Hallo liebe Mit-Moodler,
auf Anregung von Peter Sereinigg versuche ich hier mal, dieses Thema anzustoßen.
Wir hatten darüber ja schon in anderem Zusammenhang einige Überlegungen angestellt und dann auf das erste deutsche Moodle-Treffen verschoben. Da ich daran aber aus Termingründen nicht teilnehmen kann, schreibe ich hier ein paar Überlegungen auf.
Ursprünglich hatte ich vor, die Frage gründlich rechtlich zu durchleuchten, habe aber schon nach kurzem Rundblick diese Idee aufgegeben. Moodle datenschutzrechtlich zu bewerten ist mehr als eine Doktor-Arbeit wert und könnte auch dann den internationalen Zusammenhängen, in denen Moodle steht, nicht annähernd ausreichend Rechnung tragen. Deshalb nur ein paar Bemerkungen aus deutscher Sicht.
Die deutsche Gesetzgebung, aus der ich im Anhang einige für Moodle auf den ersten Blick einschlägige Vorschriften zusammengestellt habe, enthält zwar übergreifende Vorschriften im TDG und TDDSG, differenziert dann aber nach der Art der Betreiber: privatrechtlich wie etwa private Bildungsangebote und öffentliche-rechtlich wie etwa Schulen und Hochschulen. Soweit Schulen und Hochschulen in öffentlicher Hand Moodle nutzen, gelten für sie ergänzend zum TDG und TDDSG die jeweiligen Landesdatenschutzgesetze. Für privatrechtliche Moodle-Anbieter gelten dafür die (weitherzigen) Vorschriften des Bundesdatenschutzgesetztes (insbes. §§ 27 ff: nicht im Anhang).
Weiter ist zu unterscheiden nach der Art der Daten und der Art der Nutzung dieser Daten.
Kommt es, was bei elearning via Internet und sich ausweitenden internationalen Kooperationen im Bildungs- und Ausbildungsbereich nahe liegt, über Moodle oder in einem seiner Lehrangebote darüber hinaus zu transnationalem Datenverkehr (wie etwa den Zugriff auf Daten in Foren), dann gelten besondere Bestimmungen (u.a. auch europarechtliche). Solche Zugriffe dürfen (wenn überhaupt) in der Regel nur eingeräumt werden, wenn das gleiche Datenschutzniveau im Empfängerland vorhanden ist wie in Deutschland. Die EU macht ja (bei der Weitergabe von Fluggastdaten an die USA) gerade vor, mit welcher Sorgfalt hier in der Praxis geprüft wird , also wie gefaehrlich es ist, in Moodle personenbezogene Daten zu hinterlassen (etwa politische oder religiöse Meinungsäußerungen in Foren, hochgeladene Referate in den Workshops oder Aufgaben).
So, und nach diesen paar einleitenden Worten müßte es eigentlich zur Sache gehen, nämlich zu den einzelnen Funktionen von Moodle und den verschiedenen Lese- und Schreibrechten . Doch genau das kann ich nicht leisten und dazu berufe ich mich auf ein kluges Vorbild, meinen Kollegen Marximilian Herberger von der Universität des Saarlandes und dort speziell unter anderem für Datenschutz und Rechtsinformatik zuständig. IM übrigen betreibt er im breiten Umfang Internet-Angebote und auch elearning (auch mit Moodle !).
Herberger hat nämlich einen einschlägigen Vortrag zum Thema gehalten, den Sie sich im Internet ansehen und -hören können: Authentifizierung und Datenschutz bei elearning aus der Sicht der Rechtsinformatik . Soweit ich sehe, ist das die bisher einzige einschlägige rechtliche Auseinandersetzung (von einigen diffusen Bemerkungen in Datenschutzberichten des Landesdatenschutzbeauftragten abgesehen). Das Thema ist deutlich unterbelichtet und (meines Erachtens) in den einschlägigen Datenschutzvorschriften auch noch nicht hinreichend geregelt- dazu müssen wohl bald Ergänzungen kommen).
Was sagt Herberger im Kern ? Ganz einfach: wir machen elearning via Internet schlicht drauflos und sichern uns gegen rechtliche Einwände mit ausgefeilten Einwilligungserklärungen der Teilnehmer zum Umgang mit ihren personenbezogenen Daten. Im übrigen aber empfiehlt er, im jeweiligen konkreten Zusammenhang die beteiligten Datenschutzbeauftragten zu befragen. Und so mache ich es jetzt einfach auch, indem ich mich Herberger anschließe. Allerdings bleiben damit eine Reihe naheliegender rechtlicher Pflichten (siehe die Vorschriften im Anhang: Melde- bzw. Anzeigepflichten, Belehrungspflichten, Löschungspflichten usw.) für Moodle-Betreiber unangesprochen und wie eine ausreichende Einwilligungserklärung aussehen sollte, das muss dann von Fall zu Fall diskutiert werden. Es gibt dazu im übrigen ganz interessante Vorlagen (etwa bei WebCT oder bei der Uni Dresden) , die aber (nach meiner Einschätzung) rechtlich nicht ausreichen und vor allem nicht schematisch übertragen werden dürfen. Für jede elektronisch (also online) angebotene Einwilligung gilt im übrigen (abgesehen vom differenzierten Inhalt) als Mindestbedingung Abs.2 und 3 des § 4 TDSSG, gegen die Moodle auf jeden Fall verstößt:
(2) Bietet der
Diensteanbieter dem Nutzer die elektronische Einwilligung an, so hat er
sicherzustellen, dass
1. sie nur durch eine eindeutige und bewusste Handlung des Nutzers erfolgen
kann,
2. die Einwilligung protokolliert wird und
3. der Inhalt der Einwilligung jederzeit vom Nutzer abgerufen werden kann.
(3) Der
Diensteanbieter hat den Nutzer vor Erklärung seiner Einwilligung auf sein Recht
auf jederzeitigen Widerruf mit Wirkung für die Zukunft hinzuweisen. Absatz 1
Satz 3 gilt entsprechend.
Auch meine Lösung, die Einwilligung mit der Anmeldung durch entsprechende Hinweise auf die erfolgende Datenverwendung zu verquicken, reicht im Sinne dieser Vorschriften wohl kaum aus, weil sie die Einwilligung nicht als separaten Vorgang von der Anmeldung abtrennt. Es müßte die Anmeldung (technisch) erst zugelassen werden, wenn die entsprechende Einwiligungserklärung abgegeben ist, nicht uno actu.
Schöne Feiertage wünscht
Stahlmann