Datenschutzrechtliche Bewertung von Doodle

Stand: 03.04.2019

Wer kennt nicht das leidige Problem der Terminkoordination, wenn nicht ein gemeinsamer Kalender verfügbar ist oder die Erforderlichkeit besteht, kurzfristig ein Meinungsbild einzuholen? Häufig wird mit unzähligen Rundmails versucht, eine Koordination zu erreichen. Aber es geht auch anders. Das Medium „Internet“ bietet auch hierfür eine Plattform. Mit der webbasierten Software "doodle" können Termine koordiniert und Umfragen schnell erstellt und eingesetzt werden. Gerade wenn der Zeitrahmen eng gesteckt ist, soll die Befragungs- und Terminkoordination mit "doodle" sich bewähren. Doch nicht alles was machbar ist, muss auch datenschutzgerecht ausgestaltet sein.
ZENDAS hat sich mit dem Einsatz solcher Plattformen wie "doodle" und möglicher Alternativen beschäftigt.

Doodle (Webseite: www.doodle.com ) ist eine webbasierte Onlineplattform, die es dem Nutzer in einem gewissen Rahmen ermöglicht, Terminabsprachen, kleinere Umfragen, etc. online durchzuführen. Über einen Link, den der Initiator selbst per E-Mail versendet, werden die potentiellen Teilnehmer über die Umfrage informiert und können über einen Webbrowser an der Umfrage bzw. Terminabsprache teilnehmen.

Doodle bietet eine kostenfreie Erstellung von Umfragen an sowie eine kostenpflichtige Premium-Version. Wir haben uns die kostenfreie Version angeschaut.

Personenbezogene Daten

Um die Bewertungs- bzw. Koordinationsplattform zu nutzen, muss bei einer Terminumfrage neben einem Titel der Umfrage und einer optionalen Notiz als Beschreibung und Angabe einer Örtlichkeit auch der Name des Umfrageerstellers und eine E-Mail-Adresse eingegeben werden.
Geben Sie reale (Zu)Namen und/oder eine personenbezogene E-Mail-Adresse ein, werden von Doodle Ihre personenbezogenen Daten gespeichert und weiter verarbeitet.

Alternativ dazu ist es möglich, einen permanenten Zugang bei Doodle anzulegen. Hierbei wird zusätzlich noch ein Passwort erhoben und gemeinsam mit Name und E-Mailadresse dauerhaft gespeichert. Auch ist es möglich, sich über ein Microsoft-, Google- und Facebook-Konto bei Doodle zu registrieren. Bei einem Login über Facebook erhält Doodle auch Zugriff auf Name, Profilbild und E-Mail-Adresse.
Diese Optionen haben wir nicht näher betrachtet.
Nach Erstellung einer Umfrage können Sie den entsprechenden Umfragelink mit Ihrem E-Mailprogramm an die potentiellen Teilnehmer versenden. Wird dieser Link vom Adressaten mittels eines Browsers aufgerufen, kann dieser seine Terminangabe oder Bewertung unter einem/seinem Namen abgeben.

Auftragsverarbeitung

Die Doodle AG ist der technische Dienstleister, der zum einen die Anwendung (Software) betreut, zum anderen die technische Infrastruktur (Hardware) zum Betrieb zur Verfügung stellt. Die in Doodle hinterlegten/ eingegebenen Daten verarbeitet die Universität damit nicht selbst, sie werden durch die Doodle AG im Auftrag der jeweiligen Universität/ Hochschule/ Einrichtung verarbeitet.
Dies ist eine Konstellation nach Art. 28 DS-GVO (Auftragsverarbeitung). Es bedarf damit eines entsprechenden Vertrags, der die gesetzlichen Anforderungen erfüllt. Auf den Webseiten der Doodle AG ist nichts dazu finden, ob die Firma bereit ist, einen solchen Vertrag abzuschließen.
Dieser würde zuvor zudem auch eine Prüfung erfordern, dass der Anbieter ausreichende technische und organisatorische Maßnahmen trifft, um eine gesetzeskonforme Datenverarbeitung sicherzustellen.

Da die Doodle AG ihren Sitz in Zürich hat und sich somit außerhalb der Europäischen Union befindet, muss neben dem Vertrag nach Art. 28 DS-GVO hinzukommen, dass die Datenübermittlung in einen Nicht-EU-Staat gerechtfertigt werden kann.
Im Falle der Schweiz hat die EU-Kommission mit dem Beschluss 2005/518/EG festgestellt, dass die Schweiz über ein der EU vergleichbares Schutzniveau für personenbezogene Daten verfügt. Gemäß Art. 45 Abs. 9 DS-GVO bleibt dieser Beschluss zunächst in Kraft.
Damit liegt ein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DS-GVO vor, so dass eine Datenübermittlung in die Schweiz keiner besonderen Genehmigung bedarf. Grundsätzlich ist rechtlich die Beauftragung eines eidgenössischen Auftragnehmers einer Auftragsverarbeitung damit möglich.

Unterauftragnehmer
Doodle selber wird derzeit (April 2019) bei einem amerikanischen Hoster (CloudFlare Inc.) gehostet. Nach Aussagen von Doodle liegen die Daten von deutschen Kunden auf Cloudspeicher in Irland und Frankfurt.

Manipulationssicherheit von Einträgen

Abstimmungseinträge von Teilnehmern ohne eigenen Account sind in Doodle gänzlich ungeschützt. Jeder Benutzer, der den Link zur Abstimmung hat, kann mittels Parametermanipulation die Einträge jedes anderen verändern. Dies erscheint uns jedoch nicht sachgerecht und erforderlich. Es zeigt sich daran, dass ein Berechtigungskonzept fehlt. Dies wäre jedoch datenschutzrechtlich bei personenbezogener Befragungen zu fordern (vgl. Art. 32 DS-GVO).

Dieser Punkt stellt aus datenschutzrechtlicher Sicht keinen Ausschlussgrund für den Einsatz dar, wenn die Abstimmungen ausschließlich pseudonymisiert durchgeführt werden (z.B. nur mit Vornamen). Stellt die Authentizität der Abstimmenden hingegen ein Entscheidungskriterium für die Terminfindung dar, sollte beachtet werden, dass eine solche Abstimmung mit Doodle nicht verlässlich abbildbar ist.

Externe Weitervermittlungen (Werbung, Tracker & Co.)

Die Seite verwendet verschiedene Tracker. Diese Programme dienen dazu, Surfverhalten von Nutzern zu analysieren. Das bedeutet, dass diese Tracker die Möglichkeit haben, Nutzerprofile anzulegen und die Nutzungsdaten von Doodle mit anderen Seiten, die diesen Tracker einsetzen, zu verknüpfen und/oder mit Daten weitere Dienste zusammenzuführen.

Dies ist datenschutzrechtlich bedenklich, da hier eine Profilbildung nicht ausgeschlossen werden kann.

Darüber hinaus bindet die Doodle-Webseite weitere Werbenetzwerke und Webseitenanalysen ein. Dabei werden Java-Scripte und Bilder aus diesen Quellen geladen. Insbesondere die Skripte stellen ein Risiko dar, da diese aus einer nicht verifizierten Quelle stammen und die Gefahr besteht, dass potentiell schädlicher Code (Cross-Site-Scripting Attacke) im Browser des Benutzers ausgeführt werden kann. Bei einer Stichprobe im Jahr 2014 konnten 7 Quellen gefunden werden (adspirit.de, adition.com, cloudfront.net, googletagservices.com, ioam.de, kissmetrics.com, optimizely.com).

Bei einer erneuten Stichprobe im Februar 2019 werden Java-Scripte und Bilder aus folgenden Quellen geladen:

• www.googletagmanager.com
• doodleag.chargebee.com
• browser.sentry-cdn.com
• widget.intercom.io
• images.outbrainimg.com, widgets.outbrain.com

Weitere Dritte

Wir haben nur einen Teil der Dritten herausgegriffen, von denen Dienste eingebunden werden. Mehr Informationen und auch weitere Dritte finden Sie in der Datenschutzrichtlinie von Doodle (https://beta.doodle.com/de/datenschutzrichtlinie ). Dort ist teilweise auch länderspezifisch ausgeführt, wie mit Cookies Reichweitenmessungen durchgeführt werden.

Doodle bietet die Möglichkeit, wenn man sich auf der Oberfläche registriert hat, einen Kalender mit seinen Doodle-Anfragen und/oder Teilnahmen in seinen eigenen Kalender einzubinden. Dabei wird von Doodle ein personalisierter Link mit einer Zufallszahl generiert. Diesen Link bindet man in seinem Kalender als Internetkalender ein. Fortan ist dann ein lesender Zugriff auf alle Termine möglich, die man unter seiner personalisierten Kennung organisiert oder an denen man teilnimmt.
Jeder der diesen Link kennt, kann ebenfalls auf den Doodle-Kalender zugreifen.
Doodle bietet darüber hinaus folgenden "Mehrwert": Wenn man seine persönlichen Kalender in Doodle eingebunden hat, erhält man eine entsprechende kalendarische Übersicht, mit der man all seine Termine verwalten kann.
Zusätzlich können auch noch die Adressbücher aus den entsprechenden externen Kalender übermittelt werden und stehen dann in der Doodle-Plattform zur Verfügung.
Hierbei ist es möglich, seine Kontaktliste in die oben genannten Kalender in Doodle zu integrieren. Bei einer Integration mit einem Google-Kalender erhält Doodle beispielsweise die Berechtigungen „Kontakte aufrufen“, „Kontakte bearbeiten“, „Kontakte herunterladen“ und sogar „Kontakte endgültig löschen“.
Die personenbezogenen Daten, die Sie unter Ihren Kontakten gespeichert haben, werden damit auch von Doodle verarbeitet. Mit jeder der oben genannten Arten der Integration werden zwangsläufig personenbezogene Daten an Doodle übermittelt. Eine Profilbildung ist daher auch ohne den Einsatz von Trackern wie Google Analytics, etc. möglich.

Vor dem Einsatz dieser Funktionalität ist aus datenschutzrechtlichen Gründen abzuraten.

Mit dieser Funktion stellt Doodle eine personalisierte Profilseite zur Verfügung. Auf dieser kann man dann die Erreichbarkeit und Verfügbarkeit, bei Einbindung von externen Kalendern, für Terminanfragen veröffentlichen. Dabei sind nicht die Details der Termine sichtbar, sondern nur die Zeiten, die durch andere Termine belegt sind. Eine Terminanfrage erstellt dann eine entsprechende Doodle-Anfrage, die man als Anfragender administrieren kann. Die erforderlichen Merkmale, die nötig sind um eine solche Anfrage abzuschicken, sind das Betreff (Terminname), Name und E-Mail-Adresse. Optional kann die Anfragende Person noch folgende Merkmale angeben: Örtlichkeit, Beschreibung sowie einen Nachrichtentext.

Datenschutzrechtlich entspricht dies einer regulären Terminanfrage über Doodle, wie oben beschrieben.

Da die Seite einerseits durch Texte personalisiert werden und andererseits durch den gewählten Namen der Seite, hängt der Personenbezug von dem Bezeichner und den Daten ab, die hier eingestellt werden. Sofern hier eine ausreichende Pseudonymisierung erfolgt, ist es unwahrscheinlich, dass ein Personenbezug herstellbar ist. Dies gilt insbesondere auch für die veröffentlichen Zeiten, die durch Termine belegt sind. Schwerer wiegt die Tatsache, dass, um die Funktionalität der Erreichbarkeit zur Verfügung zu stellen, mindestens ein persönlicher Kalender in die Doodle-Plattform eingebunden werden muss.

Da dies eine Übermittlung von personenbezogenen Daten darstellt, ist aus datenschutzrechtlichen Gründen von dieser Funktionalität abzuraten.

Sofern Doodle ohne Accounts und nur mit lediglich für die jeweilige Hochschule auflösbaren Pseudonymen genutzt wird und durch technische Maßnahmen (u.a.. einen entsprechend anonymisierenden Web-Proxy) sichergestellt wird, dass die Doodle AG keine personenbeziehbaren IP-Adressen erhält, bestehen keine datenschutzrechtlichen Bedenken gegen den Einsatz.

Als Alternative zu Doodle empfehlen wir stattdessen den Einsatz des Terminplaners, der kostenlos allen Teilnehmern des deutschen Forschungsnetzes (DFN) unter https://terminplaner.dfn.de bereitgestellt wird. Dieser verzichtet auf die Einbindung von Inhalten Dritter (z.B. Tracker oder Werbung). Weiterhin ist bereits beim Anlegen eines Terminplanes die Angabe eines Löschdatums notwendig. Damit wird sichergestellt, dass der Terminplan nur zeitlich begrenzt auf dem Server verfügbar ist. Das DFN als Betreiber des Terminkalenders gab gegenüber ZENDAS an, keinerlei IP-Adressen zu speichern und die Eingaben der Nutzer nicht an Dritte weiterzugeben.

• Das Unabhängige Landeszentrum für den Datenschutz weist insbesondere auf den fehlenden effektiven Zugriffschutz hin: https://www.datenschutzzentrum.de/tb/tb33/kap10.html#102
• Ebenso der bayerische Landesbeauftragte für den Datenschutz:
  https://www.datenschutz-bayern.de/tbs/tb26/k2.html#2.3.1
• Der rheinlandpfälzische Landesbeauftragte für den Datenschutz hält eine dienstliche Nutzung unter Verwendung eines Pseudonyms bzw. anonym unter bestimmten Voraussetzungen für zulässig:
  https://www.datenschutz.rlp.de/de/themenfelder-themen/online-kalender/