Moodle und Datenschutz - ein Blick hinter die Kulissen

Im Laufe dieses Jahres hat die Frage der Datenschutzregelungen bei Moodle meine Arbeit an ganz verschiedenen Stellen stark beeinflusst. Doch von Anfang an.

Datenschutz ist für Moodle kein Fremdwort. Schon seit sehr langer Zeit war es möglich, die Nutzer über die Verarbeitung personenbezogener Dateien aufzuklären und dies bestätigen zu lassen. Die sehr differenzierte Rechteverwaltung und die dezentrale Verwaltung von Bewertungen erlaubten schon lange, die unterschiedlichsten Anforderungen an den Einblick in persönliche Daten der Nutzer zu steuern.

Aufgrund der Vielfalt der Funktionen und der verschiedensten Aktivitätstypen  gehören Lernplattformen zu den Tools, die extrem viele Daten über die Nutzer speichern. Wer das negiert, macht sich etwas vor.  Viele Funktionen lassen sich halt nur realisieren, wenn es auch möglich ist, auf Daten der Nutzer zurückzugreifen.

Als ich zum ersten Mal von der Datenschutzgrundverordnung hörte und mich ein wenig damit beschäftigte, erkannte ich die  Reichweite auch nicht auf Anhieb. Im Frühjahr 2017 habe ich dann Martin Dougiamas auf das Thema aufmerksam gemacht und er hat  im Mai den Ball aufgenommen. Im Sommer wurde eine erste Analyse erstellt und kurz darauf ein Fachanwalt einbezogen, der seitdem als Berater an Bord war.

Es ging dabei darum, die DSGVO im Hinblick auf die Auswirkungen auf eine Lernplattform zu verstehen und zu interpretieren. Intensive Diskussionen folgten. Aus australischer Perspektive war es sicher nicht ganz einfach eine europäische Verständnisperspektive zu entwickeln. Juristen aus Irland oder England haben durchaus auch eine andere Sichtweise als wir in Deutschland mit einer Vorgeschichte aus Volkszählungsurteil und Bundesdatenschutzgesetz, die auf die 80er Jahre zurückgingen.

Die deutsche Perspektive hatte vor langer Zeit bei Moodle jedoch schon eine Rolle gespielt. Auf Initiative der Berliner Humboldt Universität war vor Jahren nach langem Ringen die Grundlage für die Einführung des Rollen-und Rechtesystems und deren Konfigurierbarkeit auf den Weg gebracht. Hintergrund auch hier der Datenschutz. Interessanterweise begrüßten diese Entwicklungen nach der Einführung die amerikanischen Schulen. Sie hatten ganz ähnliche Anforderungen, um einen Schutz der Schülerdaten zu gewährleisten.

Die neuerliche Diskussion um die Umsetzung der DSGVO betrat dann jedoch Neuland. Die Datenschutzaufsichtsbehörden der Länder befanden sich in einem Orientierungsprozess. Handreichungen gab es noch nicht und auch die  Artikel 29 - Gruppe auf europäischer Ebene  befand sich ebenfalls in einem Diskussionsprozess und rief nach und nach zu einzelnen Teilaspekten zu Diskussionsbeiträgen auf. An keiner Stelle wurde jedoch explizit die Auslegung für den Bildungssektor erörtert. Dieser zeigt sich mit dem Bereich Schule (Daten von Kindern), Hochschule und Unternehmen (Beschäftigtendaten) sehr vielfältig.

Bei Moodle setzte sich im Diskussionsprozess nach und nach die Haltung durch, wir nehmen es genau und erlauben dem Betreiber, die nach ihrer Interpretation erforderlichen Massnahmen selber zu konfigurieren.  Also maximale Flexibilität.  Das ist aus der Perspektive der Softwareentwicklung die komplexeste denkbare Umsetzung.

Ein eigenes Entwicklerteam nahm dann im Herbst 2017 die Entwicklung auf. Ziel: die weltbeste Umsetzung der DSGVO-Anforderungen für eine Plattform. Das klingt ein wenig pathetisch. Tatsächlich ist Moodle das Thema aber tatsächlich sehr sorgfältig angegangen.

Was gehörte dazu?

  • Information der Nutzer komplett erneuert. Die neue Information kann sowohl die Aufklärung als auch die Einwilligung Betroffener abwickeln und erlaubt eine Versionierung und komplette Dokumentation.
  • Altergrenze bei Selbstregistrierung von Nutzern als Option
  • Anfragen an Datenschutzkontaktpartner
  • Anfrage über gespeicherte Daten
  • Antrag auf Datenlöschung
  • Dokumentation aller Bereiche in denen personenbzogene Daten verarbeitet werden. Dies geht bis auf die Ebene der einzelnen Datenbankfelder.
  • Einführung von Standardlöschprozessen und Ausnahmen von Löschregeln.
  • Entwicklung einer API, die diese Prozesse unterstützt.

Was sich hier recht übersichtlich darstellt, ist im Detail tatsächlich sehr komplex. Durch die Modularität muss es möglich sein, nicht nur die Standardfunktionen zu unterstützen, sondern auch Zusatzplugins einzubinden, die es für Moodle in schier unübersichtlicher Zahl gibt.

Hier ein Beispiel aus der Praxis. Ein Nutzer äußert einen Wunsch zur Löschung der Daten. In vielen Fällen dürfen nicht alle Daten gelöscht werden, da der Betreiber einer Plattform für einen Teil der Daten eine Dokumentationspflicht hat (z.B. zum Nachweis von Pflichtschulungen im Unternehmen oder Prüfungsleistungen). Dies kann sich bei genauer Betrachtung nicht nur auf einzelne Kursbereiche, sondern u.U. auf einzelne Aktivitäten innerhalb eines Kurses beziehen. Genau dies ist möglich gemacht worden.

Im Mai 2018 wurden dann pünktlich war Wirksamwerden der DSGVO die entsprechenden Funktionen für drei verschiedene Versionen (3.3./3.4/3.5) bereitgestellt.

In den Wochen danach sammelten sich im Tracker eine Vielzahl von Feststellungen, dass einzelne Funktionen noch nachgebessert werden sollten. Das Entwicklerteam ist fortlaufend dabei, die Funktionalitäten  weiter zu optimieren.

Nach meiner Einschätzung dürfte Moodle derzeit die einzige Plattform sein, die die Anforderungen der DSGVO in derart guter Weise umsetzt. Ich hatte Gelegenheit, mit einzelnen Anbietern anderer Plattformen zu sprechen und konnte erfahren, dass diese nicht in Ansätzen die DSGVO Anforderungen umsetzten können. Zumeist reduziert es sich auf zwei Aspekte: 1. Einbindung einer Datenschutzinformation der Nutzer und 2. Löschen des Nutzeraccounts. Der letzte Teil löscht zumeist jedoch nur Teile der Daten, die über einen Nutzer gespeichert sind.

Die Umsetzung dieser Anforderungen ist kein Pappenstil. Die Investition, die noch nicht abgeschlossen ist, liegt im sechsstelligen Bereich und da nicht am unteren Ende. Ich finde es großartig, dass dies möglich wurde.

Wir haben bei eLeDia unsere Kunden Schritt für Schritt auf die Anforderungen vorbereitet und ausführliche Hilfestellungen bereitgestellt. In einer Broschüre haben wir nicht nur die Grundlagen der Datenschutzgrundverordnung auf den Einsatz der Lernplattform übertragen. Wir haben im Detail erklärt wie man dies durch Konfiguration in der Lernplattform an die eigenen Umsetzungsanforderungen anpassen kann und Mustertexte für verschiedene Situationen bereitgestellt.  Die gedruckte Broschüre kann bei mir für 22 € (inkl. Versand) bestellt werden.   E-Mail an Verlag@dialoge.info