As shown in the DSBDirect privacy "policy" / information, we have no clue how the user's data is processed at the DSB endpoints. Maybe the digitales-schwarzes-brett.de privacy policy applies, but it probably doesn't. To find out, I contacted heinekingmedia again.
I also discussed the issue with the Google trackers I already complained about in #17.
September 16th, 2019 to datenschutz at heinekingmedia.de
Sehr geehrte Damen und Herren,
meine Schule verwendet für die Distribution des Vertretungsplans DSB. Welche Datenschutzbestimmungen gelten auf der Webseite dsbmobile.de sowohl als auch bei Kontakt zu den Endpunkten über entsprechende Clients?
Des Weiteren werden bei Besuch der Webseite dsbmobile.de in üblichen Browsern und -einstellungen ungefragt Verbindungen zu verschiedenen Google-Domains aufgebaut (ajax.googleapis.com, fonts.googleapis.com, font.gstatic.com). Da dies dem Datenschutz des Nutzers schadet, sollte dieses Verhalten eingestellt werden, was keine Probleme verursachen sollte, da die lokale Unterbindung die Funktionalität der Webseite nicht einschränkt.
Mit freundlichen Grüßen
Fynn Godau
As shown in the [DSBDirect privacy "policy" / information](https://notabug.org/fynngodau/DSBDirect/src/master/PRIVACY.md), we have no clue how the user's data is processed at the DSB endpoints. Maybe the digitales-schwarzes-brett.de privacy policy applies, but it probably doesn't. To find out, I contacted heinekingmedia again.
I also discussed the issue with the Google trackers I already complained about in #17.
September 16th, 2019 to datenschutz at heinekingmedia.de
>Sehr geehrte Damen und Herren,
>
>meine Schule verwendet für die Distribution des Vertretungsplans DSB. Welche Datenschutzbestimmungen gelten auf der Webseite `dsbmobile.de` sowohl als auch bei Kontakt zu den Endpunkten über entsprechende Clients?
>
>Des Weiteren werden bei Besuch der Webseite `dsbmobile.de` in üblichen Browsern und -einstellungen ungefragt Verbindungen zu verschiedenen Google-Domains aufgebaut (`ajax.googleapis.com`, `fonts.googleapis.com`, `font.gstatic.com`). Da dies dem Datenschutz des Nutzers schadet, sollte dieses Verhalten eingestellt werden, was keine Probleme verursachen sollte, da die lokale Unterbindung die Funktionalität der Webseite nicht einschränkt.
>
>Mit freundlichen Grüßen
>
>Fynn Godau
Aufgrund von heinekingmedias fortgesetzter Stille habe ich mich bei der Landesbeauftragten für den Datenschutz Niedersachsen beschwert.
October 13th, 2019 via form on https://www.navo.niedersachsen.de/navo2/portal/csend/8915/fileget/dsbeschwerdeformular.html
Schüler*innen können, sofern ihr Vertretungsplan bei heinekingmedia auf DSB-Servern gespeichert wird, über die mobile Clientsoftware "DSBmobile" sowie über die gleichnamige Webseite dsbmobile.de auf diesen zugreifen.
Es ist unklar, unter welchen Datenschutzbestimmungen die Daten, die dabei anfallen, verarbeitet werden, da keine Datenschutzrichtlinie, die auf die Webseite oder die Clientsoftware zutrifft, vorliegt. Folglich wissen Betroffene nicht, wie lange beispielsweise IP-Adressen gespeichert werden. Eine Anfrage an datenschutz@heinekingmedia.de vom 16. August blieb bis heute fast einen Monat lang unbeantwortet. Der Anfragetext ist in Anlage 1 beigefügt.
Bei Besuch der Webseite dsbmobile.de werden ungefragt Verbindungen zu Google-Diensten wie fonts.googleapis.com aufgebaut, augenscheinlich, um von dort eine Schriftart herunterzuladen. Nutzer*innen werden nicht über dieses Vorgehen informiert. Über dieses Verhalten und deren negative Auswirkungen auf den Datenschutz der Nutzer*innen wurde heinekingmedia bereits mehrfach unterrichtet, so auch in der bereits erwähnten Anfrage in Anlage 1.
Durch eine Analyse des Traffics der Android-Clientsoftware DSBmobile konnte festgestellt werden, dass folgende nicht für die Bearbeitung der Anfrage erforderlichen Daten übertragen werden:
Diese verschiedenen Informationen werden vermutlich für Statistiken oder ähnliches genutzt. Insbesondere das Feld "LastUpdate" erlaubt augenscheinlich eine Verlinkung der Anfragen miteinander über IP-Adressänderungen hinweg. Es wäre wünschenswert, dass dieser Sachverhalt in einer Datenschutzrichtlinie erläutert wird.
Anlagen:
Anfrage an datenschutz@heinekingmedia.de vom 16. August im Textformat
Aufgrund von heinekingmedias fortgesetzter Stille habe ich mich bei der Landesbeauftragten für den Datenschutz Niedersachsen beschwert.
October 13th, 2019 via form on https://www.navo.niedersachsen.de/navo2/portal/csend/8915/fileget/dsbeschwerdeformular.html
>Schüler*innen können, sofern ihr Vertretungsplan bei heinekingmedia auf DSB-Servern gespeichert wird, über die mobile Clientsoftware "DSBmobile" sowie über die gleichnamige Webseite dsbmobile.de auf diesen zugreifen.
>
>Es ist unklar, unter welchen Datenschutzbestimmungen die Daten, die dabei anfallen, verarbeitet werden, da keine Datenschutzrichtlinie, die auf die Webseite oder die Clientsoftware zutrifft, vorliegt. Folglich wissen Betroffene nicht, wie lange beispielsweise IP-Adressen gespeichert werden. Eine Anfrage an datenschutz@heinekingmedia.de vom 16. August blieb bis heute fast einen Monat lang unbeantwortet. Der Anfragetext ist in Anlage 1 beigefügt.
>
>Bei Besuch der Webseite dsbmobile.de werden ungefragt Verbindungen zu Google-Diensten wie fonts.googleapis.com aufgebaut, augenscheinlich, um von dort eine Schriftart herunterzuladen. Nutzer*innen werden nicht über dieses Vorgehen informiert. Über dieses Verhalten und deren negative Auswirkungen auf den Datenschutz der Nutzer*innen wurde heinekingmedia bereits mehrfach unterrichtet, so auch in der bereits erwähnten Anfrage in Anlage 1.
>
>Durch eine Analyse des Traffics der Android-Clientsoftware DSBmobile konnte festgestellt werden, dass folgende nicht für die Bearbeitung der Anfrage erforderlichen Daten übertragen werden:
>
>AppId, AppVersion, Device, OsVersion, Language, Date, LastUpdate, BundleId
>
>Diese verschiedenen Informationen werden vermutlich für Statistiken oder ähnliches genutzt. Insbesondere das Feld "LastUpdate" erlaubt augenscheinlich eine Verlinkung der Anfragen miteinander über IP-Adressänderungen hinweg. Es wäre wünschenswert, dass dieser Sachverhalt in einer Datenschutzrichtlinie erläutert wird.
>
>Anlagen:
>
>1. Anfrage an datenschutz@heinekingmedia.de vom 16. August im Textformat
>2. PGP-Schlüssel für fynngodau@mailbox.org
Für die Ausfüllungen weiterer Felder, siehe [beschwerde-13-10-19.pdf](https://notabug.org/fynngodau/dsbdirect-filedump/raw/master/beschwerde-13-10-19.pdf).
hiermit bestätige ich Ihnen den Eingang Ihrer datenschutzrechtlichen Beschwerde bzgl. des Einsatzes der Clientsoftware „DSBmobile“ sowie der Webseite „dsbmobile.de“. Bitte teilen Sie mir mit, gegen welche Schule sich Ihre Beschwerde richtet. Ich werde die Schule sodann in der Angelegenheit zur Stellungnahme auffordern und Sie unaufgefordert über den Fortgang der Beschwerde informieren.
Mit freundlichen Grüßen
Im Auftrage
███ ████
Die Landesbeauftragte für den
Datenschutz Niedersachsen
Referat 2
November 29th, 2019
>Sehr geehrter Herr Godau,
>
>hiermit bestätige ich Ihnen den Eingang Ihrer datenschutzrechtlichen Beschwerde bzgl. des Einsatzes der Clientsoftware „DSBmobile“ sowie der Webseite „dsbmobile.de“. Bitte teilen Sie mir mit, gegen welche Schule sich Ihre Beschwerde richtet. Ich werde die Schule sodann in der Angelegenheit zur Stellungnahme auffordern und Sie unaufgefordert über den Fortgang der Beschwerde informieren.
>
>
>
>Mit freundlichen Grüßen
>
>Im Auftrage
>
>
>
>███ ████
>
>Die Landesbeauftragte für den
>Datenschutz Niedersachsen
>Referat 2
Inzwischen ist mir die Auffassung zugetragen worden, dass als Dienstleisterin der Schule nicht heinekingmedia selbst, sondern jede Schule, die mit heinekingmedia einen Vertrag abschließt, dafür haftet, wenn keine hinreichenden Informationen zum Datenschutz vorliegen. Den gewünschten direkten Weg gebe das Datenschutzrecht nicht her.
Dies halte ich für unsinnvoll, aber die vorliegende Antwort aus Niedersachsen scheint diese Ansicht zu bestätigen.
Also werde ich konkret eine (meine) Schule benennen müssen, obwohl ich sie persönlich nicht als Schuldige oder auch nur Zuständige anerkenne; einstellen möchte ich die Beschwerde nicht.
Inzwischen ist mir die Auffassung zugetragen worden, dass als Dienstleisterin der Schule nicht heinekingmedia selbst, sondern jede Schule, die mit heinekingmedia einen Vertrag abschließt, dafür haftet, wenn keine hinreichenden Informationen zum Datenschutz vorliegen. Den gewünschten direkten Weg gebe das Datenschutzrecht nicht her.
Dies halte ich für unsinnvoll, aber die vorliegende Antwort aus Niedersachsen scheint diese Ansicht zu bestätigen.
Also werde ich konkret eine (meine) Schule benennen müssen, obwohl ich sie persönlich nicht als Schuldige oder auch nur Zuständige anerkenne; einstellen möchte ich die Beschwerde nicht.
Ach, meine Schule liegt ja gar nicht in Niedersachsen. Da ist die Landesbeauftragte für den Datenschutz in Niedersachsen natürlich gar nicht zuständig…
Ach, meine Schule liegt ja gar nicht in Niedersachsen. Da ist die Landesbeauftragte für den Datenschutz in Niedersachsen natürlich gar nicht zuständig…
In den "Kategorien betroffener Personen" (I.1.) sind Anwender:innen der DSBmobile-Applikation nicht aufgeführt.
In DSBmobile werden beim Login in der aktuellen Version folgende Daten übertragen: bundleid, appversion, osversion, pushid; auch IP-Adressen fallen an.
Über die Verarbeitung und Speicherung dieser Daten wird nicht informiert, Punkt I.8. (Dauer der Speicherung) ist zu inkonkret.
5. Datenübermittlung an Dritte
Eine Datenübermittlung an Dritte findet nur wie folgt statt:
DSBmobile wird auf Servern der MIVITEC GmbH (Wamslerstraße 4, 81829 München) betrieben. Die MIVITEC GmbH stellt die Infrastruktur zur Verfügung, greift auf die persönlichen Daten hingegen nicht zu und bearbeitet diese nicht.
6. […]
7. Datenübermittlung an Drittländer
Eine Datenübermittlung in Länder außerhalb der EU bzw. des EWR (sogenannte Drittstaaten) findet mit Ausnahme der oben genannten Empfänger (siehe vorheriger Abschnitt) nicht statt.
DSBmobile beinhaltet Firebase Messaging und Firebase Analytics. Dementsprechend findet offenbar Datenaustausch mit Google statt.
Die Landesbeauftragte für den Datenschutz Niedersachsen ist als Zuständige angegeben. Wie ich das verstanden habe, hat die Schule einen Vertrag zur Auftragsdatenverarbeitung mit heinekingmedia und dementsprechend ist die Schule und deren zuständige Datenschutzbehörde als Erste verantwortlich, wenn eine Beschwerde aufkommt.
DSBmobile hat jetzt [eine Datenschutzerklärung](https://notabug.org/fynngodau/dsbdirect-filedump/raw/master/dsbmobile/datenschutzerklaerung.pdf), diese ist in der APK-Datei in `res/raw` zu finden.
* In den "Kategorien betroffener Personen" (`I.1.`) sind Anwender:innen der DSBmobile-Applikation nicht aufgeführt.
* In DSBmobile werden beim Login in der aktuellen Version folgende Daten übertragen: `bundleid`, `appversion`, `osversion`, `pushid`; auch IP-Adressen fallen an.
* Über die Verarbeitung und Speicherung dieser Daten wird nicht informiert, Punkt `I.8.` (Dauer der Speicherung) ist zu inkonkret.
> **5. Datenübermittlung an Dritte**
> Eine Datenübermittlung an Dritte findet nur wie folgt statt:
> * DSBmobile wird auf Servern der MIVITEC GmbH (Wamslerstraße 4, 81829 München) betrieben. Die MIVITEC GmbH stellt die Infrastruktur zur Verfügung, greift auf die persönlichen Daten hingegen nicht zu und bearbeitet diese nicht.
> **6.** […]
> **7. Datenübermittlung an Drittländer**
> Eine Datenübermittlung in Länder außerhalb der EU bzw. des EWR (sogenannte Drittstaaten) findet mit Ausnahme der oben genannten Empfänger (siehe vorheriger Abschnitt) nicht statt.
* DSBmobile beinhaltet Firebase Messaging und Firebase Analytics. Dementsprechend findet offenbar Datenaustausch mit Google statt.
* Die Landesbeauftragte für den Datenschutz Niedersachsen ist als Zuständige angegeben. Wie ich das verstanden habe, hat die Schule einen Vertrag zur Auftragsdatenverarbeitung mit heinekingmedia und dementsprechend ist die Schule und deren zuständige Datenschutzbehörde als Erste verantwortlich, wenn eine Beschwerde aufkommt.
As shown in the DSBDirect privacy "policy" / information, we have no clue how the user's data is processed at the DSB endpoints. Maybe the digitales-schwarzes-brett.de privacy policy applies, but it probably doesn't. To find out, I contacted heinekingmedia again.
I also discussed the issue with the Google trackers I already complained about in #17.
Aufgrund von heinekingmedias fortgesetzter Stille habe ich mich bei der Landesbeauftragten für den Datenschutz Niedersachsen beschwert.
Für die Ausfüllungen weiterer Felder, siehe beschwerde-13-10-19.pdf.
Inzwischen ist mir die Auffassung zugetragen worden, dass als Dienstleisterin der Schule nicht heinekingmedia selbst, sondern jede Schule, die mit heinekingmedia einen Vertrag abschließt, dafür haftet, wenn keine hinreichenden Informationen zum Datenschutz vorliegen. Den gewünschten direkten Weg gebe das Datenschutzrecht nicht her.
Dies halte ich für unsinnvoll, aber die vorliegende Antwort aus Niedersachsen scheint diese Ansicht zu bestätigen.
Also werde ich konkret eine (meine) Schule benennen müssen, obwohl ich sie persönlich nicht als Schuldige oder auch nur Zuständige anerkenne; einstellen möchte ich die Beschwerde nicht.
Ach, meine Schule liegt ja gar nicht in Niedersachsen. Da ist die Landesbeauftragte für den Datenschutz in Niedersachsen natürlich gar nicht zuständig…
DSBmobile hat jetzt eine Datenschutzerklärung, diese ist in der APK-Datei in
res/raw
zu finden.In den "Kategorien betroffener Personen" (
I.1.
) sind Anwender:innen der DSBmobile-Applikation nicht aufgeführt.In DSBmobile werden beim Login in der aktuellen Version folgende Daten übertragen:
bundleid
,appversion
,osversion
,pushid
; auch IP-Adressen fallen an.Über die Verarbeitung und Speicherung dieser Daten wird nicht informiert, Punkt
I.8.
(Dauer der Speicherung) ist zu inkonkret.DSBmobile beinhaltet Firebase Messaging und Firebase Analytics. Dementsprechend findet offenbar Datenaustausch mit Google statt.
Die Landesbeauftragte für den Datenschutz Niedersachsen ist als Zuständige angegeben. Wie ich das verstanden habe, hat die Schule einen Vertrag zur Auftragsdatenverarbeitung mit heinekingmedia und dementsprechend ist die Schule und deren zuständige Datenschutzbehörde als Erste verantwortlich, wenn eine Beschwerde aufkommt.