Re: Verwaltung von Schulklassen
Hallo,
die Diskussion über das Verhältnis von Skolelinux zum Datenschutzrecht
sollte vor dem vorhandenen rechtlichen Hintergrund präzisiert werden.
Die Frage, was Skolelinux an Programmfunktionalitäten enthalten mag, hat
wenig damit zu tuen, ob eine Schule beim Einsatz von Skolelinux gegen
den Datenschutz verstößt.
Das möchte ich kurz erläutern.
(Für freie Schulen, insbesondere für kirchliche Schulen, gelten
spezielle Vorschriften, auf die ich in dieser e-mail nicht eingehe. Für
staatliche Schulen gilt folgendes.)
Datenschutzgesetze gibt es auf Bundes- und auf Landesebene. Die
Landesgesetze weichen nur im Detail voneinander ab.
Weitere Vorschriften enthält das Schulverwaltungsrecht. Das
Schulverwaltungsrecht ist historisch gewachsenes Landesrecht. Jedes
Land regelt seine Schulorganisation grundlegend anders.
Die Rechtslage ist zersplittert.
In manchen Bundesländern ist die automatische Verarbeitung persönlicher
Daten ohne Einwilligung der Betroffenen schon gestattet, wenn es der
ordnungsgemässe Betrieb der schulischen EDV-Anlagen erfordert.
In anderen Bundesländern reicht es nicht aus, dass es der Administrator
durch den Zugriff auf persönliche Daten leichter hat. In diesen
Bundesländern kommt es darauf an, ob es nicht andere Wege gibt, den in
Frage stehenden schulischen Zweck zu verwirklichen.
(Anm.: Diese Frage wurde in den Beiträgen bisher nicht vollständig
ausgeleuchtet. Offene Punkte: Wozu muß der Administrator jedes Jahr die
Schüler-ID kennen? Reicht es nicht aus, abgespeichert zu lassen, dass
XY ein Schüler der betroffenen Schule ist? Was will man stärker
kontrollieren? Ist das der einzige Weg, den schulischen Zweck
verwirklichen zu können?)
Viele (womöglich alle) Bundesländer untersagen den Schulen, EDV-Anlagen,
auf denen persönliche Daten gespeichert werden, für andere als für
Verwaltungszwecke einzusetzen. Solche Anlagen dürfen in diesen
Bundesländern keinesfalls im Unterricht verwendet werden.
Alle Bundesländer haben Datenschutz-Richtlinien erlassen. Dort finden
sich Bestimmungen, welche Personen auf die EDV-Anlage mit
abgespeicherten Personendaten Zugriff haben dürfen, wie der Standort
abzusichern ist und welche Anforderungen an die zum Einsatz kommende
Software zu stellen sind, z.B. was den Einsatz von Zugriffschranken,
Verschlüsselungen etc. angeht.
Weil der Begriff der persönlichen Daten im Datenschutzrecht sehr weit
gefaßt wird, spielen diese Fragen eine große Rolle.
Als persönliche Daten gelten nicht nur Merkmalsausprägungen wie Alter,
Geschlecht und Geburtsdatum, sondern auch Kennziffern, mit denen
namensgleiche Schüler unterschieden werden können.
Die Übernahme von Schüler-ID's aus dem Verwaltungsnetzwerk in ein
Skolelinux-Netzwerk wird daher der Verarbeitung persönlicher Daten
gleich gestellt. Daher wirken sich alle vorstehend geschilderten
Beschränkungen aus, in dem einen Bundesland eben so, in dem anderen
Bundesland eben anders.
Das heißt für die Praxis:
In einem Unterrichtsnetzwerk (gleichgültig ob es sich um ein
Skolelinux-Netzwerk handelt oder nicht) sollten keine persönlichen
Daten abgespeichert oder verarbeitet werden, insbesondere keine
Personenkennziffern.
Das gilt jedenfalls solange, wie keine ausdrückliche
datenschutzrechtliche Einwilliung der Betroffenen eingeholt worden ist.
Andersherum:
Skolelinux _kann_ Programmfunktionalitäten enthalten, die eine
Verarbeitung persönlicher Daten voraussetzen, weil solche
Einwilligungen ja eingeholt werden können.
Aber:
Skolelinux sollte das Augenmerk darauf richten, die in den jeweiligen
Bundesländern geforderten Software-Kriterien einzuhalten. Sonst käme
in manchen Bundesländern ein KO-Kriterium zum Zuge. Dabei geht es aber
eher um programmiertechnische Selbstverständlichkeiten, die bei Debian
schon umgesetzt sein sollten.
Noch eine Anmerkung:
Sobald Skolelinux für andere als für schulische Zwecke eingesetzt wird,
z.B. den Schülern die private Internet-Nutzung erlaubt wird, ändert
sich alles. Es gelten andere Gesetze, in diesem Beispiel das TDDSG
Teledienstdatenschutzgesetz. Die Schule wird dann (insoweit) wie ein
Teledienstanbieter behandelt und muß sich mit zwei ansatzweise
widersprüchlichen Rechtsordnungen gleichzeitig herum schlagen. Das
sollte in der Praxis tunlichst vermieden werden.
Fazit:
Der juristische Ausweg, der unübersichtlichen Rechtslage im Bereich
Datenschutz Herr zu werden, bietet sich mit der Einholung
ausdrücklicher datenschutzrechtlicher Erlaubnisse der Betroffenen an.
Dann lassen sich prinzipiell auch Schüler-ID's verwenden.
Gruß
Peter Voigt
Reply to: