Am Internet kommt man heutzutage nicht mehr vorbei – auch nicht in der Schule. Um Schülerinnen und Schüler beim Lernen zu unterstützen gibt es zahlreiche Tutorials und Erklärbeiträge auf einschlägigen Video-Plattformen aber es gibt auch dedizierte Apps. Mit der Empfehlung für die App „Studyflix“ konfrontiert, habe ich mir mal die Datenschutzbedingungen des Anbieters Studyflix GmbH angeschaut – denn dazu muss man laut Registrierungbildschirm als Elternteil sein Einverständnis geben. Es fängt alles ganz gut an:
Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Webseite sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften erforderlich ist.
Umfang der Verarbeitung personenbezogener Daten – Datenschutzerklärung Studyflix
Das weckt schon mal etwas Vertrauen und setzt sich fort mit Löschung der Daten wenn nicht mehr benötigt, „keine Auswertung der Daten zu Marketingzwecken“ für Logdaten, Speicherung der IP in Logdaten nur für 10 Tage (danach Löschung oder Anonymisierung) – so wünscht man sich das.
Aber dann wird es interessant: Unter Punkt VI. (und damit von der Struktur parallel zu „V. Webseite“ und „XIII. Hosting“ und damit wohl mit globalem Geltungsbereich – nicht nur für die Webseite) werden auf einmal „technisch nicht notwendige Cookies“ genutzt um „unsere Reichweite und Wirtschaftlichkeit zu verbessern“. Nicht mehr so ganz „erforderlich für Bereitstellung“ wie oben genannt. Aber Moment – ich habe doch die App geöffnet und sie hat mich gar nicht zum Thema Cookies gefragt. Wie soll ich denn der Nutzung von „technisch nicht notwendigen Cookies“ bei der Nutzung der App widersprechen, wenn mich die App gar nicht fragt? Die App enthält jedenfalls keinerlei Einstellungen in denen man dies vornehmen könnte. „Analyse von Nutzerdaten“ finde ich jetzt jedenfalls nicht so toll. In der Rechtsgrundlage wird von einem Cookie-Banner geredet – den gibt es in der App nicht. Ist hier vielleicht also wirklich nur die Webseite und nicht die App gemeint? Man weiß es nicht…
Jetzt kommt „VII. Registrierung“ mit Beschreibung und Umfang der Datenverarbeitung, Rechtsgrundlagen und Zweck der Datenverarbeitung. Moment, hatten wir das nicht schon unter „III. Allgemeines zur Datenverarbeitung“? Oder gilt das nicht mehr wenn ich mich registriere – was gilt denn? Es werden jedenfalls mehr Daten erhoben, aber immerhin: „Eine Weitergabe der Daten an Dritte findet nicht statt.“
Etwas verwirrend, aber von den Cookies abgesehen (unterstellt es wird nur die Nutzung auf der Webseite gemeint) eigentlich ok, dann kann ich ja zustimmen oder? Scrollen wir vorsichtshalber noch etwas weiter…
Ziemlich weit hinten versteckt dann auf einmal „XV. Einsatz von Google Analytics“ & „XVI. Amplitude“. Echt jetzt? Welche Daten sollen denn da übertragen werden? Alles was vorher erhoben wurde, sollte ja genau nicht an Dritte übermittelt werden und hatte auch keine Nutzungszwecke, die eine Weitergabe rechtfertigen würden. Die hier geltend gemachte Zustimmung kann ich auch nicht nachvollziehen – an welcher Stelle gebe ich die denn? Durch Zustimmung der Datenschutzbedingungen? Oder kommt das später bei irgendeiner Nutzung? Wieso muss ich dann schon bei der (globalen) Datenschutzbestimmung zustimmen?
Gerade zu Google Analytics gibt es eine gefestigte rechtliche Einschätzung. Das ist wohl keine gute Idee, dass in einer App für Schüler*innen zu nutzen.
Aber vielleicht habe ich die Datenschutzerklärung auch einfach nur falsch verstanden – kann passieren. Oder sie etwas missverständlich formuliert. Das lässt sich aufklären, fragen wir doch mal beim Datenschutzbeauftragten an. Aber auch hier geht es nicht weiter: Keine Kontakt Email-Adresse. Das hatte ich schon lange nicht mehr. Nach allen Empfehlungen und Auslegung die ich bisher gelesen habe, ist das eine Pflichtangabe (die Geister scheiden sich höchstens an Funktionspostfächern gegenüber persönlicher Adresse). So tief wollte ich eigentlich gar nicht bohren, aber dann ist das wohl ein Fall für die Aufsichtsbehörde. Auch hier gibt es eine Pflichtangabe, aber Studyflix hat es vorgezogen, den Mustertext beizubehalten und anstatt die zuständige Aufsichtsbehörde selbst zu nennen, schickt es den interessierten Benutzer zu einer Website des (nicht zuständigen) Bundesbeauftragten für Datenschutz (und Informationsfreiheit), aus der man sich selber raus suchen könnte, wer zuständig ist. Studyflix sitzt in Augsburg, also Bayern. Ich vermute hinter Studyflix steckt keine öffentliche Stelle also ist es wohl das „Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)“. Glaube ich jedenfalls – wir werden es sehen.
Wenn ich vom BayLDA etwas zurück bekommen oder es doch geschafft habe, mit dem Datenschutzbeauftragten für Studyflix Kontakt aufzunehmen, gibt es hier ein Update.