E-Learning. Die Umsetzung der gesetzlichen Anforderungen des Telemediengesetzes im Rahmen von Lern-Management-Systemen

Transkript

1 Heinz Lothar Grob Jan vom Brocke Herausgeber Nadine Kalberg Die Umsetzung der gesetzlichen Anforderungen des Telemediengesetzes im Rahmen von Lern-Management-Systemen E-Learning E-Learning-Kompetenzzentrum ERCIS European Research Center for Information Systems Universität Münster Leonardo-Campus Münster Germany e-learning@ercis.de Gefördert durch: Projektträger: Arbeitsbericht Nr. 11

2 Arbeitsberichte E-Learning ERCIS European Research Center for Information Systems Hrsg.: Heinz Lothar Grob, Jan vom Brocke Arbeitsbericht Nr. 11 Die Umsetzung der gesetzlichen Anforderungen des Telemediengesetzes im Rahmen von Lern- Management-Systemen Nadine Kalberg, LL.M.

3 Abstract Der vorliegende Beitrag richtet sein Augenmerk auf die Vorschriften des Telemediengesetzes (TMG), in dessen Anwendungsbereich auch hochschuleigene Lernplattformen fallen. Das TMG begründet für die Betreiber von Informationsund Kommunikationsdiensten zum einen eine Vielzahl von Informationspflichten und sieht zum anderen datenschutz- und haftungsrechtliche Regelungen vor. Die vorliegende Arbeit untersucht zunächst, inwiefern die Vorschriften des TMG auf hochschuleigene Lernplattformen anwendbar sind. Anschließend wird erörtert, ob im Rahmen eines solchen Lern-Management-Systems eine Anbieterkennzeichnung im Sinne des TMG zu erfolgen hat und welche Pflichtangaben in diesem Zusammenhang durch den Diensteanbieter bereitgehalten werden müssen. Weitere telemedienrechtliche Vorgaben ergeben sich in Bezug auf Lernplattformen aufgrund der Vielzahl von personenbezogenen Daten, welche im Rahmen solcher Online-Angebote erhoben und verwendet werden. Daher bestehen für den Anbieter einer Lernplattform auf der einen Seite datenschutzrechtliche Informationspflichten und auf der anderen Seite datenschutzrechtliche Schutzziele anhand derer die technische und organisatorische Ausgestaltung der Lernplattform erfolgen muss. Abschließend untersucht die vorliegende Arbeit die Frage der Haftung für die im Rahmen eines Lern-Management- Systems vorgehaltenen Inhalte. Der Beitrag erfolgt in dem Projekt chl-hybrid (Förderkennzeichen: 01PI05003), das in der Förderlinie E-Learning-Integration im Rahmen des Förderschwerpunkts Neue Medien in der Bildung des BMBF gefördert wird.

4 2 Inhalt 1 Einleitung: Informationspflichten für hochschuleigene Internetangebote: Anwendbarkeit des Telemediengesetzes auf Internetangebote von Hochschulen: Das neue Telemediengesetz: Der Begriff der Telemedien: Pflichtangaben für Telemediendiensteanbieter ( 5 TMG, 55 RStV): Pflichtangaben gem. 5 TMG: Pflichtangaben gem. 55 RStV: Erkennbarkeit, Erreichbarkeit und Verfügbarkeit: Die datenschutzrechtlichen Anforderungen des Telemediengesetzes: Datenschutz in webbasierten Lernplattformen: Die datenschutzrechtlichen Vorschriften des TMG: Die datenschutzrechtlichen Pflichten der Diensteanbieter: Die Erhebung, Verarbeitung und Verwendung von personenbezogenen Daten im Rahmen von Lernplattformen: Die Erstellung von Nutzerprofilen: Anforderungen an eine wirksame Einwilligung: Anforderungen an eine Datenschutzerklärung nach dem TMG: Informationen über Art, Umfang und Zweck der Erhebung und Verwendung von personenbezogenen Daten: Form der Unterrichtung: Weitere Informationspflichten (fallabhängig): Fragenkatalog als Hilfestellung bei der Erstellung einer Datenschutzerklärung: Die Haftung des Lernplattformbetreibers: Haftung für eigene Inhalte: Haftung für fremde Inhalte: Fazit:...40 Literaturverzeichnis...42

5 3 1 Einleitung: Lernplattformen bieten vielfältige Möglichkeiten, um die Qualität universitärer Lehrveranstaltungen durch eine sinnvolle Vor- und Nachbereitung des Lehrstoffs zu verbessern. Sollen solche Lern-Management-Systeme an Hochschulen eingesetzt werden, sind jedoch neben pädagogischen Gesichtspunkten auch vielfältige rechtliche Fragestellungen zu beachten. Der folgende Beitrag richtet sein Augenmerk dabei auf die Vorgaben, die der Gesetzgeber speziell für Informations- und Kommunikationsdienste aufgestellt hat. Lernplattformen unterliegen dabei denselben gesetzlichen Regelungen wie alle anderen Internetdienste. Zu beachten sind daher einerseits spezifische Informationspflichten, die der Gesetzgeber für Informations- und Kommunikationsdienste vorsieht, aber auch datenschutzrechtliche und haftungsrechtliche Fragestellungen. So müssen Anbieter von Informations- und Kommunikationsdiensten im Rahmen der sog. Anbieterkennzeichnung bestimmte Pflichtangaben vorhalten, welche den Nutzern die Kontaktaufnahme zum Provider erleichtern sollen. Darüber hinaus wird im Rahmen von Lernplattformen eine Vielzahl von personenbezogenen Daten verarbeitet. Die vorliegende Arbeit untersucht daher auch die datenschutzrechtlichen Informationspflichten, welche sich hieraus für den Betreiber einer Lernplattform ergeben. Darüber hinaus legt der Gesetzgeber sowohl im Telemediengesetz als auch im allgemeinen Datenschutzrecht Schutzziele fest, deren Erreichen durch die technische und organisatorische Gestaltung der Lernplattform gesichert werden muss. Auch wird die vorliegende Arbeit die Frage untersuchen, welche personenbezogenen Daten überhaupt im Rahmen einer Lernplattform erhoben und verwendet werden dürfen. Datenschutzrechtliche Probleme wirft dabei insbesondere die Erstellung von Nutzerprofilen zur Bewertung des Lernerfolgs der Studierenden aber auch zur Ermittlung der Beliebtheit bestimmter Funktionen im Rahmen der Lernplattform auf. Abschließend wendet sich die Arbeit der Frage zu, wie Haftungsrisiken aufgrund der im Rahmen eines Lern-Management-Systems bereitgehaltenen Inhalte minimiert werden können. Dabei wird vor allem der Frage nachgegangen werden, inwiefern die Hochschule für rechtswidrige Inhalte haftet, die durch Studierende in Blogs, Meinungsforen oder Newsgroups online gestellt werden.

6 4 2 Informationspflichten für hochschuleigene Internetangebote: 2.1 Anwendbarkeit des Telemediengesetzes auf Internetangebote von Hochschulen: Das neue Telemediengesetz: Die rechtlichen Rahmenbedingungen für Informations- und Kommunikationsdienste werden seit dem durch das Telemediengesetz (TMG) geregelt [s. Gesetzesentwurf zum Telemediengesetz, BT-Drs.16/ ]. Mit seinem Inkrafttreten löste das TMG einerseits das Teledienstegesetz (TDG) und andererseits den Mediendienstestaatsvertrag (MDStV) ab, welche bis dahin den rechtlichen Rahmen für die Bereithaltung von Informations- und Telekommunikationsdiensten bildeten. Diese Gesetzesreform wurde notwendig, um die kaum lösbaren Abgrenzungsprobleme in Bezug auf den Anwendungsbereich der beiden Gesetze zu beenden. Hierzu wurde die bisher getroffene Unterscheidung zwischen Teleund Mediendiensten aufgegeben und stattdessen der einheitliche Begriff der Telemedien für alle Arten von Informations- und Kommunikationsdiensten eingeführt [BT-Drs. 16/3078, S. 13]. An die Stelle des MDStV trat nunmehr der Rundfunkstaatsvertrag (RStV), dem in seiner neuen Fassung ein Abschnitt über Telemedien angefügt wurde. Innerhalb dieses Abschnittes finden sich in 55 RStV eigene Regelungen zur Anbieterkennzeichnung in Bezug auf Telemedien. Diese sind gem. 60 RStV neben den Vorschriften des TMG anwendbar Der Begriff der Telemedien: Der zentrale Begriff des Telemediengesetzes ist der Begriff der Telemedien, welcher die frühere Unterscheidung zwischen Telediensten und Mediendiensten obsolet werden lassen soll. Unter den Begriff der Telemedien sind nunmehr abgesehen von drei Ausnahmen alle elektronischen Informations- und Kommunikationsdienste einzuordnen ( 1 Abs. 1 TMG).

7 5 Nicht vom Begriff der Telemedien umfasst sind Telekommunikationsdienste gem. 3 Nr. 24 TKG, die ganz oder überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen. Dies nimmt insbesondere Access-Provider, also solche Diensteanbieter, die lediglich den Zugang zum Internet vermitteln, aus dem Anwendungsbereich des Gesetzes heraus [Hoeren, NJW 2007, 802]. Zweitens sind telekommunikationsgestützte Dienste isv. 3 Nr. 25 TKG nicht unter den Begriff der Telemedien zu fassen. Dies betrifft laut Gesetzesdefinition solche Dienste, die keinen räumlich und zeitlich trennbaren Leistungsfluss auslösen, sondern bei denen die Leistung noch während der Telekommunikationsverbindung erfüllt wird. Hierunter sind etwa Mehrwertdienste zu fassen [Hoeren, NJW 2007, 802; Schuster/ Piepenbrock/ Schütz, in: Beck scher TKG- Kommentar, 3, Rn. 51]. Darüber hinaus sind alle Angebote, die dem Begriff des Rundfunks gem. 2 RStV zuzuordnen sind, dem Anwendungsbereich des Gesetzes entzogen. Unter den Begriff des Rundfunks fällt laut Legaldefinition die für die Allgemeinheit bestimmte Veranstaltung und Verbreitung von Darbietungen aller Art in Wort, in Ton und in Bild unter Benutzung elektromagnetischer Schwingungen ohne Verbindungsleitung oder längs oder mittels eines Leiters ( 2 Abs. 1 S. 1 RStV). Somit sind etwa Live-Streaming und Web-Casting dem Begriff des Rundfunks und nicht der Telemedien zuzuordnen [Hoeren, MMR 2007, 803]. Herkömmliche Internet-Angebote der Hochschule, wie etwa der allgemeine Webauftritt der Hochschule oder hochschuleigene Lernplattformen erfüllen diese Ausnahmetatbestände nicht und sind daher unter den Begriff der Telemedien einzuordnen. Daran ändert auch die Eigenschaft der Hochschule als öffentliche Stelle nichts, wie 2 Abs. 1 S. 2 TMG klarstellt. Etwas anderes gilt etwa in den Fällen, in denen die Hochschule als Access-Provider auftritt und ihren Mitgliedern den Zugang zum Internet vermittelt. Für diese Art von Diensten ist der Anwendungsbereich des TMG gem. 1 Abs. 1 S. 1 TMG nicht eröffnet. Mit der Bereithaltung von Lernplattformen sind jedoch auch Hochschulen als Diensteanbieter im Sinne des TMG anzusehen. Daher sind auch diese ver-

8 6 pflichtet, die in 5 TMG und 55 RStV festgelegten Informationspflichten zu erfüllen. 2.2 Pflichtangaben für Telemediendiensteanbieter ( 5 TMG, 55 RStV): Pflichtangaben gem. 5 TMG: Geschäftsmäßige Telemedien: Wie bereits schon das alte TDG in Bezug auf Teledienste, so sieht auch das neue TMG in Bezug auf Telemedien eine Verpflichtung der Anbieter vor, bestimmte Informationen über sich selbst für seine Nutzer vorzuhalten. Wie schon im TDG besteht die Pflicht zur Anbieterkennzeichung allerdings nur für geschäftsmäßige Telemedien ( 5 Abs. 1 TMG). Im Unterschied zur Neuregelung enthielt die alte Regelung jedoch keine Definition des Begriffs der Geschäftsmäßigkeit. Daher wurde der Begriff des geschäftsmäßigen Teledienstes sehr weit gefasst. Demnach genügte bereits jedes nachhaltige Angebot von Telekommunikation unabhängig davon, ob eine Gewinnerzielungsabsicht zu bejahen war oder nicht [Brunst, MMR 2004, 10; Stickelbrock, GRUR 2004, 112; Ernst, GRUR 2003, 759]. Daher waren selbst private Websites unter den Begriff der Geschäftsmäßigkeit zu subsumieren, sobald sie dauerhaft im Internet bereitgehalten wurden [Ernst, GRUR 2003, 759; Ott, MMR 2007, 354; Brunst, MMR 2004, 10]. Auch Webauftritte von Bildungseinrichtungen, wie Schulen oder Hochschulen waren nach diesem weiten Verständnis als geschäftsmäßig einzuordnen [Brunst, MMR 2004, 10]. Auch die Neuregelung beschränkt die Pflicht zur Anbieterkennzeichnung auf geschäftsmäßige Telemedien ( 5 TMG). Allerdings wurde nunmehr auch eine Legaldefinition des Begriffes der Geschäftsmäßigkeit eingefügt. Demnach sind in der Regel nur solche Telemedien als geschäftsmäßig anzusehen, die gegen Entgelt angeboten werden ( 5 Abs. 1 S. 1 TMG). Diese Formulierung könnte nahe legen, dass unentgeltliche universitäre Webangebote nach neuer Rechtslage nicht mehr unter diese Vorschrift fallen. Allerdings sollen laut Gesetzesbe-

9 7 gründung nur solche Telemedien von der Impressumspflicht befreit werden, die ohne jeglichen wirtschaftlichen Hintergrund tätig sind (z.b. private Websites) [BT-Drs. 16/3078, S. 14]. Eine Auslegung, nach der lediglich solche Telmedien in den Anwendungsbereich der Vorschrift einzubeziehen sind, bei denen das Angebot des Telemediendienstes selbst entgeltpflichtig ist, erscheint im Hinblick auf diese Formulierung in der Gesetzesbegründung als zu weitgehend [Ott, MMR 2007, 355, Fn. 13]. Auch wird gerade im Hinblick auf öffentliche Stellen wie Hochschulen letztlich nicht entscheidend sein können, ob mit dem konkreten Angebot wirtschaftliche Zwecke verfolgt werden, sondern ob mit vergleichbaren Angeboten üblicherweise wirtschaftliche Zwecke verfolgt werden [Ott, MMR 2007, 355; Roßnagel, NVwZ 2007, 746]. Eine kostenlose Bereithaltung von Bildungsangeboten wie Lernplattformen ist Hochschulen letztlich nur aufgrund ihrer staatlichen Förderung möglich. Werden vergleichbare Bildungsangebote etwa im Rahmen eines Fernstudiengangs von kommerziellen Anbietern angeboten, so müssen die Teilnehmer des Kurses für die Bereitstellung der Lehrmaterialien und die Nutzung der Funktionen einer Lernplattform eine Kursgebühr entrichten. Mit vergleichbaren Bildungsangeboten von privaten Anbietern, die einer weniger starken staatlichen Förderung als Hochschulen unterliegen, würden daher in aller Regel wirtschaftliche Zwecke verfolgt werden. Darüber hinaus könnte in Bezug auf Hochschulen ein wirtschaftlicher Hintergrund auch in der Einwerbung von Drittmitteln zu sehen sein. Gerade im Bereich des E-Learning ist an dieser Stelle zu berücksichtigen, dass die Initiierung eines Großteils der aktuellen E-Learning-Angebote an Hochschulen mit dem Ziel der Einwerbung von Drittmitteln aus entsprechenden Förderprogrammen auf EUund nationaler Ebene erfolgt ist. Daher spricht viel dafür, auch hochschuleigene Lernplattformen als geschäftsmäßige Telemedien im Sinne von 5 TMG einzuordnen. Da die im Rahmen des TMG und des RStV aufgestellten Informationspflichten darüber hinaus ohne größeren Aufwand erfüllt werden können, gilt daher in Bezug auf hochschuleigene Web-Angebote wie Lernplattformen weiterhin die Empfehlung, von dem Bestehen einer Pflicht zur Anbieterkennzeichnung auszugehen.

10 Die gem. 5 TMG im Einzelnen erforderlichen Angaben: Inhaltlich sieht 5 TMG weitestgehend dieselben Informationspflichten vor wie bereits die alte Regelung des 6 TDG. Zunächst müssen Name und ladungsfähige Anschrift des Diensteanbieters genannt werden ( 5 Abs. 1 Nr. 1 TMG). Ist der Diensteanbieter eine natürliche Person, müssen hierzu Vor- und Familienname angegeben werden [Stickelbrock, GRUR 2004, 113; Spindler, in: Spindler/ Schmitz/ Geis, 6 TDG, Rn. 22]. Als Anschrift muss eine vollständige, ladungsfähige postalische Adresse angegeben werden. Die Angabe eines Postfachs oder einer -Adresse genügen an dieser Stelle nicht [Ott, MMR 2007, 357; Stickelbrock, GRUR 2004, 113; Spindler, in: Spindler/ Schmitz/ Geis, 6 TDG, Rn. 23]. Juristische Personen müssen zusätzlich ihre Rechtsform und die organschaftlich vertretungsberechtigten Personen benennen. Sofern die Verpflichtung besteht, die Höhe des Kapitals der Gesellschaft anzugeben, muss darüber hinaus das Stamm- und Grundkapital, sowie, wenn nicht alle in Geld zu leistenden Einlagen eingezahlt sind, der Gesamtbetrag der ausstehenden Einlagen benannt werden. Auf ein hochschuleigenes Webangebot wie eine virtuelle Lernplattform angewendet bedeutet dies, dass zunächst der Name und die vollständige postalische Adresse der Hochschule genannt werden müssen. Nicht als Diensteanbieter fungieren kann dagegen ein Lehrstuhl oder ein Institut, da es diesen als hochschulinterne Organisationseinheiten an der hierzu erforderlichen Rechtspersönlichkeit mangelt [Veddern, S. 205]. Da es sich bei Hochschulen um juristische Personen des öffentlichen Rechts handelt, ist darüber hinaus die Rechtsform der Hochschule anzugeben. In den meisten Fällen sind Hochschulen als Körperschaften des öffentlichen Rechts in der Trägerschaft des jeweiligen Landes einzuordnen (vgl. z.b. 2 Abs. 1 HG NRW). Darüber hinaus ist der Vertretungsberechtigte der Hochschule zu nennen. Dies ist je nach organisatorischer Struktur der Hochschule der Rektor (vgl. z.b. 19 Abs. 1 HG NRW) oder der Präsident (vgl. z.b. 52 Abs. 1, 56 Abs. 1 BerlHG). Handelt es sich bei dem Telemediendienst nicht um ein offizielles Angebot der Hochschule, sondern um ein vom Lehrstuhlinhaber oder einer (rechtsfähigen) Forschungseinrichtung in

11 9 Eigenverantwortung eingerichtetes Angebot, sind diese als Diensteanbieter zu benennen. Darüber hinaus ist der Diensteanbieter verpflichtet, Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare Kommunikation ermöglichen, einschließlich der -Adresse zu benennen ( 5 Abs. 1 Nr. 2 TMG). Somit bleibt wie schon nach der alten Rechtslage weiterhin ungeklärt, ob der Diensteanbieter auch dazu verpflichtet ist, seine Telefonnummer anzugeben (Hoeren, NJW 2007, 803; Ott, MMR 2007, 357; zur alten Rechtslage: OLG Köln, NJW- RR 2004, 1570; OLG Hamm, NJW-RR 2004, 1045]. Aufgrund der weiterhin unsicheren Rechtslage sollte im Falle von hochschuleigenen Internetangeboten sowohl die -Adresse als auch die Telefonnummer der zentralen Verwaltung angegeben werden. Zusätzlich empfiehlt sich die Angabe der entsprechenden Fax-Nummer. Wird der Telemediendienst im Rahmen einer Tätigkeit angeboten oder erbracht, die der behördlichen Zulassung bedarf, sind darüber hinaus Angaben zur zuständigen Aufsichtsbehörde zu treffen ( 5 Abs. 1 Nr. 3 TMG). Im Falle von Hochschulen sind hier die in der Regel zuständigen Wissenschaftsministerien der Länder zu nennen. Im Falle Nordrhein-Westfalens ist dies z.b. das Ministerium für Innovation, Wissenschaft, Forschung und Technologie (vgl. 106, 107 HG NRW). Darüber hinaus muss der Diensteanbieter, wenn er eine Umsatzsteueridentifikationsnummer nach 27a Umsatzsteuergesetz oder eine Wirtschafts- Identifikationsnummer nach 139c Abgabenordnung besitzt, auch diese angeben ( 5 Abs. 1 Nr. 6 TMG). Im Falle von Hochschulen ist hier die Umsatzsteueridentifikationsnummer anzuführen. Die weiteren Pflichtangaben im Rahmen der Vorschrift des 5 Abs. 1 TMG wie das Anführen registerrechtlicher Angaben ( 5 Abs. 1 Nr. 4 TMG), berufsrechtlicher Informationen ( 5 Abs. 1 Nr. 5 TMG) sowie Informationen darüber, ob die hinter dem Telemediendienst stehende Kapitalgesellschaft sich in Abwicklung oder Liquidation befindet ( 5 Abs. 1 Nr. 7 TMG), sind üblicherweise nicht auf

12 10 hochschuleigene Internetangebote anwendbar und bleiben daher in den vorliegenden Ausführungen außer Betracht. Auch die gem. 6 TMG bestehenden besonderen Informationspflichten in Bezug auf Anbieter von kommerzieller Kommunikation sollen an dieser Stelle ausgespart bleiben, da deren Vorliegen im Falle von hochschuleigenen Webangeboten eher selten zu bejahen sein wird Pflichtangaben gem. 55 RStV: Neben der Vorschrift des 5 TMG sieht auch 55 RStV bestimmte Pflichtangaben für Anbieter von Telemediendiensten vor. Zunächst bestimmt 55 Abs. 1 RStV, dass Anbieter von Telemedien, die nicht ausschließlich persönlichen oder familiären Zwecken dienen, Name und Anschrift und im Falle von juristischen Personen auch Name und Anschrift des Vertretungsberechtigten angeben müssen. Diese Verpflichtung umfasst somit auch hochschuleigene Internetangebote. Im Falle von geschäftsmäßigen Telemedien entfaltet 55 Abs. 1 RStV allerdings keine eigenständige Bedeutung mehr, da diese Angaben auch schon im Rahmen der umfangreicheren Informationspflichten gem. 6 TMG anzuführen sind. Darüber hinaus sieht jedoch 55 Abs. 2 RStV weitere Informationspflichten für sog. journalistisch-redaktionell gestaltete Angebote vor. Der Begriff der journalistisch-redaktionell gestalteten Angebote umfasst insbesondere Telemedien, in denen entweder vollständig oder teilweise Inhalte periodischer Druckerzeugnisse in Text oder Bild wiedergegeben oder in denen in periodischer Folge Texte verbreitet werden. Das LG Hamburg hat hierzu entscheiden, dass bereits im Falle von Online-Foren ein journalistisch-redaktionelles Angebot anzunehmen sein kann [LG Hamburg, MMR 2007, 451]. Sollte sich diese Rechtsauffassung durchsetzen, wird insbesondere beim Einsatz von universitären Lernplattformen häufig das Vorliegen eines journalistisch-redaktionellen Angebots zu bejahen sein. Dies gilt insbesondere dann, wenn regelmäßig aufbereitetes Lehr- und Informationsmaterial bereitgehalten wird oder Lerninhalte mit Hilfe von Wikis,

13 11 Blogs oder Foren aufgearbeitet werden. Im Einzelnen ist der Begriff des journalistisch-redaktionellen Angebots jedoch noch weitestgehend ungeklärt, so dass die weitere Entwicklung in der Rechtsprechung abzuwarten bleibt. Liegt ein journalistisch-redaktionelles Angebot vor, besteht zusätzlich die Pflicht zur Angabe des Namens und der Anschrift des für den Inhalt Verantwortlichen ( 55 Abs. 2 S. 1 RStV). Etwas anderes gilt nur in Bezug auf Telemedien, die ausschließlich persönlichen oder familiären Zwecken dienen, was in Bezug auf hochschuleigene Webangebote zu verneinen sein wird. Existieren mehrere Verantwortliche, so muss darüber hinaus gekennzeichnet werden, wer für welchen Teil des Angebots verantwortlich ist ( 55 Abs. 2 S. 2 RStV). Verantwortlicher i.s.v. 55 Abs. 2 RStV kann nur sein, wer voll geschäftsfähig ist, seinen ständigen Aufenthalt im Inland hat, nicht infolge Richterspruchs die Fähigkeit zur Bekleidung öffentlicher Ämter verloren hat und unbeschränkt strafrechtlich verfolgt werden kann ( 55 Abs. 2 S. 3 TMG). Im Falle von hochschuleigenen Internetangeboten wird an dieser Stelle häufig der jeweilige Lehrstuhlinhaber zu nennen sein Erkennbarkeit, Erreichbarkeit und Verfügbarkeit: Sowohl in Bezug auf die Pflichtangaben nach 5 TMG als auch nach 55 RStV besteht die Pflicht, diese für den Durchschnittsnutzer leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten ( 5 Abs. 1 S. 1 TMG, 55 Abs. 1 RStV). Das bedeutet zunächst, dass die Informationen für den Nutzer optisch leicht wahrnehmbar sein müssen [OLG München, MMR 2004, 321, 322]. Hieraus folgt auch, dass der Anbieter die betreffenden Informationen durch einen Begriff bezeichnen sollte, hinter dem der Durchschnittsnutzer auch nähere Informationen über den Diensteanbieter vermuten würde. Hier empfiehlt es sich, z.b. die Bezeichnung Impressum oder Kontakt zu verwenden [BGH, MMR 2007, 40, 41; OLG München, MMR 2004, 36, 37; Brunst, MMR 2004, 13; Spindler, in: Spindler/ Schmitz/ Geis, 6 TDG, Rn. 14]. Darüber hinaus sollte der betreffende Link deutlich sichtbar für den Nutzer platziert werden, etwa in der zentralen Navigationsleiste der Startseite.

14 12 Darüber hinaus müssen die Pflichtangaben ohne große Zwischenschritte für den Nutzer erreichbar sein. Um diese Anforderungen zu erfüllen, genügt es, wenn die Informationen über einen Link von der Startseite erreichbar sind. Außerdem sollte der Nutzer von jeder Seite des Webangebots über höchstens zwei Clicks zur Impressumsseite gelangen (also Website mit Link zur Startseite Startseite mit Link zum Impressum) [BGH, MMR 2007, 40, 41; Brunst, MMR 2004, 11; Spindler, in: Spindler/ Schmitz/ Geis, 6 TDG, Rn. 18]. Noch übersichtlicher wäre es, eine zentrale Navigationsleiste einzurichten, die von jeder Seite des Webangebots erreichbar ist. Darüber hinaus sollte der Nutzer auf der Impressumsseite nicht mit Informationen überflutet werden, so dass er erst durch langwieriges Scrollen an die gewünschten Informationen gelangt. Daher sollte man sich auf der Impressumsseite darauf beschränken, lediglich die vom Gesetzgeber geforderten Informationen übersichtlich anzuordnen. Wichtig ist auch, dass die Informationen nicht erst durch besondere Zusatzprogramme erkennbar sein dürfen (z.b. Acrobat Reader oder Flash-Programme), sondern für jeden verkehrsüblichen Browser ohne Aktivierung besonderer Steuerungselemente oder Plug-Ins lesbar seien sollten [Ernst, GRUR 2003, 760; Spindler, in: Spindler/ Schmitz/ Geis, 6 TDG, Rn. 20; a.a.: Ott, MMR 2007, 358]. Schließlich müssen die Informationen ständig verfügbar, also 24 Stunden abrufbar sein. 3 Die datenschutzrechtlichen Anforderungen des Telemediengesetzes: 3.1 Datenschutz in webbasierten Lernplattformen: Die datenschutzrechtlichen Vorschriften des TMG: Der Datenschutz im Rahmen von Informations- und Kommunikationsdiensten wurde bis zum Inkrafttreten des TMG für Teledienste durch das Telediensteda-

15 13 tenschutzgesetz (TDDSG) und für Mediendienste durch die datenschutzrechtlichen Vorschriften des MDStV geregelt. Die datenschutzrechtlichen Vorschriften für Telemedien und Mediendienste waren dabei nahezu deckungsgleich. Nunmehr sind die bereichsspezifischen Datenschutzregelungen für Informationsund Kommunikationsdienste einheitlich im 4. Abschnitt des TMG angesiedelt. Die Vorschriften des TDDSG bzw. MDStV wurden dabei nahezu ohne Änderungen in das TMG übertragen. Die Vorschriften des TMG gehen in ihrem Anwendungsbereich als bereichsspezifische Regelungen den allgemeinen Datenschutzgesetzen, also insbesondere dem BDSG und den Landesdatenschutzgesetzen, vor [Roßnagel, NVwZ 2007, 747]. Daneben bleiben jedoch in Bezug auf die Sachverhalte, welche nicht durch das TMG abschließend geregelt werden, auch die allgemeinen datenschutzrechtlichen Vorschriften, in Bezug auf Hochschulen sind hier insbesondere die Landesdatenschutzgesetze zu nennen, anwendbar. Die Vorschriften des 4. Abschnitts des TMG gelten für alle Telemedien, soweit deren Bereitstellung nicht nur im Dienst- und Arbeitsverhältnis zu ausschließlich beruflichen oder dienstlichen Zwecken oder innerhalb von oder zwischen nicht öffentlichen oder öffentlichen Stellen ausschließlich zur Steuerung von Arbeitsoder Geschäftsprozessen erfolgt ( 11 Abs. 1 Nr. 1, 2 TMG). Daraus folgt, dass eine Anwendbarkeit der datenschutzrechtlichen Vorschriften des TMG nur dann in Frage kommt, wenn auch tatsächlich ein Anbieter-Nutzer-Verhältnis besteht. Dies ist etwa abzulehnen, wenn die Informations- und Kommunikationsdienste im Rahmen eines Beschäftigungsverhältnisses allein für betriebliche oder behördliche Zwecke bereitgestellt werden, eine Nutzung für private Zwecke den Arbeitnehmern dagegen nicht gestattet ist [Schmitz, in: Spindler/ Schmitz/ Geis,, 1 TDDSG, Rn. 33]. Ist den Beschäftigten stattdessen eine Nutzung für private Zwecke gestattet, so ist auch im Verhältnis zwischen Arbeitgeber bzw. Dienstherrn und Angestelltem das TMG anwendbar. Stellt eine Hochschule eine Lernplattform bereit, stellt sich die Frage, ob hierin ein Informations- und Kommunikationsdienst gesehen werden kann, der allein der Steuerung interner Arbeits- oder Geschäftsprozesse, hier der Organisation

16 14 und Durchführung von Lehrveranstaltungen, dient. Würde man dies bejahen, folgte daraus, dass die datenschutzrechtlichen Vorschriften des TMG im Verhältnis zwischen der Universität und den Studierenden nicht anwendbar wären. Stattdessen müsste auf die allgemeinen Datenschutzgesetze, hier insbesondere auf die einschlägigen Landesdatenschutzgesetze, zurückgegriffen werden. Gegen diese Annahme spricht jedoch, dass Lernplattformen, anders als reine Verwaltungssysteme wie HIS POS oder HIS SOS nicht nur Funktionen zur Durchführung und Abbildung von Verwaltungsvorgängen enthalten, sondern darüber hinaus den Studierenden auch eine Vielzahl von Social Software Tools, wie Wikis, Blogs oder Instant Messaging, zur Verfügung stellen. Die durchschnittliche Lernplattform geht somit in ihren Funktionalitäten weit über ein reines IT-System zur Administration von Lehrveranstaltungen hinaus und eröffnet dem Studierenden eine Möglichkeit, seinen Studienalltag im Rahmen seiner durch Art. 5 Abs. 3 GG gesicherten Studierfreiheit selbstständig zu organisieren. Der Studierende nutzt Dienste wie Lernplattformen also weniger zum Zwecke der Erleichterung von hochschulinternen Verwaltungsvorgängen, sondern zum Zwecke der Erreichung seiner privaten Lern- und Studienziele. Insofern entspricht auch das Verhältnis zwischen Studierenden und Hochschule einem Anbieter-Nutzer-Verhältnis, in welchem die Hochschule die Rolle des Anbieters ausfüllt, der dem Studierenden einen Informations- und Kommunikationsdienst für dessen persönliche Studienzwecke bereitstellt. Die datenschutzrechtlichen Vorschriften des TMG sind somit auch bei der Bereitstellung von Lernplattformen für Studierende durch die Hochschule anwendbar Die datenschutzrechtlichen Pflichten der Diensteanbieter: Die Pflichten des Diensteanbieters gem. 13 TMG: Das TMG sieht vor, dass der Diensteanbieter bestimmte datenschutzrechtliche Pflichten zu erfüllen hat. Diese bestehen einerseits aus Informations- und Unterrichtungspflichten und andererseits aus der Pflicht, technische und organisatorische Maßnahmen zur Sicherstellung bestimmter Schutzziele zu ergreifen (

17 15 13 TMG). Die Vorschrift des 13 TMG stellt somit eine Umsetzung des Systemdatenschutzes dar, welcher den Ansatz verfolgt, Informationssysteme von vorneherein so zu gestalten, dass Datenschutz und Datensicherheit bereits durch die technische Infrastruktur des IT-Systems gewährleistet werden [Dix, in: Roßnagel, Handbuch des Datenschutzrechts, Kap. 3.5, Rn. 1; Schmitz, in: Spindler/ Schmitz/ Geis, 4 TDDSG, Rn. 1]. Zunächst sieht die Vorschrift umfassende datenschutzrechtliche Informationspflichten vor. So muss der Diensteanbieter den Nutzer bereits zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der im Rahmen des betreffenden Telemediendienstes vorgenommenen Erhebung und Verwendung von personenbezogenen Daten unterrichten ( 13 Abs. 1 S. 1 TMG). Der Nutzer muss im Rahmen einer umfassenden Datenschutzerklärung informiert werden, die zu Beginn des ersten Nutzungsvorgangs erfolgen und jederzeit für den Nutzer abrufbar sein muss ( 13 Abs. 1 S. 3 TMG) [zu weiteren Einzelheiten s. u. Kap. 3.2]. Weitere Informationspflichten sieht die Vorschrift für den Fall vor, dass die Erhebung und Verwendung der personenbezogenen Daten eines Nutzer nur mit dessen Einwilligung zulässig war ( 13 Abs. 3 TMG). Darüber hinaus besteht die Pflicht, bestimmte technische und organisatorische Maßnahmen zu treffen, falls die Einwilligung elektronisch erfolgt ist ( 13 Abs. 2 TMG) [zu weiteren Einzelheiten s. Kap ]. Die Kernvorschrift zum Systemdatenschutz in Telemedien findet sich in 13 Abs. 4 TMG. Im Rahmen dieser Vorschrift regelt der Gesetzgeber Schutzziele, deren Erreichung der Diensteanbieter durch die Vornahme technischer und organisatorischer Maßnahmen sicherstellen muss. Dabei überlässt der Gesetzgeber dem Diensteanbieter die Entscheidung, welche technischen und organisatorischen Mittel er ergreift, um diese Ziele umzusetzen. Zunächst ist der Diensteanbieter dazu verpflichtet, durch technische und organisatorische Vorkehrungen sicherzustellen, dass der Nutzer die Nutzung des Telemediendienstes jederzeit beenden kann ( 13 Abs. 4 S. 1 Nr. 1 TMG). Dem

18 16 Nutzer muss es daher möglich sein, sowohl die Nutzung des gesamten Telemediendienstes als auch der konkreten Transaktion abzubrechen [Roßnagel, in: Roßnagel, Handbuch des Datenschutzrechts, Kap. 7, Rn. 117; Münch, RDV 1997, 246]. Dies ist im Falle von Internetdiensten wie universitären Lernplattformen aufgrund der Interaktivität des Internets in der Regel unproblematisch zu bejahen [Schmitz, in: Spindler/ Schmitz/ Geis, 4 TDDSG, Rn. 32]. Außerdem muss der Diensteanbieter entsprechende Maßnahmen treffen, um sicherzustellen, dass die anfallenden personenbezogenen Daten über den Ablauf des Zugriffs oder der sonstigen Nutzung des Dienstes unmittelbar nach deren Beendigung gelöscht oder, sofern der Löschung eine gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungspflicht entgegensteht, gesperrt werden können ( 13 Abs. 4 S. 1 Nr. 2, S. 2 TMG). Diese Vorschrift ist insbesondere im Zusammenhang mit 15 Abs. 1 TMG zu sehen, welcher besagt, dass personenbezogene Daten über den Nutzungsvorgang hinaus nur erhoben und verwendet werden dürfen, wenn dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen ( 15 Abs. 1 TMG). Ist eine solche Erforderlichkeit nicht zu bejahen, müssen die betreffenden Daten unmittelbar nach Beendigung des Nutzungsvorgangs gelöscht bzw. gesperrt werden. Dies setzt jedoch voraus, dass der Diensteanbieter auch die betreffenden technischen und organisatorischen Maßnahmen ergreift, um eine solche Löschung bzw. Sperrung auch unverzüglich vornehmen zu können. Zusätzlich trifft den Diensteanbieter die Pflicht, dafür Sorge zu tragen, dass der Nutzer den Telemediendienst gegen die Kenntnisnahme durch Dritte geschützt in Anspruch nehmen kann ( 13 Abs. 4 S. 1 Nr. 3 TMG). Aus dieser Verpflichtung folgt, dass der Diensteanbieter die Vertraulichkeit der Nutzung seines Telemediendienstes für seine Nutzer sicherstellen muss, indem er diese durch ausreichende technische und organisatorische Mittel wie Authentifizierungs-, Zugriffs- und Verschlüsselungsmechanismen gegen eine Kenntnisnahme ihrer Nutzungshandlungen durch unbefugte Dritte schützt [Roßnagel, in: Roßnagel, Handbuch des Datenschutzrechts, Kap. 7.9, Rn. 119]. Welche Vorkehrungen der Diensteanbieter im Einzelnen treffen muss, wird durch den Gesetzgeber

19 17 nicht geregelt. Geeignete Maßnahmen auch in Bezug auf die Bereitstellung von Lernplattformen dürften hier die Vergabe von Passwörtern und die Verschlüsselung der Kommunikation auf Anwendungsebene, etwa durch einen sicheren Server nach dem http-protokoll, darstellen [Schmitz, in: Spindler/ Schmitz/ Geis, 4 TDDSG, Rn. 34]. Darüber hinaus muss der Diensteanbieter dafür sorgen, dass die personenbezogenen Daten über die Nutzung verschiedener Telemedien durch denselben Nutzer getrennt verwendet werden können ( 13 Abs. 4 S. 1 Nr. 4 TMG). Zudem dürfen solche Daten nur zusammengeführt werden können, wenn dies zu Abrechnungszwecken erforderlich ist ( 13 Abs. 4 S. 1 Nr. 5 TMG). Diese Vorschriften sind insbesondere im Zusammenhang mit 15 Abs. 2 TMG zu lesen, welcher besagt, dass personenbezogene Daten hinsichtlich der Inanspruchnahme verschiedener Telemedien nur zusammengeführt werden dürfen, soweit dies für Abrechnungszwecke erforderlich ist. Die Pflicht zur Trennung von Nutzungsdaten hinsichtlich verschiedener Telemediendienste, setzt allerdings zunächst voraus, dass auch eine gleichzeitige Nutzung verschiedener Telemedien vorliegt [Schmitz, in: Spindler/ Schmitz/ Geis, 4 TDDSG, Rn. 35]. Im Falle von universitären Lernplattformen wird dies in der Regel nicht der Fall sein. Werden pseudonymisierte Nutzerprofile im Rahmen eines Telemediendienstes erstellt, besteht gem. 13 Abs. 4 S. 1 Nr. 6 TMG die Verpflichtung, geeignete Maßnahmen zutreffen, um sicherzustellen, dass diese nicht mit Angaben zur Identifikation des Trägers des Pseudonyms zusammen geführt werden können [weitere Einzelheiten zu pseudonymisierten Nutzerprofilen s.u. Kap ] Der Grundsatz der Datenvermeidung und Datensparsamkeit, 4 Abs. 2 DSG NRW: Bereits im allgemeinen Datenschutzrecht wird der Grundsatz festgelegt, dass die Planung, Gestaltung und Auswahl informationstechnischer Produkte und Verfahren sich an dem Ziel auszurichten haben, so wenig personenbezogene Daten wie möglich zu erheben und weiterzuverarbeiten ( 4 Abs. 2 S. 1 DSG

20 18 NRW). Dieser Grundsatz der Datenvermeidung bzw. Datensparsamkeit stellt das Prinzip auf, die Auswahl und Gestaltung von IT-Systemen danach auszurichten, nur möglichst wenige personenbezogene Daten für eine möglichst begrenzte Zeitdauer zu erheben und zu verwenden [Hansen, in: Roßnagel, Handbuch des Datenschutzrechts, Kap. 3.3, Rn. 48]. Ein Beispiel zur Umsetzung dieses Prinzips besteht etwa darin, dafür Sorge zu tragen, dass die Löschung nicht mehr erforderlicher personenbezogener Daten nicht durch routinemäßige Speicherungen des Systems konterkariert wird [Stähler/ Pohler, 4 DSG NRW, Rn. 9]. Eine konkrete Ausprägung dieses Grundsatzes der Datensparsamkeit und Datenvermeidung in Bezug auf die Anbieter von Telemedien findet sich in der Vorschrift des 13 Abs. 5 TMG [Engel-Flechsig/ Maennel/ Tettenborn, NJW 1997, 2987; Roßnagel, in: Roßnagel, Handbuch des Datenschutzrechts, Kap. 7.9, Rn. 113; Schmitz, in: Spindler/ Schmitz/ Geis, 4 TDDSG, Rn. 26]. Diese besagt, dass für den Anbieter eines Telemediendienstes die Pflicht besteht, dessen Nutzung und Bezahlung anonym oder unter Benutzung eines Pseudonyms zu ermöglichen, soweit dies technisch möglich und zumutbar ist und sieht darüber hinaus auch die Pflicht vor, den Nutzer über diese Möglichkeit der Nutzung zu informieren ( 13 Abs. 6 TMG). Daraus folgt, dass der Diensteanbieter verpflichtet ist, die im Rahmen seines Dienstes erhobenen Daten, sofern technisch möglich und wirtschaftlich zumutbar, zu anonymisieren und zu pseudonymisieren [Schmitz, in: Spindler/ Schmitz/ Geis, 4 TDDSG, Rn. 31] Technische und organisatorische Maßnahmen zur Sicherstellung der Datensicherheit, 10 DSG NRW: Neben den in 13 TMG bereichsspezifisch für Telemediendiensteanbieter formulierten Schutzzielen finden sich jedoch auch im allgemeinen Datenschutzrecht Vorschriften zur Umsetzung bestimmter Sicherheitsziele bei der Gestaltung von Verfahren und Systemen zur Verarbeitung von personenbezogenen Daten. So sieht etwa 10 Abs. 5 DSG NRW fünf Schutzziele vor, die im Falle der Verarbeitung von personenbezogenen Daten durch geeignete technische