E-Learning an Hochschulen nach den Grundsätzen des Datenschutzes

Transkript

1 Datenschutz Danschutzrecht Bildung und Forschung Stand: 04/2011 E-Learning an Hochschulen nach den Grundsätzen des Datenschutzes 1. Einführung und Einsatz von E-Learning-Verfahren VERANTWORTUNG Die datenschutzrechtliche Verantwortung für die Einführung und den Einsatz von E-Learning-Systemen trägt die Leitung der Hochschule. Um dieser Verantwortung gerecht zu werden, bedarf es grundsätzlich einer sogenannten "Top-down-Struktur", also einheitlicher verbindlicher Vorgaben der Hochschulleitung. Dabei sind etwa in Dienstanweisungen oder Nutzungsordnungen zum einen insbesondere Systeme, Funktionalitäten, Dienste und Module festzulegen, die zum Zweck des E-Learnings an der Hochschule eingesetzt werden dürfen. Zum anderen ist die Festlegung verbindlicher Regelungen und Standards zum Einsatz dieser Verfahren erforderlich. Zur Sicherstellung von Datenschutz und -sicherheit ist es im Übrigen notwendig, schon in der Planungsphase eine adäquate Stellenplanung mit zu berücksichtigen (Ein E-Learning-System ist kein "Selbstläufer", Administration und Zugangsrechteverwaltung sind ständige Aufgaben.). SICHERHEITSKONZEPT, VERFAHRENSVERZEICHNIS Vor dem Einsatz oder einer wesentlichen Änderung eines E-Learning- Verfahrens ist ein Sicherheitskonzept nach Maßgabe des 10 Abs. 3 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) sowie ein Verfahrensverzeichnis im Sinne des 8 DSG NRW zu erstellen. BETEILIGUNG DER DATENSCHUTZBEAUFTRAGTEN Die Datenschutzbeauftragten der Hochschulen müssen vor dem Einsatz oder einer wesentlichen Änderung von E-Learning-Systemen rechtzeitig beteiligt und eingebunden sein, damit sie die Vorabkontrolle der eingesetzten automatisierten Verfahren durchführen und dokumentieren können. Das setzt voraus, dass ihnen frühzeitig und umfassend alle erforderlichen Informationen zur Verfügung gestellt werden, insbesondere eine detaillierte funktionelle Beschreibung des geplanten E-Learning-Systems inklusive aller zum Verfahren gehörender Komponenten. Aus Gründen der Transparenz sollte die Vorabkontrolle hochschulintern veröffentlicht werden. DATENVERARBEITUNG IM AUFTRAG Werden E-Learning-Systeme durch Dienstleister oder andere Hochschulen im Auftrag betrieben oder werden öffentliche Angebote im poststelle@ldi.nrw.de Seite 1 von 6

2 Netz genutzt, sind die Regelungen für die Datenverarbeitung im Auftrag ( 11 DSG NRW) einzuhalten. 2. Materiell-rechtliche Rahmenbedingungen Bereichsspezifische Vorschriften zum Einsatz von E-Learning-Systemen an Hochschulen gibt es nicht. TELEMEDIENGESETZ (TMG): Die Datenschutzbestimmungen des TMG (4. Abschnitt des TMG) gelten für Telemedienangebote, bei denen ein Anbieter-Nutzer-Verhältnis besteht; Prozesssteuerung und Arbeitsverhältnisse sind als In-Sich- Verhältnisse vom TMG-Datenschutz ausdrücklich ausgenommen. Unter Berücksichtigung der Gesetzesmaterialien ist diese Regelung nicht abschließend. Ein dem Arbeitsverhältnis vergleichbares In-Sich- Verhältnis stellt die Beziehung der Hochschule zu ihren Mitgliedern und Angehörigen dar. Im Arbeitsverhältnis sind lediglich Beginn und Ende von Freiwilligkeit geprägt, während für die Ausgestaltung des Arbeitsverhältnisses die Weisungen des Arbeitgebers maßgeblich sind. Es liegt hier ein dauerhaftes, freiwillig begründetes Subordinationsverhältnis vor, welches nicht primär auf die Inanspruchnahme von Telemedien gerichtet ist. Mitglieder und Angehörige der Hochschule stehen zu dieser in einer vergleichbaren Sonderbeziehung, nämlich in einem besonderen öffentlich-rechtlichen Rechtsverhältnis (soweit sie sich nicht bereits in einem Arbeits- oder Beamtenverhältnis mit der Hochschule befinden). Dieses Rechtsverhältnis unterwirft sie dem Binnenrecht der Hochschule und bewirkt, dass sie sich bestimmten Maßnahmen der Hochschule nicht ohne Gefährdung der Sonderbeziehung entziehen können. Zweck der Sonderbeziehung sind Forschung, Lehre und Studium, nicht jedoch primär die Inanspruchnahme von Telemedien. Setzt die Hochschule zum Erreichen des Zwecks Telemedien ein, so sind diese lediglich Mittel zum Zweck und nicht Hauptgegenstand der Rechtsbeziehung. Es ist daher wie folgt zu unterscheiden: - Ein In-Sich-Verhältnis besteht zwischen der Hochschule als Anbieterin und ihren Mitgliedern und Angehörigen als Nutzerinnen und Nutzern, also insbesondere zwischen der Hochschule und den Studierenden, den Lehrenden sowie sonstigen Beschäftigten. Es liegt mithin auch bei E-Learning-Angeboten der Hochschule oder auch einzelner Lehrender an die Studierenden vor. Ein solches In-Sich-Verhältnis kann bereits bei Bewerberinnen und Bewerbern für ein Hochschulstudium angenommen werden, sobald sie eine Handlung vornehmen, die nach Maßgabe der Einschreibeordnung auf eine (spätere) Immatrikulation zielt, sie sich also beispielsweise auf eine in der Ordnung vorgesehene Bewerbungsliste für einen Studienplatz setzen lassen. Auf diese In-Sich-Angebote finden die hochschulspezifischen und die allgemeinen Datenschutzregelungen Anwendung. poststelle@ldi.nrw.de Seite 2 von 6

3 - Richten sich E-Learning-Angebote dagegen an außen stehende Dritte, etwa an Hochschulinteressierte, ist kein In-Sich-Verhältnis gegeben. Deshalb finden die Datenschutzregelungen des TMG und ergänzend die allgemeinen Vorschriften des DSG NRW auf diesen Adressatenkreis Anwendung. Soweit diese Nutzung die Datenschutzregelungen des TMG überschreitet, ist die Datenverarbeitung nur auf der Grundlage einer wirksamen Einwilligung zulässig. Diese differenzierte Betrachtung erfordert gegebenenfalls getrennte Datenhaltung oder besondere technisch-organisatorische Maßnahmen im E-Learning-System. HOCHSCHULSPEZIFISCHE und ALLGEMEINE Datenschutzregelungen: Im Hochschulgesetz Nordrhein-Westfalen (HG NRW) sind keine spezifischen Datenschutzbestimmungen zum E-Learning normiert. Deshalb finden grundsätzlich die allgemeinen Datenschutzvorschriften des DSG NRW Anwendung (vgl. auch unter 3.), soweit sie nicht im Ausnahmefall durch besondere Vorschriften etwa Regelungen in der Einschreibe-, der Evaluations- oder einer Prüfungsordnung verdrängt werden. Wenn nicht im Einzelfall eine der Hochschulsatzungen zulässigerweise die verpflichtende Teilnahme an bestimmten E-Learning-Diensten vorsieht (also beispielsweise in einer Prüfungsordnung verbindlich festgelegt ist, dass einzelne Prüfungen online erfolgen), ist die Teilnahme am E-Learning freiwillig. Die Freiwilligkeit ist gegeben, solange eine Alternative zu dem angebotenen Dienst besteht. Wird die Teilnahme (zum Beispiel an einem Online-Seminar) gewünscht, steht der Freiwilligkeit nicht entgegen, dass die Nutzung gewissen Bedingungen unterliegt (etwa Präsenzpflicht, Bearbeitung von Aufgaben und aktive Teilnahme an Diskussionen). 3. Grundsätzliche Anforderungen und technisch-organisatorische Maßnahmen TRANSPARENZ Die Datenverarbeitung in E-Learning-Systemen muss transparent sein. In die Beschreibung z. B. Nutzungsvereinbarung ("Policy") des eingesetzten Systems gehören insbesondere die rechtlichen Grundlagen der Verarbeitung der personenbezogenen Daten, die genaue Festlegung der Zwecke bzw. der zur Verfügung stehenden Dienste/Plattformen, Beschreibung der Dienste/Plattformen mit den einzelnen Datenverarbeitungsvorgängen und den hierfür erforderlichen Daten, Beschreibung der Einbindung der Dienste in die Infrastruktur der Hochschule (Verbunddatei ( 4a DSG NRW) oder Online- Verfahren ( 9 DSG NRW)?), poststelle@ldi.nrw.de Seite 3 von 6

4 Angaben über Personen und Stellen innerhalb der Hochschulen, die zu den genannten Zwecken/Diensten personenbezogene Daten verarbeiten, rechtzeitige Bekanntgabe vor Beginn einer jeden Lehrveranstaltung über Art und Umfang des vorgesehenen Einsatzes des E- Learning-Systems, Unterrichtung der Betroffenen über Daten, die von anderen Stellen innerhalb der Hochschule dem E-Learning-System zur Verfügung gestellt worden sind ( 13 Abs. 2 Satz 2 DSG NRW) und die umgekehrt an andere Stellen übermittelt werden, Unterrichtung der Betroffenen darüber, welche Personen oder Personenkreise an welcher Stelle im System die Bestandsdaten, die Nutzungsdaten und die Inhaltsdaten einsehen oder verarbeiten können; die Betroffene sollten feststellen können, welche Personen tatsächlich Zugriff auf die Informationen im System haben; es ist so anzulegen, dass alle über die Betroffenen gespeicherten Daten von ihnen eingesehen und ggf. auf Verlangen ausgedruckt werden können, Bezeichnung der Stelle, bei der die Betroffenen ihre Rechte nach 5 DSG NRW geltend machen und die Verfahrensbeschreibung nach 8 DSG NRW einsehen können. DATENSPARSAMKEIT Alle Dienste und damit verbundene Datenverarbeitungsprozesse sind nach dem Prinzip der Datenvermeidung und Datensparsamkeit zu gestalten ( 4 Abs. 2 Satz 1 DSG NRW). Produkte und Verfahren, deren Vereinbarkeit mit den Vorschriften über den Datenschutz und die Datensicherheit festgestellt wurden, sind vorrangig zu berücksichtigen. Deshalb muss ein verbindlicher Rahmen für die im E-Learning-System zur Verfügung stehenden Dienste festgelegt werden, wobei der Grundsatz der Verhältnismäßigkeit (unter Berücksichtigung der schutzwürdigen Belange der betroffenen Personen und der Aufgaben der beteiligten Stellen/des Hochschulpersonals) angemessen zu berücksichtigen ist. Außerdem ist die Nutzung anonymisierter oder pseudonymisierter Daten vorrangig zu prüfen. Soll das System zu Evaluationszwecken genutzt werden, sind die speziellen Regelungen zur Evaluation einzuhalten. Nutzerverhalten darf grundsätzlich nicht personenbezogen ausgewertet werden. Deshalb sollte die Protokollierung als Grundlage von Informationsdiensten (Benachrichtigungen, Information über Aktionen im System, Transparenz über Gruppenverhalten) veranstaltungsbezogen steuerbar sein. Nur in wenigen Ausnahmefällen kann die Erhebung von Verhaltensdaten in personenbezogener Form erforderlich sein. Bild- und Tonaufzeichnungen sind nur zu von der Hochschule genehmigten Zwecken und nur mit Einwilligung der Betroffenen zulässig. poststelle@ldi.nrw.de Seite 4 von 6

5 TRENNUNGSGEBOT Die Datenverarbeitung soll so organisiert werden, dass bei der Verarbeitung, insbesondere bei der Übermittlung, der Kenntnisnahme im Rahmen der Aufgabenerfüllung und der Einsichtnahme durch befugte Nutzerinnen und Nutzer, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach den unterschiedlichen Betroffenen möglich ist ( 4 Abs. 6 DSG NRW). Deshalb ist beispielsweise die Datenverarbeitung im Zusammenhang mit Lehrveranstaltungen von der Prüfungsverwaltung zu trennen. Die Einhaltung des Trennungsgebots erfordert ein fein granuliertes rollenbasiertes Zugriffsberechtigungskonzept (s. u.). Außerdem muss die Administration in einer Hand verbleiben. Eine Systemadministration durch die Anwenderinnen, Anwender und Lehrenden selbst ist wegen Interessenkollision unzulässig. FREIWILLIGKEIT oder VERBINDLICHKEIT Die Dienste im E-Learning-System sind für die Nutzerinnen und Nutzer (Studierende und Lehrpersonen) grundsätzlich freiwillig, wenn nicht ausnahmsweise die verbindliche Nutzung vorgeschrieben ist. Eine ausnahmsweise verbindliche Nutzung muss in einer Ordnung normenklar bestimmt sein. Die Betroffenen müssen erkennen können, ob es eine Verbindlichkeit oder Wahlmöglichkeit gibt ( 12 Abs. 2 Satz 3 DSG NRW). ZWECKBINDUNG der Nutzungsdaten Es dürfen über die festgelegten Zwecke hinaus keine personenbezogenen Auswertungen stattfinden. Unbefugte Datenverarbeitungen müssen revisionsfähig sein, so dass eine Protokollierung vorzusehen ist. Dabei ist insbesondere die Verwendung aller anfallenden Protokolldaten festzulegen. Auch hier sind die Grundsätze der Zweckbindung, Erforderlichkeit und Datensparsamkeit zu beachten. GESTALTUNG der Systemkomponenten, Schutz gegen Missbrauch Es ist ein sicheres Identitätsmanagement erforderlich, und es darf keine Möglichkeit für Unbefugte geben, im System Authentifikationsdaten Dritter zur Kenntnis zu nehmen oder Nutzungsdaten Dritter zu verändern. Bewertungen Einzelner dürfen nicht hochschul-öffentlich zugänglich gemacht werden. Die Nutzerinnen und Nutzer müssen in angemessenem Umfang die Möglichkeit haben, den Inhalt der über sie im System gespeicherten Daten zu lesen und auszudrucken. Es sind Vorkehrungen zu treffen, die die Nutzerinnen und Nutzer gegen missbräuchliches Auslesen, Verändern und Nutzen ihrer Daten schützen. Dazu dürfte neben der Verschlüsselung auch die Möglichkeit der einzelnen Person zählen, ihre Daten löschen und sperren zu lassen. Die Revision aller Berechtigungen muss möglich sein. Aktive Systembestandteile (beispielsweise -Benachrichtigungen, SMS, RSS) sind so zu gestalten, dass grundsätzlich keine personenbewww.ldi.nrw.de poststelle@ldi.nrw.de Seite 5 von 6

6 zogene Daten an alle Teilnehmenden übermittelt werden. Es dürfen keine Verhaltensinformationen außerhalb des Systems ablesbar sein. Die verschiedenen Maßnahmen und Systemkomponenten, die missbräuchliche Nutzung verhindern, sind in einem Sicherheitskonzept zu dokumentieren. LÖSCHUNG Die Dauer der für die einzelnen Dienste erfolgenden Speicherung muss zweckgebunden und so kurz wie möglich sein. Es sind für die verschiedenen Datenarten (auch Protokolldaten) Regelfristen und Verantwortlichkeiten für die Löschung festzulegen. Für andere Zwecke und über die Speicherdauer hinaus dürfen die Daten grundsätzlich nur in anonymisierter Form genutzt werden. ZUGRIFFSBERECHTIGUNG Die Lese- und Schreibberechtigung für die einzelnen Nutzerinnen und Nutzer muss auf das zur jeweiligen Aufgabenerledigung Erforderliche beschränkt sein. Ein geeignetes Identitätsmanagement und die Festlegung in einem Rollen-Rechte-Konzept sind unverzichtbar. Dem steht das Grundrecht der Freiheit der Lehre nicht entgegen. Gewährleistung der DATENSCHUTZRECHTE der Betroffenen Es ist sicherzustellen, dass und wie die betroffenen Personen ihre Datenschutzrechte insbesondere die Rechte auf Auskunft, Löschung und Sperrung gemäß 5 DSG NRW wahrnehmen und ausüben können und wer insoweit verantwortlich ist. Außerdem gibt es ein Widerspruchsrecht gemäß 4 Abs. 5 DSG NRW: Auch bei einer rechtmäßigen Verarbeitung kann die betroffene Person einer bestimmten Datenverarbeitungsform im System widersprechen. Es muss daher festgelegt sein, wer über dieses Widerspruchsrecht zu entscheiden hat. GESCHÜTZTE LERNRÄUME für studentische Lerngruppen Auch in einem E-Learning-System muss die Möglichkeit für die Lernenden bestehen, Inhalte im persönlichen Kreis ohne Beobachtung durch den Lehrenden zu vertiefen und zu diskutieren, um die Studierenden nicht zu zwingen, auf unsichere Plattformen auszuweichen. DATENSCHUTZKONTROLLEN Die Einhaltung der getroffenen Regelungen muss durch Kontrollinstanzen geprüft werden können. poststelle@ldi.nrw.de Seite 6 von 6