Klapp, Datenschutz für die Schule? - Nein!
3. September 2022 - Lesezeit: 12 Minuten
Klapp ist eine Kommunikationsplattform, die für Schulen gedacht ist, also für den Informationsaustausch zwischen Lehrern und Eltern oder Schülern. Sie verspricht eine einfache Bedienung, sowie mit Daten sorgfältig umzugehen.
Auf die Plattform kann mit einem Browser über ein Portal oder direkt mit einer Smartphone App zugegriffen werden. Die App kann aus den üblichen Stores installiert werden. Auf der Home Page gibt es zudem einen Link, mit dem die App als Android APK heruntergeladen werden kann.
Erst muss aber die Lehrperson eine Klasse einrichten. Die Eltern kriegen dann einen Code, mit dem sie sich registrieren können. Danach haben sie Zugriff auf Informationen, die ihr Kind, dessen Klasse sowie Lehrpersonen betreffen. Der Code kann beliebig oft weitergegeben werden, z.B. Betreuungspersonen, Grosseltern, usw.
Um es vorweg zu nehmen: Die Bedienung ist wirklich einfach und selbsterklärend. Zudem können Mitteilungen in sehr viele Sprachen übersetzt werden, was gerade für Eltern ohne lokale Sprachkenntnisse sehr hilfreich ist. Mehr Informationen gibt es auf der Home Page von Klapp.
Da Klapp mit Datenschutz wirbt, ist es natürlich interessant zu wissen, welche Tracker in der Home Page und in der App eingebaut sind. Um das herauszufinden, verwende ich das Plugin uBlockOrigin im Browser, sowie die Firewall NetGuard auf dem Smartphone (Android).
Erst wird einmal die Home Page von Klapp, klapp.pro, untersucht. Das Resultat ist ernüchternd, uBlockOrigin blockiert über 30 Tracker:
Wenn bereits die Home Page eine solche Flut von unerwünschten Merkmalen aufweist, wirkt das nicht gerade vertrauenserweckend.
Portal
Die Home Page ist aber gemäss Herstellerangaben strikt vom Portal klapp.mobi getrennt, und da sieht es dann auch deutlich besser aus. Hier findet uBlockOrigin nur noch einen Tracker:
Angaben zu den verwendeten Domains:
| Domain | Registriert bei | Betrieben durch | Zweck |
| klapp.mobi |
Key-Systems GmbH |
Klapp GmbH |
Sehr wahrscheinlich das Backend der Web-Applikation. |
| ik-server.com |
Infomaniak Network SA |
Infomaniak Network SA |
Sehr wahrscheinlich ein weiteres Backend der Web-Applikation. |
| sentry.io |
Gandi SAS |
Functional Software, Inc. |
Gemäss Herstellerangaben ein cloud-basierter Analysedienst, der die Stabilität von Web-, Mobil- und Serveranwendungen überwacht. |
Die Frage, warum 2 verschiedene Backend Server für die Web-Applikation hinter dem Portal verwendet werden, wurde vom Hersteller bisher offen gelassen.
Wie der Tracker von sentry.io in die Web-Applikation eingebunden ist und welche Daten in die USA geschickt werden, ist momentan ebenfalls unklar.
Android App
Ein Blick auf die Android App (Stand vom 2022-09-03) zeigt anfänglich folgendes Bild:
sentry.io ist also auch hier anzutreffen. Über Firebase werden gemäss Herstellerangaben Push-Nachrichten in Android angezeigt. Die App versucht auch dann diese Verbindung herzustellen, wenn Push-Nachrichten abgewählt wurden.
Nach einer Weile herumspielen in der App sehen die protokollierten Verbindungen dann so aus:
Diese zusätzlichen Verbindungen scheinen mit dem Support-Center zusammenzuhängen.
Die Auswahl der Sprachen in der Übersetzungsfunktion deckt sich übrigens mit jener von Google Translate. Es ist daher anzunehmen, dass die Texte genau dorthin zur Übersetzung gesendet werden. Das passiert auf Serverebene, d.h. das wird in keinem Analysewerkzeug im Browser oder auf dem Smartphone erfasst.
Update vom 17. Sept. 2022
Am 2022-09-17 wurde die Version 3.4.4 der Android App verteilt. Bei der Auswahl der Sprache erscheint jetzt ein Hinweis, mit dem darauf aufmerksam gemacht wird, dass der Text zum Übersetzen an einen externen Anbieter (sehr wahrscheinlich Google) geschickt wird:
Mit dieser Version werden die Verbindungen im Zusammenhang mit dem Support-Center nicht mehr angezeigt. Wird das Support-Center in der App angewählt, wird die Seite support.klapp.mobi im Browser geöffnet, genauso wie beim Portal.
Das Support-Center ist aber, wie die Home Page, mit Trackern verseucht:
Dazu ist aber anzumerken, dass im Support-Center keine heiklen Informationen gespeichert werden, ausser sie werden von den Klapp-Benutzern hier eingegeben.
Update vom 8. Okt. 2022
Vor ein paar Tagen schickte der Lehrer unseres Kindes eine Nachricht. Da ich gerne per E-Mail über neue Nachrichten informiert werden möchte, habe ich das entsprechend eingestellt:
Ich bekam also eine E-Mail mit folgendem Inhalt:
Wenn der Link gedrückt wird, erscheint folgende Seite im Browser:
Um diese Voransicht sehen zu können, muss nicht eingeloggt werden. Da die E-Mail unverschlüsselt geschickt wurde, kann jedermann, der im Besitz des Links ist, die Nachricht lesen!
Der Satz "Aus Gründen der Vertraulichkeit wird die Nachricht hier nicht angezeigt." ist unter diesen Umständen nichts als ein schlechter Witz.
Update vom 5. Nov. 2022
Vor ein paar Tagen habe ich die App bei Google bewertet. Hier der Wortlaut der E-Mail, welche ich danach mit der Antwort des Herstellers erhalten habe:
*Klapp - School communication*
Your rating:★★
Achtung, keine schützenswerten Daten speichern, der Datenschutz ist NICHT gewährleistet! Wenn z.B. E-Mail Benachrichtigung eingeschaltet ist, wird ein Link verschickt, mit dem die Nachricht ohne Anmeldung gelesen werden kann! Zudem werden Daten an US-Server geschickt, welche ist unklar. Anderseits läuft die App stabil, die Bedienung ist einfach, die Übersetzungsfunktion ist hilfreich.
*Antwort des Entwicklers:*
Alle E-Mail-Notifikationen aus Klapp werden über DSGVO konforme Dienste verschickt innerhalb der EU-Region, nicht US! Mit dem in der E-Mail-Notifikation verschickten Link kann niederschwellig und ganz bewusst die Konversation eingesehen werden. Ja, bitte keine besonders schützenswerten Daten über Klapp oder andere digitale Kanäle versenden. Danke!
Fazit
Die unverschlüsselten E-Mails, welche Klapp verschickt, sind ein Datenleck. Jedermann, der in den Besitz dieser E-Mails gelangt, kann damit die entsprechenden Nachrichten lesen. Die E-Mail Funktion muss daher in den Einstellungen unbedingt ausgeschaltet werden, und zwar von allen Eltern. Der Hersteller hat das Datenleck offenbar absichtlich eingebaut.
sentry.io stellt ein weiteres Sicherheitsrisiko dar, da dieser Tracker sowohl im Portal als auch in der App aktiv ist und unklar ist, welche Daten darüber abfliessen. Mit entsprechenden Blockern im Browser und einer Firewall auf dem Smartphone können zwar unerwünschte Verbindungen unterbunden werden, aber wer macht sich schon die Mühe, diese Werkzeuge zu installieren und zu konfigurieren?
Abgesehen davon machen sowohl das Portal als auch die App einen ausreichend datenschutzfreundlichen Eindruck. Aber ein falscher Klick, und man landet auf Seiten, die von Trackern übersät sind (Home Page und Suppot-Center). Hier wird der Datenschutz leider sträflich vernachlässigt. Die Begründung, diese Seiten verhielten sich so wie andere Marketing-Seiten, steht in krassem Widerspruch zu einer Firma, die verspricht, viel Wert auf Datenschutz zu legen. Dass es auch anders geht, zeigt threema.ch.
Von der Benutzung der Klapp App muss dringend abgeraten werden.