Mentimeter – interaktive Umfragen

Lesezeit: 9 Minuten

Beschreibung

Mentimeter ist eine interaktive Präsentations-Plattform, mit der das Publikum während der Präsentationen aktiv mit einbezogen werden kann. Dafür können in eine Präsentation verschiedene Abfrageformate integriert werden. Es gibt insgesamt 13 unterschiedliche Abfragetypen, die von Quizen und Wortwolken über Schieberegler, Fragen und Antworten, Rankings und Raster bis zu Bildern reichen, auf denen Pinne durch die Teilnehmer gesetzt werden müssen. Der Veranstalter führt seine Präsentation vor und gibt den Teilnehmern zu Beginn den Link zur Teilnahmeseite https://www.menti.com/ und einen von der Plattform erzeugten speziellen Code. Mit diesem gelangen die Teilnehmer über ihre Smartphones oder andere Endgeräte mit Internetzugang in den Interaktionsteil der Präsentation. Während der Präsentation aktiviert der Vortragende dann die verschiedenen Interaktionen und die Ergebnisse werden innerhalb der Präsentation direkt live angezeigt. Die Interaktion der Teilnehmer bleibt dabei anonym, sofern in Abfrageformaten, in welchen Text eingegeben werden kann, keine Inhalte eingetragen werden, welche Teilnehmer identifizieren können. Der Anbieter beschreibt sein Angebot selbst wie folgt.

“Mentimeter macht Präsentationen, Veranstaltungen und Unterricht interaktiv und unterhaltsam – wie eine schöne und interaktive PowerPoint, bei der das Publikum in Echtzeit mit seinem Handy abstimmt.”1Original “Mentimeter make presentations, events and classrooms interactive and fun – Like a beautiful and interactive PowerPoint where the audience vote with their mobile phone in realtime.”

Die Plattformsprache ist Englisch. Für Umfragen kann die Sprache innerhalb der Umfrage jedoch auch auf Deutsch gestellt werden. Am Ende von Umfragen können Teilnehmer ihre E-Mail eintragen, um Zugriff auf die Ergebnisse zu erhalten. Wenn vom Veranstalter freigegeben, können Teilnehmer auch Kommentare hinterlassen. Veranstalter können die Ergebnisse nach der Durchführung der Umfrage auswerten und exportieren.

Laut den AGB Nummer 2.11 ist das Angebot von Mentimeter ein Werkzeug für Unternehmen. Nutzer unter 16 Jahre können in die Nutzung nicht eigenständig einwilligen.2“Wenn Sie jünger als 16 Jahre alt sind, müssen Sie von Ihren Eltern oder Erziehungsberechtigten vertreten werden, um den Bedingungen zuzustimmen und die Dienste zu nutzen.”

Mentimeter nutzt ein Freemium Modell. Bei kostenlosen Konten sind einige Funktionen nicht verfügbar. Es gibt verschiedene Lizenzpakete, die unter Pricing eingesehen werden können. Für den Bildungsbereich gibt es Education Angebote, die sich wie im Professional Bereich durch Anzahl und Umfang von Funktionen unterscheiden.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Mentimeter ist ein schwedischer Anbieter – Mentimeter AB, Tulegatan 11, SE-113 86 Stockholm. Gegründet wurde die Firma 2014 mit Investoren Kapital. Das Angebot ist in englischer Sprache und dürfte sich vor allem an englischsprachige Märkte wie die USA richten, auch wenn es möglich ist, für Präsentationen und Befragungen andere Sprache auszuwählen. Die Plattform wird auf Servern des Anbieters Cloudflare in den USA betrieben.

Datenschutzerklärung

Mentimeter stellt seine Datenschutzerklärung in englischer Sprache unter https://www.mentimeter.com/privacy zur Verfügung. Sie ist sehr ausführlich und deklariert sogar die verschiedenen Cookies, welche in der Plattform zum Einsatz kommen. Inhaltlich bezieht sie sich sowohl auf die Website, mit welcher das Produkt beworben wird, wie auch die Plattform.

Man unterscheidet die von der Datenverarbeitung durch die Plattform betroffenen Personen nach Nutzern (Personen mit Konto), Administratoren (Personen, die das Konto einer Organisation betreuen), Ansprechpartnern (Person in einer Organisation, mit der Mentimeter kommuniziert), Zuschauern (Personen, die an interaktiven Präsentationen anonym teilnehmen) und Website Besuchern.

Die vom Anbieter verarbeiteten Daten werden in die Kategorien Kontaktinformationen, Interaktionsdaten (zur Nutzung von Website und Plattform), Geräteinformationen, Informationen von Dritten, die genutzt werden, um relevante Inhalte etwa für Marketing zu kommunizieren, Informationen, die aus weiteren Interkationen im Zusammenhang mit Mentimeter stammen und Informationen, die über Cookies gewonnen werden. Unter “Wie verarbeiten wir Ihre Daten” wird dann tabellarisch für jede der zuvor beschriebenen Arten von Nutzern aufgelistet, welche der beschriebenen Datenkategorien zu welchen Zwecken verarbeitet werden. Dabei fällt auf, dass auch die E-Mail Adresse von Zuschauern, sofern sie diese angegeben haben, um die Ergebnisse einer Umfrage oder Präsentation zu erhalten, für Werbung genutzt werden kann. Aus Cookies erhaltene Informationen werden mit Ausnahme der Administratoren Gruppe bei allen anderen Gruppen ebenfalls für Marketing Zwecke verwendet.

Der Anbieter gibt an, zum Schutz der Seite vor Bots, welche die Websites besuchen und Spam, Google ReCaptcha einzusetzen. Dieser Dienst sendet, so erklärt Mentimeter, die aufgenommenen Informationen des Besuchers direkt an Google. Zu den Informationen, welche über Google ReCaptcha erhoben werden, gehören die IP Adresse, die Dauer des Besuchs der Website und sogar Mausbewegungen.

Es werden auch Angaben zu Löschfristen gemacht. Von Zuschauern angegebene E-Mail Adressen werden nach 12 Monaten gelöscht, sofern ein Nutzer nicht mittlerweile ein Konto anlegt. HTTP Anfragen und IP Nummern von Zuschauern werden für eine festgelegte (aber nicht näher bestimmte Zeit) gespeichert. Sie sind nach Angaben von Mentimeter nicht mit anderen Informationen gekoppelt und werden nur für Sicherheitszwecke gespeichert. Wie lange Informationen, die der Anbieter von Dritten erhält, gespeichert werden, hängt von der Art der Daten ab und ist nicht näher spezifiziert. Personenbezogene Daten speichert der Anbieter so lange, wie es für den in seiner Datenschutzrichtlinie beschriebenen Zweck erforderlich ist. Auch hier erfolgt keine weitere Konkretisierung.

Zu den eigenen Auftragsverarbeitern stellt der Anbieter eine ausführliche Liste unter https://www.mentimeter.com/processors bereit. Dort sind diese Auftragsverarbeiter mit Name des Verarbeiters, Standort / Kontaktadresse, Zweck der Verarbeitung und Kategorien von personenbezogenen Daten, die verarbeitet werden können (im Auftrag von Mentimeter und) und Sicherheitsmaßnahmen gelistet. Unter Sicherheitsmaßnahmen ist immer ein Vertrag zur Auftragsverarbeitung (Data Processing Agreement) angegeben. Unterschieden werden diese Auftagsverarbeiter nach der Art der Dienstleistung, die sie zur Verfügung stellen: Hosting und Infrastruktur, Kontrolle/ Überwachung, Kommunikation, Daten Analyse, Werbung und weitere. Viele der dort genannten Firmen sind in den USA angesiedelt.

In einer separaten Cookie Policy Seite informiert der Anbieter über die verschiedenen Arten von Cookies und ihre Zwecke. Dabei unterscheidet er zwischen Notwendigen Cookies, Funktionalen Cookies, Cookies zur Messung der Leistung (Performance Cookies) und Werbe Cookies (Targeting Cookies). Die Funktion der letzte Gruppe wird wie folgt beschrieben:

“Diese Cookies und andere Werbetechnologien helfen uns, effektiver an Nutzer zu vermarkten, von denen wir und unsere Partner glauben, dass sie an Mentimeter interessiert sein könnten. Sie helfen uns bei der Bereitstellung von aggregierten Statistiken, Berichten und Tracking.”

Cookies, Tracking

Wie aus der Datenschutzerklärung zu erwarten, lassen sich viele Dienste von Dritten nachweisen, die im Hintergrund laufen. Greift ein Nutzer als Zuschauer auf eine interaktive Umfrage während einer Präsentation zu, sind dabei nach Webbkoll Dataskydd

  • Cookies: 8 (7 First-Party; 1 Third-Party)
  • Drittanfragen (Third-Party): 28 Anfragen an 11 einzigartige Hosts

nachweisbar. Es tauchen dabei auch Cookies auf, die nicht ausdrücklich in der Cookie Policy gelistet werden.

Als First-Party Cookies laufen dabei einige Google-Analytics Cookies wie auch eines von Facebook (Facebook Pixel). Das von Webbkoll Dataskydd als Third-Party Cookie eingestufte Cookie stammt von mentimeter.com, also vom Anbieter selbst. Im Einzelnen sind dieses:

  • Google-Analytics (_ga, _gat, _gid, _gat_UA-12345678-9)
  • Facebook (_fbp) – “Personalisierung von Inhalten (einschließlich Werbeanzeigen), der Messung von Werbeanzeigen, der Erstellung von Analysen und der Bereitstellung eines sichereren Erlebnisses”3Nach Angaben von Facebook zum Einsatz von Cookies wie _fbp auf den Websites von Dritten.
  • Cloudflare (__cf_bm) – soll eine Website vor schädlichen Bots schützen
  • Datadog (_dd_s) – wird verwendet, um Web-Performance-Analysen bereitzustellen
  • Split.IO (split-key) – ein Dienst, der es erlaubt, Funktionen einer Plattform bereitzustellen und gleichzeitig ihre Wirksamkeit zu messen

Google-Analytics

Im Check mit dem Analyse Tool der Uni Bamberg – ergibt sich, dass bei Teilnahme an einer Umfrage ohne eigenes Nutzerkonto Google-Analytics zwei mal mit IP-Anonymisierung zum Einsatz kommt und und zwei mal ohne:

“Diese Seite sendet sowohl Anfragen an Google mit IP-Anonymisierung, als auch Anfragen ohne IP-Anonymisierung. Die Anfragen mit IP-Anonymisierungen stammen dabei ausschließlich von Google Remarketing mit aktivierten Google Analytics Feature.”

Google Remarketing ist ein Dienst, der es Anbietern wie Mentimeter erlaubt, Nutzern, die ihre Website bereits besucht haben, gezielte Anzeigen zu präsentieren.4Google selbst beschreibt seinen Dienst als “Durch Remarketing können Sie Nutzer ansprechen, die bereits mit Ihrer Website oder mobilen App interagiert haben. Dabei werden Ihre Anzeigen ausgeliefert, wenn diese Zielgruppen eine Google-Website oder Website im Google-Werbenetzwerk besucht. So können Sie Ihre Markenbekanntheit erhöhen oder diese Nutzer an einen geplanten Kauf erinnern.”

Datenflüsse lassen sich außer zu menti.com und mentimeter.com nachweisen zu:

  • Facebook
  • DoubleClick.net
  • DataDog
  • Google-Analytics
  • Google.com
  • Google.de
  • Google Tag Manager

Vertrag zur Auftragsverarbeitung

Zum Thema Vertrag zur Auftragsverarbeitung gibt es unter “With reference to requests for Data Processing Agreements” (Mit Bezug auf Anfragen zu Verträgen zur Auftragsverarbeitung) eine Erklärung, warum Mentimeter einen solchen Vertrag nicht anbietet, auch nicht wenn eine Firma, Organisation oder Schule eine Lizenz für mehrere Mitarbeiter hat und für diese mit deren E-Mail Adressen Konten anlegt, und das begründet man auch. Auf der Website heißt es dazu (übersetzt):

“Wenn wir einen Vertrag zur Auftragsverarbeitung unterzeichnen würden, der dieselben personenbezogenen Daten abdeckt, auf die wir für die Erbringung unserer Dienstleistungen angewiesen sind, würden wir stattdessen als “Auftragsverarbeiter” in Bezug auf diese Daten betrachtet und wären bei der Erbringung unserer Dienstleistungen auf Ihre Anweisungen angewiesen. Diese Situation könnte uns daran hindern, die Dienstleistung zu erbringen, für die Sie uns bezahlen, und wir glauben, dass dies weder nach der DS-GVO erforderlich noch angemessen ist. Wie wir unsere Dienstleistungen strukturieren, muss vollständig unter unserer Kontrolle und folglich in unserer Verantwortung liegen.”

Als Trost sichert man Kunden jedoch zu, dass man selbst mit allen seinen  Auftragsverarbeitern Datenverarbeitungsverträge sowie ausreichende Sicherheitsvorkehrungen für den Datentransfer zwischen EU- und Nicht-EU-Ländern getroffen habe, etwa die von der EU verabschiedeten Standardvertragsklauseln (SCC)).

Datenschutz Bewertung Übersicht

Mentimeter, die Plattform für interaktive Präsentationen mit Zuschauer Rückmeldungen, tritt in Bezug auf die Verarbeitung von personenbezogenen Daten, die zur Nutzung des Angebotes erforderlich sind, insgesamt sehr transparent auf. Vielen Nutzern wird jedoch trotzdem nicht klar sein, auf welche Verarbeitung ihrer Daten sie sich bei der Teilnahme an einer interaktiven Präsentation einlassen. Wer an einer Umfrage teilnimmt, bekommt zwar im Fußbereich der Seite einen Hinweis auf die Cookie Richtlinie wie auch die AGB, doch die wenigsten Menschen werden sich diese ansehen, vor allem dann, wenn sie den Link www.menti.com und den Code zur Umfrage über die bereits gestartete Präsentation erhalten. Es muss schnell gehen, denn sie wollen an der Umfrage teilnehmen. Für Lesen bleibt dadurch gar keine Zeit.

Hinzu kommt, dass die Informationen auf Englisch vorliegen. Nicht unproblematisch ist die Tatsache, dass der Anbieter keinen Vertrag zur Auftragsverarbeitung anbietet. Damit ist die Plattform für Schulen nur eingeschränkt nutzbar, da die Schule nicht Herrin der Daten sein kann. Dieses ist jedoch von den Schulgesetzen der Länder so vorgesehen, vor allem, wenn auch schulische Nutzer, hier Lehrkräfte, Zugänge über schulische E-Mail Adressen erhalten. Sicherlich wird der Anbieter Lehrkräften, die mit ihrer Schulmail Adresse angelegt sind, keine Werbung anzeigen oder entsprechende E-Mails senden, doch bei der Analyse von Nutzerverhalten unterscheidet der Anbieter nicht danach, woher ein Nutzer kommt.

Mentimeter erstellt aus den Informationen, welche der Anbieter unmittelbar aus der Interaktion des Nutzers mit der Plattform, der Auswertung von durch Cookies erhobenen Daten und von Informationen, welche von Dritten bezogen werden, Profile der Nutzer, um Werbung auf die Person zuzuschneiden. Informationen von Dritten stammen dabei von öffentlich verfügbaren Quellen wie auch von anderen Plattformen und Websites, mit denen der Nutzer interagiert hat. Wer Mentimeter nutzt, muss davon ausgehen, dass der Anbieter die aus den über Cookies erhobenen Daten zum Nutzerverhalten und daraus abgeleitete Informationen für Marketing Zwecke nutzt. 5Es ist allerdings davon auszugehen, dass der Anbieter die Inhalte von Umfragen und Antworten von Teilnehmern nicht für seine Zwecke auswertet und dieses auch nicht mit Diensten Dritter erfolgt.

Wie stark dieses auf angemeldete Nutzer mit schulischer E-Mail zutrifft oder Teilnehmer an einer von diesen durchgeführten interaktiven Präsentation ist schwierig abzuschätzen. Falls auch auf diese zutreffend, würde sich dieses mit einer schulischen Nutzung wohl nicht vereinbaren lassen.

Wie viele der durch Dienste Dritter erhobenen Daten auch von diesen für eigene Zwecke genutzt werden, ist schwierig abzuschätzen. Dass einige Informationen bei diesen Drittanbietern landen werden, ist ziemlich sicher. Auch über die Abfrage durch Mentimeter bei Dritten zu weiteren Informationen über einen neuen registrierten Nutzer dürften dort Informationen landen. Nicht unberücksichtigt sollte dabei bleiben, dass es sich bei der Mehrzahl der von Mentimeter genutzten Dienste von Dritten um US Dienstleister handelt.

Vor allem Nutzer, die sich für ein kostenloses Konto mit einer privaten E-Mail Adresse anmelden, werden im Fokus der Werbemühen des Anbieters stehen. Dessen sollten sich Lehrkräfte, die Mentimeter nutzen möchten, bewusst sein. Auch Teilnehmer, die ihre E-Mail am Ende einer Umfrage eingeben, um Zugriff auf die Ergebnisse zu erhalten, müssen damit rechnen, Ziel der Werbemühen des Anbieters zu werden.

Hinweise zur Nutzung durch Schulen

Grundsätzliches

Wie aus der datenschutzrechtlichen Bewertung klar geworden sein sollte, ist die Nutzung von Mentimeter nicht unproblematisch, egal ob eine Schule eine kostenpflichtige Lizenz nutzt oder ob Lehrkräfte private kostenlose oder bezahlte Konten einsetzen. Der Anbieter besteht auf seinem Recht, erhobene Daten für eigene Zwecke auszuwerten und zu nutzen.

Nutzung in der Schule

Bei einer Nutzung mit schulischen Endgeräten in der Schule und ohne gleichzeitigen oder vorherigen Login an anderen nicht-schulischen Online-Plattformen bzw. -diensten oder online-verbundenen Apps, können die im Hintergrund von www.menti.com aktiven Analyse und Tracking-Dienste von Mentimeter selbst und Dritten keine für sie verwertbaren Daten von Schülern erheben. Voraussetzung dafür ist natürlich auch, dass Schüler weder persönliche Inhalte in Textantworten eingeben noch am Ende einer Umfrage ihre E-Mail Adresse angeben, um Zugriff auf die Ergebnisse zu erhalten.

Nutzung zu Hause/ auf privaten Geräten/ BYOD

Rufen Schüler eine Umfrage über www.menti.com über ein privates Endgerät in der Schule auf oder über den heimischen Internetanschluss, werden sie über die IP Adresse und weitere im Hintergrund aktive Dienste von Apps und Logins an privat genutzten Plattformen identifzierbar. Es dürften daraus zwar keine essentiellen Risiken für sie entstehen, doch die abgeflossenen personenbezogenen und -beziehbaren Daten können durch Dritte für deren Zwecke genutzt werden.

Wenn älteren Schülern ab 16 Jahren menti.com zur Nutzung auf privaten Endgeräten oder vom heimischen Internetanschluss angeboten wird, sollten sie vorab über die möglichen Risken informiert werden. Außerdem sollte ihnen Möglichkeiten gezeigt werden, wie sie sich zumindest in Teilen schützen können, etwa durch Nutzung von Brave Browser, den mobilen Browser von DuckDuckGo oder das zugehörige Google Chrome Plugin. Dieser Schutz ist aber nicht vollständig.

Nutzung in der Schule mit schulischen Endgeräten

Sehr gute Bedingungen, solange Schüler keine persönlichen Informationen eingeben, keine E-Mail Adresse am Ende einer Umfrage angeben und nicht gleichzeitig oder vorher an anderen nicht-schulischen, privat genutzten Online-Plattformen bzw. -diensten eingeloggt sind, wodurch für die im Hintergrund der Umfrage laufenden Dienste potentiell identifizierbar würden.

Nutzung in der Schule mit privaten Endgeräten

Durch das private Endgerät, deren Gerätedaten und privat genutzte Apps und Plattformen und damit mögliche Querverbindungen sind Nutzer mit sehr großer Wahrscheinlichkeit für die im Hintergrund von menti.com laufenden Dienste einer identifizierbaren Person zuzuordnen. Die Bedingungen sind von daher nicht gut, auch wenn entstehende Risiken nicht essentiell sein sollten.

Fazit

Mentimeter ist eine sehr ansprechende Plattform für Präsentationen, welche Zuschauer interaktiv mit einbeziehen. Die Plattform ist deshalb in Schulen und auf Veranstaltungen beliebt. Der Anbieter hat, auch wenn er aus der EU kommt und der DS-GVO unterliegt, einen sehr eigenen Blick auf das Thema Datenschutz. Er informiert sehr transparent über die Datenverarbeitung bei Nutzung des Angebots. Das ist positiv zu bewerten. Wenigen Nutzern dürfte aber trotz allem klar sein, welche Rechte der Anbieter sich dabei einräumt. Einen Vertrag zur Auftragsverarbeitung gibt es deshalb nicht. Für Schulen ist die Plattform deshalb nur eingeschränkt nutzbar. Auch wenn sich durch eine Nutzung für Teilnehmer an einer interaktiven Präsentation keine essentiellen Risiken ergeben dürften, sollten Veranstalter vorab über die Datenverarbeitung von Mentimeter informieren, so dass Teilnehmer eine bewusste Entscheidung treffen können anstatt blind zu vertrauen, menti.com zu öffenen, den Code einzugeben, an der Umfrage teilzunehmen – und dafür mit personenbezogenen Daten zu bezahlen.

Mentimeter ist in seiner Art sicherlich einzigartig, doch es gibt Plattformen, die ähnliches, wenn auch mit weniger Funktionen, leisten, und datenschutzfreundlicher daherkommen. Tweedback wäre eine solche einfachere Alternative.