Hinweis: Der Anbieter hat beim Thema Passwortsicherheit nachgebessert und dieses am 08.08.2022 per E-Mail mitgeteilt. Das System prüft jetzt, Passwörter auf ihre Sicherheit.
Beschreibung
ISY-Schule ist eine Plattform zur Kommunikation mit Eltern an Grundschulen. Der Anbieter selbst beschreibt die Plattform als ein Kommunikationssystem zur Kommunikation und zum Informationsaustausch zwischen Eltern (Erziehungsberechtigten, etc.) sowie Lehrerinnen und Lehrer. Die Plattform bietet dafür eine Anzahl von Funktionen. Dazu gehören Neuigkeiten, ein Buchungssystem für Elternsprechtage, ein Online Fotoalbum, ein Kalender, eine Verwaltung von Abwesenheiten und Krankmeldungen, eine Möglichkeit zum Anlegen von Profilen für jedes Kind der Schule mit Angaben zur Erreichbarkeit und Notfallinformationen und eine Mediathek, in welcher Dateien hinterlegt werden können. Über die Funktionen der Plattform können Eltern informiert werden, lassen sich Übermittagsbetreuung und OGS buchen und Zustimmungen der Eltern digital einholen. Auch Zahlungen können darüber gesteuert werden. Das Modul Website ermöglicht es Schulen, bestimmte Informationen öffentlich, das heißt ohne Login, bereitzustellen. Nutzer werden von der Schule angelegt und über Einladungs-E-Mails eingeladen.
Es handelt sich um eine kostenpflichtige Plattform, die zum Testen zwei Monate lang kostenfrei genutzt werden kann. Der Zugang zur Plattform erfolgt über den Browser. Zusätzlich gibt es Apps für iOS und Android.
Datenschutz, Sicherheit
Serverstandort, Anbieter
Die Server des Anbieters sind in den Niederlanden lokalisiert – server.isy-school.nl – Alfion B.V. (Markt 10, 6019 AV Wessem, Niederlande). Von dort kommt der Anbieter (ISY School B.V., Louis Eijssenweg 2A, 6049 CD Herten). Mit Isy2connect GmbH, Stadttor 1, 40219 Düsseldorf hat er jedoch auch eine deutsche Niederlassung.
Datenschutzerklärung
Die Datenschutzerklärung für die Schulplattform ist nicht direkt auf der Website einsehbar. Sie kann jedoch beim Anbieter angefordert werden. Laut Anbieter erfolgt sämtliche Verarbeitung von personenbezogenen Daten auf den Servern in den Niederlanden. Zu den in der Plattform verarbeiteten Daten gehören laut Datenschutzerklärung:
- Vorname und Nachname des Kindes,
- Gruppenzugehörigkeit des Kindes,
- Vor- und Nachname der Eltern/Erziehungsberechtigten/Verwandten/Freunde,
- E-Mail Adresse,
- Angabe der Beziehung zum Kind,
- Gründe von Abwesenheit,
- Telefonnummer, Mobilrufnummer der Eltern/Erziehungsberechtigten,
- Notfallrufnummern,
- Angabe des Hausarztes,
- vermeidbare Produkte,
- IP-Adresse,
- Datum und Uhrzeit der Anfrage.
Auch Gesundheitsdaten des Kindes (besondere Kategorien personenbezogener Datengemäß Artikel 9 DS-GVO) gehören, falls angegeben, zu den verarbeiteten Daten. Außerdem fallen bei der Arbeit mit ISY-Schul weitere personenbezogenen oder -beziehbare Daten an. Das sind die Informationen, welche die Lehrkräfte und Eltern bei der Nutzung der Funktionen der Plattform eingeben und übermitteln. Sichtbar in der Plattform sind für Personen mit entsprechender Berechtigung auch Datum und Uhrzeit des letzten Logins eines Nutzers.
In der Datenschutzerklärung wird auch auf bei der Nutzung der mobilen App die anfallenden Cookies hingewiesen und dabei zwischen transienten und persistenten Cookies unterschieden. Um welche Cookies es sich dabei handelt, wird nicht angegeben. Es wird auch nicht differenziert zwischen dem Zugang über den Browser und über die Apps.
Nach Angaben von ISY-Schule verbleiben alle Daten in den Niederlanden. Es werden keine Daten an Dritte verkauft.
Datenflüsse
29 Datenflüsse zu 11 verschiedenen Anbietern lassen sich neben denen zu den Servern des Anbieters nachweisen zu
- Google (fonts.googleapis.com, fonts.gstatic.com, ajax.googleapis.com) – Stellt Schriftarten zur Verfügung.
- Google-Analytics – Google Analyse Tool
- Google Tag Manager – Google Analyse Tool
- Cloudflare (cdnjs.cloudflare.com) – CDN, über welches Websites und Inhalte von Websites bereitgestellt werden können
- BootstrapCDN (maxcdn.bootstrapcdn.com) – Plattform zur Bereitstellung von Bootstrap, einem Frontend-CSS-Framework, mit dem Websiten besonders für mobile Darstellung gestaltet werden können.
- Typekit (use.typekit.net, p.typekit.net) – Plattform von Adobe. Stellt Schriftarten zur Verfügung.
- UNPKG (unpkg.com) – ein spezialisiertes CDN
- AddEvent (addevent.com) – Dienst, der es ermöglicht, Kalendereinträge auf Nutzerkalender zu übertragen
In der Regel fließen dabei auch Informationen zurück an die Anbieter. Im Minimum ist das dann die IP Nummer des Nutzers.
Cookies, Tracking
Google-Analytics
Es werden drei Google-Analytics Cookies gesetzt (_ga, _gid, _gat_gtag_UA_12345678_2), von denen eines zwei Jahre gültig ist und das andere einen Tag. Beide sind als 1st party cookies gesetzt, laufen also unter der Domain des Anbieters Der Anbieter hat die IP Anonymisierung aktiviert.
Ob diese korrekt implementiert ist, lässt sich auf diesem Weg nicht überprüfen.
Weitere Cookies
Gesetzt werden außerdem ein Session Cookie (PHPSessionID) und Cookies zur Authentifizierung des Nutzers (LoginToken, LoginEmail), wenn beim Login “Zugangsdaten speichern” ausgewählt wird.
Sicherheit
ISY-Schule gibt an, ein den ISO Standards entsprechend sicheres Rechenzentrum zu nutzen und erklärt im auf Anfrage vorab zur Einsicht erhältlichen Vertrag zur Auftragsverarbeitung, dass Unterauftragnehmer (Subunternehmer) den gleichen datenschutzrechtlichen Verpflichtungen unterliegen, denen er sich selbst im Vertrag zur Auftragsverarbeitung dem Auftraggeber gegenüber verpflichtet. Bei der Beauftragung von Subunternehmern, die aus Drittstaaten kommen oder deren Hauptgeschäftssitz sich außerhalb der EU oder des Euröpäischen Wirtschaftsraums (EWR) befindet, erklärt ISY-Schule “sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln).” Ob letzteres im Rahmen der aktuellen Rechtslage nach Schrems II möglich ist, müssen im Zweifelsfall Gerichte entscheiden. Da es bei den oben beschriebenen Datenflüssen sämtlich um US Dienstleister geht, fallen diese unter die vom Anbieter beschriebenen Subunternehmer. Die Risiken sollten für Betroffene allerdings nicht essentiell sein, da diese Drittanbieter zur Bereitstellung ihrer Funktionen keinen Zugriff auf personenbezogene oder -beziehbare Inhalte der Plattform erhalten.
Rechte und Rollen
Um Zugriffe auf Daten innerhalb der Plattform zu steuern, verfügt diese über ein Rechte- und Rollensystem:
- Verwalter – Volle Kontrolle über Isy
- Mitarbeiter – Elemente plazieren und den Zugriff auf Schülerinformationen beschränken
- Elternrat – Verwalten Sie eigene Zahlungsanforderungen</option>
- Gruppe Eltern – Verwalten Sie die Nachrichten, Agenda, das Fotobuch und die Mediathek
- Extern – Leserechte für alle Nachrichten und Tagesordnungspunkte</option>
- Eltern / Erziehungsberechtigte – Leserechte für Gruppen ihrer eigenen Kinder
So kann beispielsweise gesteuert werden, dass nur Lehrkräfte einer Klasse auf die Profile der Schüler mit den dort hinterlegten Informationen zugreifen können. Zusätzliche Einstellungen zu Berechtigungen können durch den Administrator unter Zugangs-Einstellungen vorgenommen werden.
Passwort Sicherheit
Mittlerweile verfügt die Plattform über eine Passwortrichtlinie, die für ausreichend sichere Passwörter der Nutzer sorgt. Damit sind in der Plattform auch sensiblere Informationen in den Kinderprofilen wie möglicherweise geheime Telefonnummern und Adressen von Erziehungsberechtigten oder auch hinterlegte Notfallinformationen und Gesundheitsdaten recht gut abgesichert. Die vorher an dieser Stelle geäußerten Sicherheitsbedenken, sollten damit beseitigt worden sein.
Datenschutz Bewertung Übersicht
ISY-Schule ist eine nützliche Plattform, um den Informationsaustausch und die Organisation von schulischen Abläufen zwischen Grundschulen und Eltern zu organisieren. Sie ist recht einfach zu nutzen und ansprechend gestaltet. Über ein Einladungssystem wird sichergestellt, dass die Schule in der Hand hat, wer sich an der Plattform anmelden kann. Sollen Information für unregistrierte Nutzer zur Verfügung gestellt werden, kann dieses über eine aus der Plattform heraus erzeugbare öffentliche Website erfolgen.
Für Schulen ist die Plattform nützlich, da Eltern hier eigenständig Informationen zur Erreichbarkeit, Notfallinformationen und auch Informationen zur Gesundheit des Kindes hinterlegen können. ISY-Schule nutzt verschiedene Drittanbieter, etwa um bestimmte Inhalte und Schriftarten in die Plattform einzubinden. Diese erhalten bei der Nutzung der Plattform zumindest die IP Adresse der schulischen Nutzer. Damit können sie unter Umständen Informationen gewinnen, die zu bestehenden von ihnen oder anderen Anbietern erstellten Profilen hinzugefügt werden können. Daraus entstehen für Nutzer keine essentiellen Risiken, doch es wäre sinnvoll, wenn der Anbieter hier nachbessern würde.
Empfehlung
Zur Nutzung der Plattform sollten Schulen Nutzern Informationen zur Datenverarbeitung gemäß Art. 13 DS-GVO zur Verfügung stellen und eine Einwilligung einholen. Die Einwilligung kann durch die Anmeldung des Zugangs als einwilligende Handlung eingeholt werden. Dieses muss aus dem Einwilligungsschreiben jedoch deutlich hervorgehen.
Stand 08/2022