei der Organisation und Kommunikation unterstützt. Sie bietet Module wie Elternbriefe, Krankmeldungen, digitale Klassenbücher und mehr. Schulen wählen die Module nach ihren Bedürfnissen aus. Ziel der Plattform ist es, den Schulalltag effizienter zu gestalten und die Interaktion zwischen Lehrkräften, Schülern und Eltern zu verbessern. Die Multifunktionalität die Anzahl genutzter Plattformen klein halten. Der Aufruf der Plattform ist über Browser und Apps für iOS und Android möglich. Schulen, welche die Plattform für ihre Zwecke testen möchten, können einen dreimonatigen kostenlosen Testzugang erhalten.
Datenschutz, Sicherheit
Serverstandort, Anbieter
Schulmanager Online GmbH ist ein deutscher Anbieter mit Sitz in München. Betrieben wird die Plattform in Deutschland auf den Servern verschiedener Anbieter. Stand November 2024 waren dieses für Hosting und Betrieb der Anwendung:
- dogado GmbH, Saarlandstraße 25, 44139 Dortmund
- Strato AG, Pascalstraße 10, 10587 Berlin
- ALL-INKL.COM – Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf
- 1&1 IONOS SE, Elgendorfer Straße 57, 56410 Montabaur
- infra.run Service GmbH, Wilhelmine-Gemberg-Weg 14, 10179 Berlin
- Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen
- SysEleven GmbH, Boxhagener Straße 80, 10245 Berlin
und für automatische Übersetzungen:
- DeepL GmbH, Maarweg 165, 50825 Köln
Welche Dienstleister bei der einzelnen Schule zum Einsatz kommen, dürfte dabei auch von den genutzten Diensten abhängen.
Datenschutzerklärung
Unter https://login.schulmanager-online.de/#/privacy findet sich eine Datenschutzerklärung zum Login Bereich, in welcher erklärt wird, welche Daten bei der Registrierung verarbeitet werden. Diese Datenschutzerklärung ersetzt nicht die schuleigene, welche die Schule mit Hilfe dieser Informationen und des Vertrags zur Auftragsverarbeitung in Abhängigkeit der genutzten Module erstellen muss.
Welche personenbezogenen Daten im Einzelfall an einer Schule verarbeitet werden, hängt maßgeblich davon ab, welche Module genutzt und wie diese Module genutzt werden. Bei Schulen, die das komplette Paket aus allen Modulen nutzen, können dies sehr viele Daten sein. Im Vertrag zur Auftragsverarbeitung werden folgende mögliche personenbezogene Daten aufgegeführt:
Personenstammdaten, Kontaktdaten, Adressen, Daten zur Schullaufbahn, Zugehörigkeit zu Gruppen, Daten zum Schulbetrieb (z. B. Stunden- und Vertretungsplan, besuchter Unterricht), Login-Daten (Benutzername/E-Mail-Adresse, Passwort), Fehlzeiten (z. B. Krankmeldungen, Beurlaubungen), Daten zum Verhalten und Maßnahmen (z. B. Klassenbucheinträge, Nachsitzen), Buchungsdaten (z. B. Elternsprechtage, Sprechstunden, Wahlfächer), Leistungsdaten (z. B. Noten), Kommunikationsinhalte (z. B. Chat-Verläufe), Einwilligungen, Zahlungsdaten, Protokolldaten, Bestandsdaten, Inhaltsdaten, Kommunikationsdaten (z. B. IP-Adressen) sowie jegliche weitere Art von personenbezogenen Daten der unter “Kategorien betroffener Personen” genannten Personengruppen, die im Schulalltag anfallen bzw. die von der Schule oder einer Person, der die Schule Zugriff auf die Software gegeben hat, in Schulmanager Online eingegeben werden.”
Im Minimum werden, etwa wenn nur die Stunden- und Vertretungsplan Funktion genutzt wird, also Login-Daten von Schülern und Lehrkräften und bei letzteren zusätzliche Stundenplan-Daten verarbeitet. Um sicherzustellen, dass nur von der Schule autorisierte Nutzer Zugang zur Plattform erhalten, erfolgt die Einladung über einen individuellen Benutzercode. Mit diesem können Nutzer dann ihren Zugang einrichten.
Vertrag zur Auftragsverarbeitung
Der Vertrag zur Auftragsverarbeitung deckt die üblichen Bereiche ab und ist durch einen Anhang mit technischen und organisatorischen Maßnahmen ergänzt sowie eine Auflistung aktueller Unterauftragsverarbeiter.
Beim Zweck der Verarbeitung hat der Anbieter den Vertrag zur Auftragsverarbeitung im Vergleich zur Version von 2020 nachgebessert. Während es in der Version von 2020 noch “Entwicklung und Betrieb der Web-Plattform “Schulmanager Online”” Zweck der Verarbeitung war, geht es jetzt um “Nutzung der Web-Plattform “Schulmanager Online”, Support im Rahmen dieser Nutzung sowie Weiterentwicklungen, sofern diese im Auftrag des Auftraggebers erfolgen.” Damit ist der Anbieter nicht mehr dem möglichen Vorwurf ausgesetzt, personenbezogene Daten des Auftraggebers für eigene Zwecke zu verarbeiten, was gem. Art. 28 DS-GVO nicht statthaft ist.
Der Anbieter verpflichtet sich, seinen Unterauftragnehmern die gleichen Pflichten aufzuerlegen, wie sie für ihn selbst laut Vertrag zur Auftragsverarbeitung gelten. Durch die Selbstverpflichtung in § 8 des AVV “die Vorgaben des KDG bzw. des DSG-EKD – analog zu denen der DSGVO – anzuerkennen und einzuhalten,” sollte der Vertrag in der vorliegenden Form auch für Schulen in kirchlicher Trägerschaft akzeptabel sein.
Die Schulmanager Online Plattform ist nutzerseitig durch eine Richtlinie für die Passwortkomplexität “(mindestens 10 Zeichen, mindestens 3 verschiedene Zeichenarten)” abgesichert. Zwei-Faktor-Authentifizierung (2FA) mit dem TOTP-Verfahren (zeitbasiertes Einmalpasswort z.B. per Authenticator App) ist verfügbar, um Nutzerkonten zusätzlich abzusichern. Die Kommunikation zwischen App und Browser und der Plattform ist per SSL abgesichert. Aussagen zur Sicherheit der auf den Servern gespeicherten Daten über die geschützten Zugänge für Nutzer und den Anbieter selbst, finden sich nicht. Eine Verschlüsselung ruhender Daten dürfte damit, wie bei den meisten Online-Plattformen, nicht vorliegen. Man verlässt sich hier als Anbieter auf den Schutz der Server durch den Dienstleister selbst und die Absicherung der Zugänge zur Plattform auf Seiten der Nutzer/ Schulen und dem Backend, über das der Anbieter selbst auf die Plattform zugreift.
Die Plattform verarbeitet, wenn die entsprechenden Module genutzt werden, sensible personenbezogene Daten wie Krankmeldungen, Leistungsdaten und Daten zum Verhalten und Maßnahmen diesbezüglich.
Cookies, Tracking
Der Anbieter verzichtet in seiner Webplattform auf den Einsatz von Drittanbieter Tools dieser Art.
Beim ersten Aufruf der iOS App nach der Installation mit zugelassenen Push Benachrichtigungen wurde laut der iOS App Privacy Report Funktion Google Domains aufgerufen. Aufgerufen wurden dabei device-provisioning.googleapis.com, fcmtoken.googleapis.com und firebaseinstallations.googleapis.com. fcmtoken.googleapis.com wurde auch bei späteren Aufrufen des Apps ohne Login kontaktiert. Es hängt laut Dokumentation u.a. mit den Push Benachrichtigungen zusammen. Im Android App lassen sich laut Exodus keine Code Signaturen von Trackern nachweisen. Ein Test mit TC Slim findet jedoch Code Signaturen (Libraries) von Google Firebase Analytics und zeigt Kontakte zu content-autofill.googleapis.com und firebaseinstallations.googleapis.com an. Die Verbindung zu dem content-autofill.googleapis.com Server ermöglicht es der App, auf gespeicherte Autofill-Daten zuzugreifen, um Formulare und Eingabefelder, hier die Logindaten (E-Mail und Passwort) automatisch auszufüllen, sofern der Nutzer sie bei einem ersten Login gespeichert hat. Werden Logins so gespeichert, können sie auch auf anderen von Nutzer verwendeten Geräten und bei Anmeldungen im Google Konto im Browser zur Verfügung gestellt werden. firebaseinstallations.googleapis.com ist sehr weit verbreitet bei Android App Entwicklern, wird jedoch von einigen Datenschützern kritisch gesehen. Essentielle Risiken ergeben sich aus der Nutzung in der Regel nicht.
Datenschutz Bewertung Übersicht
Der Anbieter von Schulmanager Online ist bezüglich der Datenverarbeitung transparent. Die Verarbeitung von personenbezogenen Daten beschränkt sich, soweit nachweisbar, auf das zur Bereitstellung der Plattform erforderliche. Risiken, welche sich aus der Verarbeitung von personenbezogenen Daten in der Plattform ergeben können, hängen maßgeblich von den genutzten Modulen und den darin eingegebenen Daten und gegebenenfalls hochgeladenen Dateien ab. Die Apps für iOS und Android nutzen Google Firebase Dienste in geringem Umfang. Risiken bezüglich der in Schulmanager Online verarbeiteten Daten und Inhalte ergeben sich daraus nicht. Es geht hier dann eher um die Möglichkeit, dass Google Nutzern, die auf Android und auch iOS Geräten bei Google Diensten angemeldet sind, die Nutzung der Schulmanager Online App zuordnen könnte.
Hinweise zur Nutzung durch Schulen
Wollen Schulen die Plattform drei Monate lang kostenlos testen, werden dabei je nach Testszenario immer auch personenbezogene Daten der einbezogenen Test-Nutzer verarbeitet. Es sollte also auch dafür ein Vertrag zur Auftragsverarbeitung mit dem Anbieter abgeschlossen werden.
Schulen sollten die Nutzung der 2FA zur Absicherung der Zugänge zumindest für Nutzer mit Administrationsberechtigung verpflichtend vorgeben. Setzt die Schule auch Module ein, durch welche sensiblere personenbezogene Daten verarbeitet werden, sollten auch Nutzer, welche auf diese Daten Zugriff haben, etwa Klassenlehrer, Schulleitungsmitglieder und Mitarbeiter des Sekretariats zur 2FA Nutzung verpflichtet werden, um diese Zugänge dem Risiko entsprechend zu schützen.
In NRW fällt Schulmanger Online unter Arbeits- und Kommunikationsplattformen gem. § 120 Abs. 5 Satz 2 SchulG NRW und könnte entsprechend nach Vorschlag durch den Schulträger durch die Schulkonferenz zur verpflichtenden Nutzung eingeführt werden. Für Lehrkräfte und Schüler ist die Nutzung jedoch nur dann verpflichtend, wenn ihnen ein von der Schule oder dem Schulträger bereitgestelltes Endgerät zur Verfügung steht. Für Eltern ist die Nutzung immer freiwillig und bedarf einer Einwilligung. Diese kann, wenn man es entsprechend gestaltet, durch die Aktivierung des Elternzugangs mit dem ersten Login erteilt werden (konkludentes Handeln).
Auch wenn der Anbieter in der Webplattform wie auch den Apps eine Datenschutzerklärung bereitstellt, müssen Schulen eine eigene Datenschutzerklärung erstellen, da die jeweiligen verarbeiteten personenbezogenen Daten wie auch die Verarbeitungszwecke von den genutzten Modulen der Plattform abhängen.
Ob Lehrkräfte das Schulmanager Online App in NRW auf einem privaten Endgerät nutzen können, hängt von den von der Schule verwendeten Modulen ab. Solange es sich nur dem den Stunden- und Vertretungsplan handelt, ist eine Nutzung der App auch ohne Genehmigung der Schulleitung möglich, da es sich um dienstlich bekannte Daten handelt. Das ändert sich jedoch, wenn beispielsweise das Modul Digitales Klassenbuch verwendet wird. Mit Genehmigung der Schulleitung bestimmt Anlage 3 der VO-DV I welche Daten auf dem privaten Endgerät verarbeitet werden dürfen.
Stand 11/2024