Canva – Designs erstellen

Lesezeit: 10 Minuten

Beschreibung

Canva ist eine Plattform, mit der sich Präsentationen, Video Clips, Logos, Druckvorlagen für Flyer, Poster, Dokumente und zur Veröffentlichung in Social Media Plattformen wie Instagram, TicToc und Facebook online gestalten lassen. Nutzer können dabei auf eine Bibliothek von Vorlagen zurückgreifen und eigene Elemente hochladen. Erstellte Inhalte lassen sich vom Nutzer herunterladen oder über Links zum Anschauen und Bearbeiten freigeben. Während das Ansehen ohne Registrierung möglich ist, setzt die Bearbeitung eine solche voraus, mit E-Mail Adresse oder über SSO via Google oder Facebook. Andere Canva Nutzer können außerdem als Team Mitglieder hinzugefügt werden. Die Registrierung ist kostenlos möglich. Neben der kostenlosen Basic Version gibt es eine kostenpflichtige Pro Version, die mehr Funktionen und Vorlagen bietet. Zusätzlich bietet Canva auch Lizenzen für Schulen, Firmen und gemeinnützigen Organisationen. Lehrkräfte können mit Nachweis ihrer Tätigkeit eine kostenlose Pro Lizenz erhalten. Auch für Schulen ist die Pro Lizenz kostenlos nutzbar. Bei einer schulischen Nutzung bietet Canva auch die Option, Inhalte über Google Classroom und Microsoft Teams an Lerngruppen zu teilen. Schüler können in Canva kollaborativ an Projekten arbeiten.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Canva ist ein Anbieter aus Australien mit Niederlassungen in den USA und Philippinen. Der Anbieter nutzt Amazon Web Services Server und die einer Reihe weiterer Anbieter für die Bereitstellung seiner Dienste. Da der Anbieter Cloudflare, einen US CDN Dienstleister verwendet, um die Dienste der Plattform auszuliefern und zu schützen, ist es schwierig, die genaue Lokalisation der Server zu ermitteln. Cloudflare hält statische Inhalte in eigenen Rechenzentren weltweit vor und holt sich verändernde (dynamische) Inhalte direkt von den Canva Servern, die dann im Regelfall AWS Server sein dürften.

In der iOS App gibt es unter Einstellungen die Auswahl zwischen Global (Standard) und China.

Cookies, Tracking

Bezüglich der in der Plattform wie auch in den mobilen Apps eingesetzten Cookies ist Canva sehr transparent. Beim ersten Aufruf von Canva im Browser erscheint ein Cookie Banner, in welchem Nutzer Einfluss nehmen können auf einen Teil der Cookies. Unter Manage Cookies (engl. Sprache) ist es auch später möglich, die Einstellungen anzupassen. Auf der Seite werden vier Gruppen von Cookies aufgeführt:

  • Essentielle Cookies – Cookies von Canva und Drittanbietern, die für Funktionen und Sicherheit der Plattform genutzt werden
  • Funktionale Cookies – Cookies von Canva und Dienstleistern, über die Voreinstellungen von Nutzern gespeichert und Funktionen bereitgestellt werden
  • Leistungs-Cookies (Performance Cookies) – Analyse Cookies, die helfen sollen, die Plattform für Nutzer zu optimieren
  • Zielgruppenorientierte Cookies (Targeting Cookies) – Cookies von Werbepartnern, die Nutzerverhalten tracken, auch über Canva hinaus, um personalisierte Werbung anzuzeigen

Inwieweit die Einstellungen etwa zu den Targeting Cookies auch auf die mobilen Apps wirken, wenn ein Nutzer dort angemeldet ist, geht aus der Dokumentation nicht hervor. Eindeutig ist jedoch, dass ohne eine Deaktivierung von Targeting Cookies über das Cookie Banner eine Vielzahl von Tracking Cookies von Canva genutzt wird, die je nach Plattform (Browser, iOS App, Android App) 1Laut https://www.canva.com/manage-cookies/: Apple Search Ads, Appsflyer, Baidu, Braze, Facebook, Facebook SDK, Google Ads, Google DoubleClick, Google Tag Manager, LinkedIn Insights, Microsoft Advertising, Pardot, Pinterest Ads, SensorsData, Snapchat, TikTok, Twitter, Yahoo Ad Exchange, Yotpo, YouTube das Verhalten der Nutzer in Canva und quer durch das Internet verfolgen, aufzeichnen und auswerten. In der Beschreibung werden Cookies, die nur in Apps aktiv sind, gesondert aufgeführt, jedoch nicht nach iOS und Android differenziert.

Im Browser lassen sich keine der aufgeführten Targeting Cookies nachweisen, wenn zuvor die Option zum Ablehnen von Cookies genutzt wurde. Nachweisbar sind im Browser die vom Anbieter beschriebenen Cookies von Canva selbst, Segment, Stripe, Cloudflare, Castle und wenn ein Nutzer auf eine Login Seite geht, zusätzlich ein Google Login Cookie.

Zusätzliche Hinweise zu Cookies und anderen im Canva iOS App genutzten Drittanbieter Tools und Programmbausteinen liefern die Lizenzangaben unter den iOS Einstellungen zum App. Dort werden dann u. A. Google Firebase, Google-Analytics, Google TagManager, Segment,  TicTocOpen SDK, WeChatOpenSDK und Weibo_SDK aufgelistet. Die letzteren vier SDK, das meint Software Developer Kits, von Dritten bereitgestellte Bausteine, mit denen Entwickler leicht Funktionen in ihre Apps integrieren können – dürften für Canva vor allem mit Blick auf Nutzer in China wichtig sind. Nachweisen lassen sich im iOS App über das die iOS Funktion zur Aufzeichnung von App Aktivitäten2Siehe dazu https://developer.apple.com/documentation/network/privacy_management/inspecting_app_activity_data neben  Netzwerkaktivitäten zu Canva Servern, auch solche zu Branch, Braze, Google Trust Services, Cloudfront, Facebook Graph, Cloudflare, Appsflyer, Google Fonts, Firebase, Sentry, Google TagManager, iadSDK und Apple Adservices. Auch für das Android App lassen sich Tracker nachweisen. In der Version 2.127.0 werden von Exodus Privacy die Code Signaturen von 11 Trackern3AppsFlyer, Branch, Braze (formerly Appboy), Facebook Analytics, Facebook Login, Facebook Places, Facebook Share, Google AdMob, Google CrashLytics, Google Firebase Analytics, Google Tag Manager, Segment nachgewiesen. Diese entsprechen solchen, wie sie auch in der Cookie-Richtlinie des Anbieters aufgeführt werden. Im App Check zu Canva von Mobilsicher werden vergleichbare Ergebnisse angezeigt.

Datenschutzerklärung

Die Datenschutzerklärung von Canva ist in deutscher Sprache als Datenschutzrichtlinie verfügbar. Den Erläuterungen hier liegt die Version mit Stand 20.12.2020 vor. Ältere Versionen sind im Richtlinienarchiv abrufbar. Die Informationen sind sehr umfangreich und bestehen immer aus ausführlichen Angaben, die von einer kurzen Zusammenfassung, die farblich abgesetzt ist, gefolgt werden. Ergänzend zur Datenschutzrichtlinie gibt es noch eine Cookie-Richtlinie (nur in englischer Sprache). Canva beschreibt unter “2. Wie wir Ihre Daten nutzen” verschiedene Nutzungszwecke. Dazu gehört auch das Trainieren von Algoritmen mit Bild- und Audiomaterialien aus den Designs von Nutzern.4Die Frage wäre hier, inwieweit Menschen zur Qualitätskontrolle von Bilderkennung und Übersetzung von Audio-Soundtracks eingebunden sind? Unter “Rechtsgrundlagen für die Verarbeitung von Informationen im Rahmen der DSGVO (für Benutzer des EWR)” sichert der Anbieter zu, die personenbezogenen Daten von Nutzern auf der EU gemäß den Vorgaben der DS-GVO zu verarbeiten. Die Verarbeitungszwecke werden von Canva dort eingegrenzt auf die “Verbesserung unseres Service durch Forschung und Entwicklung, Datenanalyse, Datenkennzeichnung und maschinelles Lernen.” Für Nutzer in der EU gibt es einen regionalen Vertreter in Brüssel. Für den offiziellen Datenschutzbeauftragten ist eine Adresse in Australien genannt. Canva beschreibt unter “(a) An wen wir Ihre Informationen weitergeben” die Zwecke für eine Datenweitergabe an Drittanbieter, die jedoch nicht abschließend ist,5“Anbieter, die Canva beispielsweise bei den folgenden bei Funktionen unterstützen” und sichert zu, diese zur Einhaltung der Canva Datenschutzrichtlinie und geltenden Gesetzen zu verpflichten. Man sichert sich außerdem das Recht zu, “aten aller personenbezogenen Merkmale zu sammeln oder anderweitig zu isolieren und diese aggregierten, anonymisierten Daten an Dritte weiterzugeben.6Inwieweit sich aus den Daten dann in Einzelfällen vielleicht doch Rückschlüsse auf identifizierbare Personen ableiten lassen, ist schwierig abzuschätzen. Unter “4. Werbeanzeigen auf Canva” weist der Anbieter darauf hin, dass er “Standort, Browser- und Cookie-Daten und andere Daten im Zusammenhang” mit der Nutzung von Canva an Geschäftspartner weitergegeben werden können, die diese Daten dann zur gezielten Anzeige von Werbung auf Canva oder Drittanbieterseiten nutzen können. Für weitere Informationen wird auf die Cookie-Richtlinie verwiesen. Am Ende dieses Abschnitts zu Werbeanzeigen stellt Canva heraus, dass die Education Version keine Werbeanzeigen enthält: “Canva for Education: Bitte beachten Sie, dass dieser Abschnitt 4 nicht für Nutzer von Canva for Education gilt – wir zeigen den Nutzern von Canva for Education keine Werbung an.” Laut Datenschutzrichtlinie nutzt Canva Server überall auf der Welt, um die Plattform bereitzustellen. Für Nutzer im EWR (Europäischer Wirtschauftsraum schließt neben der EU auch wie Norwegen ein, die kein EU Mitglied sind, jedoch die DS-GVO für sich anerkennen) sichert Canva zu bei einem Transfer von personenbezogenen Daten auf Server außerhalb des EWR oder in ein Land für welches es keinen Angemessenheitsbeschluss der EU-Kommission gibt, von diesem Drittanbieter zu verlangen, “dass er eine Vereinbarung eingeht, die einen angemessenen Schutz für Ihre Daten bietet, einschließlich der Nutzung der EU-Modellklauseln.” Es folgen dann Angaben zu Möglichkeiten für Nutzer, die Datenerfassung zu beeinflussen, Rechten von Betroffenen und Angaben zur Speicherdauer von Daten. Die Angabenbleiben bei der Speicherdauer vage (“nach Kündigung oder Deaktivierung des Kontosfür einen wirtschaftlich angemessenen Zeitraum“). 

Wichtig für Schulen ist dann der Abschnitt “11. Datenschutz für Kinder und Canva for Education.” Canva räumt sich hier das Recht ein personenbezogene Daten von Schülern auch für die “Bereitstellung von Nutzungsanalysen” an Drittanbieter weiterzugeben. Es werden dann 14 Drittanbieter und die Nutzungszwecke aufgelistet, zu denen sie eingesetzt werden. Alle aufgeführten Anbieter werden nach Angaben von Canva ausschließlich “zum Zweck der Bereitstellung von Canva for Education” genutzt. Einer davon, Braze, wird auch für Marketing für Lehrkräfte eingesetzt. Anbieter, die nicht ausschließlich für die Bereitstellung von Canva for Education eingesetzt werden, wie etwa Cloudflare, werden hier nicht aufgeführt. Der Anbieter löscht Konten von Schülern nach 12 Monaten Inaktivität und einer zusätzlichen Wartezeit von drei Monaten nach Zusenden eines E-Mails von sich aus und sichert Schulen darüber hinaus die volle Kontrolle über Schüler Konten zu. Diese ist allerdings mit Hürden versehen. Schulen können keine Konten eigenständig “einsehen, überprüfen, ändern oder löschen,” sondern müssen ein E-Mail von einer offiziellen Schule-E-Mail-Adresse aus an Canva senden und Zugang zum betreffenden Konto beantragen. Dadurch sollen Privatsphäre und Sicherheit der Schüler geschützt werden.

In der Cookie-Richtlinie, die hier mit Stand vom 26.03.2021 betrachtet wurde, werden verschiedene grundlegende Informationen zu eingesetzten Cookies und vergleichbaren Tools von Canva und Drittanbietern gegeben und um Hinweise ergänzt, wie Nutzer diese durch Browsereinstellungen oder Einstellungen bei Drittanbietern und Registrierung bei Opt-Out Seiten deaktivieren oder löschen können. Canva verwendet auch sogeannte Web-Beacons der auch Tracking Pixel und weist darauf hin, dass zwar viele davon ein Cookie benötigen, um zu funktionieren, sich die Funktion einiger dieser Pixel jedoch nicht durch Blockieren oder Löschen von zugehörigen Cookies unterbinden lässt.7“Sie haben zwar nicht die Möglichkeit, diese Tracking-Technologien ausdrücklich abzulehnen oder zu deaktivieren, aber in vielen Fällen sind diese Technologien auf Cookies angewiesen, um ordnungsgemäß zu funktionieren; dementsprechend wird die Ablehnung von Cookies in diesen Fällen die Funktionalität dieser Technologien beeinträchtigen. https://www.canva.com/policies/cookies-policy/

In den Zusammenfassungen, die es hier wie in der Datenschutz-Richtlinie gibt, werden Cookies eher als harmlos dargestellt. Der Anbieter weist auf Google-Analytics bei Zielgerichteter Werbung auf Facebook.

Vertrag zur Auftragsverarbeitung

Canva bietet seinen Kunden ein Data Processing Addendum (DPA, engl. Sprache) an, um die datenschutzrechtlichen Zuständigkeiten zu regeln. Dieser Vertrag beeinhaltet die Standardvertragsklauseln (SCC) von 2021. Im DPA werden ähnlich wie in einem Vertrag zur Auftragsverarbeitung die von der Datenverarbeitung betroffenen Personen beschrieben, die Kategorien von Daten, Verarbeitungszwecke und Löschfristen. Ergänzt wird das DPA durch eine Liste der Unterauftragnehmer (engl. Sprache) und Angaben zu den Technischen und Organisatorischen Maßnahmen (TOM, Statement of Technical and Organisational Measures, engl. Sprache). Das DPA hat zum Zeitpunkt dieser Betrachtungen Stand 11.11.2021.

Hinweis: Wer sich als Privatperson ein kostenloses Cava Konto anlegt, auch wenn dabei Lehrkraft angegeben wird, hat damit nicht automatisch einen Canva for Education Konto. Es gilt dann ein sogenanntes Joint Controller Addendum, eine gemeinsame Verantwortlichkeit gem. Art. 26 DS-GVO, nach der der Nutzer gemeinsam mit Canva Verantwortlicher ist mit Bezug auf die Verarbeitung von personenbezogenen Daten von Personen, welche beispielsweise ein öffentlich geteiltes Design aufrufen. In dem Vertrag werden die Zuständigkeiten bezüglich der Verantwortlichkeiten der gemeinsam Verantwortlichen beschrieben.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Mangelnde Transparenz kann man Canva definitiv nicht vorwerfen. Anders als viele andere Anbieter spielt Canva bezüglich der Datenverarbeitung und der dazu eingesetzten Technologien und Drittanbieter mit offenen Karten. Canva gibt an, einige Unterauftragsverarbeiter ausschließlich für die Bereitstellung von Canva for Education zu nutzen. Vielen Lesern der Datenschutz-Richtlinie dürfte an der Stelle jedoch nicht klar sein, dass auch andere Dienstleister zum Einsatz kommen, die nur nicht ausschließlich in diesem Bereich verwendet werden. Dazu gehört dann eben auch der Dienstleister Cloudflare, welcher als US Anbieter von Aufsichtsbehörden kritisch gesehen wird. Im iOS App wird auch Facebook als Drittanbieter aktiv sein. Gleiches gilt für die anderen beschriebenen im App genutzten Dienste von Dritten, unabhängig ob ein Nutzer sich als Schüler mit einem Canva for Education Konto angemeldet hat oder als Privatperson.

Sollen Schüler Canva nutzen, um eigene Designs zu erstellen, so setzt dieses ein eigenes Nutzerkonto voraus. Das ist nur mit einer eigenen E-Mail Adresse oder der Nutzung eines anderen Kontos, etwa Microsoft 365 für SSO möglich. Canva weist selbst darauf hin, dass Schulen verantwortlich sind, eine Einwilligung der Erziehungsberechtigten einzuholen, bevor ein Canva Konto erstellt wird.

Das Hauptproblem von Canva ergibt sich aus der Nationalität des Anbieters, den Speicherorten für die Daten der Nutzer und die genutzten Dienstleister. Australien, wo Canva seinen Hauptsitz hat, gilt als unsicheres Drittland, da es keinen Angemessenheitsbeschluss der EU gibt. Eine Übermittlung von personenbezogenen Daten auf der Grundlage der SCC setzt nach aktueller Rechtslage8nach dem Schrems II Urteil werden auch die SCC nicht als ausreichend für die Übermittlung von personenbezogenen Daten in unsichere Drittstaaten angesehen. zusätzliche technische und organisatorische Maßnahmen und/ oder Garantien voraus, um die Daten der Betroffenen ausreichend zu schützen. Die Verarbeitung von personenbezogenen Daten durch den Dienstleister Cloudflare und weitere von Canva genutzte US Dienstleister unterliegen den gleichen Problemen, da hierdurch Daten von Nutzern auch auf Servern außerhalb des EWR verarbeitet und gespeichert werden. Auch wenn eine Schule mit Canva das Data Processing Addendum abschließt, welches die SCC beinhaltet, dürfte das dann nicht ausreichen, um die Übermittlung von personenbezogenen Daten in Länder außerhalb des EWR, für welche es keinen Angemessenheitsbeschluss der EU gibt, ausreichend abzusichern.

Mit dem DPA sichert Canva vertraglichen Nutzern, also auch Schulen mit einem Schulkonto, zu, die Rolle als Verantwortlicher und sich selbst die Rolle als Auftragnehmer zu. Demnach sollte Canava sämtliche personenbezogenen Daten auch nur auf Weisung und nur zu Zwecken des Verantwortlichen verarbeiten. Wie sich dieses aber mit Bezug auf einige Aussagen in der Datenschutz-Richtlinie und beobachteten Datenflüssen zu Drittanbietern verträgt, ist schwierig zu bewerten. Es widerspricht den Aussagen des Data Processing Addendum, wenn der Anbieter Daten zu eigenen Zwecken nutzt, wie in der Datenschutz-Richtlinie beschrieben oder Drittanbietern Zugriff darauf gewährt, wie in der Cookie-Richtlinie dargestellt.

Common Sense gibt Canva mit Stand vom 24.08.2021 einen Datenschutz Score von 68% und spricht eine Warnung aus. Im Mai 2019 gab es bei Canva ein Datenleck. Im Mai 2019 hatte es einen Datenschutzvorfall bei Canva gegeben. Der Anbieter informiert seine Nutzer darüber im Hilfe Center unter “Sicherheitsvorfall bei Canva – 24. Mai – FAQs.” Hacker hatten über die Profil-Datenbank Zugriff auf die Informationen von bis zu 139 Millionen Konten. An welche Informationen die Hacker tatsächlich gelangten, wurde für Canva erst Monate später nach eingehenden Untersuchungen deutlich. Es waren demnach rund 4 Millionen Konten von Nutzern betroffen und ihre Passwörter entschlüsselt. Canva hatte nach Bekanntwerden des Datenschutzvorfalls die Behörden und betroffene Nutzer informiert und später auch die Sicherheit durch neue Maßnahmen verbessert.

Datenschutz Bewertung Übersicht

Nutzung in der Schule mit schulischen Endgeräten

Da die Nutzung von Canva zur Erstellung von Designs durch Schüler die Erstellung eines Kontos voraussetzt, sind die Bedingungen auch mit schulischen Endgeräten nicht gut. Zwar könnte man mit pseudonymisierten Konten arbeiten und die Nutzung auf schulische Endgeräte und die Schule beschränken, doch müssten dann auch die Inhalte unpersönlich bleiben. Schüler dürften sich dann nie mit einem privaten Endgerät oder einem schulischen 1:1 Gerät an Canva anmelden.

Nutzung in der Schule mit schulischen Endgeräten
mit einem geteilten schulischen Konto

Ein Nutzer9@heidihaselmann “8 geht gleichzeitig, was für eine Gruppenarbeit ausreichend ist:” am 15.11.2021 auf Twitter gibt an, dass es möglich ist, mit einem einzelnen Konto auf bis zu acht Geräten gleichzeitig in Canva zu arbeiten. Unter der Voraussetzung sollten für Schüler bei einer Nutzung auf schulischen Endgeräte in der Schule keine essentiellen Risiken entstehen, solange sie bei der Arbeit in Canva keine persönlichen Inhalte in Text-, Bild- oder Tonform dort einbringen. Es sollte außerdem mit ihnen vereinbart werden, dass sie die Anmeldedaten nicht mit privaten Endgeräten nutzen. Das geteilte Konto sollte so angelegt werden, dass aus der E-Mail Adresse und Bezeichnung keine Rückschlüsse auf die Nutzer gezogen werden können.

Nutzung auf privaten Endgeräten/BYOD

Auch wenn Canva selbst sicher kein Interesse an den personenbezogenen Daten von Schülern hat, so sind sie bei einem Zugriff auf die Plattform mit privaten Endgeräten für die eingesetzten Drittanbieter potentiell identifizierbar. Das gilt vor allem bei der Nutzung des iOS oder Android Apps.

Nutzung durch Lehrkräfte

Wenn Lehrkräfte sich ihr privates Konto erstellen und mit Nachweis daraus ein Edu Konto mit vollem Funktionsumfang machen, ist dieses ihre eigene Entscheidung.

Fazit

Canva ist eine schöne Plattform und wird von Lehrkräften in Social Media immer wieder wegen ihrer gestalterischen Möglichkeiten erwähnt. Für die Schule ist unter den aktuellen datenschutzrechtlichen Gegebenheiten eine Nutzung jedoch kaum möglich. Soll mit einem geteilten Konto gearbeitet werden, sollte von den Eltern jüngerer Schüler eine Einwilligung in die Nutzung eingeholt werden. Wenn Lehrkräfte mit Canva Poster oder Arbeitsblätter und kleine Videoclips erstellen, die sie dann herunterladen und in anderen Plattformen einbinden, so ist das unproblematisch. Eine Einbindung von Inhalten direkt aus Canva ist nicht erforderlich. Wer Canva nutzt und seine Daten schützen möchte, sollte auf die Nutzung der mobilen Apps verzichten und stattdessen einen sicheren Browser verwenden. Werden verschiedene Geräte genutzt, müssen die Cookies auf jedem dieser Geräte erneut abgelehnt werden.

 

Stand 11/2021