In den letzten Tagen gab es Berichte bei Heise und Spiegel über eine datenschutzrechtliche Auseinandersetzung  zwischen einem Webseitenbetreiber und der niedersächsischen Datenschutzbehörde. Da diese auch auf bestimmte Nutzungen von Lernplattformen Auswirkungen hat, berichte ich hier darüber.

Der Betreiber der Webseite hat sowohl Werbeschaltungen für Amazon, als auch statistische Analysewerkzeuge über die Nutzung der Webseite eingebunden. Bei diesen Funktionen wird beim Aufruf der Seite die IP-Adresse des Aufrufenden weitergeleitet an einen Dritten (Amazon, Google, etc.) und dort ausgewertet.

Nach Auffassung der Datenschutzbehörde erfordert eine solche Weitergabe der IP-Adresse die aktive Zustimmung der Person, die die Seite aufruft. Die IP-Adresse sei ein personenbezogenes Datum und deren Verarbeitung oder Weiterleitung unterliegt der Zustimmungspflicht.

Die IP-Adresse identifiziert den Rechner, der eine Webseite aufruft.  Sie ist erforderlich, damit der Server auf dem der Webseiteninhalt liegt einen Empfänger für den Versand der Datenpakete mit den Seiteninhalt hat.

Was hat das nun mit Lernplattformen zu tun?

Zunächst die gute Nachricht. Lernplattformen wie Moodle geben von sich aus keine personenbezogenen Daten oder IP-Adressen an andere Betreiber weiter. Durch die Einbindung einer entsprechenden Zustimmungserklärung in den Loginprozess kann die gesetzliche Anforderung der Information und der Zustimmung zur Speicherung personenbezogener Daten gesetzeskonform  abgewickelt werden.

Nun wo liegt dann das Problem? In der letzten Zeit hat es sich eingebürgert, dass in Lernplattformkurse durch Trainer/Lehrer externe Quellen eingebunden werden. Dazu drei Beispiele:

• Ein Video von Youtube/Lehrertube oder einer anderen Quelle wird über einen Filter oder einen Code in die Seite eingebunden. Damit das Video angezeigt werden kann, muß an den Betreiber der Videoplattform die IP-Adresse des aufrufenden Nutzers übergeben werden, damit das Video ausgeliefert und im Browser angezeigt werden kann.
• Ein externer Web 2.0 Dienst wie Wallwisher oder andere wird eingebunden. Auch hierzu wird die IP-Adresse übergeben.
• Ein extern betriebenes Live Classroom System wird angebunden, um Live Präsentationen  durchzuführen. Und auch hier müssen Nutzerinformationen an einen anderen Dienstleister übergeben werden. Dies gilt besonders wenn ein Single-Sign-On verwendet wird.

Was ist nun wirklich das Problem? Die Seiten sind doch schließlich meist öffentlich verfügbar. Jeder kann sie in den Browser eingeben und den Inhalt aufrufen. Juristisch ist es ein Unterschied, ob der Nutzer des Kurses, dies aus eigener Entscheidung heraus tut, oder ob ohne seine Zustimmung und sein Wissen der Betreiber der Seite/des Kurses dies tut und damit die IP-Adresse weitergibt. Dies ist nach der aktuellen Auffasung der Datenschutzbehörde eine Weitergabe personenbezogener Informationen.

Die Einbindung von statistischen Auswertungsdiensten wie Google Analytics wird inzwischen als nicht datenschutzkonform betrachtet. Bei Lernplattformen ist mir bisher jedoch nicht bekannt, dass entsprechende Funktionen regelmässig eingebunden werden. Wer das dennoch getan hat, sollte sich hier genauer informieren.

Die Nutzung von externen RSS-Feeds in Moodle Kursen ist nicht von diesem Problem betroffen. In dem Fall fragt das Moodle System regelmässig die externen Quellen ab und stellt die Informationen in  einem Block dar.  Nutzerdaten sind nicht im Spiel.

Wie schätze ich die Situation ein? Zunächst sollten alle, die entsprechende externe Funktionen in ihre Kurse eingebaut haben, die Diskussion weiter aufmerksam verfolgen. Denn es gibt unterschiedliche Rechtsauffassungen über die Frage, ob eine IP-Adresse bereits ein personenbezogenes Datum sei. Ein Hamburger Gericht hat dies erst kürzlich verneint. 

Wer ganz vorsichtig sein will, kann folgendes tun:

• Information der Nutzer in der Zustimmungserklärung, dass bei eingebundenen Inhalten in Kursen IP-Adressen an andere Dienstleister weitergeleitet werden.
• Verzicht auf externe Dienste, Youtube-Videos auf der Startseite und in öffentlich ohne Registrierung zugänglichen Bereichen.
• Verlinkung auf entsprechende Seiten, statt Einbindung, ggfs. mit der Information, dass es sich hierbei um externe seiten handelt.

Hinweis: Die hier gegebenen Informationen sind meine persönliche Einschätzung. Ich bin kein Jurist und gebe keine Rechtsberatung.