datenschutz-check selbst durchführen

# Hinter die Kulissen geschaut! ## Datenschutz bei Online-Plattformen und Apps selbst überprüfen  slide: https://hackmd.io/@paed-oe-d/datenschutz-check ![](https://i.imgur.com/vMzOyPb.png) Kurz URL: ogy.de/07r2 --- | Datenschutzhinweis | | -------- | | Die Plattform HackMD.io nutzt Google-Analytics, wie sehr viele andere Websites. Google erfährt damit auf dieser Seite, dass, wann, wie oft und wie lange ein Nutzer mit einer bestimmten IP Nummer und Gerätemerkmalen die Website besucht hat, jedoch nicht, was man dort getan hat. Auf einem privaten Endgerät kann Google diese Informationen dann in der Regel durch Zusammenführung mit Informationen aus anderen Quellen einer identifizierbaren Person zugeordnen.| | Wird die Plattform in der Schule mit schulischen Endgeräten ohne Logins an anderen nichtschulischen Plattformen eingesetzt, kann sie ohne Risiken genutzt werden, solange Nutzer keine persönlichen Informationen einstellen. Der Nutzer bleibt dann für Google anonym.| |Die Plattform wird außerhalb von HackMD.io weitergeführt als [HedgeDoc](https://hedgedoc.org/). Über den Verein [Cyber4Edu](https://cyber4edu.org/c4e/wiki/unsere_angebote) kann man die Plattform datenschutzkonform hosten lassen. Den Vertrag zur Auftragsverarbeitung gibt es auch. :point_right: Wie man nachprüfen kann, dass Google-Analytics hier im Hintergrund aktiv ist, erfährt man bei der weiteren Lektüre. --- ## Worum soll es gehen? **Datenschutzkonformität von Online-Tools für den Einsatz im Unterricht überprüfen** Zeitgemäßes schulisches Arbeiten ist ohne digitale Elemente nicht denkbar. Dabei spielen webbasierte Anwendungen und Apps mit Online-Anbindung, deren Angebot man teilweise auch über den Browser nutzen kann, eine zentrale Rolle. Diese Tools können nur dann rechtssicher eingesetzt werden, wenn sie den Vorgaben des Schulgesetzes des Bundeslandes und der DS-GVO genügen. Lehrkräfte und Schulleitungen müssen daher datenschutzrechtliche Probleme erkennen können. Im Workshop lernen die Teilnehmer eine Reihe von Möglichkeiten kennen, mit denen auch ohne spezielle Kenntnisse und Hilfsmittel geprüft werden kann, ob Apps die datenschutzrechtlichen Vorgaben erfüllen und wenden sie während des Workshops auf von ihnen gewählte Beispiele an. --- ## Problemstellung - Als Lehrkräfte stoßen wir immer wieder auf interessante Plattformen und Tools, - die unseren Unterricht bereichern oder - die uns bei der pädagogischen Dokumentation oder bei Verwaltungsarbeiten unterstützen könnten. - Aber wir wissen nicht, ob wir sie überhaupt nutzen können. :question: - Welche Bedingungen müssen eigentlich erfüllt sein, damit wir ditiale Plattformen und Tools zur Verarbeitung von personenbezogenen Daten aus der Schule nutzen können :question: :question: --- ## Rechtlicher Rahmen Wenn man Datenverarbeitung in Schule betrachtet, muss man verschiedene Aspekte im Blick haben. * die besondere Stellung von Kindern im Datenschutzrecht * die rechtlichen Vorgaben des SchulG NRW * die rechtlichen Vorgaben der DS-GVO (des DSG NRW) ### Kinder Die personenbezogenen Daten von Kindern (bis vor Vollendung des 16. Lebensjahres) stehen in der DS-GVO unter einem besonderen Schutz - [Erwägungsgrund 38](https://dsgvo-gesetz.de/erwaegungsgruende/nr-38/). > Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. ### Verantwortlicher Wenn eine Schule die personenbezogenen Daten von Schülerinnen und Schülern und Lehrkräften verarbeitet, dann muss sie **Herrin der Daten** :crown: sein. Das heißt im Sinne des Datenschutzrechts - sie ist Verantworlicher gem. [Art. 4 Abs. 7 DS-GVO](https://dsgvo-gesetz.de/art-4-dsgvo/). > „**Verantwortlicher**“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; Auch das SchulG NRW gibt diesen Rahmen vor - [VO-DV I](https://bass.schul-welt.de/1393.htm). > **§ 3 Datenverarbeitung im Auftrag** Die Schulen, Schulaufsichtsbehörden und Zentren für schulpraktische Lehrerausbildung sind berechtigt, unter Beachtung der Voraussetzungen des § 11 des Datenschutzgesetzes Nordrhein-Westfalen die Datensicherheit gewährleistende und zuverlässige Dritte mit der Verarbeitung ihrer Daten zu beauftragen. Diese Datenverarbeitung im Auftrag ist nur nach Weisung des Auftraggebers und ausschließlich für deren Zwecke zulässig. #### Art. 5 DS-GVO In [Art. 5 DS-GVO](https://dsgvo-gesetz.de/art-5-dsgvo/) sind die **Grundsätze für die Verarbeitung personenbezogener Daten** definiert. * Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz * Zweckbindung * Datenminimierung * Richtigkeit * Speicherbegrenzung * Integrität und Vertraulichkeit ##### Rechtmäßigkeit und Transparenz Vor allem diese beiden Punkte bereiten Schulen oftmals Probleme, wenn es um die Nutzung von Anbietern geht. * Die Anbieter verarbeiten personenbezogene oder -beziehbare Daten aus der Schule zu eigenen Zwecken ohne eine ausreichende Rechtsgrundlage. * Die Schule ist als verantwortliche Stelle nicht in der Lage, ihren Informationspflichten gem. [Art. 13 DS-GVO](https://dsgvo-gesetz.de/art-13-dsgvo/) gerecht zu werden. ### Auftragsverarbeiter Nutzt eine Schule einen Dienstleister für die Verarbeitung von personenbezogenen Daten von Schülern und Lehrkräften, kann dieser folglich nur als Auftragsverarbeiter im Sinne von [Art. 28 DS-GVO](https://dsgvo-gesetz.de/art-28-dsgvo/) sein. Das bedeutet, er darf die personenbezogenen Daten aus der Schule nur auf Weisung und für Zwecke der Schule verarbeiten und nicht für eigene Zwecke. ### Schrems II Urteil Durch das Schrems II Urteil ist eine Übermittlung von personenbezogenen Daten in die USA oder andere unsichere Drittstaaten nur noch unter erschwerten Bedingungen möglich. Dabei ist es unerheblich, ob die Server, auf denen die Daten verarbeitet werden, von US Anbietern oder Anbietern anderer Nationalitäten betrieben werden. *Schulen dürften in der Regel nicht in der Lage sein, die Bedingungen zu erfüllen, welche sich durch das Schrems II Urteil ergeben.* ### CLOUD-Act Der CLOUD-Act gibt US Ermittlungsbehörden Zugriffsrechte auf die personenbezogenen Daten von EU Bürgern, wenn diese auf Servern gespeichert sind, die von US Dienstleistern betrieben werden ## Was heißt das für die Praxis? :A: Eine Schule kann einen Anbieter für die Verarbeitung von personenbezogenen Daten aus der Schule nur dann nutzen, wenn dieser die oben beschriebenen Bedingungen erfüllt: * :arrow_forward: Die Schule muss **transparent Auskunft** über die Verarbeitung von personenbezogenen Daten durch den Anbieter geben können. * :arrow_forward: Die personenbezogenen Daten aus der Schule dürfen **nicht auf Servern in den USA oder anderen unsicheren Drittstaaten** verarbeitet werden, außer sie erfüllt die Bedingungen, die mit Schrems II gesetzt wurden. * :arrow_forward: Ein Anbieter darf **personenbezogene oder -beziehbare Daten aus der Schule nur zu festgelegten, DS-GVO konformen Zwecken** verarbeiten. * :arrow_forward: Eine **Verarbeitung zu eigenen Zwecken** des Anbieters wie der Erstellung von Profilen und zur Anzeige von Werbung ist nicht zulässig. * :arrow_forward: Eine **Übermittlung an Dritte** oder **Bereitstellung für Dritte** ist ohne eine DS-GVO konforme Rechtsgrundlage nicht zulässig. * :arrow_forward: Die Schule muss/ sollte einen **Vertrag zur Auftragsverarbeitung** (engl. DPA/ Data Processing Addendum :gb:/ Data Processing Agreement :gb:) mit dem Anbieter abschließen (können), in welchem die Schule Verantwortlicher (Controller :gb:) und der Anbieter Auftragsverarbeiter (Processor :gb:) ist. * :arrow_forward: Für vom Anbieter genutzte Dienstleister (subprocessors :gb:) gelten die gleichen Bedingungen bezüglich Server-Standort, Befugnissen und Verpflichtungen. :B: Die Schule nutzt einen Anbieter ohne einen Vertrag zur Auftragsverarbeitung oder ein vergleichbares Vertragsverhältnis. Dann entspricht die Verarbeitung von personenbezogenen und -beziehbaren Daten im weitesten Sinne einer Übermittlung dieser Daten - und kann **eventuell** durch eine Einwilligung ermöglicht werden. **Aber auch dann gelten die ersten drei der oben genannten Vorgaben.** Die rechtliche Verpflichtung des Anbieters dazu müsste dann zumindest aus den AGB (Geschäftsbedingungen) bzw. TOS (Terms) hervorgehen. Schulen bewegen sich hier unter Umständen bereits in Graubereichen, die auch durch Einwilligungen (in die Verarbeitung von personenbezogenen Daten oder die Nutzung) nicht zu heilen sind. --- ## Verbreitete Irrtümer :no_entry: Eine Plattform kann bedenkenlos genutzt werden, wenn 1. der Anbieter * aus Deutschland kommt, * eine .de Domain nutzt, * aus einem anderen EU Land kommt, * seinen Sitz in der EU hat, * einen Datenschutzbeauftragten in der EU hat, * ein NGO oder ein gemeinnütziger Verein ohne finanzielle Interessen ist * einen bekannten Namen/ Markennamen hat, * angibt oder sogar damit wirbt, DS-GVO konform (GDPR comliant :gb:) zu sein , * in AGB und Datenschutzerklärung angibt, Daten nicht für eigene Zwecke zu verarbeiten oder zu übermitteln, außer er ist gesetzlich dazu verpflichtet, * Nutzern zusichert, ihrer Daten niemals zu verkaufen, * US Kinderschutz Siegel wie COPPA und FERPA angibt (COPPA, FERPA compliant :gb:), * die EU Standardvertragsklauseln (Standard Contractual Clauses, SCC :gb:) anbietet, * zusichert, von ihm genutzte Dienstleister den gleichen strengen Datenschutzbestimmungen zu unterwerfen, die er seinen Nutzern in der Datenschutzerklärung für sein Angebot zusichert, 2. die Plattform * auf Open Source aufgebaut ist, * eine Nutzung ohne Anmeldung ermöglicht, * Cookies abwählen lässt, * keine Werbung zeigt, * ein BSI Testat hat, * ein Prüfsiegel hat, * ISO 27001 zertifiziert ist, * in einem ISO 27001 zertifizierten Rechenzentrum betrieben wird, * nur gegen eine Lizenzgebühr nutzbar ist, * ein aktuelles SSL Zertifikat nutzt, * ohne App im Browser genutzt werden kann, 3. sie empfohlen wird * durch einen Medien-Guru * eine pädagogische Handreichung eines Verlags * einen Fortbildner * eine Fachzeitung * ein Medienportal 4. die Schüler oder ihre Eltern eingewilligt haben, 5. viele andere Schulen diese Plattform auch nutzen, 6. die Daten nach Angaben es Anbieters auf seinen Servern verschlüsselt gespeichert werden und damit für diesen anonym sind und gar keine personenbezogenen Daten darstellen, --- :warning: Diese weitverbreiteten Irrtümern zeigen hoffentlich, dass es nicht einfach ist, Anbieter und ihre digitalen Produkte hinsichtlich ihrer Nutzbarkeit für Schule zu beurteilen. Merkmale, die eigentlich ausreichen sollten, die Eignung zu beurteilen, müssen nicht die ganze Wahrheit darstellen. --- ## Vertrauen und Kontrolle Aus all dem ergibt sich für Schulen die Verpflichtung, Anbieter vorher kritisch unter die Lupe zu nehmen. :deciduous_tree: Ausnahmen sind hier lediglich Anbieter, bei denen Aufsichtsbehörden keine Bedenken haben, die von verlässlichen Institutionen geprüft wurden, die von anerkannten Stellen geprüft wurden, die anerkannte passende Zertifizierungen haben, ... Kritisch unter die Lupe :mag_right: nehmen bedeutet: ### Dokumente prüfen :heavy_exclamation_mark: Wichtig bei der Prüfung der Dokumentation :page_with_curl: , welche ein Anbieter zur Verfügung stellt, ob direkt im Internetauftritt oder auf Anfrage, ist die Frage **Worauf beziehen sich die Angaben**:question: * Beziehen sie sich auf **die Website**, mit welcher das Angebot beworben wird? * Bezieht sie sich auf **das Produkt**, welches genutzt werden soll? Diese Unterscheidung ist essentiell, da es zwischen den im Internetauftritt und dem Produkt eingesetzten Technologien Unterschiede geben kann. Einige Anbieter trennen hier sauber, andere nicht. --- :arrow_right: Die **Datenschutzerklärung** prüfen. Hier geht es um die Angaben zu: * Firmensitz * Serverstandort/en * eingesetzten Auftragsverarbeitern und deren Serverstandort/en * Datenschutzbedingungen, die der Auftragsverarbeiter seinen Auftragsverarbeitern auferlegt * eingesetzten Cookies * verarbeiteten Daten * welche Arten von Daten fallen bei der Nutzung an, * durch aktive Handlung/ Eingabe des Nutzers * durch im Hintergrund laufenden Prozesse * Zwecken der Verarbeitung * Rechtsgrundlagen der Verarbeitung der verschiedenen Daten * Vertrag, Einwilligung, berechtigte Interessen, rechtliche Verpflichtung, ... * Empfängern von verarbeiteten Daten * Speicherfristen * Rechte der Betroffenen/ des Auftraggebers/ Verantwortlichen * Datenschutzbeauftragten :arrow_right: Die **AGB** prüfen. Hier geht es u.A. um die Angaben zu: * Firmensitz * Datenverarbeitung * Altersbeschränkungen * Rechten des Anbieters * Haftungsfragen * ... :arrow_right: Den **Vertrag zur Auftragsverarbeitung** prüfen. Hier geht es um die Angaben zu * Gegenstand der Verarbeitung * Kategogien von Daten * betroffene Personen * Rechten und Pflichten des Auftraggebers (Verantwortlicher/ Controller :gb:) * Rechten und Pflichten des Auftragnehmers (Auftragsverarbeiter/ Processor :gb: ) * Regelungen zu Unterauftragnehmern (Auftragsverarbeiter des Anbieters/ sub processors :gb:) Eine Checkliste :heavy_check_mark: für Auftragsverarbeitungsverträge findet sich am Ende des PDF mit dem Titel "[Auftragsverarbeitung Orientierungshilfe.pdf](https://www.datenschutz-bayern.de/technik/orient/oh_auftragsverarbeitung.pdf)" des Bayerischen Landesbeauftragten für den Datenschutz. :exclamation: Ein Augenmerk sollte immer auf die Pflichten und Verantwortlichkeiten gelegt werden, die dem Verantwortlichen zugewiesen werden sollen. Es kommt immer mal wieder vor, dass Auftragsverarbeiter sich hier vor ihren Pflichten drücken wollen und diese auf den Verantwortlichen abschieben. :diamond_shape_with_a_dot_inside: **Tipp** Bei der Prüfung der Dokumentation empfiehlt es sich, den behördlich bestellten schulischen Datenschutzbeauftragten :man_in_tuxedo: :woman-bowing: um Unterstützung zu bitten. --- ### Technischer Check Auch wenn die Dokumentation sauber erscheint, sollte man kritisch sein und prüfen, ob die Angaben stimmen. Welche Möglichkeiten man dazu hat, hängt von der jeweiligen Plattform ab. :heavy_check_mark: :gear: :hammer_and_wrench: * Prüfung der Kontoerstellung * welche Daten sind minimal erforderlich? * Prüfung der Login Seite * diese kann im Internetauftritt des Anbieters verortet sein, mit dem er auch das Produkt bewirbt (Datenstriptease vor DS-GVO konformem Produkt) * diese kann bereits auf dem Server laufen, wo auch das Produkt läuft (z.B. app.lernlink.com) :link: * Prüfung von öffentlichen Links * Prüfung des Browser Zugangs bei online angebundenen Apps * Prüfung der Apps selbst * Prüfung des Angebots hinter dem Zugang (nicht öffentlich) --- #### Was wollen wir eigentlich herausfinden? * Wo stehen die Server des Anbieters? * Welche weiteren Server werden kontaktiert? * Welche Cookies/ Tracker kommen zum Einsatz? --- :bulb: **Exkurs Cookies** :cookie: :cookie: Cookies sind zunächst einmal Dateien, in welchen bei einem Besuch auf einer Website Informationen abgelegt werden, etwa Spracheinstellungen des Nutzers oder ein Nutzername für die Anmeldung. Diese Datei wird auf dem Endgerät des Nutzers gespeichert. Beim nächsten Besuch auf der Website liest diese die Informationen aus und kann sich dem Nutzer gemäß seiner Voreinstellungen präsentieren. Das ist die eine Seite :sunny:, doch es gibt auch eine dunkle Seite :dark_sunglasses:. Cookies können dazu genutzt werden, Informationen über den Nutzer und sein Verhalten aufzunehmen und es dem Betreiber der Website oder einem von ihm genutzten Dienstleister verfügbar zu machen. Letzterer stellt es, je nach Dienst dem Anbieter der Website zur Verfügung, und nutzt es oft auch für eigene Zwecke. :mag_right: :footprints: :footprints: :footprints: Cookies gibt es nicht nur im Zusammenhang mit Websites. Auch Apps können Cookies einsetzen. Das ist dann der Fall, wenn sie auf den Browser im System zugreifen um Inhalte oder Werbung anzuzeigen. Anders als im Browser können Apps untereinander nicht auf gespeicherte Cookies zugreifen. Bei Websites ist das möglich. So kann eine Website, die Google-Analytics nutzt, "sehen" ob bereits von einer anderen Website ein Google-Analytics Cookie gesetzt wurde. * **1st party cookie** - kommt aus der gleichen Domain, von der auch das Angebot kommt * **3rd party cookie** - kommt von einer anderen Domain 1. Viele Drittanbieter Cookies/ Tracker laufen heute als 1st party cookies - man möchte so dem Do Not Track entkommen. Man muss also genauer hinschauen. 2. Cookies werden heute nicht mehr nur im Browser Cache gespeichert, sondern auch lokal abgelegt. Vorteil, man kann umfangreichere Informationen ablegen. Der Browser Cache ist begrenzt - lokaler Speicher nicht. * **session cookies** - werden gelöscht, sobald der Besuch der Website beendet und der Browser/ das Fenster/ der Tab geschlossen wird. * **persistente cookies** werden über Wochen, Monate und Jahre gespeichert. ### Exkurs Tracker Unter Tracker versteht man Technologien, welche von Website- und App Anbietern genutzt werden, um Nutzerverhalten über das Internet hinweg zu verfolgen. Dazu werden Merkmale genutzt, mittles derer Nutzer leicht identifiziert werden können, etwa die IP Adresse oder spezielle vergebene IDs. #### Cross-Site Tracking Hat ein bestimmter Dienst auf einer Website die IP aufgenommen oder eine User ID angelegt, so kann dieser Dienst, wenn er auf den Websites anderer Anbieter aktiv ist, den Nutzer dort anhand der IP oder User ID wiedererkennen und so das Nutzerverhalten über verschiedene Websites hinweg erfassen. :mag_right: :footprints: :computer: :footprints: :computer: #### Cross-Device Tracking Sind Nutzer mit einem Google Konto auf mehreren Endgeräten angemeldet, ermöglicht dieses Tools wie Google-Analytics sogar ein Tracking des Nutzerverhaltens über verschiedene Geräte hinweg. :mag_right: :footprints: :computer: :footprints: :iphone: #### Bekannte Tracker Eine Übersicht über bekannte Tracker liefert das **Tracker Radar**. Das ist ein Dienst des Browser Projektes DuckDuckGo. Die Liste bekannter Tracker wird in dem Projekt regelmäßig aktualisiert und wird von DuckDuckGo aber auch von Dritten genutzt, um Tracker in Browsers oder sogar OS weit zu blockieren. ![](https://i.imgur.com/TJPLvlh.png) Der Screenshot zeigt einen Ausschnitt aus der Liste bekannter Tracker aus dem Bereich DE. Die Listen sind einsehbar unter [https://github.com/duckduckgo/tracker-radar/tree/main/domains](https://github.com/duckduckgo/tracker-radar/tree/main/domains) und können als Referenz genutzt werden, wenn man Tracker wie unten beschrieben, eigenständig identifizieren möchte. **Hinweis!** Die Listen mit Trackern werden im Browser nicht vollständig angezeigt wegen ihres Umfangs. Über einen Knopf oben rechts auf der Seite kann auf die Dateien mit den Rohdaten zugegriffen werden. ### Seiten zum Ausprobieren * [Duden Lernattack](https://learnattack.de/) - Login über Produktseite. * [Padlet](https://padlet.com/dee_townsend/mdm) - Beispiel für öffentliches Padlet * [Quizlet](https://quizlet.com/gb/375302204/chinese-diagram/) - Beispiel Set * [Kahoot](https://kahoot.it/challenge/03731528?challenge-id=59e32963-db91-4c8c-a085-8e4c3e9fea5e_1631610153021) - Beispiel Quiz als Hausaufgabe - Schülersicht * [Quiz Academy](https://school.quizacademy.io/course/CVZUPR) - Beispiel Qizze - Schülersicht * [TaskCards](https://www.taskcards.de/dashboards/0c25bf7e-808c-11eb-b79d-a85e45a758b0?token=cdac201e-8209-4470-b5f7-8e54dad2cfa0) - Beispiel Board * [Antolin](https://antolin.westermann.de/) - Seite mit Login Button * [Anton App](https://anton.app/de/) - Seite mit Link zum Login * [BookCreator](https://app.bookcreator.com/sign-in) - Login Seite * [BookCreator - "Werde ein BookCreator Profi"](https://read.bookcreator.com/qHBMvAT3RoZU8hy7YBMbtexNb3k2/c-29IRJ3RfeJXd1Vv0rHqg) - öffentliches Buch ### Tools #### :arrow_right: Do Not Track der Browser Nahezu alle Browser zeigen heute zumindest einen Teil der beim Aufruf einer URL geladenen Cookies/ Tracker an. * Chrome: Click auf das Schloss links neben URL * Safari: Click auf das Schutzschild links neben URL Leiste * Brave: Click auf das Schloss links neben URL; mehr Details - Click auf den Löwenkopf rechts neben URL Leiste * Mozilla Firefox: lick auf das Schutzschild links neben URL Leiste * Opera: Click auf Schild rechts neben URL Leiste * DuckDuckGo: Click links in der URL Leiste auf den erscheinenden Buchstaben #### :arrow_right: Privacy Tools Hinweise können auch Browser Plugins liefern, die Cookies, Tracker und Scripte blockieren. * [Privacy Badger](https://privacybadger.org/) * [NoScripts](https://noscript.net/) * [Ghostery]([ttps://](https://www.ghostery.com/)) #### :arrow_right: Third Party Tracking Tool Eine einfache Möglichkeit, Cookies und Tracker sichtbar zu machen, ist das [Third Party Tracking Tool](https://proprivacy.com/tools/third-party-tracking) von ProPrivacy Tools. Die URL wird eingegeben und sofern vorhanden, werden aufgefundene Tracking Tools angezeigt mit der Anzahl der Serverkontakte und einem Vergleichswert, wie oft der jeweilige Tracker auf anderen Websites ermittelt wurde. ##### Grenzen von Third Party Tracking Tool * Geprüft werden können nur "öffentliche URLs". D.h. was hinter einem Login passiert, kann in der Regel nicht geprüft werden. * Sieht nicht alles. #### :arrow_right: Webbkoll DataSkydd [Webbkoll Dataskydd](https://webbkoll.dataskydd.net/de/) ist eigentlich dafür gedacht, dass Website Betreiber ihre Seite auf Sicherheit prüfen können. Dafür wird ein Browser simuliert , der kein Do Not Track aktiviert hat. Aber man kann die Seite auch nutzen, um fremde Websites zu prüfen. Man erhält Informationen zu: * Serverstandort (vermutlicher :exclamation:) * Sicherheitseinstellungen der Plattform - z.B. SLL Verschlüsselung * geladene Cookies - Browser Cache * lokale gespeicherte "Cookies" - local Storage * Third Party Anfragen :bulb:Serverstandort - der Standort der vom Anbieter genutzten Server wird von Webbkoll DataSkydd anhand der IP Nummer und dem Land, in welchem sie registriert ist, ermittelt. US Anbieter weisen teilweise in der EU lokalisierten Servern in den USA registrierte IP Nummern zu. Im Zweifelsfall prüft man mit dem Traceroute Test von [keyCDN](https://tools.keycdn.com/) die Laufzeiten, um den Standort einzugrenzen. Je kürzer die Laufzeit, desto dichter ist der Serverstandort. ##### Grenzen von Webbkoll Dataskydd * Geprüft werden können nur "öffentliche URLs". D.h. was hinter einem Login passiert, kann in der Regel nicht geprüft werden. * Sieht nicht alles. #### :arrow_right: DSGVO Webseiten-Check (DrDatenschutz) Der [DSGVO Webseiten-Check](https://dr-dsgvo.de/webseiten-check/) ist ein Stück weit vergleichbar zu WebbKoll DataSkydd, hat jedoch einen anderen Schwerpunkt. Es wird mit Blick auf DS-GVO Konformität geprüft und **bewertet**. Das Tool richtet sich vor allem an Ersteller von Websites, kann aber eben auch zur Prüfung von Websites genutzt werden. Kommt die Prüfung zum Ergebnis, dass die Website möglicherweise gegen die DS-GVO verstößt, wird dieses angegeben. Die Ergebnisse müssen dann genauer angesehen werden. Im Beispiel wird auf mögliche Probleme durch "Externe Dateien" hingewiesen. Das meint Dateien, die nicht über die selbe URL abgerufen werden wie die Website selbst. Nutzt der Anbieter eine andere eigene Domain und einen eigenen Server für die Bereitstellung, würde das genauso angezeigt, würde jedoch kein Problem darstellen. ![](https://i.imgur.com/6Y1TeAS.png) ##### Grenzen von DSGVO Webseiten-Check * Geprüft werden können nur "öffentliche URLs". D.h. was hinter einem Login passiert, kann in der Regel nicht geprüft werden. * Sieht nicht alles. #### :arrow_right: WebPageTest Mit [WebPageTest](https://www.webpagetest.org/) lassen sich ebenfalls alle Verbindungen zwischen dem Browser beim Aufruf einer Website und den kontaktierten Servern ermitteln. Hinzu kommt die Häufikeit der Requests und auch der Umfang der Datenübermittlung wird angezeigt. Der Screenshot zeigt die kontaktierten Server und Häufigkeit der Requests, hier am Beispiel einer bei Feedbackr direkt über den Link aufgerufenen Umfrage. Der Screenshot hier gibt die Serverkontakte beim Erstaufruf an. Zu der Ansicht gelangt man, indem man bei Ansicht von **Performance** auf **Domain** umschaltet. ![](https://i.imgur.com/C17czJ2.png) ##### Grenzen von WebPageTest * Geprüft werden können nur "öffentliche URLs". D.h. was hinter einem Login passiert, kann in der Regel nicht geprüft werden. * Wer sich mit Scripting auskennt, kann mit WebPageTest auch Datenverbindungen hinter Logins prüfen: [WebPageTest Scripting: Examples for advanced speed testing scenarios](https://speedy.site/webpagetest-scripting-examples-for-advanced-speed-testing-scenarios/) #### :arrow_right: **Request Map Generator** Mittels des [Request Map Generator](https://requestmap.herokuapp.com) lassen sich Daten(ab)flüsse von Websites in Form einer Art von Mindmap sichtbar machen. Die Ziele der Datenabflüsse werden farbig nach ihrer Art kategorisiert. Das hilft, den Überblick zu behalten und Tracker zu erkennen. Das Tool ist nutzt die Daten von WebPageTest und stellt sie in anderer Form dar. Die Größe der Kreise korrespondiert mit der Anzahl der Requests. *(Request Map Generator ist auch direkt aus WebPageTests erreichbar.)* ![](https://i.imgur.com/DoySoXD.png) Das Beispiel zeigt eine Request Map für [feedbackr.io](https://www.feedbackr.io/). Teilnehmer einer Umfrage können von dieser Seite aus über die Eingabe eines Codes zur Umfrage gelangen. Alternativ gibt ihnen der Veranstalter einen direkten Link. Die Seite, auf welcher man über den Link landet, lässt sich allerdings nicht mit dem Request Map Generator testen. Hier kommt man dann mit den unten beschriebenen Entwickler Tools weiter (, mit denen man in diesem Fall zu einem ähnliches Ergebnis kommt.) ##### Grenzen von Request Map Generator * Wie bei WebPageTest können auch hier nur “öffentliche URLs” geprüft werden. D.h. was hinter einem Login passiert, kann in der Regel nicht geprüft werden. #### :arrow_right: **Blacklight** Ein weiteres Tool, um Datenabflüsse auf Websites zu überprüfen, ist [Blacklight](https://themarkup.org/blacklight). Das Tool ist in englischer Sprache. Anders als die anderen Tools erklärt es, seine Ergebnisse mit Blick auf Datenschutz. Das Beispiel ist wieder für den Aufruf einer Umfrage bei [feedbackr.io], so wie Schüler ihn erleben würden. ![](https://i.imgur.com/HEnWDM0.png) Klappt man die Ergebniszeile auf, erhält man weitere Informationen. In diesem Fall wurden letztlich keine anderen Ergebnisse gefunden als mit den anderen Tools, aber sie wurden eingeordnet. Interessant ist der Hinweis auf Tracker, die vor Blockierung als 3rd Party Tracker geschützt werden sollen. Zu welchem Zweck diese eingesetzt werden, ob um Nutzer zu tracken oder um Missbrauch der Seite zu verhindern. Eine sehr ausführliche Erklärung, was wie getestet wird, findet sich unter [How We Built a Real-time Privacy Inspector](https://themarkup.org/blacklight/2020/09/22/how-we-built-a-real-time-privacy-inspector). ##### Grenzen von Blacklight * Auch hier können nur “öffentliche URLs” geprüft werden. D.h. was hinter einem Login passiert, lässt sich in der Regel nicht prüfen. #### WhatRuns Bei [WhatRuns](https://www.whatruns.com/) handelt es sich um ein Chrome Plugin, welches auch in auf der Chromium Plattform basierenden Browsern wie Brave und Vivaldi genutzt werden kann. ![](https://i.imgur.com/f6FZKZB.png) Das Plugin wird auf der Website, die man untersuchen möchte, gestartet und es zeigt an, mit welchen Tools eine Website betrieben wird. Vorteil ist, dass diese Funktion auch hinter Logins genutzt werden kann. Damit kann das Plugin Hinweise liefern, ob auch Tools zum Einsatz kommen, die datenschutzrechtlich bedenklich sind. #### URLscanIO Mit [URLscanIO](https://urlscan.io/) bekommt man einen umfassenden Überblick über beim Aufruf einer Seite kontaktierte Server, geladene JavaScripte, gesetzte Cookies und mehr. Zu den Befunden gibt es vertiefenden Informaitonen. ##### Grenzen von URLscanIO * Auch hier können nur “öffentliche URLs” geprüft werden. D.h. was hinter einem Login passiert, lässt sich in der Regel nicht prüfen. #### :arrow_right: **Google-Analytics Prüfung der Universität Bamberg** Der [Google-Analytics Check](https://checkgoogleanalytics.psi.uni-bamberg.de/) prüft, ob eine Website Google-Analytics mit **IP Anonymisierung** nutzt oder nicht. Dazu prüft das Tool, ob die Aufrufe von Google-Analytics mit einer Anonymize IP Funktion ergänzt sind oder nicht und listet alle Ergebnisse auf. :bulb: IP Anonymisierung soll dafür sorgen, dass Google Nutzer nicht anhand ihrer IP Nummer identifizieren und ihnen die durch Google-Analytics erhobenen Daten zuordnen kann. :exclamation: Aber die Datenschutzkonferenz stellt fest, dass diese Maßnahme nicht zu einer vollständigen Anonymisierung der Datenverarbeitung führt: > Durch den Beschluss der DSK wird auch klargestellt, dass die Kürzung der IP-Adresse durch Ergänzung des Trackingcodes um die Funktion „_anonymizeIp()“ lediglich eine zusätzliche Maßnahme gem. Art. 25 Abs. 1 DS-GVO darstellt und nicht dazu führt, dass die vollständige Datenverarbeitung anonymisiert erfolgt. ##### Grenzen von Google-Analytics Check * Geprüft werden können nur "öffentliche URLs". D.h. was hinter einem Login passiert, kann in der Regel nicht geprüft werden. :arrow_right: **Entwickler Tools** Da, wo Webbkoll Dataskydd und Google-Analytics Check an die Grenzen kommen, kann man sich weiterhelfen mit den Entwickler Tools. Diese finden sich in allen Chromium basierten Browsern, in Mozilla, in Safari und anderen Browsern. Dort ist von Interesse * **Application** * zeigt Cookies und local Storage * **Source** * zeigt Verbindungen zu Servern * **Network** * kann Hinweise auf IP Anonymisierung bei Google-Analytics geben :heavy_exclamation_mark: Achtung beim Untersuchen einer Website mit den Entwickler Tools unbedingt Do Not Track Funktionen deaktivieren (z.B. Brave Browser). Wer ganz sicher gehen möchte, arbeitet mit einem Browser mit zuvor geleertem Cache. Passt man hier nicht auf, kommt man leicht zu falschen Ergebnissen. #### :arrow_right: Cookies und Websitedaten Chromium basierte Browser wie Chrome, Brave und Vivaldi verfügen über neben den Entwickler Tools über eine weitere Funktion, über welche bereits gespeicherte Cookies einer Website angezeigt werden können. Dazu gibt man in der Adresszeile des Browsers ein `chrome://settings/siteData` und bestätigt mit Enter. Es erscheint eine Liste von Websites, die jeweils mit einer Anzahl von Cookies und weiteren Speicherorten versehen ist. Oben rechts gibt man den Namen der Seite ein, deren Cookies man sehen möchte, hier orgpad.com.![](https://i.imgur.com/YjWK2xf.png) Diese kann man dann näher untersuchen. Es werden alle aktuell im Browser gespeicherten Cookies angezeigt. Schließt man eine Website, verschwinden die Session Cookies aus dem Speicher. Möchte man sicher gehen, dass man nur aktuelle Cookies angezeigt bekommt, löscht man vorhandene aus dem Speicher und lädt die Seite dann neu und lädt auch die Anzeige der Cookies im Speicher erneut. --- #### mobile Endgeräte :iphone: Hinweis - technische Prüfung **auf mobilen Endgeräten** :point_right: Smartphones, Tablets, iOS und Android:point_left: Auf mobilen Endgeräten stehen die Möglichkeiten, welche Browser Entwickler Tools bieten, nicht im gleichen Umfang zur Verfügung. Das gilt vor allem für iOS. :deciduous_tree: **Tipp:** Hinweise liefert hier die Anzeige, welche Tracker blockiert wurden im **DuckDuckGo Browser**, beim Click links neben die URL der aufgerufenen Website. --- ### Apps :bulb: Auch Apps können Dienste Dritter beinhalten, über sich Nutzer tracken lassen. Oft ist das der Fall, wenn Entwickler sich sogenannter SDK (Software Developer Kit) bedienen. Das sind Programm Module, welche fertige Funktionalitäten mit wenig Aufwand in Apps integrieren lassen. App Entwickler benötigen, ähnlich wie Website Entwickler, Tools, die ihnen Aufschluss über Nutzungsverhalten, Fehler und ähnlich geben. Aber diese Tools können mehr und dabei können Daten der Nutzer an die Drittanbieter, von denen die SDK stammen, abfließen. Beim Beispiel Facebook SDK gehen Nutzerdaten an Facebook. * Bei Plattformen, die ihr Angebot sowohl über App als auch über Browser zugängig machen, kann man eine Prüfung wie oben beschrieben über die Website selbst vornehmen. Es ist jedoch durchaus möglich, dass beim App weitere Daten abfließen. * Bei Apps, die keine zusätzlichen Browserzugang kennen, muss man andere Wege gehen. * Bei **Android Apps** gibt es einmal * die Seite [App-Check](https://appcheck.mobilsicher.de/), die eine erste Orientierung gibt, und * [Exodus](https://reports.exodus-privacy.eu.org/de/), die Datenschutz-Audit-Plattform für Android-Anwendungen. Sie untersucht die APK, also die Installationspakete der Android Apps auf bestimmte SDK. :exclamation: Hinwweis: wenn Exodus einen Hinweis auf Code findet, der zu einem bestimmten Drittanbieter Tool/ Tracker gehört, sagt das nicht aus, ob dieses aktiv ist oder wie es konfiguriert ist. :arrow_right: Es gibt [Exodus](https://f-droid.org/de/packages/org.eu.exodus_privacy.exodusprivacy/)(F-Droid Store) auch als App für Android. * Mittels des Apps [TrackerControl](https://trackercontrol.org/), welches es im Google Playstore als Lite Version gibt und auf F-Droid wie auch auf der Anbieterseite in Vollversion lassen sich direkt auf dem Android Gerät die Drittanbieter Tracker von installierten Apps ermitteln. Die Lite Version reicht bereits aus.![](https://i.imgur.com/YaqEwFi.jpg)Der Screenshot zeigt ein Beispiel für das App [Linguee](https://play.google.com/store/apps/details?id=com.linguee.linguee&hl=de&gl=de). * Für **iOS Apps** gibt es leider keine vergleichbaren Angebote. Wer hier ewas herausfinden möchte, braucht dafür andere Möglichkeiten. Man kann dazu ein iOS Gerät über WLAN mit einem anderen Proxy Server verbinden und zeichnet den Datenverkehr auf. Es gibt hier noch einige Möglichkeiten mehr. Dafür muss man sich jedoch intensiver mit der Materie auseinandersetzen - und das geht über die Bordmittel weit hinaus, um die es hier gehen soll. * Eine Möglichkeit, zumindest eine Idee zu bekommen, welche Server ein iOS App kontaktiert, bietet die seit iOS 15 verfügbare Funktion [Inspecting App Activity Data](https://developer.apple.com/documentation/network/privacy_management/inspecting_app_activity_data). Diese Funktion, die unter **Datenschutz** mit dem Namen **App-Datenschutzbericht** zu finden ist, erlaubt es, Aktivitäten von Apps aufzuzeichnen und zu exportieren. Seit iOS/ iPad OS 15.2 ist Darstellung etwas verändert und stellt die kontaktierten Server grafisch aufbereitet dar. Das Beispiel stellt die Serverkontakte für das App **GoodNotes** dar.![](https://i.imgur.com/Htco4gt.jpg) * Den Bericht wie im folgenden Screenshot erhält man über den Teilen Dialog oben rechts im vereinfachten Bericht. Zusätzliche hilfreiche Informationen, die über die in der vereinfachten Anzeige hinausgehen, enthält der Bericht im JSON Format nicht. Für die kostenfreie Version von **BookCreator App** sieht das dann beispielsweise so aus, wenn man die exportierte JSON Datei in einem Editor aufruft. ![](https://i.imgur.com/uBOp6KC.png) Wie man im Screenshot erkennen kann, kontaktiert das App Server von Google Firebase, welches auch Funktionen von Google-Analytics beinhalten kann. **Grenzen des App-Datenschutzberichts** * Die Nutzung von Google Firebase muss jedoch nicht zwingend mit einer Auswertung über Google-Analytics einhergehen. Welche Daten bei diesen Serverkontakten genau an die Server übertragen werden und in welcher Art und Weise der Anbieter oder Dienstleister sie nutzt, lässt sich über die iOS Funktion App-Datenschutzbericht nicht ermitteln. * Die kontaktierten Server geben Aufschluss über vom Entwickler eingesetzte Dienstleister. Teilweise lassen sich daraus auch durch diese verarbeitete Daten ableiten. * Binden Anbieter ihre Dienstleister über einen eigenen Server ein, so dass kein unmittelbarer Serverkontakt zu den Servern des Dienstleisters erfolgt, lassen sich diese über den App-Datenschutzbericht nicht nachweisen! **Vertiefende Prüfung von Datenflüssen bei mobilen Apps** * Wer sich intensiver mit der Thematik auseinandersetzen möchte und einen Weg sucht, Tracker in iOS Apps und auch Android Apps zu ermitteln, findet eine Lösung dazu unter [PlatformControl](https://www.platformcontrol.org/). Dort gibt es alle Software und eine Erklärung wie man vorgeht. * Eine deutlich einfachere Methode eröffnet das (kostenpflichtige) App [Charles for iOS](https://www.charlesproxy.com/documentation/ios/). Dieses App, welches es auch für macOS und Windows gibt, baut einen Proxy auf, über den HTTP and HTTPS Netzwerk Verkehr aufgezeichnet werden kann. Über SSL-Proxying, lassen sich außerdem die SSL-/TLS-Anfragen von Apps im Klartext einsehen. ## Grenzen der beschriebenen Verfahren Wie an verschiedenen Stellen bereits angemerkt, haben die vorgestellten Verfahren Grenzen. Sie schauen auf die direkten Datenflüsse der in einer Online-Plattform oder App eingesetzten Technologien zwischen dem **Client** (Browser oder App) und den Servern des Anbieters und seiner Dienstleister oder weisen die Aktivitäten von Software-Komponenten nach. Neben dem Client-seitigen Tracking gibt es auch noch das sogenannte **Server**-seitige Tracking. Mit verschiedenen Verfahren verschleiern einige Anbieter hierbei die Nutzung von Tracking-Tools, teils um die Wirkung von Browser Funktionen, Plugins oder Funktionen des Betriebssystems, welche Tracking blockieren, auszuhebeln, manchmal aber auch um die Tracking-Tools datenschutzfreundlicher einzusetzen. Auch sogenanntes **Fingerprinting**, bei dem aus verschiedenen Parametern der Browserkonfiguration und des Betriebssystems ein wiedererkennbarer Fingerabdruck erstellt wird, sind mit den beschriebenen Möglichkeiten nicht immer nachweisbar. Mit den vorgestellten Möglichkeiten ist es auch nicht oder nur eingeschränkt möglich, die **Sicherheit** einer Online-Plattform oder App zu überprüfen. WebbKoll Dataskydd kann prüfen, ob bestimmte Sicherheitsmechanismen in Webangeboten serverseitig aktiviert sind (z.B. X-XSS Schutz) ist aber nicht in der Lage offene API-Schnittstellen, die Zugriff auf Datenbanken mit Nutzerdaten zulassen, zu erkennen. Selbst Angebote, die sich datenschutzkonform nutzen lassen, können Sicherheitslücken aufweisen, wenn die Entwickler Fehler gemacht haben oder Software-Komponenten anderer Entwickler verwenden, die unsicher sind (z.B. log4j). ## Was bedeutet das jetzt alles? Mit den vorgestellten Optionen hat man ein paar Möglichkeiten an der Hand, Plattformen zu testen. Damit kann man ermitteln, welche Datenflüsse es gibt und welche Drittanbieter zum Einsatz kommen. Je nach Ergebnis stimmt dieses mit den Angaben in der Dokumentation des Anbieters überein oder, man findet weitere Datenflüsse, die dort nicht ausgewiesen sind. Festgestellte Datenflüsse müssen bewertet werden. Nicht jeder von einem Anbieter genutzte Dienstleister stellt ein Risiko dar. Stößt man auf Drittanbieter wie Facebook, Google, Hotjar, und ähnlich, die Analyse Dienste anbieten, ist Vorsicht angesagt. Es hängt immer davon ab, wie ein Anbieter diese Drittanbieter Tools einsetzt. Das bedeutet Recherche. :thunder_cloud_and_rain: Je nach Ergebnis kann das bedeuten, dass eine Plattform, nicht oder nur eingeschränkt nutzbar ist in Schule. :sun_with_face: Wenn man die Möglichkeit hat, mit schuleigenen Endgeräten am Standort Schule und ohne Verwendung von persönlichen Informationen (biografische Daten, Stimme, Bild) zu arbeiten, dann kann man viele Plattformen, die sonst ausscheiden, trotzdem nutzen. :grey_exclamation: Wichtig ist hierbei aber, dass Nutzer auf den Geräten nicht über Browser oder Apps an anderen Plattformen zeitgleich eingeloggt sind oder es waren, welche Drittanbieter Tools wie die oben beschriebenen einsetzen. Die von diesen auf dem Gerät hinterlassenen Cookies/ Tracker können dann unter Umständen über ihre fortgesetzte Aktivität eine Verbindung herstellen zur Identität des Nutzers. ... :footprints: :bug: :spider_web: :beetle: --- ### Hintergrund/ Weiterlesen * https://datenschutz-schule.info/datenschutz-check/ * https://datenschutz-schule.info/themen/die-datenschutzsensible-schule/ ### Sonst interessant * Tracking hört nicht mit Cookies und vergleichbaren Technologien auf, siehe [Kuketz Blog - Tracking durch Identitätsprovider](https://www.kuketz-blog.de/tracking-durch-identitaetsprovider/) ### License ![](https://i.imgur.com/dENdrRg.jpg) [Creative Commons Attribution 4.0](https://creativecommons.org/licenses/by/4.0/deed.de) By [Datenschutz-Schule.info](https://datenschutz-schule.info)