Beschreibung
Trello erlaubt die Erstellung von sogenannten Boards. Innerhalb dieser lassen sich Listen erstellen, denen Karten zugeordnet werden, die ihrerseits Text aufnehmen können und Dateien als Anhänge. Dokumente und Bilder können angezeigt werden, Audiodateien lassen sich abspielen. Mitunter wird Trello als eine Alternative zu Padlet angeführt. Boards können privat sein oder öffentlich. Letztere können durch Suchmaschinen wie Google gefunden und indiziert werden. In Trello registrierte Nutzer können zur Mitarbeit eingeladen werden. Das heißt, ohne ein Trello Konto ist keine aktive Mitarbeit an einem Board möglich.
Für die Erstellung eines Kontos sind eine E-Mail Adresse und ein Passwort erforderlich. Zusätzlich können Nutzer sich über bestehende Konten bei Google oder Microsoft anmelden. Nutzer müssen bei Kontoerstellung die Nutzungsbedingungen und Datenschutzrichtlinie akzeptieren “Mit Ihrer Anmeldung bestätigen Sie, dass Sie unsere Nutzungsbedingungen und Datenschutzbestimmungen gelesen und akzeptiert haben.” Angemerkt werden sollte an dieser Stelle auch, dass sich das Angebot nicht an Kinder und Jugendliche unter 16 Jahren richtet. “The Services are not directed to individuals under 16.”1Siehe https://www.atlassian.com/legal/privacy-policy – Our policy towards children
Datenschutz, Sicherheit
Serverstandort, Anbieter
Trello ist nur eines von verschiedenen Produkten des US Unternehmens Atlassian, das sich mit seinen Produkten vorwiegend an Unternehmen richtet. Die Server, auf denen Trello und verbundene Dienste laufen, haben ihre Standorte vorwiegend in den USA. Entsprechend hat sich der Anbieter für den europäischen Markt EU-US Privacy Shield zertifiziert, wodurch der Transfer von personenbezogenen Daten zumindest formell DS-GVO konform abgesichert ist. Atlassian bietet Kunden aus der EU ein Data Processing Addendum, welches als PDF heruntergeladen werden kann. Es ist vorunterzeichnet. Im Data Processing Addendum sind die Standard Contractual Clauses (Standardvertragsklauseln) enthalten. Da Trello nur ein Teil der von Atlassian angebotenen Dienste ist, bezieht sich das Data Processing Addendum nicht nur auf Trello alleine.
Cookies, Tracking
Zumindest in der kostenlosen Version ist Trello alles andere als datensparsam. In Datenschutzerklärung werden zahlreiche Dienste beschrieben, sowohl eigene als auch solche von Dritten, über welche Daten der Nutzer erhoben werden. Alleine im Browser werden so bereits ohne Login 69 Cookies angezeigt. Nach Login mit einem kostenlosen Konto und öffnen eines Boards werden daraus 71, zu denen unter anderem Googles Werbenetz Doubleclicknet, Googleadeservices und Facebook gehören. Eine genauere Analyse mit Webbkoll Dataskydd findet 9 Cookies, von denen 8 zu Trello selbst gehören (1st party cookies) und eines zu Google (third party cookie). Es folgt dann eine Auflistung weiterer Tracking Dienste, 30 insgesamt, von denen 23 Trello selbst zuzuordnen sind und 7 Google (u.a. googletagmanager, google-analytics). In der Datenschutzerklärung gibt der Anbieter an, dass man selbst wie auch Drittpartner (meint Werbe- und Analysepartner) Cookies und andere Tracking-Technologien einsetze, um Nutzer über verschiedene Dienste und Geräte hinweg zu erkennen.2Cookies and Other Tracking Technologies: Atlassian and our third-party partners, such as our advertising and analytics partners, use cookies and other tracking technologies (e.g., web beacons, device identifiers and pixels) to provide functionality and to recognize you across different Services and devices. For more information, please see our Cookies and Tracking Notice, which includes information on how to control or opt out of these cookies and tracking technologies. Übersetzung: Cookies und andere Tracking-Technologien: Atlassian und unsere Drittpartner, wie z.B. unsere Werbe- und Analysepartner, verwenden Cookies und andere Verfolgungstechnologien (z.B. Web Beacons, Gerätekennungen und Pixel), um Funktionalität bereitzustellen und Sie über verschiedene Dienste und Geräte hinweg zu erkennen. Weitere Informationen finden Sie in unserem Hinweis zu Cookies und Tracking, der Informationen darüber enthält, wie diese Cookies und Tracking-Technologien kontrolliert oder deaktiviert werden können. .
Google-Analytics
Der Einsatz von Google Analytics erfolgt laut Google-Analytics-Prüfung der Uni Bamberg ohne IP Nummern Verkürzung. Im Test kann eine Übermittlung an Google nachgewiesen werden. Allerdings könnte diese nach Benutzeraktionen auf einem Trello Board möglich sein.3Zusammenfassung
Diese Seite definiert Tracker für die Verwendung von Google Analytics ohne IP-Anonymisierung, hat jedoch bei der Prüfung keine Anfragen an Google geschickt. Möglicherweise werden die Anfragen erst bei bestimmten Benutzeraktionen ausgelöst.
Weitere Informationen zur Datenverarbeitung durch Trello
Atlassian erhebt nicht nur selbst Daten der Besucher und gibt seinen Werbe- und Analysepartnern die Möglichkeit dazu, sondern kombiniert diese Daten mit weiteren Daten aus einer Vielzahl von Quellen. Der Beschreibung in der Datenschutzerklärung nach scheint dieses recht umfangreich zu erfolgen. Es geht dabei nicht nur um die bei fast allen Anbietern übliche Verbesserung des Dienstes, sondern auch um personalisierte Werbung.4Information we receive from other sources
We receive information about you from other Service users, from third-party services, from our related companies, social media platforms, public databases, and from our business and channel partners. We may combine this information with information we collect through other means described above. This helps us to update and improve our records, identify new customers, create more personalized advertising and suggest services that may be of interest to you. Übersetzung: Informationen, die wir aus anderen Quellen erhalten
Wir erhalten Informationen über Sie von anderen Nutzern des Dienstes, von Diensten Dritter, von unseren verbundenen Unternehmen, Social-Media-Plattformen, öffentlichen Datenbanken und von unseren Geschäfts- und Vertriebspartnern. Wir können diese Informationen mit Informationen kombinieren, die wir durch andere oben beschriebene Mittel sammeln. Dies hilft uns dabei, unsere Datensätze zu aktualisieren und zu verbessern, neue Kunden zu identifizieren, personalisiertere Werbung zu erstellen und Dienste vorzuschlagen, die für Sie von Interesse sein könnten. Informationen, die man dazu von den Partnern erhält, meint Aktivitäten innerhalb von Trello und außerhalb, über Interessen und Engagement bezüglich Trello und anderer Dienste von Atlassian und Reaktion auf Werbung.5 Other Partners: We receive information about you and your activities on and off the Services from third-party partners, such as advertising and market research partners who provide us with information about your interest in and engagement with, our Services and online advertisements. Übersetzung: Andere Partner: Wir erhalten Informationen über Sie und Ihre Aktivitäten innerhalb und außerhalb der Dienste von Drittpartnern, wie z.B. Werbe- und Marktforschungspartnern, die uns Informationen über Ihr Interesse an und Ihr Engagement für unsere Dienste und Online-Werbung zur Verfügung stellen. Und damit noch nicht genug. Informationen, welche man von Drittanbietern erhalten kann, erstrecken sich sogar auf postalische Anschriften, Telefonnummern und mehr, soweit öffentlich über Websites oder Social Media verfügbar.6Third Party Providers: We may receive information about you from third party providers of business information and publicly available sources (like social media platforms), including physical mail addresses, job titles, email addresses, phone numbers, intent data (or user behavior data), IP addresses and social media profiles, for the purposes of targeted advertising of products that may interest you, delivering personalized communications, event promotion, and profiling. Übersetzung: Drittanbieter: Wir erhalten unter Umständen Informationen über Sie von Drittanbietern von Geschäftsinformationen und öffentlich zugänglichen Quellen (wie Social-Media-Plattformen), einschließlich physischer Postadressen, Stellenbezeichnungen, E-Mail-Adressen, Telefonnummern, Absichtsdaten (oder Daten zum Nutzerverhalten), IP-Adressen und Social-Media-Profilen, zum Zweck der gezielten Werbung für Produkte, die Sie interessieren könnten, der Zustellung personalisierter Mitteilungen, der Promotion von Veranstaltungen und der Erstellung von Profilen.
Es wird klar, dass Atlassian sehr daran gelegen ist, möglichst viel über seine Nutzer in Erfahrung zu bringen, um höchst persönliche Profile zu erstellen, die dann genutzt werden können, um personalisierte Angebote und Werbung für eigene Dienste erstellen zu können. Dafür bedient man sich Daten, die man selbst erhebt und zu deren Erhebung man Partnern Zugang zu den eigenen Diensten gestattet. Die so erhobenen Daten werden dann mit Daten aus weiteren Quellen kombiniert. Selbst mit einem Fake Account sollte es dem Anbieter bzw. den Partnern so leicht möglich sein, Nutzer zu identifizieren.
Inwieweit zahlende Nutzer hiervon nicht betroffen sind, ist schwierig abzuschätzen, denn im Data Processing Addendum behält man sich vor, die bei der Nutzung der Cloud Dienste des Anbieters erhobenen Daten für “legitime interne Zwecke zu verwenden, wie zum Beispiel …“7Customer acknowledges and agrees that as part of providing the Cloud Products and services, Atlassian has the right to use data relating to or obtained in connection with the operation, support or use of the Cloud Products for its legitimate internal business purposes, such as to support billing processes, to administer the Cloud Products, to improve, benchmark, and develop our products and services, to comply with applicable laws (including law enforcement requests), to ensure the security of our Cloud Products and to prevent fraud or mitigate risk. To the extent any such data is personal data, Atlassian warrants and agrees that: (i) it will process such personal data in compliance with Data Protection Law and only for the purposes that are compatible with those described in this Section 7.1; (ii) it will not use Customer Personal Data for any other purpose or disclose it externally unless it has first aggregated and anonymised the data so that it does not identify the Customer or any other person or entity. Eigentlich sollten Nutzer, deren Organisation das Data Processing Addendum abgeschlossen haben, geschützt sein, da ihre Daten dann nur für Zwecke der Organisation verarbeitet werden dürfen. Das schließt jedoch nicht aus, dass Anbieter Nutzer beim Anlegen oder ersten Login in ihr Konto in einer darüber hinausgehende Datenverarbeitung durch den Anbieter einwilligen lassen. Mangels eines entsprechenden Kontos kann dieses hier nicht überprüft werden.
Hinweise zur Nutzung durch Schulen
Grundsätzliches
Atlassian, der Anbieter von Trello, greift zumindest bei Nutzern mit einem kostenlosen Konto und bei Besuchern eines öffentlichen Boards selbst viele Daten ab und gibt darüber hinaus sogenannten Werbe- und Analysepartnern Zugriff auf die Daten von Nutzern und Besuchern. Das ist nicht unüblich, in Schulen aber doch problematisch, vor allem, wenn ein Anbieter wie Atlassian, dann diese Daten noch mit Daten aus einer Vielzahl von anderen Quellen kombiniert und anreichert, um damit personalisierte Werbung zu erstellen und Nutzern mit einem Konto, weitere eigene Dienste schmackhaft zu machen.
Man sollte eigentlich erwarten können, dass mit einem Bezahl-Konto und Abschluss des Data Processing Addendum keine Erhebung und Verarbeitung von personenbezogenen Daten zu eigenen Zwecken des Anbieters (von Nutzung zur Bereitstellung des Dienstes, Gewährleistung der Sicherheit, … abgesehen) erfolgt, sofern Nutzer diesen nicht zugestimmt haben, da das dem Data Processing Addendum widersprechen würde. Solches wäre jedoch noch zu prüfen. Offen bleibt auch, wie genau Atlassian seine eigenen”legitime Interessen” genau definiert, wenn es um die Einräumung von Nutzungsrechten an den personenbezogenen Daten der Nutzer geht.
Nutzung in der Schule
Bei einer Nutzung mit schulischen Endgeräten und ohne gleichzeitigen personalisierten Login an anderen Online-Plattformen und am Standort Schule, können die im Hintergrund von Trello aktiven Dienste des Anbieters und von Drittanbieten keine für sie verwertbaren Daten erheben. Die Nutzung beschränkt sich dabei jedoch auf reinen Konsum. Eine aktive Mitarbeit an einem Board ist ohne eigenes Konto nicht möglich und die Erstellung eines solchen kommt in Schule nicht in Frage.
Nutzung zu Hause/ auf privaten Geräten/ BYOD
Rufen Schüler von zu Hause aus oder über das Mobilnetz mit ihrem Smartphone ein Trello Board auf, greifen die verschiedenen auf der Seite im Hintergrund laufenden Dienste Daten der Nutzer ab, die diese über Zusammenführung mit eigenen Daten oder solchen aus anderen Quellen identifizierbar machen. Der Aufruf eines Trello Boards kann einer identifizierbaren Person dann recht einfach über Zusammenführung mit Daten aus anderen Quellen zugeordnet werden.
Wenn Schüler ein Trello Board zum Auruf von privaten Endgeräten oder vom heimischen Internetanschluss aus angeboten wird, sollten sie vorab über die möglichen Risken informiert werden. Außerdem sollten ihnen Möglichkeiten gezeigt werden, wie sie sich zumindest in Teilen schützen können, etwa durch Nutzung von Brave Browser oder auf Mobilgeräten DuckDuckGo.
Datenschutz Bewertung Übersicht
Nutzung in der Schule mit schulischen Endgeräten
Für eine Nutzung zur Bereitstellung von Inhalten und Links kann Trello durchaus verwendet werden, wenn die Schüler (a) ohne eigene Konten, (b) als konsumierende Besucher auf die Trello Boards (c) über schulische Endgeräte (d) ohne gleichzeitigen Login an sonstigen Drittanbieter-Plattformen (e) am Standort Schule darauf zugreifen. Mehr ist leider nicht möglich.
Nutzung auf privaten Endgeräten/BYOD
Wenn Lehrkräfte ihren Schülern Inhalte über ein Trello Board zur Nutzung von einem privaten Endgerät oder vom heimischen Internetanschluss aus bereitstellen wollen, kann dieses nur ein Angebot sein. Nutzer müssen vorweg über mögliche Risiken informiert werden und es muss Alternativen geben, an die gleichen Inhalte zu gelangen, ohne Trello nutzen zu müssen.
Mit ausreichendem Selbstschutz kann das Risiko gemindert, aber keinesfalls komplett beseitigt werden. Eine Nutzung von Trello auf Smartphones und anderen privaten Endgeräten bzw. vom heimischen Anschluss ist von daher ganz sicher nicht zu empfehlen.
Nutzung durch Lehrkräfte – Boards erstellen und teilen
Lehrkräfte nutzen Trello mit einem kostenlosen Konto auf eigenes Risiko. Sie willigen bei der Erstellung ihres Nutzerkontos in die Datenvereinbarung und die Nutzungsbedingungen ein.
Fazit
Trello wird oft als eine datenschutzfreundliche Alternative zu Padlet empfohlen. Im Vergleich zu Padlet schneidet Trelle jedoch eindeutig schlecher ab, wenn es um Datenschutz geht.8Siehe Datenschutz Check – Padlet Trello ist definitiv keine Alternative, da wenn überhaupt nur eine passive Nutzung durch Schüler vertretbar ist und diese auch nur in der Schule mit schulischen Geräten und ohne gleichzeitigen Login an anderen Plattformen. Für Schulen ist eine Nutzung zur Bereitstellung von Informationen, auf die von zu Hause oder mit privaten Endgeräten zugegriffen werden soll, nicht vertretbar, da der Anbieter selbst wie auch durch Dritte zu viele Daten abgreift, die dann zur Erstellung von umfangreichen Profilen zwecks Anzeige von Werbung genutzt werden. Darüber hinaus hat der Anbieter Trello wie auch seine anderen Plattformen nicht für Nutzer vor Vollendung des 16. Lebensjahres gedacht.
Wem das Format der Trello Boards gefällt, der kann eine vergleichbare Darstellung von Inhalten z.B. mit Decks von NextCloud erzielen. Alternativ käme auch Padlet in Frage, das sehr viel mehr kann und zumindest innerhalb der Schule mit schuleigenen Geräten und ohne gleichzeitigen Login an anderen Plattformen sehr datenschutzfreundlich genutzt werden kann. Siehe dazu Datenschutz Check – Padlet – digitale Pinnwand
Stand 06/2020