Datenschutz - Die Rechtslage

• Bei der Erhebung (hier automatischen Speicherung) personenbezogener Daten stellt sich die Frage nach dem Datenschutz.
  Dabei ist die Bewertung bei minderjährigen Schülerinnen und Schülern anders zu treffen als bei Erwachsenen.
  Nehmen wir zum Beispiel den Fall, dass ein Teilnehmer tendentiell immer in den Nachtstunden in Moodle aktiv ist.
  Bei einer Schülerin/ einem Schüler gebietet es die Fürsorge- und Aufsichtspflicht, mit ihr/ ihm und den Eltern über eine sinnvolle Zeiteinteilung und die Bedeutung des Nachtschlafs zu sprechen.
  Ein erwachsener Teilnehmer hat dies selbst zu verantworten.

• Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß der Charta der Grundrechte der Europäischen Union ... hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

  Erwägungsgrund 1 der DSGVO
  

• Europäische Datenschutz-Grundverordnung Link/URL
• Die automatische Speicherung der Logdaten ist eine Erhebung personenbezogener Daten und nur insoweit zulässig, als ihre Kenntnis zur rechtmäßigen Erfüllung der Aufgaben der erhebenden Stelle (z.B. der Schule) erforderlich ist.
  

• Nicht nur der Erhebung von Daten sind Grenzen gesetzt, auch die Verarbeitung der Daten ist nicht grundsätzlich erlaubt.

  Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn
  a) dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder
  b) die betroffene Person eingewilligt hat.
  

• Für den Bereich der Schule sind der Datenverarbeitung engere Grenzen gesetzt. Hier gelten zusätzlich das Schulgesetz (§ 120 bis § 123) und die "Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern" (VO-DV I).

• Schulgesetz NRW Link/URL
• VO-DV I Link/URL
• In § 120 Absatz 1 SchG heißt es dazu:
  Schulen und Schulaufsichtsbehörden dürfen personenbezogene Daten der Schülerinnen und Schüler, der in § 36 genannten Kinder sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist. Die gespeicherten personenbezogenen Daten dürfen in der Schule nur den Personen zugänglich gemacht werden, die sie für die Erfüllung ihrer Aufgaben benötigen.

  In § 1, Absatz 2 der VO-DV I wird zusätzlich durch Verweis auf die Anlagen festgelegt, welche Daten verarbeitet werden dürfen.

  Einige, der durch Moodle erfassten Daten, gehören nicht dazu!

  Außerdem heißt es in § 2, Absatz 1 der gleichen Verordnung:
  

  Die automatisierte Verarbeitung der personenbezogenen Daten ist zulässig … in sonstigen Netzwerken, wenn … die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz gemäß § 10 des Datenschutzgesetzes Nordrhein-Westfalen gewährleistet sind. Insbesondere ist sicherzustellen, dass Berechtigte nur Zugang zu personenbezogenen Daten erhalten, die für die jeweilige Aufgabenerfüllung erforderlich sind.

  Die damit gestellten Anforderungen erlauben es in der Regel nicht, den Moodle-Server in der eigenen Schule zu betreiben.
  

  Beauftragen Sie zertifizierte Dienstleister, wie z.B. kommunale Rechenzentren.