Zum immerwährenden Problembereich der Berücksichtigung des Datenschutzrechts, wenn ein Schulserver betrieben wird, hat der Rechtsanwalt Peter Voigt sich in der "skolelinux"-Mailingliste geäussert. Seine Ausführungen gelten ganz gewiss nicht einzig für "skolelinux", sondern für jeden Schulserver.
Absender : Peter.Voigt1 at GMX.NET (Peter Voigt) Betreff : Re: Verwaltung von Schulklassen Datum : So 31.10.04, 15:59 ---------------------------------------------------------------------- Hallo, die Diskussion über das Verhältnis von Skolelinux zum Datenschutzrecht sollte vor dem vorhandenen rechtlichen Hintergrund präzisiert werden. Die Frage, was Skolelinux an Programmfunktionalitäten enthalten mag, hat wenig damit zu tun, ob eine Schule beim Einsatz von Skolelinux gegen den Datenschutz verstößt. Das möchte ich kurz erläutern. (Für freie Schulen, insbesondere für kirchliche Schulen, gelten spezielle Vorschriften, auf die ich in dieser e-mail nicht eingehe. Für staatliche Schulen gilt folgendes.) Datenschutzgesetze gibt es auf Bundes- und auf Landesebene. Die Landesgesetze weichen nur im Detail voneinander ab. Weitere Vorschriften enthält das Schulverwaltungsrecht. Das Schulverwaltungsrecht ist historisch gewachsenes Landesrecht. Jedes Land regelt seine Schulorganisation grundlegend anders. Die Rechtslage ist zersplittert. In manchen Bundesländern ist die automatische Verarbeitung persönlicher Daten ohne Einwilligung der Betroffenen schon gestattet, wenn es der ordnungsgemässe Betrieb der schulischen EDV-Anlagen erfordert. In anderen Bundesländern reicht es nicht aus, dass es der Administrator durch den Zugriff auf persönliche Daten leichter hat. In diesen Bundesländern kommt es darauf an, ob es nicht andere Wege gibt, den in Frage stehenden schulischen Zweck zu verwirklichen. (Anm.: Diese Frage wurde in den Beiträgen bisher nicht vollständig ausgeleuchtet. Offene Punkte: Wozu muss der Administrator jedes Jahr die Schüler-ID kennen? Reicht es nicht aus, abgespeichert zu lassen, dass XY ein Schüler der betroffenen Schule ist? Was will man stärker kontrollieren? Ist das der einzige Weg, den schulischen Zweck verwirklichen zu können?) Viele (womöglich alle) Bundesländer untersagen den Schulen, EDV-Anlagen, auf denen persönliche Daten gespeichert werden, für andere als für Verwaltungszwecke einzusetzen. Solche Anlagen dürfen in diesen Bundesländern keinesfalls im Unterricht verwendet werden. Alle Bundesländer haben Datenschutz-Richtlinien erlassen. Dort finden sich Bestimmungen, welche Personen auf die EDV-Anlage mit abgespeicherten Personendaten Zugriff haben dürfen, wie der Standort abzusichern ist und welche Anforderungen an die zum Einsatz kommende Software zu stellen sind, z.B. was den Einsatz von Zugriffschranken, Verschlüsselungen etc. angeht. Weil der Begriff der persönlichen Daten im Datenschutzrecht sehr weit gefasst wird, spielen diese Fragen eine große Rolle. Als persönliche Daten gelten nicht nur Merkmalsausprägungen wie Alter, Geschlecht und Geburtsdatum, sondern auch Kennziffern, mit denen namensgleiche Schüler unterschieden werden können. Die Übernahme von Schüler-IDs aus dem Verwaltungsnetzwerk in ein Skolelinux-Netzwerk wird daher der Verarbeitung persönlicher Daten gleich gestellt. Daher wirken sich alle vorstehend geschilderten Beschränkungen aus, in dem einen Bundesland eben so, in dem anderen Bundesland eben anders. Das heisst für die Praxis: In einem Unterrichtsnetzwerk (gleichgültig ob es sich um ein Skolelinux-Netzwerk handelt oder nicht) sollten keine persönlichen Daten abgespeichert oder verarbeitet werden, insbesondere keine Personenkennziffern. Das gilt jedenfalls solange, wie keine ausdrückliche datenschutzrechtliche Einwilliung der Betroffenen eingeholt worden ist. Andersherum: Skolelinux _kann_ Programmfunktionalitäten enthalten, die eine Verarbeitung persönlicher Daten voraussetzen, weil solche Einwilligungen ja eingeholt werden können. Aber: Skolelinux sollte das Augenmerk darauf richten, die in den jeweiligen Bundesländern geforderten Software-Kriterien einzuhalten. Sonst käme in manchen Bundesländern ein KO-Kriterium zum Zuge. Dabei geht es aber eher um programmiertechnische Selbstverständlichkeiten, die bei Debian schon umgesetzt sein sollten. Noch eine Anmerkung: Sobald Skolelinux für andere als für schulische Zwecke eingesetzt wird, z.B. den Schülern die private Internet-Nutzung erlaubt wird, ändert sich alles. Es gelten andere Gesetze, in diesem Beispiel das TDDSG Teledienstdatenschutzgesetz. Die Schule wird dann (insoweit) wie ein Teledienstanbieter behandelt und muss sich mit zwei ansatzweise widersprüchlichen Rechtsordnungen gleichzeitig herumschlagen. Das sollte in der Praxis tunlichst vermieden werden. Fazit: Der juristische Ausweg, der unübersichtlichen Rechtslage im Bereich Datenschutz Herr zu werden, bietet sich mit der Einholung ausdrücklicher datenschutzrechtlicher Erlaubnisse der Betroffenen an. Dann lassen sich prinzipiell auch Schüler-IDs verwenden. Gruß Peter Voigt