Sofatutor (größte Lernplattform im deutschsprachigen Raum) übermittelt personenbeziehbare Daten von Kindern aller Schulstufen an TikTok, Facebook & Co.

Der „Nachhilfe“-Gigant wirbt mit dem Slogan:

 sofatutor.com – Mit Spaß die Noten verbessern

Von: Klaus-Juergen.Bruder <Klaus-Juergen.Bruder@protonmail.com>
Gesendet: Montag, 7. November 2022 18:11
An: undisclosed-recipients:
Betreff: Fw: Sofatutor: Übermittlung personenbeziehbarer Daten von Kindern an TikTok, Facebook und Co.

Liebe Freunde,

Ich leite Euch ganz wichtige Information bestem Dank weiter

und mit herzlichen Grüßen

Klaus-Jürgen Bruder

——————————————–

Prof. Dr. Klaus-Jürgen Bruder
Freie Universität Berlin
Arbeitsbereich Theorie und Geschichte
der Psychologie

Büro: Habelschwerdter Allee 45
D-14195 Berlin-Dahlem
Privat: Pariser Str. 56
D-10719 Berlin

FON +49 30 864 22 823
E-Mail: klaus-juergen.bruder@protonmail.com

https://Klaus-Juergen-Bruder.de

Gesendet mittels einer sicheren E-Mail von Proton Mail.

https://www.kuketz-blog.de/sofatutor-uebermittlung-personenbeziehbarer-daten-von-kindern-an-tiktok-facebook-und-co/

Es geht grad so weiter mit der ständigen Ausspioniererei, die DSGVO ist ein Papiertiger und die Betroffenen sind gefordert, sich gegen die Zumutungen an allen Ecken und Ende selbst zu wehren. Auf die ‚Regierung‘ oder ‚Datenschutzbeauftragte‘ – die man wie eitel Sonnenschein oder wie die berühmte Monstranz vor sich herträgt – um die Sauereien dahinter zu verbergen, kann man sich nicht verlassen; die kann man getrost in der Pfeife rauchen.

Mike Kuketz resümiert:

Eigentlich kann man Betroffenen nur eines raten: Beschwerde einlegen oder direkt den Klageweg einschlagen. Ein Blick ins Impressum verrät, dass die sofatutor GmbH in Berlin ansässig ist. Damit fällt das Unternehmen in die Zuständigkeit der Berliner Beauftragte für Datenschutz und Informationsfreiheit. Beschwerden kann man dort übrigens online einreichen. Sofern ihr dies tut, sprecht euch nach Möglichkeit bitte mit weiteren Betroffenen ab – dort müssen jetzt nicht hunderte von Beschwerden eingehen. Eine gut begründete und nachvollziehbare Beschwerde reicht vollkommen aus.


——– Weitergeleitete Nachricht ——–

Betreff:Sofatutor: Übermittlung personenbeziehbarer Daten von Kindern an TikTok, Facebook und Co.
Datum:Mon, 07 Nov 2022 11:14:16 +0000
Von:Mike Kuketz

Sofatutor ist eine (Lern-)Plattform, die Schüler der 1. Klasse bis zum Abitur adressiert:

Mit den mehr als 10.000 Lernvideos, über 43.000 interaktiven Übungen und knapp 38.000 Arbeitsblättern für alle Klassenstufen ist sofatutor die umfangreichste Online-Lernplattform im deutschsprachigen Raum. Ein Team von mehr als 250 Mitarbeiter*innen arbeitet kontinuierlich daran, sofatutor.com um immer neue Themen, Übungstypen und Lernspiele für alle Jahrgänge von der 1. Klasse bis zum Abitur zu erweitern.

Aus Neugier habe ich mal das Datensendeverhalten der Android-App von Sofatutor in der Version 2.5.13 analysiert. Bereits nach dem Start war klar: Die Verantwortlichen nehmen es mit dem Datenschutz offenbar nicht sonderlich genau. Nach der Analyse bin ich nicht nur enttäuscht, sondern erschüttert. Von Verantwortlichkeit keine Spur – und das bei einer Zielgruppe (Kinder), die einen besonderen Schutz ihrer personenbezogenen Daten verdienen.

Unmittelbar nach dem Start – keine (Nutzer-)Interaktion

[1] Unmittelbar nach dem Start der App wird eine Verbindung zu Sentry (USA), einem Dienst für Absturzberichte, initiiert [o469049.ingest.sentry.io]:

POST /api/5772335/envelope/ HTTP/1.1
User-Agent: sentry.java.android/4.3.0
X-Sentry-Auth: Sentry sentry_version=7,sentry_client=sentry.java.android/4.3.0,sentry_key=5c6f97f9104a4285b0772c6395cef102
Content-Type: application/x-sentry-envelope
Accept: application/json
Connection: close
Host: o469049.ingest.sentry.io
Accept-Encoding: gzip, deflate
Content-Length: 588
 
{
   "sdk":{
      "name":"sentry.java.android",
      "version":"4.3.0",
      "packages":[
         {
            "name":"maven:io.sentry:sentry",
            "version":"4.3.0"
         },
[...]

[2] Danach verbindet sich die App zu ipapi, einem API-Dienst, der verschiedene Informationen zu einer IP-Adresse liefert [ipapi.co]:

GET /json/ HTTP/1.1
Host: ipapi.co
Accept-Encoding: gzip, deflate
User-Agent: okhttp/3.12.12
Connection: close

Die Antwort ist äußerst aufschlussreich:

HTTP/1.1 200 OK
Date: Sat, 05 Nov 2022 11:28:06 GMT
Content-Type: application/json
Connection: close
Allow: GET, OPTIONS, POST, HEAD, OPTIONS
X-Frame-Options: DENY
Vary: Host, Origin
X-Content-Type-Options: nosniff
Referrer-Policy: same-origin
CF-Cache-Status: DYNAMIC
Report-To: {"endpoints":[{"url":"https:\/\/a.nel.cloudflare.com\/report\/v3?s=9oa0uY%2BLB9k95kQbjKh31sr8B6FvQWb%2F7DiUtL%2BdSM4Jgba3pRDdiuWkqZnZoGndGp8v1cTXRjjsxNKiGb7%2FBLZUw17l2%2BClo2lAU1gC%2FXKQKPTXzi4YjUk8"}],"group":"cf-nel","max_age":604800}
NEL: {"success_fraction":0,"report_to":"cf-nel","max_age":604800}
Server: cloudflare
CF-RAY: 7665096d6f3d9183-FRA
Content-Length: 745
 
{
   "ip": "95.208.241.51",
   "network": "95.208.240.0/22",
   "version": "IPv4",
   "city": "Karlsruhe",
   "region": "Baden-Wurttemberg",
   "region_code": "BW",
   "country": "DE",
   "country_name": "Germany",
   "country_code": "DE",
   "country_code_iso3": "DEU",
   "country_capital": "Berlin",
   "country_tld": ".de",
   "continent_code": "EU",
   "in_eu": true,
   "postal": "76137",
   "latitude": 49.0034,
   "longitude": 8.4275,
   "timezone": "Europe/Berlin",
   "utc_offset": "+0100",
   "country_calling_code": "+49",
   "currency": "EUR",
   "currency_name": "Euro",
   "languages": "de",
   "country_area": 357021.0,
   "country_population": 82927922,
   "asn": "AS3209",
   "org": "Vodafone GmbH"
}

Anhand der übermittelten IP-Adresse lässt sich unter anderem die ungefähre Geo-Position bestimmen. Aber nicht nur, sondern auch, aus welcher Stadt/Region jemand stammt und über welchen Internet-Provider die Einwahl erfolgt.

(Cookie-)Consent-Banner

Auf einen (Cookie-)Consent-Banner verzichtet die App vollständig. Zum Hintergrund: Mit einem solchen Consent-Banner (Einwilligungs-Banner) kann eine Einwilligung des Nutzers zu einer Datenverarbeitung eingeholt werden. Sowohl die DSGVO als auch das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sehen solche Einwilligungen vor, bei der DSGVO auch neben anderen Rechtsgrundlagen. Das TTDSG erlaubt hingegen einen Zugriff auf im Endgerät gespeicherte Daten grundsätzlich nur nach Einwilligung – unabhängig davon, ob ein Personenbezug vorliegt oder nicht. Ausnahmen davon sind nur im engen Rahmen erlaubt, darunter die Übertragung einer Nachricht oder wenn dies »unbedingt erforderlich« ist, um den Dienst bereitzustellen.

Konto registrieren

Ein Konto habe ich bisher nicht, also tippe ich auf den Button Registrieren. Bevor ich nachfolgend nun das weitere Datensendeverhalten (auszugsweise) darstelle, möchte nochmal daran erinnern, wer die Zielgruppe von Sofatutor ist:

Schüler der 1. Klasse bis zum Abitur.

Werfen wir nun mal einen Blick in Art. 8 DSGVO:

(1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.

Daraus lässt sich ableiten, dass ein Großteil der Zielgruppe (6 bis 16 Jahre) von Sofatutor ausschließlich gemeinsam mit einem Erwachsenen genutzt werden sollte, da das Kind keine Einwilligung abgeben darf. Ziehen wir nun noch den DSGVO-Erwägungsgrund 38 hinzu:

Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.

Das nachfolgende Datensendeverhalten bitte ich nun unter Berücksichtigung von DSGVO-Erwägungsgrund 38 zu lesen.

[1] Obwohl das Einbinden von Google Fonts bereits seit längerem kontrovers diskutiert wird, erfolgt ein Nachladen direkt bei Google [fonts.googleapis.com]:

GET /css?family=Open+Sans:300,400,400italic,600,600italic,700&display=swap HTTP/1.1
Host: fonts.googleapis.com
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Accept: text/css,*/*;q=0.1
X-Requested-With: com.sofatutor.mobile
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: style
Referer: https://www.sofatutor.com/
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

[2] Weiter geht es dann mit dem Nachladen von Grafiken, CSS, JavaScript etc. direkt bei Cloudfront [dkckbwr4t7ug6.cloudfront.net].

[3] Danach wird es wirklich unschön. Die App bindet zahlreiche Tracking- und Werbeanbieter ein. Unter anderem konnte ich die folgenden identifizieren:

  • Convert (A/B-Testing, USA)
  • Google Tag Manager (Google, USA)
  • Bugsnag (Fehler- und Absturzberichte, USA)
  • Google Analytics (Analyse, USA)
  • Amplitude (Analyse, USA)
  • Google Doubleclick (Werbung, USA)
  • Taboola (Marketing & Werbung, USA)
  • Outbrain (Marketing & Werbung, USA)
  • Bing Ads (Marketing & Werbung, USA)
  • Hotjar (Kundenbefragung, Malta)
  • Pinterest (Marketing & Werbung, Irland)

Damit aber nicht genug, auch Facebook und TikTok sind dabei:

GET /en_US/fbevents.js HTTP/1.1
Host: connect.facebook.net
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Accept: */*
X-Requested-With: com.sofatutor.mobile
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: script
Referer: https://www.sofatutor.com/
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close
POST /api/v2/pixel HTTP/1.1
Host: analytics.tiktok.com
Content-Length: 897
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Content-Type: text/plain;charset=UTF-8
Accept: */*
Origin: https://www.sofatutor.com
X-Requested-With: com.sofatutor.mobile
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
Referer: https://www.sofatutor.com/
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close
 
{
   "event":"Pageview",
   "message_id":"messageId-1667814908658-9837995719656-C8TCAETCSQN3SGB7Q4JG",
   "event_id":"",
   "is_onsite":false,
   "timestamp":"2022-11-05T11:30:08.659Z",
   "context":{
      "ad":{
         "sdk_env":"external",
         "jsb_status":2
      },
      "user":{
         "anonymous_id":"d76a63db-ecd4-47ee-8635-b4867ca25bbf"
      },
      "pixel":{
         "code":"C8TCAETCSQN3SGB7Q4JG"
      },
      "page":{
         "url":"https://www.sofatutor.com/mobile-app/registration/new?sofatutor_android_app=2.5.13",
         "referrer":""
      },
      "library":{
         "name":"pixel.js",
         "version":"2.1.33"
      },
      "device":{
         "platform":"android"
      },
      "session_id":"41d370ce-5e82-11ed-8edf-b8cef6710628::mXxKYuKagg70HHVaotWf-C8TCAETCSQN3SGB7Q4JG",
      "pageview_id":"pageId-1667814908025-8061453426589-C8TCAETCSQN3SGB7Q4JG",
      "variation_id":"control",
      "userAgent":"Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36"
      },
      "properties":{
   }
}

Tracking und die Einbindung von Werbeplattformen, wohin das Auge reicht. Facebook, Google, TikTok – you name it. Laut Datenschutzerklärung bezieht sich Sofatutor hierbei auf die Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. a DSGVO oder Art. 6 Abs. 1 S. 1 lit. f DSGVO. Eine ausdrückliche, informierte, freiwillige und aktive Einwilligung wurde bis zu diesem Zeitpunkt nicht eingeholt – und selbst wenn, steht diese in Bezug auf Art. 8 DSGVO auf rechtlich so wackeligen Füßen, dass ein Sturz mit Folgeschäden erwartbar ist. Und Art. 6 Abs. 1 S. 1 lit. f DSGVO kommt hier ebenfalls nicht in Betracht – insbesondere nicht bei einer Zielgruppe, die größtenteils aus Kindern besteht, deren personenbezogene Daten einen besonderen Schutz verdienen. Somit gibt es aus meiner Sicht aktuell keine gültige Rechtsgrundlage für die Erhebung bzw. Verarbeitung dieser Daten durch Sofatutor bzw. der eingebundenen Dienstleister. Von erheblichen Verstößen gegen das TTDSG brauchen wir erst gar nicht anzufangen.

Nach Eingabe der E-Mail-Adresse und einem Passwort muss man übrigens ein Häkchen bei Ich akzeptiere die AGB und Widerrufsbelehrung setzen. Auch das ist keine ausdrückliche, informierte, freiwillige und aktive Einwilligung im Sinne der DSGVO.

Wenig verwunderlich: Alles, wirklich alles, was ein Kind/Jugendlicher dann in der App antippt, wird von diesen Dienstleistern analysiert. Facebook, Google und Co. wissen bspw., in welcher Ansicht/View sich jemand befindet:

GET /tr/?id=616425158433418&ev=PageView&dl=https://www.sofatutor.com/mobile-app/in_app_purchase/new&rl=&if=false&ts=1667817762444&sw=360&sh=640&udff[em]=02183f7e21bbd91190f7689738ee22339979c93d4daabed62143aeba62745823&v=2.9.89&r=stable&ec=4&o=2078&fbp=fb.1.1667814908180.1891900284&it=1667814907585&coo=false&rqm=GET HTTP/1.1
Host: www.facebook.com
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Accept: image/avif,image/webp,image/apng,image/svg xml,image/*,*/*;q=0.8
X-Requested-With: com.sofatutor.mobile
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: image
Referer: https://www.sofatutor.com/
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close
POST /g/collect?v=2&tid=G-PC5NQD25YL&gtm=2oeb20&_p=1797795472&cid=b9957607-be6f-4559-9b9e-4c098739dee9&ul=de-de&sr=360x640&_s=3&sid=1667817763&sct=2&seg=0&dl=https://www.sofatutor.com/mobile-app/in_app_purchase/new&dt=sofatutor&en=user_engagement&_ss=1 HTTP/1.1
Host: region1.google-analytics.com
Content-Length: 0
User-Agent: Mozilla/5.0 (Linux; Android 10; Mi A1 Build/QQ3A.200805.001; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/95.0.4638.50 Mobile Safari/537.36
Content-Type: text/plain;charset=UTF-8
Accept: */*
Origin: https://www.sofatutor.com
X-Requested-With: com.sofatutor.mobile
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: empty
Referer: https://www.sofatutor.com/
Accept-Encoding: gzip, deflate
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close

WTF!?

Datenschutzerklärung

Werfen wir noch einen Blick in die Datenschutzerklärung:

sofatutor nimmt den Schutz Ihrer Daten sehr ernst und hält sich an die gesetzlichen Vorgaben zum Datenschutz. Bei Fragen zum Datenschutz bei sofatutor können Sie sich jederzeit unter datenschutz@sofatutor.com an uns wenden, wir helfen Ihnen gerne weiter.

Realität und Wunschdenken – wir wissen das – sind zwei völlig unterschiedliche Dinge.

Fazit

Eigentlich kann man Betroffenen nur eines raten: Beschwerde einlegen oder direkt den Klageweg einschlagen. Ein Blick ins Impressum verrät, dass die sofatutor GmbH in Berlin ansässig ist. Damit fällt das Unternehmen in die Zuständigkeit der Berliner Beauftragte für Datenschutz und Informationsfreiheit. Beschwerden kann man dort übrigens online einreichen. Sofern ihr dies tut, sprecht euch nach Möglichkeit bitte mit weiteren Betroffenen ab – dort müssen jetzt nicht hunderte von Beschwerden eingehen. Eine gut begründete und nachvollziehbare Beschwerde reicht vollkommen aus.

Mitmachen: Hilf mit die Spendenziele zu erreichen!

Autor: Hartmut Barth-Engelbart

Autor von barth-engelbart.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert