Datenschutz bei Untis Messenger

15. Jun 2020 | KaratekHD | CC-BY-SA-3.0

Datenschutz bei Untis Messenger

Vor einiger Zeit führte unsere Schule im Zuge der Notwendigkeit durch die Corona Pandemie die Messenger App “Untis Messenger” zur schulinternen Kommunikation ein. Hierbei handelt es sich um den neu gebrandeten Messenger der Österreichischen Firma Grape, der eigentlich für den Einsatz in Unternehmen konzipiert ist.

Das Problem mit dem Datenschutz

Beim lesen der Datenschutz-Bestimmungen jedoch stieß ich auf folgenden Absatz:

!!! quote “Zitat nach grape.io/privacy” Some service providers are situated outside of the European Union, namely the USA. Therefore, Data is transferred to recipients in third countries, all of which adhere to the EU-US privacy shield.

Wörtlich genannt werden die Unternehmen IXOLIT GmbH, Google Inc., Amazon Web Services Inc., Zendesk Inc., Apple Inc., Microsoft Corp. und Hubspot Inc.. Auf seiner Webseite jedoch schreibt der österreichische Softwareentwickler folgendes (Zitat nach untis.at/produkte/webuntis-das-grundpaket/messenger):

Ihre Daten werden sicher aufbewahrt und verlassen nicht die Europäische Union.

Kontaktaufnahme zu Untis

Da sich diese Aussagen wiedersprechen, wandte ich mich am 4. Juni 2020 per E-Mail an Untis. Ich forderte das Unternehmen auf, diese Unklarheiten zu erklären. Als ich auch am 14. Juni, über eine Woche später, noch keine Antwort erhalten hatte, wandte ich mich erneut per Mail an Untis, diesmal an den Datenschutzbeauftragten Dr. David Huemer. In dieser E-Mail erwähnte ich außerdem die ausgebliebene Antwort des Untis Büros. Eine Kopie dieser Mail schickte ich erneut an office@untis.at. Wenige Minuten später erhielt ich eine Bestätigung über den Eingang meiner Mail, mit der Information, dass das Büro bis zum 6.1.2020 nur eingeschränkt besetzt sei, und man wünschte mir “erholsame Feiertage und einen guten Rutsch ins neue Jahr.”

Antworten des Unternehmens

Am Tag darauf, nämlich heute, am 15.06.2020, gingen dann zwei Antworten bei mir ein. Der Datenschutzbeauftragte erzählte mir, dass es sich bei Untis Messenger um eine angepasste Version des Messengers von Grape handle, weshalb auch auf dessen Datenschutzrichtlinien verwiesen worden sei. Diese Information war mir zwar nicht neu, lässt sie sich doch nach einiger Recherche leicht finden, zeigt jedoch den guten Willen. Auch erklärte Dr. Huemmer, für den Untis Messenger gälten besondere Bedingungen, die Daten würden ausschließlich innerhalb der EU verarbeitet. Grape habe allerdings für diesen Fall keine angepassten Datenschutzhinweise. Eine Ausnahme gelte jedoch für Push Benachichtigungen: Da es derzeit keine anderen technischen Möglichkeiten gäbe, Push Nachichten zu versenden, außer die jeweiligen Services von Google und Apple zu verwenden, würden keine Alternativen eingesetzt. Das stimmt nicht ganz, wie z.B. dieser StackOverflow Beitrag zeigt, jedoch ist in den meisten Fällen die Nutzung von Firebase Cloud Messaging die einfachste und energiesparenste Lösung.

Auch ging eine weitere Mail ein, diesmal aus dem Büro. In ihr ist genau gennant, wozu welche Dienstleister verwendet werden:

  • Aplitude: Die Grape Software hat auch einen Video Teil integriert (“jitsi”), dieser verwendet diesen Tracker, voip ist für Untis nicht aktiv und wird somit nicht verwendet. Danke jedoch für diese Info, dieser Tracker wurde bereits deaktiviert.
  • Appdynamics: Dabei handelt es sich um eine Performance profiling und Error Reporting Methode und steht ausschliesslich für on Premises Kunden zur Verwendung frei, die ihren eigenen Server betreiben und Daten in Appdynamics loggen wollen. Der Untis Server hat Appdynamics nicht konfiguriert.
  • Google Analytics: Ebenso nicht aktiv für Untis, wurde bereits komplett vom Code entfernt (Danke für den Hinweis).
  • Google Crashlytics: Ausschliesslich für Fehler reporting um die Applikation stabiler zu machen. Je weniger Daten wir hier reinbekommen, desto glücklicher sind wir.
  • Google Firebase Analytics: Wird nicht benutzt, jedoch schlägt dieser Tracker an weil firebase.core und firebase.messaging (FCM, push notification) importiert wird.
  • Google Tag Manager: Teil von Google Playservices Analytics was für die Cloud Variante verwendet wurde und wird nun auch entfernt.

Die einzigen Daten, die von Grape über amerikanische Server laufen, sind Push Notifications, da es technisch keine andere, zuverlässige, Lösung am Markt gibt. wir sind selber Meinung, dass Abhilfe geschaffen werden muss um ein komplett Google-freies Smartphone zu haben, jedoch ist der derzeitig komplizierteste Teil eine stabile Alternative zu FCM Push Notification zu finden. Jedoch haben wir einen Auftragsverarbeitungsvertrag mit Google bezüglich Push Notifications.

Alles in allem waren die Mitarbeiter des Unternehmens sehr freundlich und hilfsbereit, man bot mir sogar an, telefonisch mit mir über das Thema zu sprechen, wozu ich jedoch keine Notwendigkeit mehr sehe.

Weitere Informationen

Ich veröffentliche diese Informationen hier, um anderen Nutzern mit ähnlichen Bedenken die Arbeit zu ersparen, sich selber an Untis zu wenden. Sollte das Unternehmen etwas gegen die Veröffentlichung auf dieser Homepage einzuwenden haben, so nehme ich diesen Artikel selbstverständlich vom Netz.

Quellen

Share this post: