Wie Mike Kuketz am 07.11.2022 in seinem Blog unter dem Titel „Sofatutor: Übermittlung personenbeziehbarer Daten von Kindern an TikTok, Facebook und Co.“ ist die Android App (Version 2.5.13) so ganz und gar nicht datenschutzfreundlich gestaltet. Wie der Autor bei der Untersuchung des Datensendeverhaltens des App feststellen konnte werden zahlreiche Server von Drittanbietern kontaktiert. Darunter finden sich u.a. in den USA beheimatete Analytics und Werbedienste und eben auch Facebook und TikTok. Das alles erfolgt ohne Information oder Einwilligung des Nutzers und ist insgesamt vor allem mit Blick auf die Nutzer, Kinder und Jugendliche, problematisch.
Bewertung
Sofatutor ist eine bei Schülern beliebte Plattform, um Lerninhalte zu vertiefen. Während der Pandemie kamen viele Schulen in den Genuss kostenloser Zugänge für alle. Möglich, dass einige Schulen dabei geblieben sind und Schullizenzen erworben haben. Kinder und Jugendliche nutzen Plattformen wie Sofatutor vor allem über Smartphones und wenn als App verfügbar über diese. Wo Kinder und Jugendliche das Android App bereits benutzen, ist das Kind zwar schon in den Brunnen gefallen, doch trotzdem sollte man als Schule hier nachsteuern und informieren. Solange Sofatutor hier nicht nachbessert, sollten Schüler von Schulen, welche das Angebot nutzen, dieses nicht über das Android App nutzen.
Schaut man sich das Verhalten des iOS Apps (Version 2.5.13) an, sieht es mit den kontaktierten Servern von Drittanbietern nicht anders aus als beim iOS App. Kontaktiert werden hier noch ohne Anmeldung, ohne Einwilligung oder Information u.a. Pinterest, Facebook, TikTok, DoubleClick, Bugsnag, Google-Analytics, Taboola, Outbrain, Hotjar, … und die Liste geht noch weiter. In der Datenschutzerklärung, die in sehr kleiner grauer Schrift verlinkt ist, werden diese Anbieter tatsächlich sogar ausgewiesen. Es sollte auch das iOS App nicht genutzt werden.
Leider ist auch die Web-Version von SofaTutor ein übler Datenstaubsauger und steht den Apps in nichts nach und ist durch die Nutzung von Google Fonts und die Einbindung von Google Maps sogar noch etwas übler.
Welche Alternative gibt es, die Plattform trotzdem zu nutzen, wenn man als Schule eine Lizenz dafür erworben hat? Die sicherste Möglichkeit, den Datenstaubsaugern zu entgehen, besteht in der Nutzung der Plattform von unpersonalisierten schulischen Endgeräten aus, in der Schule und ohne einen Login an anderen privat genutzten nicht-schulischen Plattformen in der gleichen Sitzung. Auf einem iPad wäre dieses im Gast-Modus am einfachsten umsetzbar. Bei der Nutzung auf privaten Endgeräten oder von zu Hause aus fallen immer Daten an, welche es den in SofaTutor integrierten Drittanbieter-Diensten erlauben, die erhobenen Daten einer identifizierbaren Person zuzuordnen.
Insgesamt muss man aktuell von der Nutzung von SofaTutor abraten und das hätte man schon lange tun sollen, denn die beschriebenen (nicht)Datenschutzpraktiken des Anbieters bestehen so nicht erst seit dieser Woche.
Ein Dank an dieser Stelle an den Kollegen aus dem Süden, der darauf hinwies, deutlicher auf die Problematik bei einer Nutzung via Browser einzugehen.
Bitte lesen Sie sich auch die Kommentare des Anbieters von SofaTutor unter diesem Beitrag durch, um die dort gegebenen Informationen zu berücksichtigen. Dort wird angegeben, dass man
- die Datenabflüsse aus den Apps mittlerweile serverseitig deaktiviert habe,
- man mit Schulen/ Schulträgern „Verträge über die Verarbeitung von Daten“ abschließe und
- kein Tracking erfolge,
- kein Einwilligungsbanner gezeigt werde und
- die Nutzung in diesen Fällen vor allem über den Browser erfolge.
Ob die Auskünfte des Anbieters alle tatsächlich so zutreffen, müsste man im Detail prüfen wie auch den Vertrag zur Auftragsverarbeitung.
Nachtrag 16.11.2022
Eine Überprüfung des iOS Apps mit den Bordmitteln von iOS lässt anders als zum Zeitpunkt als dieser Beitrag verfasst wurde, mittlerweile viele der kritisierten Serverkontakte nicht mehr nachweisen. Aufgerufen werden weiterhin:
*.sentry.io
*.lencr.org
*.convertexperiments.com
*.cloudfront.net
ipapi.co
*.pki.goog
*.amzontrust.com
*.usertrust.com
*.bugsnag.com
googletagmanager.com
sofatutor.com
Das bestätigt die Aussagen des Anbieters in den Kommentaren, dass man serverseitig Dienste deaktiviert habe.
Guten Tag,
vielen Dank für Ihren Beitrag und den Hinweis auf die aktuelle Kritik im Zusammenhang mit einem Blogpost von Herrn Kuketz am 7.11.22.
Wir haben den Artikel von Herrn Kuketz wahr- und erstgenommen und bereits am Tag nach Erscheinen des Artikels die Tracker von Werbepartnern komplett aus unseren Apps entfernt. Dass diese überhaupt in der Form in der App vorhanden waren, war ein Fehler, der uns bis zu dem Zeitpunkt unbekannt war und behoben wurde. Wir haben uns zu diesem Thema auch bereits mit Herrn Kuketz in Verbindung gesetzt.
Zur Klarstellung jedoch: Alle eingesetzten Werbetracker beziehen sich immer ausschließlich auf unser Endkunden-Geschäft und werden auf der Website nur nach Einwilligung über das Consent-Banner („Cookie-Banner“) ausgespielt.
In keinem Fall werden bzw. wurden entsprechende Tracker eingesetzt, wenn Schüler*innen oder Lehrkräfte einen Zugang nutzen, der über die Schule finanziert wird oder Schüler*innen von Lehrkräften freigegebene Inhalte ansehen und bearbeiten.
Google Maps wird ausschließlich im Anmeldeprozess der Accounts für Lehrkräfte geladen um die richtige Schule auswählen zu können. Ansonsten wird Google Maps nicht auf unserer Seite verwendet.
Mit Schulen schließen wir eine sogenannte AVV (siehe Bestellformular) sodass die Daten der Schule, Lehrkräfte bzw. Schüler*innen zu keinem Zeitpunkt an entsprechende Dienste weitergegeben werden. Ebenso nutzen wir keinerlei Werbetracker bei der Verwendung von Kurz-Links oder Lerngruppeninhalten, die über Zugänge der Lehrkräfte erstellt werden. Eine Liste der Subunternehmer mit denen wir bei Schulen zusammenarbeiten kann gemäß Vertrag / AVV jederzeit angefordert werden.
Bei weiteren Fragen melden Sie sich gerne auch direkt bei uns.
Viele Grüße
Rebecca Rabe
Team Lead Schule
sofatutor
Danke für den Kommentar. Dass man bei SofaTutor bezüglich der Apps direkt reagiert hat, ist erfreulich. Allerdings ist davon im iOS App Store Stand 11.11.2022 noch nichts angekommen. Möglich, dass die Freigabe durch Apple noch aussteht. Im Google Play Store ist es identisch. „Dass diese überhaupt in der Form in der App vorhanden waren, war ein Fehler, der uns bis zu dem Zeitpunkt unbekannt war und behoben wurde.“ glaubt Ihnen vermutlich niemand, denn es ist sicher kein Zufall, dass die Tracker der Website zu denen in beiden Apps, iOS und Android, identisch sind. Wenn die Nutzung mit Schullizenz tatsächlich ohne den Einsatz von Trackern und vergleichbaren Technologien möglich ist, sollte auch der Onboarding Prozess so gestaltet sein, dass schulische Nutzer nicht zumindest an dieser Stelle einen Daten-Strip-Tease machen müssen.
Guten Tag mrtee,
Eine Aktualisierung der Apps ist nicht notwendig, da wir den Fehler serverseitig behoben haben.
Zum technischen Hintergrund: Entstanden ist dieser Fehler durch die App-Entwicklung unter Nutzung von “Wrapper-”/”Hybrid-”Technologien, unter Wiederverwendung von Seiten unserer Website.
Kurz zum Hintergrund, warum wir in manchen Situationen externe Dienste einbinden:
Immer geht dies aus zwei Erkenntnisinteressen hervor:
Wie können wir unser digitales Lernangebot noch besser für unsere Nutzer machen?
Wie können wir sicherstellen, dass unser (Online)-Werbebudget Familien erreicht, die sich auch für sofatutor interessieren und damit ein dauerhaft tragfähiges Geschäftsmodell aufbauen?
Seit 2009 gibt es sofatutor nun. Über die Zeit haben wir verschiedene Lizenzmodelle entwickelt, mit denen SchülerInnen, Lehrkräfte und Eltern uns nutzen.
Grundsätzlich unterscheiden wir dabei zwischen zwei Nutzungsarten:
i) „Schul- und Lehrkräfte-Accounts“ und
ii) privat von Eltern und Kindern genutzte „Endkunden-Accounts“.
Bucht eine Schule sofatutor als Lehrmittel für ihre LehrerInnen und SchülerInnen oder teilen Lehrkräfte mit ihren SchülerInnen Inhalte (i), so findet kein Tracking personenbezogener Daten durch Dritte statt. Mit Schulen, Trägern oder Ländern schließen wir entsprechende Verträge über die Verarbeitung von Daten. Es erfolgt keine Anzeige eines Consent-Banners o.ä. und keine Einbindung von Marketing-Trackern. Die Nutzung erfolgt in diesen Fällen zum größten Teil direkt via Browser auf sofatutor.com
Nutzen private Endkunden sofatutor (ii) als Lernmittel/Lernhilfe, finden sich auf unserer Website sowohl ein Consent-Banner, als auch Tracking-Integrationen diverser Dritter, die aus oben genannten Gründen implementiert sind. Hier finden sich auch externe Marketing-Dienste von TikTok und Facebook, wie von Ihnen beschrieben.
Unsere iOS und Android Apps sind insbesondere für Lernende vorgesehen, die bereits einen bezahlten Account haben. Tracking-Integrationen von Werbepartnern waren hier nicht vorgesehen, weil es sich nicht um einen direkten Kundengewinnungs-Kanal mit entsprechendem Online-Marketing handelt, dessen Effizienz wir messen müssen.
Bei Nutzung der von uns bzw. Lehrkräften versandten Links findet ebenfalls kein Tracking statt.
Bei weiteren Fragen melden Sie sich gerne auch direkt bei uns.
Viele Grüße
Rebecca Rabe
Team Lead Schule
sofatutor
Ich habe mich Sofatutor aufgrund des Tests von Herrn Kuketz auch einmal angeschaut.
Aber zunächst: Ich habe selten Kommentare gesehen, mit denen sich eine Firma so nachhaltig selbst diskreditiert hat, wie die von Frau Rabe. Zur Sache:
Zitat 1:
„Dass diese überhaupt in der Form in der App vorhanden waren, war ein Fehler, der uns bis zu dem Zeitpunkt unbekannt war und behoben wurde.“
Wäre es wahr, dass der „Fehler“ unbekannt war, würde man hier öffentlich bekannt geben, dass die eigenen App-Entwickler schlicht inkompetent sind (man weiß nicht, was man da reinprogrammiert hat? Echt jetzt?).
Aber sodann erfahren wir, wie sofatutor wirklich tickt:
Zitat 2:
„Wie können wir sicherstellen, dass unser (Online)-Werbebudget Familien erreicht, die sich auch für sofatutor interessieren und damit ein dauerhaft tragfähiges Geschäftsmodell aufbauen? (…) Nutzen private Endkunden sofatutor (ii) als Lernmittel/Lernhilfe, finden sich auf unserer Website sowohl ein Consent-Banner, als auch Tracking-Integrationen diverser Dritter, die aus oben genannten Gründen implementiert sind.“
Also man nutzt ausführlich die Spionage-Ergebnisse „diverser Dritter“ um ein „dauerhaft tragfähiges Geschäftsmodell aufzubauen“, aber weiß gleichzeitig gar nichts von deren Integration in die Smartphone-Apps? Lassen wir uns das mal auf der Zunge zergehen.
Und dann noch das:
Zitat 3:
„Unsere iOS und Android Apps sind insbesondere für Lernende vorgesehen, die bereits einen bezahlten Account haben. Tracking-Integrationen von Werbepartnern waren hier nicht vorgesehen, weil es sich nicht um einen direkten Kundengewinnungs-Kanal mit entsprechendem Online-Marketing handelt, dessen Effizienz wir messen müssen.“
Man implementiert also (versehentlich?) mehr als ein dutzend Spionage-Tools (siehe Ergebnisse von Herrn Kuketz), die jeden – wirklich jeden Schritt – der Kinder in der App in die bunte Werbewelt hinausblasen und das soll nicht Teil der Werbemaschinerie für das „dauerhaft tragfähige Geschäftsmodell“ sein? Wirklich?
Natürlich nutzen auch Schülerinnen und Schüler die Smartphone-Apps – ich wette sogar vorwiegend (viele Haushalte haben heute gar keinen Desktop-PC mehr sondern nur noch Smartphones). Mangels Einwilligungs-Banner (siehe Kuketz) wurden aber bis vor Kurzem ALLE Nutzer der Apps Opfer der Total-Spionage von Facebook und Co.
Es wird noch besser…
Zitat 4:
Alle eingesetzten Werbetracker (…) werden auf der Website nur nach Einwilligung über das Consent-Banner („Cookie-Banner“) ausgespielt. (…) Google Maps wird ausschließlich im Anmeldeprozess der Accounts für Lehrkräfte geladen um die richtige Schule auswählen zu können.“
Ähm Google Maps IST einwilligungsbedürftig. Außerdem: sollen wir sofatutor wirklich dafür feiern, dass das ausnahmsweise nur die Lehrkräfte und nicht die Kinder trifft?. Im Kommentar von Frau Rabe wird also innerhalb von wenigen Sätzen widersprüchlich informiert.
Außerdem war bis vor wenigen Tagen auch noch Google Fonts eingebunden – auch das einwilligungsbedürftig, wie sich mittlerweile herumgesprochen haben sollte. Die Implementierung das Ad-Ons „No Script“ im Browser (LibreWolf, ein Firefox fork – siehe hierzu auch Kuketz Blog) offenbart ferner, dass bei Aufruf der Webseite ohne Einwilligung ein Skript von „Convertexperiments“ geladen wird. Auch das ist definitiv einwilligungsbedürftig.
Auf der Webseite von Convert finden wir die Aussage:
„Optimize for more revenue“
DARUM geht es, wie Frau Rabe im 2. Kommentar ja selbst eindrücklich öffentlich bekannt gibt.
Ferner entlarven wir damit (Maps, Fonts, Convert) die erste Aussage in Zitat 4 als schlicht falsch. Weiß man das wirklich nicht (IT-Fach-Kompetenz?) oder will man die Leute, die mit einfachsten Mitteln solche Aussagen nachprüfen können wirklich veräppeln?
Ach ja: auch ein auf die Android-App angesetzter Werbeblocker zeigt nach wie vor die Einbindung von Convertexperiments, Bugsnag und Sentry.io. Alle drei einwilligungsbedürftig, abegefragt wird wie bisher nichts.
Der Gipfel des Ganzen ist aber, dass ein Cookie-Popup auf der Homepage mit einem süßen Krümelmonster die Kinder geradezu dazu AUFFORDERT der gesamten Totalspionage zuzustimmen. Klickt man – wie wahrscheinlich nahezu alle Kids – hier auf „Alle Cookies akzeptieren“ rollt die gesamte von Herrn Kuketz gefundene Werbemaschinerie auch auf der Webseite an.
Ach und, dürfen Kinder überhaupt wirksam einwilligen? Aber das Monsterchen ist doch sooooo süß!
Vor meiner abschließenden Meinung noch das Zitat 5 zur besonderen Hervorhebung:
„Alle eingesetzten Werbetracker beziehen sich immer ausschließlich auf unser Endkunden-Geschäft (…)“
Lassen wir aber doch all das einfach mal so stehen und machen wir uns noch einmal bewusst an WEN sich sofatutor richtet: Endkunden = Kinder und dazu stelle ich die Frage:
Wer um Himmels Willen kommt in diesem Lande auf die Idee KINDER so etwas auszusetzen?
Ich für meinen Teil würde meine Kinder niemals solche eine App nutzen lassen, auch nicht webbasiert. Wenn deren Schule sie nutzen würde, würde ich mich sofort beschweren.
Nach dem Offenbarungs-Eid von sofatutor durch die eigenen Kommentare hoffe ich, dass die Datenschutzaufsichtsbehörde diese auch mitgelesen hat.