Beschreibung
Padlet ist eine digitale Pinnwand, die sich vor allem dadurch auszeichnet, dass sie sehr vielseitig und trotzdem einfach zu bedienen ist. Aus diesem Grund erfreut sie sich bei Lehrkräften und Schülern großer Beliebtheit. Eine Nutzung ist über den Browser wie auch Apps für Tablets und Smartphones möglich. Dabei läuft Padlet komplett online. Eine Nutzung ohne Internet ist deshalb nicht möglich. Nutzerkonten sind lediglich für die Ersteller von Padlets, meist die Lehrkräfte, erforderlich. Schüler können über einen Link und auf iOS über eine Broadcast Funktion zur Mitarbeit eingeladen werden. Eine Stärke von Padlet neben der Fähigkeit, eine Vielzahl von Medien (Text, Ton, Bild, Video, Zeichnungen, Links, …) aufzunehmen, ist die Möglichkeit zur synchronen Kollaboration. Das heißt, es können mehrere Personen zeitgleich an einem Padlet arbeiten. Padlet kann kostenlos mit bis zu drei Pinnwänden genutzt werden. Es gibt darüber hinaus kostenpflichtige Konten für Einzelnutzer (Padlet Pro), für Unternehmen (Padlet Briefcase) und für Schulen (Padlet Backpack – als Schullizenz), die über zusätzliche Funktionen verfügen. Dazu gehört auch ein Data Processing Addendum, mit welchem Schulen ihrer Pflicht zum Abschluss eines Vertrag zur Auftragsverarbeitung, die sich aus den umfangreicheren Funktionen ergeben, zumindest formell nachkommen können.
Datenschutz, Sicherheit
Serverstandort, Anbieter
Der Anbieter kommt aus den USA und nutzt Server in den USA. Padlet nutzt unter anderem Server von Amazon (AWS), Fastly und Cloudlflare (auch als CDN).
Cookies, Tracking
Padlet setzt zur Erbringung seiner Dienste eine Vielzahl von Cookies und Trackingmechanismen ein. 10 davon werden in der Analyse mittels Webbkoll Dataskydd als eigene Cookies (First Party Cookies), die unter anderem der Personalisierung der Nutzung dienen dürften, angezeigt. Aus Sicht des Datenschutz sollten diese genauso unproblematisch sein wie 19 weitere, die Dritten zugeordnet werden, da die beiden zugehörigen Hosts (padlet.pics und padlet.net) andere Domainendungen haben als die Hauptdomain padlet.com. Eindeutig Dritten zuzuordnen sind dann noch 10 Cookies von 5 einmaligen Hosts. Dazu zählen Indicative.com (api.indicative.com, cdn.indicative.com), Amazon (certify.alexametrics.com) und Google (google-analytics.com, googletagmanager.com).
- Indicative ist ein Analysetool, welches Website Betreibern Aufschluss über Nutzungsverhalten gibt und wird in der Regel zur Optimierung des eigenen Angebotes eingesetzt. Indicative nutzt seine Technologien nicht, um für eigene Zwecke Nutzerprofile zu erstellen. Das Data Processing Addendum, welches Indicative Kunden wie Padlet zur Verfügung stellt, orientiert sich an den Standardvertragsklauseln bezüglich Kunden in der EU. Die Betreiber von Padlet nutzen Indicative, um Google Analytics Daten auszuwerten.
- Hinter Alexametrics verbirgt sich ein Analysetool (Tracking Pixel), mit welchem Besucherstatistiken erstellt werden können.1Entsprechend der Datenschutzinformationen von Amazon zu Alexa werden dabei folgende Informationen verarbeitet: “Beispiele für automatische Informationen, die wir von Websites Dritter im Auftrag von Website-Betreibern für deren Verkehrsanalyse sammeln, umfassen die Kontokennung des Website-Betreibers, die URLs der besuchten Webseiten, alle verweisenden URLs auf diese Webseiten, die IP-Adressen und Browserinformationen wie Browsertyp, Browser-Engine, Betriebssystem und Version der Website-Besucher sowie eine eindeutige Kennung für jeden Website-Besucher. Quelle: https://www.alexa.com/help/privacyy – Automatic Information We Collect From Other Websites
- Google Analytics wird von Padlet ohne Anonymisierung durch IP Verkürzung eingesetzt2getestet mit https://checkgoogleanalytics.psi.uni-bamberg.de/ am 2020-06-11. Wie oben beschrieben, nutzt Padlet mittels Plugin Indicative, um die Google Analytics Daten über die Möglichkeiten dieses Anbieters auszuwerten.
- Google Tag Manager leitet Informationen über Nutzerverhalten über verschiedene Padlet Seiten hinweg an Google Analytics zur Auswertung weiter. Es dient ebenfalls der Optimierung des Angebotes.
Padlet nutzt alle vier Angebote als Auftragsverarbeiterdienste3Google listet hier seine Auftragsverarbeiterdienste – https://privacy.google.com/intl/de/businesses/adsservices/ . In seinem Data Processing Addendum (vergleichbar einem Vertrag zur Auftragsverarbeitung) werden diese nicht explizit genannt. Google Analytics ist jedoch in der Datenschutzerklärung erwähnt.
In der Datenschutzerklärung wird angegeben, wofür man Cookies einsetzt:
- Benutzer authentifizieren
- Benutzer eingeloggt lassen, während sie den Dienst nutzen
- das Verhalten auf dem Dienst zu verfolgen (z.B. welche Seite der Benutzer nach der Startseite besucht hat)
- Benutzereinstellungen merken (z.B. Zeitzone)
- Anzeigen über Padlet außerhalb des Dienstes anzeigen (z.B. auf LinkedIn)
Cookies – nicht Padlet
Als digitale Pinnwand nimmt Padlet, wie beschrieben, eine Vielzahl von Inhalten auf. Dazu gehören auch verlinkte oder eingebettete Inhalte. Wird beispielsweise ein YouTube Video eingebettet, werden durch YouTube entsprechend Daten erhoben und gegebenfalls Cookies gesetzt. Gleiches gilt auch für Bilder von externen Seiten oder auch Links, die im Anhang einen Verweis enthalten. Das ist bei Padlet nicht anders als bei anderen Websites, etwa Blogs und Nachrichtenseiten, die externe Inhalte anzeigen bzw. auf diese verweisen.
Hinweise zur Nutzung durch Schulen
Grundsätzliches
Padlet gibt sich in der Datenschutzerklärung recht transparent bezüglich der Datenverarbeitung bei der Nutzung seiner Dienste. Nutzern werden DS-GVO Rechte eingeräumt. Es bleiben jedoch trotzdem einige Fragen offen. Das Data Processing Addendum ist leider nicht öffentlich abrufbar. Das betrifft etwa die Nutzung von personenbezogenen Daten für eigene Zwecke 4Padlet
a. Verarbeitet personenbezogene Daten des Kunden
(i) für legitime und objektive Zwecke, einschließlich der Entwicklung, Durchführung und Verbesserung von Padlet Diensten,
. Hierunter dürfte die oben beschriebene Möglichkeit einer Nutzung für die Anzeige von Werbung gehören.5Dem Betreiber dieser Website ist eine Werbung von Padlet selbst noch nie begegnet. Auch wenn nach Angaben von Padlet die Dienste Dritter als Auftragsverarbeitung genutzt werden, so ist nicht wirklich klar, ob gerade im Fall von Google und Amazon nicht auch diese Auswertungen vornehmen und wenn, in welcher Form und in welchem Umfang. Im Fall von Google Analytics werden keine IP Nummern unmittelbar nach der Erhebung verkürzt, womit Nutzer durch Google über ihren Internetzugang potentiell einer identifizierbaren Person zugeordnet werden können.
Nutzung in der Schule
Bei einer Nutzung mit schulischen Endgeräten und ohne gleichzeitigen Login an anderen Online-Plattformen bzw. -diensten, können die im Hintergrund von Padlet aktiven Trackingmechanismen und Drittanbieter keine für sie verwertbaren Daten von Schülern erheben. Entsprechendes trifft auch auf in ein Padlet eingebundene externe Inhalte und damit verbundene Datenabflüsse zu. Richten Lehrkräfte sich ein persönliches Konto ein, hängt es sehr davon ab, mit welchen Angaben dieses erfolgt, ob die dadurch identifizierbar werden. Bei schulischen Padlet Konten könnte ein Konto mit einer schulischen E-Mail Adresse und einem Pseudonym als Nutzernamen angelegt werden.
Nutzung zu Hause/ auf privaten Geräten/ BYOD
Rufen Schüler ein Padlet von zu Hause aus oder über das Mobilnetz mit ihrem Smartphone auf, werden Daten erhoben, von der IP Nummer bis zum Browsertyp und Betriebssystem, die eine Identifizierung durch von Padlet genutzte Dienste Dritter ermöglichen können. Gleiches gilt auch für Datenabflüsse aus von externen Quellen eingebundene Inhalte eines Padlets.
Wenn Schüler Padlets zur Nutzung auf privaten Endgeräten oder vom heimischen Internetanschluss angeboten werden, sollten sie vorab über die möglichen Risken informiert werden. Außerdem sollten ihnen Möglichkeiten gezeigt werden, wie sie sich zumindest in Teilen schützen können, etwa durch Nutzung von Brave Browser, den mobilen Browser von DuckDuckGo oder das zugehörige Google Chrome Plugin.
Datenschutz Bewertung Übersicht
Nutzung in der Schule mit schulischen Endgeräten
Gute Bedingungen, sowohl für ein konsumierende als auch eine produktive Nutzung, solange Schüler nicht gleichzeitig an anderen Online-Plattformen bzw. -diensten eingeloggt sind, wodurch für die im Hintergrund eines Padlet laufenden Trackingmachanismen potentiell identifizierbar würden.
Konsumierende Nutzung auf privaten Endgeräten/BYOD
Wenn Lehrkräfte ihren Schülern ein Padlet für den Abruf von Inhalten6Gemeint ist hier eine konsumierende Nutzung. Die Schule stellt Inhalte zum Abruf bereit. Schülerinnen und Schüler bringen selbst keine Inhalte in das Padlet ein. von zu Hause aus oder über private Endgeräte in der Schule geben, kann dieses nur ein Angebot sein. Eventuelle Risiken, welche sich aus einer Nutzung von Padlet über ein privates Endgerät ergeben, lassen sich nie völlig auszuschließen. Vergleicht man ein gut bestücktes Padlet mit eingebetteten Inhalten von externen Seiten, wie Bildern und Videos, so fällt das Risiko, welches von Padelt selbst ausgeht, deutlich geringer als das, welches von den Inhalten ausgeht. Verglichen mit der durchschnittlichen Website einer Tageszeitung oder einer Portalseite wie der von T-Online sind die Risiken für die Nutzer eines Padlets ebenfalls deutlich geringer.
Produktive Nutzung auf privaten Endgeräten/BYOD
Wenn Lehrkräfte ein Padlet, wie zuvor beschrieben, für den Abruf von zu Hause aus oder über private Endgeräte in der Schule bereitstellen, und Schüler sollen aktiv am Padlet mitarbeiten, indem sie Inhalte einfügen oder Bewertungen abgeben, hängt vor allem bei den Inhalten viel davon ab, welcher Art diese sind. Inhalte, welche Rückschluss auf die Person zulassen, etwa Fotos der Person, Tonaufnahmen oder Texte mit ganzem Namen sollten unter diesen Voraussetzungen eher nicht eingebracht werden. Insgesamt erhöht sich das Risiko in diesem Setting gegenüber dem einer rein konsumierenden Nutzung.
Fazit
Padlet ist eine in Schulen sehr beliebte Plattform, da sie auch für Einsteiger ohne Vorkenntnisse einfach zu nutzen ist. Gleichzeitig steht Padlet aber auch in der Kritik wegen datenschutzrechtlicher Belange. Eine genauere Betrachtung zeigt jedoch, dass die Lage längst nicht so dramatisch ist, wie sie oft dargestellt wird. Tatsache ist, Padlet nutzt verschiedene Analysedienste. Nach eigenen Aussagen im Data Processing Addendum und der Datenschutzerklärung erfolgt dieses mit entsprechenden Verträgen im Sinne eines Vertrags zur Auftragsverarbeitung oder die Daten werden in einer Form weitergegeben, die für Dritte keine Rückschlüsse auf identifizierbare Personen zulassen. Von daher sollte man davon ausgehen können, dass eine Verwertung von Analysedaten, die einer identifizierbaren Person zugeordnet werden können, durch Dritte für eigene Zwecke nicht stattfindet. Letztlich ist und bleibt es eine Frage des Vertrauens, denn eine Überprüfung der vertraglichen Zusagen im Data Processing Addendum ist nur schwierig bis gar nicht möglich.
Bei einer Nutzung mit schulischen Endgeräten in der Schule ohne gleichzeitiges Login an anderen Plattformen, kann man sicher davon ausgehen, dass für Schüler keine Risiken durch eine Nutzung entstehen, auch wenn externe Inhalte eingebunden sind in das Padlet. Werden private Endgeräte genutzt, ist ein gewisses Risiko nicht sicher auszuschließen. Eltern, die ihren Kindern erlauben, zu Hause YouTube Videos am eigenen Smartphone oder Computer zu schauen oder kostenfreie Spiele auf den zahlreichen durch Werbung gesponserten Portalen zu spielen, können davon ausgehen, dass die Risiken für ihre Kinder dort um einige Größenordnungen größer sind.
Mit einem sicheren Browser wie Brave Browser oder dem DuckDuckGo Browser auf einem Mobilgerät lassen sich die oben beschriebenen Aktivitäten von Dritten (Indicative, Alexametrics, GoogleTagManager) nicht komplett unterbinden, aber reduzieren.
Im Hinblick auf die Standorte der vom Anbieter genutzten Server in den USA sollte darauf geachtet werden, Padlet ohne weitere personenbezogene Daten zu nutzen, um hier keine unnötigen Risiken entstehen zu lassen.
Einwilligung nicht vergessen
Eine Einwilligung der Betroffenen d.h. der Eltern oder der Schüler, bei Schülern ab Vollendung des 16. Lebensjahres der Schüler selbst, wird erforderlich, wenn Padlet im Unterricht – egal ob in der BackPack Version für Schulen oder der Pro Version für Einzelpersonen – so eingesetzt wird, dass er
- nicht auf schulischen Geräten in der Schule selbst erfolgt,
- er zu Hause erfolgen soll, und er
- über eine rein konsumierende Nutzung hinausgeht, von den Schüler also eine produktive Nutzung erfordert.
Setzen Lehrkräfte mit Zustimmung der Schulleitung kostenlose Padlets ein, sollte ebenfalls eine Einwilligung eingeholt werden.7Siehe auch Padlet mit Einwilligung nutzen
Tipps zur sicheren Nutzung von Padlet
- Lehrkräfte sollte darauf achten und ihre Schüler dafür sensibilisieren, dass in ein Padlet keine Informationen eingetragen werden, anhand derer sie eindeutig zu identifzieren sind. Dazu gehören auch Fotos, auf welchen die Schüler abgebildet sind, oder Stimmaufnahmen.
- Es ist nicht erforderlich, individuelle Nutzerkonten für Schüler anzulegen, da die Bearbeitung auch ohne solche möglich ist.
- Padlets sollte grundsätzlich immer auf geheim gestellt werden, da sie so nicht über Suchmaschinen gefunden und indiziert werden können. Ebenso wird damit unterbunden, dass Dienste Dritter die Inhalte von Padlets analysieren und eventuell Besuchern zuordnen.8Beispiel: ein Padlet mit Inhalten zum Thema Bauernhof wird von einem Schüler besucht, um sich dort kundig zu machen und Aufgaben herunterzuladen. Der Zugriff erfolgt von zu Hause aus. Bei einem öffentlichen Padlet könnte etwa ein Dienst wie Google-Analytics über die IP Nummer des Heimanschlusses und Informationen aus anderen Quellen dem Schüler die Information zugeordnet werden – ‘hat ein Padlet mit dem Thema Bauernhof aufgesucht‘. Ist das Padlet geheim, kann dem Schüler nur die Information zugeordnet werden – ‘hat ein Padlet aufgesucht‘.
- Nach Ende eines Projektes, an dem Schüler gearbeitet haben, sollte die Schreibberechtigung für andere Personen als die Lehrkraft deaktiviert werden, um Vandalismus vorzubeugen.
- Nutzt eine Schule Padlets als öffentliche Seiten, sollte es auf jedem Padlet einen Link zur Datenschutzerklärung auf der Schulhomepage geben. Diese muss dann auch Angaben zur Datenverarbeitung beim Aufruf eines Padlets enthalten.
Bewertung von Padlet durch die Hessische Aufsichtsbehörde
Auch die Behörde des Hessischen Beauftragten für Datenschutz und Informationsfreiheit hat sich Padlet angesehen. Ähnlich wie dieser Datenschutz-Check kommt man in dem Beitrag “Kein ausreichender Datenschutz bei der Nutzung von Padlet” vom 01.02.2021 zu dem Schluss: “Eine datenschutzrechtlich unproblematische Nutzung von Padlet kann nur dadurch erzielt werden, wenn die Nutzung ausschließlich auf schulischen Rechnern stattfindet.”
Geht es um eine Nutzung über private Endgeräte oder den heimischen Internetzugang, kommt man zu einem anderen Ergebnis: “Werden private Geräte eingesetzt, ist eine datenschutzkonforme Anwendung kaum mehr möglich. Auch mit der Einwilligung der Betroffenen und hinreichenden Informationen zur Datenverarbeitung, soweit diese überhaupt gegeben werden können, bietet sich eine Nutzung der Plattform Padlet im schulischen Kontext nicht an.”
Es wird deutlich, die Aufsichtsbehörde schätzt die im Datenschutz-Check beschriebenen im Hintergrund von Padlet laufenden Dienste Dritter bezüglich dadurch entstehender möglicher Risiken deutlich kritischer ein.
Hinweise zur Nutzung der Padlet Apps
Im September 2020 hat das Portal MOBILSICHER die Padlet Apps unter die Lupe genommen. In ihrem Test kommen sie zu dem Schluss, dass aus den mobilen Apps Daten an Dritte abfließen, “an den Dienstleister Branch Metrics, der aus der App Informationen zusammen mit der Werbe-ID erhält“, an Microsoft, die “den Namen des Mobilfunkproviders sowie User-Agent mit Build-Nummer” erhalten, und an Google, die “u.a. die Werbe-ID, die Hardware-ID und die IMEI-Nummer” erhalten. Zu beachten ist hierbei, dass Daten zum Mobilfunkprovider und IMEI-Nummer nur bei Geräten mit mobilem Zugang und SIM Karte vorhanden sind und abgefragt werden können. Das wäre beispielsweise der Fall, wenn Schüler mit ihren Smartphones die Padlet App nutzen. Wenn Lehrkräfte Padlet im (Distanz)Unterricht einsetzen, sollten sie darauf hinweisen, dass Eltern sich vor der Installation des Apps auf einem Mobilgerät ihres Kindes entsprechend informieren. Schülerinnen und Schüler ohne Zustimmung der Eltern aufzufordern, sich das App auf ihr Smartphone zu installieren, kann vor allem bei jüngeren Schülern rechtliche Folgen für Lehrkräfte nach sich ziehen.
Gegen eine Nutzung der Padlet App auf schulischen iPads spricht nichts. Selbst bei einer Nutzung mit managed Apple IDs erhalten der Anbieter und die Dienste im Hintergrund nicht mehr Informationen als sie bei der Nutzung von Padlet über einen Browser erhalten.
Zusätzliche Informationen
Das Data Processing Addendum, der Vertrag zur Auftragsverarbeitung von Padlet im Check mit der Checkliste der Orientierungshilfe Auftragsverarbeitung. Mit Hilfe der Checkliste wurde überprüft, welche Kriterien das Data Processing Addendum erfüllt. Nicht alle Kriterien treffen auf Padlet zu. Die meisten Punkte werden erfüllt. Es verbleiben jedoch auch einige, zu denen Angaben nicht gemacht werden können. Ein Teil der Informationen, welche die Checkliste abfragt, müssen der Datenschutzerklärung und den Geschäftsbedingungen von Padlet entnommen werden.
Das Data Processing Addendum in einer zweisprachigen Version zum besseren Verständnis.9Übersetzung vom Betreiber der Seite und mit Unterstützung von Deepl, das vor allem bei Rechtstexten gute Dienste leistet.
Genügt das Data Processing Addendum den Anforderungen von Art. 28 DS-GVO?
In großen Teilen sollte, wie die Analyse oben zeigt, das Data Processing Addendum die Vorgaben von Art. 28 DS-GVO erfüllen, doch es gibt einige Bereiche, bei denen Fragen offen bleiben. Eine davon betrifft die Hinzunahme weiterer Auftragsverarbeiter durch den Padlet zur Unterstüztung der eigenen Auftragsverarbeitung für den Vertragnehmer (Schule). In Abs. 2 Art. 28 DS-GVO heißt es dazu:
“Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch.”
Im Data Processing Addendum wird hierzu nichts gesagt, weder räumt Padlet dem Verantwortlichen eine Möglichkeit zur Genehmigung ein, noch sagt man zu, den Verantwortlichen zu informieren. Da der Anbieter sich jedoch verpflichtet, von weitere Auftragsverarbeitern, vertraglich die Gewährleistung eines gleichen Datenschutzniveaus und gleicher Sicherheit einzufordern, sollte daraus kein Problem erwachsen.
Garantien, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung DS-GVO konform erfolgt, liegen nicht vor. Ob das Sicherheitskonzept, welches man anfordern kann, wenn man das Data Processing Addendum vereinbart hat, ausreicht, müsste man sehen.
Stand 02/2021