Berliner Beauftragter für Datenschutz und Akteneinsicht Prof

Berliner Beauftragter für Datenschutz und Akteneinsicht
Prof. Dr. Hansjürgen Garstka
Pallasstr. 25/26, 10781 Berlin

Für die Benutzung im Internet angepasst durch Ralph Ballier

Adressat:

An die
Berliner Schulen
Schulleiterin/Schulleiter

GeschZ: 50.46.2
Bearbeiter/in: Herr Dr. Metschke
Tel.(030) 7560 - 4780

18. Mai 2000

Internetnutzung in den Berliner Schulen

Sehr geehrte Schulleiterinnen,
sehr geehrte Schulleiter,

bekanntlich sind Computer künftig noch mehr als gegenwärtig im Unterricht als Unterrichtsmittel nicht mehr wegzudenken. Sowohl die Arbeitswelt als auch die Bewältigung privater Belange, verlangen Kenntnisse des Umgangs mit dem Computer, insbesondere aber auch der Anwendungsfelder, beginnend mit Rechen-, Datenverarbeitungs- und Textverarbeitungsfunktionen bis hin zur Nutzung der vielfältigen Diensteangebote im Internet. Zu einem verantwortlichen Umgang mit dem Computer gehört es jedoch auch, die Anwendungsbedingungen und Folgen des Computereinsatzes zu kennen. Solche Rahmenbedingungen ergeben sich aus dem informationellen Selbstbestimmungsrecht, aber auch aus anderen Bereichen, wie dem Urheberrecht oder dem Telekommunikations- und Telediensterecht. Vor dem Hintergrund der sich nunmehr beschleunigenden Entwicklung der Ausstattung der Berliner Schulen mit Computern heißt dies auch, Schülerinnen und Schüler zu verantwortlichen Nutzern zu erziehen.

Der Berliner Beauftragte für Datenschutz und Akteneinsicht begrüßt daher, dass Ihnen das Landesschulamt Musternutzungsordnungen für den Bereich Unterricht und den Bereich Schulverwaltung in die Hand gibt. Diese Nutzungsordnungen sind jedoch entsprechend der von Ihnen gewünschten und angestrebten Nutzungsformen zu modifizieren. Daher ist es folgerichtig, dass das Landesschulamt an uns herangetreten ist und uns bat, Ihnen ergänzend einige Erläuterungen, Hinweise und Empfehlungen zu geben.

Zum Verständnis der nachfolgenden Ausführungen ist es notwendig, zwischen Telediensten und Mediendiensten zu unterscheiden. Teledienste umfassen an Einzelne gerichtet die Informations- und Kommunikationsmöglichkeiten des Internets (Individualkommunikation), während als Mediendienste eigene Angebote und Veröffentlichungen in Schrift, Bild und Ton bezeichnet werden, die an die Allgemeinheit gerichtet und im Internet für jedermann abrufbar sind.

Angebote zur Nutzung des Internets (ohne eigene Angebote wie Domains/Homepages) zählen zu den Telediensten. Der rechtliche Rahmen für Teledienste ist im Teledienstegesetz (TDG) geregelt. Der Nutzer dieser Dienste nimmt dabei für sich das aus dem Post- und Fernmeldegeheimnis des Artikels 10 und dem Recht der Meinungs- und Informationsfreiheit des Artikels 5 Grundgesetz abgeleitete Recht auf das Telekommunikationsgeheimnis und die Telekommunikationsfreiheit in Anspruch. Diesen Grundrechten hat der Bundesgesetzgeber insbesondere durch das Teledienstedatenschutzgesetz (TDDSG) für den Bereich der teledienstegestützten Kommunikation einen sehr datenschutzfreundlichen rechtlichen Rahmen gegeben. Die Nutzer von Telediensten haben also sehr starke Rechte, während den Anbietern eine Reihe von Pflichten auferlegt wurden.

Für die Schule ist es daher von erheblicher (datenschutz-)rechtlicher Bedeutung, genau fest zustellen, ob sie nur als Nutzer dieser Kommunikations- und Informationsmöglichkeiten auftritt oder ob sie selbst Dritten Teledienste zur (damit freien) Nutzung anbietet.

1. Teledienste - ausschließlich für schulische Zwecke

Die Schulen bieten ihren Schülern und Beschäftigten die Möglichkeit, sämtliche oder ausgewählte Internetdienste (www, e-mail, Usenet, Telnet, FTP usw.) zu nutzen. Steht den Lehrern, anderen Mitarbeitern und Schülern ein Internet-Zugang nur im Rahmen der schulischen Aufgaben zur Verfügung und ist die private Nutzung ausdrücklich ausgeschlossen, erfolgt die Nutzung ausschließlich durch die Institution Schule im Rahmen ihrer Aufgaben. Erlaubt die Schule den Netzzugang damit nur für schulische Zwecke, so findet das TDDSG für den einzelnen Schüler oder Mitarbeiter keine Anwendung. Die Schule ist selbst nur Nutzer und nicht Anbieter von Telediensten.

Für die Verarbeitung dieser dann auch anfallenden einzelnen "Nutzerdaten" gelten somit nicht die besonders datenschutzfreundlichen Regelungen des Teledienstedatenschutzgesetzes, sondern das allgemeine für die Schulen geltende Datenschutzrecht, also der § 5 a Schulgesetz (SchulG) i. V. m. der Schuldatenverordnung (SchulDatVO) und das Berliner Datenschutzgesetz (BlnDSG).

Sollen für die ausschließlich schulische Nutzung des Internet-Zugangs bspw. Daten erhoben werden, um die Leistungen der einzelnen Schüler zu bewerten, gelten der § 5 a Abs. 1 Satz 1 SchulG i. V. m. § 4 Abs. 3 SchulDatVO, wonach Karteien oder Listen für besondere, insbesondere zeitlich begrenzte, Verwendungszwecke die dafür erforderlichen Informationen enthalten dürfen. Die Grunddaten (insbesondere die Schülernamen) dürfen aus der allgemeinen Schülerkartei übernommen werden. Diese Listen, die nach § 12 SchulDatVO auch als automatisierte Sammlung geführt werden dürfen, werden zum Beispiel auch für die Vergabe von Nutzerkennungen und Ähnlichem benötigt.

Sowohl die Schüler als auch die Lehrer und schulischen Mitarbeiter können dann für sich nicht das Fernmeldegeheimnis in Anspruch nehmen. Somit dürfen selbstverständlich im Unterricht versandte e-mails der Schüler, wie andere gefertigte Aufzeichnungen der Schüler vom Lehrer eingesehen, bewertet und mit der Klasse oder dem Kurs besprochen werden.

Für die Schule entfällt auch die Verpflichtung aus dem TDDSG, Lehrern und Schülern anonyme Zugangsmöglichkeiten zum Internet zur Verfügung zu stellen. Lehrer und Schüler identifizieren sich mit der Nutzerkennung der Schule ggf. ergänzt um eine für Außenstehende nicht sprechende Kennung. Möglich wäre z. B. die Klasse und der Vorname.

Da die Schule für die Betriebskosten aufkommt ist es auch rechtlich unproblematisch, wenn die Kosten einzelnen Klassen, Kursen oder Gruppen von Lehrern zugeordnet werden. Eine personenbezogene Verarbeitung von Nutzungsdaten zur Kostenkontrolle kommt hingegen nur in Ausnahmefällen in Betracht.

Bei der Nutzung des Internets durch Schüler und Lehrer für ausschließlich schulische Zwecke dürfen auch personenbezogene Daten zum Zwecke der Wahrnehmung von Aufsichts- und Kontrollbefugnissen verarbeitet werden (§ 11 Abs. 4 Satz 1 BlnDSG). Eine Vollprotokollierung aller Einzelzugriffe im WWW für diese Zwecke ist jedoch unverhältnismäßig und damit unzulässig. Der Zugriff auf personenbezogene Daten ist zudem nur insoweit zulässig, als er zur Ausübung dieser Befugnisse unverzichtbar ist.

Personenbezogene Daten, die ausschließlich zum Zwecke der Datenschutzkontrolle, der Datensicherung oder zur Sicherung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen hingegen nach § 11 Abs. 5 BlnDSG nicht für andere Zwecke verwendet werden Eine Nutzerordnung kann daher auch bei ausschließlich schulischer Nutzung nicht die unbeschränkte und nicht an konkrete zulässige Zwecke gebundene Auswertung der Protokolldaten festlegen.

2. Teledienste - auch für die private Nutzung

Wenn hingegen die Schule, was sicherlich anzustreben ist, sich öffnet und ihre Internet-Nutzungsmöglichkeiten auch über den Rahmen der schulischen Veranstaltungen erlaubt, wird die Schule zum Dienstanbieter. Die Schule wird dann faktisch zu einem Internet-Cafe, weil es sich nicht mehr um eine verbindliche Veranstaltung der Schule i. S. d. § 12 SchulG handelt. Nutzer ist dann der Schüler oder Beschäftigte. Erst wenn also ein "Anbieter-Nutzer-Verhältnis" besteht, das eine private Nutzung erlaubt, greifen Regelungen, die durch eine Benutzerordnung nicht mehr ohne Weiteres abweichend vom Teledienstegesetz bzw. Teledienstedatenschutzgesetz geregelt werden können. Beim "Anbieter-Nutzer-Verhältnis" ist es auch unerheblich, ob dieses unentgeltlich oder gegen eine Gebühr erfolgt.

Das Teledienstedatenschutzgesetz (§ 4 Abs. 1 TDDSG) verlangt von den Diensteanbietern, dass sie den Nutzern die Möglichkeit bieten, den Teledienst anonym oder pseudonym in Anspruch zu nehmen. Die Schulkennung ist als Bestandteil der einzelnen Nutzerkennung dann nicht mehr erforderlich.

Wir empfehlen daher, bei einer Internet-Café-ähnlichen Nutzung eine Einwilligungserklärung zu verfassen, die zwar nach Außen ins Internet eine pseudonyme oder anonyme Nutzung der Dienste erlaubt, jedoch für die Wahrnehmung der Aufsichtspflichten stichprobenhaft, aber mit Kenntnis des Betroffenen eine Kontrolle erlaubt. Insbesondere sind die Formen der Kontrollen explizit festzulegen, da beispielsweise eine Einsichtnahme in den privaten e-mail-Verkehr einen Eingriff in das Fernmeldegeheimnis darstellt. Ohne eine solche Einwilligung darf ein Aufsicht führender Lehrer persönliche e-mails auch für Kontrollzwecke nicht lesen. Anders verhält es sich selbstverständlich im Unterricht (siehe 1.), weil dem Schüler dann klar ist, dass es sich bei dem Verfassen vom e-mails dann nicht um ein Medium der Individualkommunikation handelt, sondern die versandten Nachrichten ähnlich zu werten sind, wie beispielsweise eine Wortmeldung oder eine Aufzeichnung während des konventionellen Unterrichts.

Für die private Nutzung des Internets darf die Schule personenbezogene Daten protokollieren, soweit dies für die Inanspruchnahme des Teledienstes oder für Abrechnungszwecke erforderlich ist (§ 6 Abs. 1 TDDSG). Darüber hinausgehende Protokollierungen sind nur mit Einwilligung der Betroffenen zulässig (§ 3 Abs. 1 TDDSG). Soll also eine Speicherung erfolgen, die dem Lehrer (Netzwerkadministrator) erlaubt, seiner Aufsichtspflicht gegenüber Minderjährigen durch Stichproben des Datenverkehrs nachzukommen, so ist dies nur über eine explizite Einwilligung des Schülers (bei Minderjährigen zusätzlich der Erziehungsberechtigten) bzw. sonstigen Nutzers zulässig.

Nutzungs- und Abrechnungsdaten dürfen keinesfalls längere Zeit gespeichert werden. Nutzungsdaten, d. h. personenbezogene Daten, die dem Nutzer die Nachfrage nach Telediensten ermöglichen, also Daten, die während der Interaktion eines Nutzers entstehen, müssen spätestens nach Ende der jeweiligen Sitzung gelöscht werden, soweit es sich nicht um Abrechnungsdaten handelt. Abrechnungsdaten müssen gelöscht werden, sobald sie für Abrechnungszwecke nicht mehr benötigt werden. Ausgenommen von der sofortigen Löschung sind Nutzungsdaten, die zum Zwecke der Datensicherung und Datenschutzkontrolle gespeichert wurden. Hier ist jedoch eine Zweckänderung nicht möglich. Diese Daten sind gegen unberechtigte Zugriffe besonders zu schützen.

Erlaubt nunmehr die Schule die private Nutzung des Internet-Zugangs und wird insoweit zum Anbieter eines Teledienstes und ist technische Unterscheidung zwischen der privaten Nutzung einerseits und der Nutzung für Schulzwecke andererseits nicht möglich, muss für die gesamte Nutzung und damit auch für den Unterricht selbst das Teledienstedatenschutzgesetz gelten.

3. Mediendienste

Tritt die Schule selbst oder eine Gruppe von Schülern oder Lehrern durch eigene Internetangebote (Homepages) über den Internet-Zugang der Schule aktiv anbietend ins Internet, so wird die Schule zum Anbieter von Mediendiensten. Die Schule selbst kann natürlich mit ihrem Angebot im Internet nicht anonym auftreten. Erlaubt sie nun einzelnen Schülern ein privates Angebot ins Netz zu stellen, handelt es sich wiederum um ein Anbieter-Nutzer-Verhältnis. Der diese Möglichkeit nutzende Schüler wird mit seiner privaten Homepage selbst zum Anbieter eines Tele- oder Mediendienstes. In diesen Fällen unterliegt der Schüler selbst der Impressumspflicht nach § 6 TDG bzw. § 6 Mediendienstestaatsvertrag (MDStV). Er muss dann im Rahmen seines Angebotes Namen und Anschrift veröffentlichen. Statt der Privatanschrift des Schülers kann hier auch die Adresse der Schule genügen. Private Angebote können somit nicht als schulische Veranstaltung gewertet werden.

Bearbeiten hingegen einzelne Schüler oder Schülergruppen bestimmte Angebote, die unter der Homepage der Schule veröffentlicht werden, so ist dies als schulische Veranstaltung zu werten und es gelten die Regelungen des Berliner Schulgesetzes. Das Internet-Angebot einer Schule stellt datenschutzrechtlich eine Veröffentlichung durch eine öffentliche Stelle des Landes Berlin dar. Personenbezogene Internet-Veröffentlichungen sind - wie andere personenbezogene Veröffentlichungen - nach dem Berliner Schulgesetz nur mit schriftlicher Einwilligung der Betroffenen - bei minderjährigen Schülern der Eltern - zulässig (§ 5 a SchulG i. V. m. § 6 Abs. 4 BlnDSG). Das Problem liegt darin, dass der Verwendungszweck der veröffentlichten personenbezogenen Daten bei den potentiell weltweiten Nutzern dieses Angebots nicht bestimmt werden kann. Die Einwilligungserklärung muss also die Risiken deutlich benennen und über sie aufklären. Erst dann ist mit Wissen und Wollen der Schüler und ihrer Eltern beispielsweise ein Eintrag der Namen der an einem Angebot beteiligten Schüler zulässig. In dem Zusammenhang sollte auf die gegenwärtig weltweit entstehenden riesigen Datensammlungen von Internet-Nutzern oder sich im Internet präsentierender Personen verwiesen werden.

Wie ist die Rechtslage, wenn personenbezogene Daten nicht direkt selbst veröffentlicht werden, sondern durch LINKs auf Veröffentlichungen Dritter verwiesen wird? Das Setzen von LINKs wird unter dem Begriff des "Bereithaltens fremder Inhalte zur Nutzung" (§ 5 Abs. 2 TDG) subsumiert. Der Diensteanbieter, hier die Schule, ist für fremde Inhalte d. h. auch für möglicherweise rechtswidrige oder strafbare Inhalte nur verantwortlich, wenn er von diesen Kenntnis hat und deren Nutzung verhindern kann. Internet-Angebote öffentlicher Stellen haben aber aufgrund der Garantenpflicht staatlicher Einrichtungen, also ihrer besonderen Pflicht gegenüber Betroffenen, eine erweiterte Verpflichtung, die Kenntnis und das Wissen über die Rechtmäßigkeit fremder Inhalte herzustellen, wenn verlinkt werden soll. Wenn die Schule zu dem Schluss kommt, dass sie diesen Inhalt auch selbst veröffentlichen dürfte, beispielsweise bei offensichtlich vorliegender wirksamer Einwilligung, steht einem Verlinken mit einem anderen Angebot nichts im Wege. Auch wenn die Veröffentlichung nur nach den für den Anbieter geltenden Rechtsvorschriften zulässig ist, kann verlinkt werden. Der Berliner Beauftragte für Datenschutz und Akteneinsicht hat daher nachfolgenden Disclaimer in das Impressum des Internet-Angebots aufgenommen:

"Disclaimer/Hinweis zur Problematik von externen Links

Der Berliner Beauftragte für Datenschutz und Akteneinsicht ist als Inhaltsanbieter (Content provider) nach § 5 Abs. 1 des Teledienstgesetzes vom 22. 07.1997 (TDG) für die "eigenen Inhalte", die er zur Nutzung bereithält, nach den allgemeinen Gesetzen verantwortlich. Von diesen eigenen Inhalten sind Querverweise ("Links") auf die von anderen Anbieter bereitgehaltenen Inhalte zu unterscheiden. Durch den Querverweis hält der Berliner Beauftragte für Datenschutz und Akteneinsicht insofern "fremde Inhalte" zur Nutzung bereit, die in dieser Weise gekennzeichnet sind: [LINK]. Für diese fremden Inhalte ist er nur dann verantwortlich, wenn er von ihnen (d. h. auch von einem rechtswidrigen bzw. strafbaren Inhalt) positive Kenntnis hat und es ihm technisch möglich und zumutbar ist, deren Nutzung zu verhindern (§ 5 Abs. 2 TDG).

Bei "Links" handelt es sich allerdings stets um "lebende" (Dynamische) Verweisungen. Der Berliner Beauftragte für Datenschutz und Akteneinsicht hat bei der erstmaligen Verknüpfung zwar den fremden Inhalt daraufhin überprüft, ob durch ihn eine mögliche zivilrechtliche oder strafrechtliche Verantwortlichkeit ausgelöst wird. Er ist aber nach dem TDG nicht dazu verpflichtet, die Inhalte, auf die er in seinem Angebot verweist, ständig auf Veränderungen zu überprüfen, die eine Verantwortlichkeit neu begründen könnten. Erst wenn er feststellt oder von anderen darauf hingewiesen wird, dass ein konkretes Angebot, zu dem er einen Link bereitgestellt hat, eine zivil- oder strafrechtliche Verantwortlichkeit auslöst, wird er den Verweis auf dieses Angebot aufheben, soweit ihm dies technisch möglich und zumutbar ist. Die technische Möglichkeit und Zumutbarkeit wird nicht dadurch beeinflusst, dass auch nach Unterbindung des Zugriffs von der Homepage des Berliner Beauftragten für den Datenschutz und Akteneinsicht von anderen Servern aus auf das rechtswidrige oder strafbare Angebot zugegriffen werden kann."

Ähnlich ist es auch zu sehen, wenn die Schule als Mediendiensteanbieter für private Homepages der Schüler auftritt. Erfährt die Schule von rechtswidrigen Inhalten bei diesen privaten Veröffentlichungen, so hat sie diese unverzüglich zu unterbinden.

Sicherlich sind mit diesen Hinweisen noch nicht alle Probleme datenschutzrechtlicher Art angesprochen. Daher wollen wir Ihnen anbieten, sich telefonisch unter o. g. Telefonnummer, schriftlich oder unter unserer e-mail-Adresse (mailbox@datenschutz-berlin.de) an uns zu wenden.

Wir wünschen Ihnen bei Ihrer schulspezifischen Umsetzung der Konzeption "Schulen ans Netz" viel Erfolg.

Mit freundlichen Grüßen

gez. Metschke

Alle erwähnten Rechtsvorschriften können Sie in unserem Internetangebot unter www.datenschutz-berlin.de im Abschnitt "Datenschutz und Recht" nachlesen.