Schulmanger Online – Schulalltag organisieren

Lesezeit: 5 Minuten

Beschreibung

Schulmanager Online ist eine webbasierte, modulare Plattform, die Schulen bei der Organisation und Kommunikation unterstützt. Sie bietet Module wie Elternbriefe, Krankmeldungen, digitale Klassenbücher und mehr. Schulen wählen die Module nach ihren Bedürfnissen aus. Ziel der Plattform ist es, den Schulalltag effizienter zu gestalten und die Interaktion zwischen Lehrkräften, Schülern und Eltern zu verbessern. Die Multifunktionalität die Anzahl genutzter Plattformen klein halten. Der Aufruf der Plattform ist über Browser und Apps für iOS und Android möglich. Schulen, welche die Plattform für ihre Zwecke testen möchten, können einen dreimonatigen kostenlosen Testzugang erhalten. 

Datenschutz, Sicherheit

Serverstandort, Anbieter

Schulmanager Online GmbH ist ein deutscher Anbieter mit Sitz in München. Betrieben wird die Plattform in Deutschland auf den Servern verschiedener Anbieter. Stand November 2024 waren dieses für Hosting und Betrieb der Anwendung:

  • dogado GmbH, Saarlandstraße 25, 44139 Dortmund
  • Strato AG, Pascalstraße 10, 10587 Berlin
  • ALL-INKL.COM – Neue Medien Münnich, Hauptstraße 68, 02742 Friedersdorf
  • 1&1 IONOS SE, Elgendorfer Straße 57, 56410 Montabaur
  • infra.run Service GmbH, Wilhelmine-Gemberg-Weg 14, 10179 Berlin
  • Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen
  • SysEleven GmbH, Boxhagener Straße 80, 10245 Berlin

und für automatische Übersetzungen:

  • DeepL GmbH, Maarweg 165, 50825 Köln

Welche Dienstleister bei der einzelnen Schule zum Einsatz kommen, dürfte dabei auch von den genutzten Diensten abhängen.

Datenschutzerklärung

Unter https://login.schulmanager-online.de/#/privacy findet sich eine Datenschutzerklärung zum Login Bereich, in welcher erklärt wird, welche Daten bei der Registrierung verarbeitet werden. Diese Datenschutzerklärung ersetzt nicht die schuleigene, welche die Schule mit Hilfe dieser Informationen und des Vertrags zur Auftragsverarbeitung in Abhängigkeit der genutzten Module erstellen muss.

Welche personenbezogenen Daten im Einzelfall an einer Schule verarbeitet werden, hängt maßgeblich davon ab, welche Module genutzt und wie diese Module genutzt werden. Bei Schulen, die das komplette Paket aus allen Modulen nutzen, können dies sehr viele Daten sein. Im Vertrag zur Auftragsverarbeitung werden folgende mögliche personenbezogene Daten aufgegeführt:

Personenstammdaten, Kontaktdaten, Adressen, Daten zur Schullaufbahn, Zugehörigkeit zu Gruppen, Daten zum Schulbetrieb (z. B. Stunden- und Vertretungsplan, besuchter Unterricht), Login-Daten (Benutzername/E-Mail-Adresse, Passwort), Fehlzeiten (z. B. Krankmeldungen, Beurlaubungen), Daten zum Verhalten und Maßnahmen (z. B. Klassenbucheinträge, Nachsitzen), Buchungsdaten (z. B. Elternsprechtage, Sprechstunden, Wahlfächer), Leistungsdaten (z. B. Noten), Kommunikationsinhalte (z. B. Chat-Verläufe), Einwilligungen, Zahlungsdaten, Protokolldaten, Bestandsdaten, Inhaltsdaten, Kommunikationsdaten (z. B. IP-Adressen) sowie jegliche weitere Art von personenbezogenen Daten der unter “Kategorien betroffener Personen” genannten Personengruppen, die im Schulalltag anfallen bzw. die von der Schule oder einer Person, der die Schule Zugriff auf die Software gegeben hat, in Schulmanager Online eingegeben werden.

Im Minimum werden, etwa wenn nur die Stunden- und Vertretungsplan Funktion genutzt wird, also Login-Daten von Schülern und Lehrkräften und bei letzteren zusätzliche Stundenplan-Daten verarbeitet. Um sicherzustellen, dass nur von der Schule autorisierte Nutzer Zugang zur Plattform erhalten, erfolgt die Einladung über einen individuellen Benutzercode. Mit diesem können Nutzer dann ihren Zugang einrichten.

Vertrag zur Auftragsverarbeitung

Der Vertrag zur Auftragsverarbeitung deckt die üblichen Bereiche ab und ist durch einen Anhang mit technischen und organisatorischen Maßnahmen ergänzt sowie eine Auflistung aktueller Unterauftragsverarbeiter.  

Beim Zweck der Verarbeitung hat der Anbieter den Vertrag zur Auftragsverarbeitung im Vergleich zur Version von 2020 nachgebessert. Während es in der Version von 2020 noch “Entwicklung und Betrieb der Web-Plattform “Schulmanager Online”” Zweck der Verarbeitung war, geht es jetzt um “Nutzung der Web-Plattform “Schulmanager Online”, Support im Rahmen dieser Nutzung sowie Weiterentwicklungen, sofern diese im Auftrag des Auftraggebers erfolgen.” Damit ist der Anbieter nicht mehr dem möglichen Vorwurf ausgesetzt, personenbezogene Daten des Auftraggebers für eigene Zwecke zu verarbeiten, was gem. Art. 28 DS-GVO nicht statthaft ist.

Der Anbieter verpflichtet sich, seinen Unterauftragnehmern die gleichen Pflichten aufzuerlegen, wie sie für ihn selbst laut Vertrag zur Auftragsverarbeitung gelten. Durch die Selbstverpflichtung in § 8 des AVV “die Vorgaben des KDG bzw. des DSG-EKD – analog zu denen der DSGVO – anzuerkennen und einzuhalten,” sollte der Vertrag in der vorliegenden Form auch für Schulen in kirchlicher Trägerschaft akzeptabel sein.

Die Schulmanager Online Plattform ist nutzerseitig durch eine Richtlinie für die Passwortkomplexität “(mindestens 10 Zeichen, mindestens 3 verschiedene Zeichenarten)” abgesichert. Zwei-Faktor-Authentifizierung (2FA) mit dem TOTP-Verfahren (zeitbasiertes Einmalpasswort z.B. per Authenticator App) ist verfügbar, um Nutzerkonten zusätzlich abzusichern. Die Kommunikation zwischen App und Browser und der Plattform ist per SSL abgesichert. Aussagen zur Sicherheit der auf den Servern gespeicherten Daten über die geschützten Zugänge für Nutzer und den Anbieter selbst, finden sich nicht. Eine Verschlüsselung ruhender Daten dürfte damit, wie bei den meisten Online-Plattformen, nicht vorliegen. Man verlässt sich hier als Anbieter auf den Schutz der Server durch den Dienstleister selbst und die Absicherung der Zugänge zur Plattform auf Seiten der Nutzer/ Schulen und dem Backend, über das der Anbieter selbst auf die Plattform zugreift.

Die Plattform verarbeitet, wenn die entsprechenden Module genutzt werden, sensible personenbezogene Daten wie Krankmeldungen, Leistungsdaten und Daten zum Verhalten und Maßnahmen diesbezüglich. 

Cookies, Tracking

Der Anbieter verzichtet in seiner Webplattform auf den Einsatz von Drittanbieter Tools dieser Art.

Beim ersten Aufruf der iOS App nach der Installation mit zugelassenen Push Benachrichtigungen wurde laut der iOS App Privacy Report Funktion Google Domains aufgerufen.  Aufgerufen wurden dabei device-provisioning.googleapis.com, fcmtoken.googleapis.com und firebaseinstallations.googleapis.com. fcmtoken.googleapis.com wurde auch bei späteren Aufrufen des Apps ohne Login kontaktiert. Es hängt laut Dokumentation u.a. mit den Push Benachrichtigungen zusammen. Im Android App lassen sich laut Exodus keine Code Signaturen von Trackern nachweisen. Ein Test mit TC Slim findet jedoch Code Signaturen (Libraries) von Google Firebase Analytics und zeigt Kontakte zu content-autofill.googleapis.com und firebaseinstallations.googleapis.com an. Die Verbindung zu dem content-autofill.googleapis.com Server ermöglicht es der App, auf gespeicherte Autofill-Daten zuzugreifen, um Formulare und Eingabefelder, hier die Logindaten (E-Mail und Passwort) automatisch auszufüllen, sofern der Nutzer sie bei einem ersten Login gespeichert hat. Werden Logins so gespeichert, können sie auch auf anderen von Nutzer verwendeten Geräten und bei Anmeldungen im Google Konto im Browser zur Verfügung gestellt werden. firebaseinstallations.googleapis.com ist sehr weit verbreitet bei Android App Entwicklern, wird jedoch von einigen Datenschützern kritisch gesehen. Essentielle Risiken ergeben sich aus der Nutzung in der Regel nicht.

Datenschutz Bewertung Übersicht

Der Anbieter von Schulmanager Online ist bezüglich der Datenverarbeitung transparent. Die Verarbeitung von personenbezogenen Daten beschränkt sich, soweit nachweisbar, auf das zur Bereitstellung der Plattform erforderliche. Risiken, welche sich aus der Verarbeitung von personenbezogenen Daten in der Plattform ergeben können, hängen maßgeblich von den genutzten Modulen und den darin eingegebenen Daten und gegebenenfalls hochgeladenen Dateien ab. Die Apps für iOS und Android nutzen Google Firebase Dienste in geringem Umfang. Risiken bezüglich der in Schulmanager Online verarbeiteten Daten und Inhalte ergeben sich daraus nicht. Es geht hier dann eher um die Möglichkeit, dass Google Nutzern, die auf Android und auch iOS Geräten bei Google Diensten angemeldet sind, die Nutzung der Schulmanager Online App zuordnen könnte.

Hinweise zur Nutzung durch Schulen

Wollen Schulen die Plattform drei Monate lang kostenlos testen, werden dabei je nach Testszenario immer auch personenbezogene Daten der einbezogenen Test-Nutzer verarbeitet. Es sollte also auch dafür ein Vertrag zur Auftragsverarbeitung mit dem Anbieter abgeschlossen werden.

Schulen sollten die Nutzung der 2FA zur Absicherung der Zugänge zumindest für Nutzer mit Administrationsberechtigung verpflichtend vorgeben. Setzt die Schule auch Module ein, durch welche sensiblere personenbezogene Daten verarbeitet werden, sollten auch Nutzer, welche auf diese Daten Zugriff haben, etwa Klassenlehrer, Schulleitungsmitglieder und Mitarbeiter des Sekretariats zur 2FA Nutzung verpflichtet werden, um diese Zugänge dem Risiko entsprechend zu schützen. 

In NRW fällt Schulmanger Online unter Arbeits- und Kommunikationsplattformen gem. § 120 Abs. 5 Satz 2 SchulG NRW und könnte entsprechend nach Vorschlag durch den Schulträger durch die Schulkonferenz zur verpflichtenden Nutzung eingeführt werden. Für Lehrkräfte und Schüler ist die Nutzung jedoch nur dann verpflichtend, wenn ihnen ein von der Schule oder dem Schulträger bereitgestelltes Endgerät zur Verfügung steht. Für Eltern ist die Nutzung immer freiwillig und bedarf einer Einwilligung. Diese kann, wenn man es entsprechend gestaltet, durch die Aktivierung des Elternzugangs mit dem ersten Login erteilt werden (konkludentes Handeln).

Auch wenn der Anbieter in der Webplattform wie auch den Apps eine Datenschutzerklärung bereitstellt, müssen Schulen eine eigene Datenschutzerklärung erstellen, da die jeweiligen verarbeiteten personenbezogenen Daten wie auch die Verarbeitungszwecke von den genutzten Modulen der Plattform abhängen. 

Ob Lehrkräfte das Schulmanager Online App in NRW auf einem privaten Endgerät nutzen können, hängt von den von der Schule verwendeten Modulen ab. Solange es sich nur dem den Stunden- und Vertretungsplan handelt, ist eine Nutzung der App auch ohne Genehmigung der Schulleitung möglich, da es sich um dienstlich bekannte Daten handelt. Das ändert sich jedoch, wenn beispielsweise das Modul Digitales Klassenbuch verwendet wird. Mit Genehmigung der Schulleitung bestimmt Anlage 3 der VO-DV I welche Daten auf dem privaten Endgerät verarbeitet werden dürfen.

Stand 11/2024

Online Terminabstimmung – DS-GVO freundlich

Lesezeit: 4 Minuten

Termine für den Elternsprechtag lassen sich heute leicht über das Internet abstimmen. Dafür gibt es mehrere Möglichkeiten. Nicht alle sind aus Sicht des Datenschutzes gleich gut.

Doodle und Co.

Doodle

Das im Tweet angesprochene Doodle ist ein Unternehmen aus der Schweiz und müht sich schon um ein Angebot, welches sich datenschutzkonform einsetzen lässt. Wie die Datenschutzerklärung zeigt, braucht das Unternehmen jedoch eine ganze Reihe von Diensten, welche auf die Daten der Nutzer zugreifen, teilweise in anonymisierter Form. Zudem ist es möglich Doodle mit Kalendern zu koppeln und darüber Nutzer per E-Mail einzuladen. Auch wenn die genutzten Server in Irland und Deutschland stehen und die verschiedenen Datennutzungen in der Datenschutzerklärung sauber ausgewiesen sind, sollte man für Schule eine datensparsamere Alternative nutzen. Ähnliches lässt sich bezüglich Datenschutz übrigens auch für die Terminabfrage und Umfrage Plattform des deutschen Anbieters Xoyondo sagen.

Dudle

Eine solche Alternative ist Dudle von der TU Dresden. Das Angebot lässt sich sehr datensparsam einsetzen, auf Wunsch personalisieren1Mit der Personalisierung werden mehr personenbezogenen Daten erforderlich für die Nutzung. oder auch komplett anonym nutzen.

DFNTerminplaner

Ebenfalls ohne kommerzielle Interessen wird das Online Tool zur Abstimmung von Terminen,  DFNTerminplaner, vom Verein zur Förderung eines Deutschen Forschungsnetzes e. V. betrieben. Es kommt in verschiedenen Versionen. Die einfachste Version lässt sich sehr datensparsam nutzen und ist vergleichbar zur anonymen Version von Dudle.2DFN Terminplaner basiert auf Foodle, einer Entwicklung aus Norwegen. Wer das Tool selbst auf einem Server betreiben möchte, findet es auf Github unter Uninett/ Foodle.

Terminplaner

Auf der gleichen Plattform wie der DFNTerminplaner basiert auch der Terminplaner, der von IT.NRW zur kostenlosen Nutzung zur Verfügung gestellt wird. Entsprechend sind Bedienung und Funktionalitäten nahezu identisch. Die von IT.NRW bereitgestellte Version entspricht dem einfachen DFNTerminplaner. Die weiteren dort angebotenen Versionen mit zusätzlicher Funktionalität gibt es hier nicht.

Nuudel – Umfragen bei digitalcourage

Seit Mitte 2019 gibt es noch einen Anbieter, welcher den Terminplaner in eigener Regie anbietet. Das ist der Verein digitalcourage. Unter Nuudel findet sich der bekannte Terminplaner und ein Umfragetool. Die Erstellung und Nutzung ist komplett anonym möglich.

TerminO

TERMINO ist eine Plattform zur Abstimmung von Terminen, speziell – aber nicht nur – für Mitarbeiter*innen im öffentlichen Dienst Österreichs. Die Plattform setzt auf der bekannten, auch vom DFNTerminplaner genutzten Software auf.

Letsfind

Hinter Letsfind verbirgt sich eine Plattform zur Terminabstimmung aus der Schweiz. Es handelt sich um eine Eigenentwicklung. Letsfind kann auch Text-Umfragen durchführen. Die Nutzung ist kostenlos. Umfragen werden über einen Link weitergegeben. Über einen speziellen Link kann die Umfrage zur erneuten Bearbeitung aufgerufen werden. Auch die Ergebnisse haben einen eigenen Link. Wer möchte, kann eine E-Mail Adresse hinterlegen für Benachrichtigungen zur Umfrage.

Dudl, DFNTerminplaner, Terminplaner und Letsfind aus datenschutzrechtlicher Sicht

Auch wenn man davon ausgehen kann, dass sowohl die Betreiber von Dudl als auch von DFNTerminplaner und Terminplaner ihre Online Terminabfrage Seiten ohne kommerzielle Interessen betreiben und die personenbezogenen Daten der Nutzer nur entsprechend ihrer Datenschutzerklärungen verarbeiten, bewegt man sich aus datenschutzrechtlicher Sicht vermutlich in einem Graubereich, wenn man diese Möglichkeit zur Planung von Elternsprechtagen nutzt. Aus datenschutzrechtlicher Sicht könnte man argumentieren, dass für diese Terminabfragen ein Vertrag zur Auftragsverarbeitung mit den Anbietern abgeschlossen werden müsste, da ähnlich wie bei der Schulhomepage personenbezogene Daten der Besucher verarbeitet werden.3 Bei Dudel können dieses sein:
– In Umfragen eingegebene Daten (z.B. Titel der Umfrage, Namen der Teilnehmer, Verfügbarkeiten, Kommentare)
– IP Adresse
– Name der abgerufenen Datei
– Datum und Uhrzeit des Abrufs
– Meldung, ob der Abruf erfolgreich war
– verwendeter Browser
– verwendetes Betriebssystem

Empfehlung

Wenn man als Lehrkraft den Eltern eine Online Terminabstimmung für einen Elternsprechtag anbieten möchte, so sollte man dafür auf eine Lösung wie Doodle definitiv verzichten. Zwar sieht die Terminabstimmung für Eltern dort nicht wesentlich anders aus als bei Dudel, DFNTerminplaner oder Terminplaner – Name eintragen und Termin wählen, doch was die Eltern nicht sehen, Doodle greift deutlich mehr Daten ab, wenn der Termin ausgewählt wird. Besser sind hier dann Dudel oder der DFNTerminplaner. Sie können, wenn man die Daten der Person, welche die Terminabfrage erstellt, minimieren möchte, in der anonymen Form genutzt werden. Den Link kann man den Eltern per Schulmail mitteilen oder auf einem Zettel mit einem QR Code. Bei einem Einsatz von Dudl oder DFNTerminplaner durch eine Schule sollten den Eltern auf jeden Fall Informationen zur Datenverarbeitung auf der jeweiligen Plattform gegeben werden.4Das könnte etwa in dieser Art erfolgen. “Liebe Eltern zur Terminabstimmung für den Elternsprechtag am … nutzen wir das Online Tool …. von der Universität … Bei der Nutzung werden außer einer Eingabe des Nachnamens und der Wunschtermine folgende Informationen über den Browser erhoben: … Der … Anbieter sichert über seine Datenschutzerklärung (verlinken!) zu, dass diese Daten nicht für andere Zwecke als die Terminplanung und den technischen Betrieb der Plattform genutzt werden. Falls Sie das Online Tool nicht nutzen möchten, können Sie Ihre Terminwünsche auf folgendem Weg rückmelden …” So können sie selbst entscheiden, ob sie das Tool nutzen wollen oder statt dessen eine Terminrückmeldung über Papier oder E-Mail wünschen.

Hinweis
Die Nutzung einer Online Terminabfrage kann in jedem Fall nur auf freiwilliger Basis erfolgen.5Aus schulrechtlicher Sicht lässt sich keine Verpflichtung zur Nutzung eines solchen Tools ableiten. Eltern, welche diese Möglichkeit nicht nutzen wollen oder können, muss ein alternativer Weg angeboten werden.

Besser noch als kleine Lösungen, bei denen jede Lehrkraft ihre eigene Online Terminabfrage erstellt, sind sicherlich schulische Gesamtlösungen, die datenschutzrechtlich sauber aufgestellt sind. Dazu gehören kostenpflichtige Plattformen wie der Schulmanger Online, der ein eigenes Elternsprechtag Modul bietet, dessen Funktionen über eine einfache Terminabstimmung hinaus gehen. Für eine Schule ist eine derartige Lösung aus Sicht des Datenschutz die sauberste Lösung, da mit dem Anbieter ein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann und die Verwendung der personenbezogenen Daten der erstellenden Personen wie auch der Eltern eindeutig geregelt ist.

Weiter lesen

Stand 09/2020