Startseite Themen Datenschutzrechtliche Bewertung von Doodle 
[Druckversion: HTML ]

Datenschutzrechtliche Bewertung von Doodle

Wer kennt nicht das leidige Problem der Terminkoordination, wenn nicht ein gemeinsamer Kalender verfügbar ist oder die Erforderlichkeit besteht, kurzfristig ein Meinungsbild einzuholen. Häufig wird mit unzähligen Rundmails versucht eine Koordination zu erreichen. Aber es geht auch anders. Das Medium „Internet“ bietet auch hierfür eine Plattform.
Mit der webbasierten Software "doodle" können Termine koordiniert und Umfragen schnell erstellt und eingesetzt werden. Gerade wenn der Zeitrahmen eng gesteckt ist, soll die Befragungs- und Terminkoordination mit "doodle" sich bewähren. Doch nicht alles was machbar ist, muss auch datenschutzgerecht ausgestaltet sein. ZENDAS hat sich mit dem Einsatz solcher Plattformen wie "doodle" und möglicher Alternativen Interner Link beschäftigt.

Was ist doodle?

Zugriff: Die ganze Welt

Doodle (Webseite: www.doodle.com Externer Link) ist eine webbasierte Onlineplattform, die es dem Nutzer in einem gewissen Rahmen ermöglicht, Terminabsprachen, kleinere Umfragen, etc. online durchzuführen. Über einen Link, den der Initiator selbst per Mail versendet, werden die potentiellen Teilnehmer über die Umfrage informiert und können über einen Webbrowser an der Umfrage bzw. Terminabsprache teilnehmen.

Datenschutzrechtliche Probleme

Zugriff: Die ganze Welt

Personenbezogene Daten

Um die Bewertungs- bzw. Koordinationsplattform zu nutzen, muss bei einer Terminumfrage neben einem Titel der Umfrage und einer optionalen Beschreibung und Angabe einer Örtlichkeit auch der Name des Umfrageerstellers und eine E-Mail-Adresse eingegeben werden. Zusätzlich kann auch eine personalisierte Nachricht eingegeben werden.
Geben Sie reale (Zu)Namen und/oder eine personenbezogene E-Mail-Adresse ein, werden von doodle Ihre personenbezogenen Daten gespeichert und weiter verarbeitet.
Versenden Sie den entsprechenden Umfragelink mit Ihrem E-Mailprogramm und wird dieser Link vom Adressaten mittels eines Browsers aufgerufen, kann dieser seine Terminangabe oder Bewertung unter einem/seinem Namen speichern.

Auftragsdatenverarbeitung/ Datenübermittlung außerhalb der EU

Die Doodle AG ist der technische Dienstleister, der zum einen die Anwendung (Software) betreut, zum anderen die technische Infrastruktur (Hardware) zum Betrieb zur Verfügung stellt.
Die in Doodle hinterlegten/ eingegebenen Daten verarbeitet die Universität damit nicht selbst, sie werden durch die Doodle AG im Auftrag der jeweiligen Universität/ Hochschule/ Einrichtung verarbeitet. Die Doodle AG hat den Sitz in Zürich und befindet sich somit außerhalb der Europäischen Union und deren Rechtsraum.

Würde die Doodle AG ihren Sitz innerhalb der EU haben, wäre dies ein klassischer Fall der Datenverarbeitung im Auftrag gem. § 7 LDSG Externer Link. Bei dieser werden der Auftragnehmer und der Auftraggeber rechtlich als Einheit betrachtet (Simitis/Walz, Bundesdatenschutzgesetz, § 11 BDSG, Rn. 1).
Gemäß § 3 Abs. 5 LDSG ist jede Stelle außerhalb der verantwortlichen Stelle Dritter. Davon ausgenommen sind die Stellen, die ihren Sitz in der Europäischen Union haben und personenbezogene Daten im Auftrag verarbeiten. Daraus folgt im Umkehrschluss, dass die Doodle AG wegen ihres Sitzes außerhalb der EU Dritter im Sinne des Gesetzes ist und nicht als (eine rechtliche Einheit mit dem Auftraggeber bildender) Auftragnehmer einer Auftrags-Datenverarbeitung in Betracht kommt. Somit kann – ganz abgesehen von dem fehlenden Willen hierzu - keine Datenverarbeitung im Auftrag im Sinne von § 7 LDSG vorliegen; jede Bekanntgabe von personenbezogenen Daten an Doodle ist als Datenübermittlung an Stellen außerhalb der Europäischen Union nach § 20 Abs. 2 und 3 LDSG zu beurteilen (siehe dazu Simitis/Walz, § 11 BDSG, Rn. 16).

Ein Ausschlussgrund für die Übermittlung nach § 20 Abs. 3 LDSG liegt nicht vor. Insbesondere ist in der Schweiz ein angemessenes Datenschutzniveau gewährleistet. Mit Beschluss 2000/518/EG Externer Link hat die EU-Kommission festgestellt, dass die Schweiz über ein angemessenes Schutzniveau für personenbezogene Daten verfügt, die aus der Europäischen Gemeinschaft übermittelt werden.
Die Zulässigkeit der Übermittlung richtet sich nach §§ 20 Abs. 2, 18 Abs. 1 Nr. 1 i.V.m. § 15 Abs. 1 bis 4 LDSG. Demzufolge müsste die Übermittlung für die Erfüllung einer Aufgabe der übermittelnden Stelle erforderlich sein.

Erforderlich heißt unter anderem, dass es kein anderes, milderes, Mittel gibt.
Es wäre daher zu prüfen, ob nicht der Betrieb einer entsprechenden Software auf eigener Infrastruktur möglich wäre, ob andere Anbieter in Betracht kommen etc.

Zu Bedenken ist unabhängig von der Frage nach der Erforderlichkeit, dass die Verantwortung für die Zulässigkeit der Übermittlung die übermittelnde Stelle trägt (§ 18 Abs. 2 LDSG). Die übermittelnde Stelle muss sich überzeugen, dass die Voraussetzungen einer zulässigen Übermittlung vorliegen (so Simitis/Dammann, § 15 Rn. 21). Diese Verantwortlichkeit kommt beispielsweise auch in § 18 Abs. 5 LDSG zum Ausdruck, nach dem die übermittelnde Stelle die Übermittlung mit Auflagen versehen soll, die den Datenschutz bei der Stelle, an die die Daten übermittelt werden, sicherstellen soll. Bei den nachfolgend dargestellten datenschutzrechtlichen Problemen ist fraglich, ob sich die Hochschule der Verantwortlichkeit bei einer von ihr initiierten Übermittlung entziehen kann.

Manipulationssicherheit von Einträgen

Abstimmungseinträge von Teilnehmern ohne eigenen Account sind in Doodle gänzlich ungeschützt. Jeder Benutzer, der den Link zur Abstimmung hat, kann mittels Parametermanipulation die Einträge jedes anderen verändern. Dies erscheint uns jedoch nicht sachgerecht und erforderlich. Es zeigt sich daran, dass ein Berechtigungskonzept fehlt. Dies wäre jedoch datenschutzrechtlich bei personenbezogener Befragungen zu fordern (vgl. § 9 Abs. 3 Nr. 5 LDSG)

Dieser Punkt stellt aus datenschutzrechtlicher Sicht keinen Ausschlussgrund für den Einsatz dar, wenn die Abstimmungen ausschließlich pseudonymisiert durchgeführt werden (z.B. nur mit Vornamen). Stellt die Authentizität der Abstimmenden hingegen ein Entscheidungskriterium für die Terminfindung dar, sollte beachtet werden, dass eine solche Abstimmung mit Doodle nicht verlässlich abbildbar ist.

Unverschlüsselte Übertragung

Doodle verwendet durchweg das unverschlüsselte http statt des verschlüsselten https. Dadurch werden die Daten u.U. für andere transparent über das Internet übermittelt. Auch eine manuelle Änderung der URL behebt das Problem nicht, da die Anfrage automatisch auf http umgeleitet wird. Aus datenschutzrechtlicher Sicht wäre jedoch sicherzustellen, dass personenbezogene Daten beim Transport (auch dem im Internet) nicht unbefugt gelesen, kopiert oder verändert werden können (§ 9 Abs. 3 Nr. 9 LDSG). Da jedoch die Abstimmung und dabei der Name des Teilnehmers unverschlüsselt über das Internet übertragen werden, kann diese Anforderung gerade nicht sichergestellt werden.

Letztlich ist aber auch das dann kein Datenschutzthema, wenn keine personenbezogenen Daten oder pseudonyme Daten verarbeitet werden. Im Rahmen einer Zweck-Nutzen-Analyse ist dann das Risiko zu bewerten, das besteht, wenn Abstimmungsgegenstände aufgrund der unverschlüsselten Übermittlung durch das Internet bekannt würden.

Externe Weitervermittlungen (Google Analytics & Co.)

Die Seite verwendet Google Analytics. Dieses Programm dient dazu, Surfverhalten von Nutzern zu analysieren. Das bedeutet, dass Google die Möglichkeit hat, Nutzerprofile anzulegen und die Nutzungsdaten von Doodle mit anderen Seiten, die Google Analytics einsetzen, zu verknüpfen und/oder mit Daten weitere Google-Dienste zusammenzuführen (z.B. Google Suche, Gmail, YouTube oder GoogleEarth). Weitere Informationen zum Einsatz von Google Analytics finden sie hier Interner Link.

Dies ist datenschutzrechtlich bedenklich, da hier eine Profilbildung nicht ausgeschlossen werden kann. Dieser Vorbehalt besteht auch weiterhin, obwohl zwischenzeitlich die Option „anonymizeIP“ durch Doodle aktiviert wurde.

Zusätzlich zu Google Analytics bindet die Doodle-Webseite eine weitere Vielzahl von Werbenetzwerken und Webseitenanalysen, ähnlich der von Google Analytics, ein. Dabei werden JavaSkripte und Bilder aus diesen Quellen geladen. Insbesondere die Skripte stellen ein Risiko dar, da diese aus einer nicht verifizierten Quelle stammen und die Gefahr besteht, dass potentiell schädlicher Code (Cross-Site-Scripting Attacke) im Browser des Benutzers ausgeführt werden kann. Bei einer Stichprobe im Juni 2014 werden Java-Scripte und Bilder aus folgenden Quellen geladen:

  • Ad Spirit (adspirit.de)
  • Adition (adition.com)
  • CrazyEgg (cloudfront.net)
  • DoubleClick/ Google Analytics (doubleclick.net, googletagservices.com)
  • INFOnline (ioam.de, ivwbox.de)
  • KissMetrics (kissmetrics.com)
  • Optimizely (optimizely.com)

Google Werbeanzeigen (AdSense)

Schließlich werden auf der Seite Google-Werbeanzeigen eingeblendet, deren Inhalt sich nach dem Umfragetitel und der Ortsansässigkeit, die sich aus der IP-Adresse des Nutzers ergibt, richtet. Beispielsweise werden bei einer Umfrage mit dem Titel "Mittagessen", die ein Nutzer aus Stuttgart aufruft, Links zu Restaurants aus der Region und zum Abnehmen angeboten, während Anfragen über einen Berliner Proxy-Server zu Restaurant-Anzeigen aus Berlin führen. Welche Daten dabei von Google gespeichert werden und ob diese Daten mit den Besuchen bei google.com verknüpft werden können, ist derzeit nicht klar.
Desweiteren gelten die Aussagen, die bereits in Punkt "Google Analytics" getroffen worden sind.

Einbinden von Doodle in Outlook/ Exchange

Zugriff: Die ganze Welt

Doodle bietet die Möglichkeit, wenn man sich auf der Oberfläche registriert hat, einen Kalender mit seinen Doodle-Anfragen und/oder Teilnahmen in Outlook einzubinden. Dabei wird von Doodle ein personalisierter Link mit einer Zufallszahl generiert. Diesen Link bindet man in Outlook als Internetkalender ein. Fortan ist es dann ein lesender Zugriff auf alle Termine möglich, die man unter seiner personalisierten Kennung organisiert oder an denen man teilnimmt.

Ebenso ist es möglich, beim Einsatz eines Exchange-Servers, eigene Kalender aus Exchange in Doodle zu publizieren. Der Grad dessen, was an die Doodle-Plattform übermittelt wird und ob eine Authentifizierung zu erfolgen hat, hängt von der Freigabe am Exchange-Server ab. Im letzteren Fall wäre dann auf der Doodle-Plattform nicht nur der Login, sondern auch das betreffende Kennwort bekannt. Dieses Kennwort muss auch in Klartext verfügbar sein, da sonst eine Authentifizierung durch Doodle nicht möglich wäre. Sofern das Kennwort dem der Windows-Benutzerkennung (Active-Directory-Konto) entspricht, wäre dies eine Übermittlung der dienstlichen Zugangsdaten an einen fremden Dritten.

In beiden Fällen ist dies ein öffentliches Publizieren der Kalender, das heißt, dass bei Kenntnis des Links (URL), jeder die Daten mindestens lesen kann. Im Fall der Publizierung durch Exchange ist diese URL standardmäßig auch nicht mit einem schwer zu erratenden Zufallswert versehen, sondern besteht aus dem Anmeldename (Login) am Exchange-Server und dem Namen des Kalenders, der publiziert wird.

Die Daten werden bei Abruf von Doodle nicht verschlüsselt übertragen, da der Link nur mit dem unsicheren HTTP und nicht mit dem sicheren HTTPS erfolgt. Ob Doodle einen Abruf der Daten von Exchange über HTTPS unterstützt, ist aus der Beschreibung nicht ersichtlich, da diese auch in diesem Fall von einer unsicheren HTTP-Verbindung ausgeht.

Eine solche Verbindung, wie zwischen Outlook, Exchange-Server und Doodle, ist auch mit anderen Plattformen möglich, wie zum Beispiel Google Kalender, Yahoo!, iCloud oder anderen die den IETF Standard (RFC 5545) iCalendar unterstützen. Ob die Übertragung der Daten verschlüsselt erfolgt und nur mit einer Authentifizierung und ob über den lesenden Zugriff auch ein schreibender erlaubt ist, hängt von den jeweiligen Möglichkeiten und der Konfiguration der eingebunden Plattformen ab. Das verwendete Protokoll "iCalendar" jedenfalls unterstützt sowohl den lesenden als auch den schreibenden Zugriff.

Doodle bietet darüber hinaus den "Mehrwert", wenn man seine persönlichen Kalender in Doodle eingebunden hat, eine entsprechende kalendarische Übersicht mit der man all seine Termine verwalten kann. Zusätzlich können auch noch die Adressbücher aus den entsprechenden externen Kalender übermittelt werden und stehen dann in der Doodle-Plattform zur Verfügung.

Mit dieser Art der Integration der Termindaten werden zwangsläufig personenbezogene Daten an Doodle übermittelt. Eine Profilbildung ist daher auch ohne den Einsatz von Trackern wie Google Analytics, etc. möglich.

Vor dem Einsatz dieser Funktionalität ist aus datenschutzrechtlichen Gründen abzuraten.

"MeetMe"-Seite

Zugriff: Die ganze Welt

Mit dieser Funktion stellt Doodle eine personalisierte Profilseite zur Verfügung. Auf dieser kann man dann die Erreichbarkeit und Verfügbarkeit bei Einbindung von externen Kalendern für Terminanfragen veröffentlichen. Dabei sind nicht die Details der Termine sichtbar, sondern nur die Zeiten, die durch andere Termine belegt sind. Eine Terminanfrage erstellt dann eine entsprechende Doodle-Anfrage, die man als Anfragender administrieren kann. Die erforderlichen Merkmale, die nötig sind um eine solche Anfrage abzuschicken, sind der Betreff (Terminname), Name und E-Mail-Adresse. Optional kann die anfragende Person noch folgende Merkmale angeben: Örtlichkeit, Beschreibung sowie einen Nachrichtentext.

Datenschutzrechtlich entspricht dies einer regulären Terminanfrage über Doodle, wie oben beschrieben.

Da die Seite einerseits durch Texte personalisiert werden und andererseits durch den gewählten Namen der Seite, hängt der Personenbezug von dem Bezeichner und den Daten ab, die hier eingestellt werden. Sofern hier eine ausreichende Pseudonymisierung erfolgt, ist es unwahrscheinlich, dass ein Personenbezug herstellbar ist. Dies gilt insbesondere auch für die veröffentlichen Zeiten, die durch Termine belegt sind. Schwerer wiegt die Tatsache, dass, um die Funktionalität der Erreichbarkeit zur Verfügung zu stellen, mindestens ein persönlicher Kalender in die Doodle-Plattform eingebunden werden muss.

Da dies eine Übermittlung von personenbezogenen Daten darstellt, ist aus datenschutzrechtlichen Gründen von dieser Funktionalität abzuraten.

Zusammenfassung

Zugriff: Die ganze Welt

Sofern Doodle ohne Accounts und nur mit lediglich für die jeweilige Hochschule auflösbaren Pseudonymen genutzt wird und durch technische Maßnahmen (u.a.. einen entsprechend anonymisierenden Web-Proxy) sichergestellt wird, dass die Doodle AG keine personenbeziehbaren IP-Adressen erhält, bestehen keine datenschutzrechtlichen Bedenken gegen den Einsatz.

Vor dem Hintergrund insbesondere der unverschlüsselten Datenübertragung, der nicht gesicherten Integrität der Daten und des Einsatzes von Google Analytics ist allerdings von einem Einsatz unter Verarbeitung personenbezogener Daten abzuraten.

Alternative

Zugriff: Die ganze Welt

Als Alternative zu Doodle empfehlen wir stattdessen den Einsatz des Terminplaners, der kostenlos allen Teilnehmern des deutschen Forschungsnetzes (DFN) unter https://terminplaner.dfn.de Externer Link bereitgestellt wird. Dieser verwendet im Gegensatz zu Doodle eine über HTTPS verschlüsselte Datenübertragung und verzichtet auf Google Adsense und Google Analytics. Weiterhin ist bereits beim Anlegen eines Terminplanes die Angabe eines Löschdatums notwendig. Damit wird sichergestellt, dass der Terminplan nur zeitlich begrenzt auf dem Server verfügbar ist. Das DFN als Betreiber des Terminkalenders gab gegenüber ZENDAS an, keinerlei IP-Adressen zu speichern und die Eingaben der Nutzer nicht an Dritte weiterzugeben.

Weitere Informationen

Zugriff: Die ganze Welt
Weiterführende Seiten zu den Themen:
Copyright 2017 by ZENDAS ..