BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/2568 21. Wahlperiode 18.12.15 Schriftliche Kleine Anfrage des Abgeordneten Carsten Ovens (CDU) vom 10.12.15 und Antwort des Senats Betr.: Welche Probleme gibt es mit dem Datenschutz bei der Hamburg Open Online University? In der Antwort auf die Schriftliche Kleine Anfrage Drs. 21/1630 berichtet der Senat ausführlich über die Hamburg Open Online University der sechs staatlichen und der privaten Universitäten und Hochschulen in Hamburg und die einzelnen eLearning- und Kommunikationsplattformen. Nun berichtete die Tagesschau am 01.12.2015 über Kritik an Online-Kursen von Universitäten. Mehr als 20 Millionen Menschen in Deutschland nutzten sogenannte MOOCs, massive open online courses. In Deutschland böten, so der Tagesschaubericht , unter anderem die beiden großen Münchener Unis solche Kurse an. Sie kooperierten dafür mit einer US-Firma, was eine heikle Zusammenarbeit aus Sicht von Datenschützern sei. Der Anbieter der Münchener MOOC-Kurse etwa könnte viele private Daten der Nutzer sammeln und sein Wissen mit den Behörden teilen oder an jemand anderen verkaufen. Denn dieser Anbieter sitzt in Kalifornien, USA. Vor diesem Hintergrund frage ich den Senat: Die Unterstützung und Bereitstellung für den überwiegenden Anteil von digitalen Lehrund Lerninhalten erfolgt an den Hamburger Hochschulen für das grundständige und damit verpflichtende curriculare Angebot über institutionelle Lernmanagementsysteme oder ähnliche Anwendungen, die vornehmlich durch die Hamburger Hochschulen selbst betrieben und zur Verfügung gestellt werden. Durch den eigenständigen Betrieb ist die Gefahr eines Datenmissbrauchs im Sinne einer automatisierten und nicht autorisierten Übertragung von personenbezogenen Daten in andere Staaten nicht gegeben . Dies vorausgeschickt, beantwortet der Senat die Fragen zum Teil auf der Grundlage von Angaben der staatlichen und staatlich anerkannten Hochschulen wie folgt: 1. Welcher beziehungsweise welche Anbieter betreiben die einzelnen eLearning-Plattformen der Hamburger Universitäten und Hochschulen in öffentlicher und privater Trägerschaft? Und wo haben diese Anbieter ihren Sitz? Bitte differenziert nach Plattform beziehungsweise Universität und Hochschule darstellen. Universität Hamburg (UHH): Die eLearning-Plattformen der Universität Hamburg werden nicht von externen Anbietern , sondern von der Universität Hamburg in Räumlichkeiten der Universität und auf IT-Infrastruktur der Universität Hamburg betrieben. Drucksache 21/2568 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 Universitätsklinikum Hamburg-Eppendorf (UKE): Die Medizinische Fakultät der Universität Hamburg/das UKE betreibt die eLearning- Plattform „Mephisto“ sowie das elektronische „iMED-Textbook“ selbst und lokal am UKE. Die Administratoren sind Angestellte des UKE. Grundlage bilden die Open- Source Programme „Moodle“ (https://moodle.org/) für die eLearning-Plattform Mephisto und Typo3 für das iMED-Textbook. HafenCity Universität (HCU): Die HCU betreibt zurzeit keine eLearning-Plattform. Ein interner Moodle-Server befindet sich im Aufbau. Technische Universität Hamburg-Harburg (TUHH): Die TUHH betreibt zwei Plattformen: - Stud.IP/ILIAS, Betreiber: TUHH-Rechenzentrum - Mediasite (Vorlesungsaufzeichnungen), Betreiber: TUHH-Rechenzentrum Das Rechenzentrum der TUHH betreibt die eLearning-Plattformen Stud.IP und ILIAS auf eigenen Servern, die sich in einem Serverraum auf dem Campus der TUHH befinden . Beide Systeme arbeiten als Verbund, wobei Stud.IP das führende System ist. Das Vorlesungsaufzeichnungssystem Mediasite ist ein kommerzielles System, das aber ebenfalls in einem Serverraum auf dem TUHH-Campus vom Rechenzentrum betrieben wird. Hochschule für Angewandte Wissenschaften Hamburg (HAW): Grundsätzlich gilt als Maßgabe für den Betrieb von eLearning-Plattformen an der HAW, dass diese auch an der HAW oder bei Kooperationen an einer anderen (Hamburger ) Hochschule serverseitig gehostet werden. Das Moodle-Lernmanagementsystem „Elektronische Medien Informationen Lehre (EMIL)“ der HAW wird von der HAW auf eigenen Servern betrieben. Massive Open Online Courses (MOOCs) finden derzeit keine Anwendung in der Lehre der HAW. Hochschule für bildende Künste (HFBK): Die HFBK verfügt über keine eLearning-Plattform. Hochschule für Musik und Theater (HfMT): Die HfMT nutzt im Rahmen des eLearning die eLearning-Plattform „CommSy“ der effective WEBWORK GmbH mit Sitz in Hamburg. CommSy wird auf den Servern des Regionalen Rechenzentrums (RRZ) der Universität Hamburg für alle Hamburger Hochschulen gehostet und administriert. Akademie der Polizei Hamburg (AK): Die an der AK verwendete Software „Campus-Management-System“ (CampusNet) ist in erster Linie eine Kommunikationsplattform, auf der ebenfalls Lernmaterialien, Links, Literatur und Skripte bereitgestellt werden. Eine eLearning-Plattform mit sogenannten MOOCs bietet CampusNet nicht. Die mit der Software WBT-Express (Web-Base- Training) erstellte eLearning-Anwendung zum Umgang mit Pässen im grenzpolizeilichen Verkehr ist kein MOOC im Sinn der Fragestellung; die Nutzung findet im geschlossenen IT-System der Polizei Hamburg statt. Der Nutzerkreis umfasst ausschließlich Mitarbeiterinnen und Mitarbeiter der Polizei. Die Polizei Hamburg hat beide Anwendungen angeschafft, sie ist im Sinne der Fragestellung Anbieter. Darüber hinaus stellt die Polizei für den geschlossenen Nutzerkreis im Intrapol Broschüren und Checklisten im PDF-Format bereit. Dabei handelt es sich nicht um interaktive eLearning-Anwendungen. Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/2568 3 Brand Academy (BA): Die BA setzt die Open-Source-Plattform Moodle als Lernmanagementsystem ein, betreibt die Software selbst und lässt sie von einem auf Moodle-Hosting und -Beratung spezialisierten deutschen Unternehmen auf einem Server hosten, der eLe- Dia – eLearning im Dialog GmbH mit Sitz in Berlin. Bucerius Law School (BLS): Die BLS unterhält derzeit keine eLearning-Plattform. EBC Hochschule (EBC): Die EBC unterhält derzeit keine eLearning-Plattform. Europäische Fernhochschule Hamburg (Euro-FH): Für den Online Campus hat die Euro-FH den Provider filoo GmbH, Moltkestraße 25 a, 33330 Gütersloh. Verantwortlich für Sicherheit und Betrieb ist die Managed Security Services Division Operational Services secunet Security Networks AG, Kronprinzenstraße 30, 45128 Essen, Deutschland. Evangelische Hochschule für Soziale Arbeit & Diakonie (Ev HS): Die Ev HS unterhält derzeit keine eLearning-Plattform. HFH Hamburger Fern-Hochschule (HFH): Die Studierenden der HFH können auf zwei eLearning-Plattformen zugreifen. Der Anbieter der eLearning-Plattform OLAT CE, die von der HFH in Kooperation mit der Universität Hamburg als gemeinsame Installation genutzt wird, ist das BPS Bildungsportal Sachsen GmbH mit Sitz in Chemnitz. Der Anbieter der Plattform T@keLaw ist der teach-audio Verlag UG mit Sitz in 23966 Wismar, Alter Holzhafen 17 b. HSBA Hamburg School of Business Administration (HSBA): Die HSBA betreibt zusammen mit der Datenlotsen Informationssysteme GmbH die interne eLearning-Plattform HSBA Connect. Firmensitz des Anbieters ist Hamburg. Helmut-Schmidt-Universität der Bundeswehr (HSU): Die eLearning-Plattform der HSU wird von der Koordinationsstelle E-Lernen im Medienzentrum der Universität in Kooperation mit dem Rechenzentrum der Universität betrieben. Kühne Logistics University (KLU): Die KLU verwendet derzeit Moodle, eine Open-Source Software. MSH Medical School Hamburg (MSH): TraiNex – Anbieter: Trainings-Online Gesellschaft für E-Portale mbH, Bielefeld, Deutschland. NBS Northern Business School (NBS): Die NBS verfügt über eine eLearning-Plattform, die von der NBS auf einem gemieteten Server selbst betrieben wird. Der Server wird von einem Hamburger Dienstleister zur Verfügung gestellt und befindet sich auch in Hamburg. Die eLearning-Plattform steht nur den Studierenden der NBS zur Verfügung. Norddeutsche Akademie der Finanzen (NoA): Die NoA unterhält derzeit keine eLearning-Plattform. 2. a) Wie viele Hamburger Studentinnen und Studenten sind bei diesen Plattformen registriert und welche Daten müssen diese bei den jeweiligen Anbietern speichern beziehungsweise hinterlegen? Bitte differenziert nach Plattform und Anbieter sowie nach Universität und Hochschule darstellen. Drucksache 21/2568 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 4 UHH: Entfällt, da die eLearning-Plattformen der Universität Hamburg im Eigenbetrieb sind. UKE: Auf der eLearning-Plattform des UKE sind zurzeit rund 4.250 Studierende der Universität Hamburg, überwiegend der Medizinischen Fakultät, registriert. Hinterlegte Nutzerdaten sind neben dem Anmeldenamen (Matrikelnummer) die UKE-E-Mail-Adresse der Studierenden. Es herrscht ansonsten kein Klarnamenszwang. Die Daten verbleiben in der Medizinischen Fakultät/im UKE. Es gibt keinen externen Anbieter, bei dem Daten hinterlegt oder gespeichert werden. Die unter 1. und 2. genannten Verfahren wurden beim Hamburger Beauftragen für Datenschutz und Informationssicherheit sowie bei der UKE-Datenschutzbeauftragten inklusive Risikoanalyse dokumentiert und werden regelmäßig überprüft. TUHH: Stud.IP/ILIAS: Anzahl Studierende, die das System nutzen: circa 7.000; gespeicherte Daten: Name, Vorname, Login-Name, E-Mail-Adresse Mediasite: Anzahl Studierende, die das System nutzen: circa 2.500, gespeicherte Daten: Login-Name. HAW: Für die derzeit im Betrieb befindliche EMIL-Plattform sind grundsätzlich alle Studierenden , Lehrenden und Mitarbeiter über ihren HAW-Account registriert. Dieser Zugang muss lediglich durch Eingabe des Namens, des Vornamens sowie der E-Mail-Adresse aktiviert werden. Außerdem gibt es ein zusätzliches Freitextfeld, welches genutzt werden kann. Aktuell haben 16.797 Studierende die Möglichkeit, sich für EMIL anzumelden. Wie viele davon tatsächlich ihren Zugang aktiviert haben – EMIL also aktiv nutzen –, wird nicht ausgewertet. An Wochentagen werden täglich knapp 8.000 Zugriffe auf die EMIL-Plattform mit ihren 1.637 Lernräumen gezählt. HfMT: Für die HfMT sind insgesamt 845 Nutzer (Dienstnutzende) für die Plattform CommSy registriert. Zur Anmeldung an der Plattform sind folgende Angaben erforderlich: Vorname , Nachname, Hochschul-E-Mail-Adresse, selbst gewählter Benutzername und Kennwort. Für die Registrierung erhebt die Hochschule keine Angaben der Nutzer zu ihrer jeweiligen Statusgruppe, das heißt Lehrende oder Studierende. BA: An der BA sind alle 162 Studierenden in Moodle von ihr in Eigenverwaltung registriert und können selbst entscheiden, ob sie zusätzlich zum Namen Informationen über sich eingeben oder nicht. Euro-FH: An der Euro-FH sind alle 6.942 Studierenden auf dem Online Campus registriert. Gespeichert werden bei jedem Studierenden: Matrikel-/Studiennummer, Kundennummer , Passwort, Geschlecht, Vor- und Nachname, E-Mail-Adresse, Geburtsdatum, Straße, Hausnummer, Postleitzahl, Stadt, Land, Vertragseingabedatum, Studienbeginn und -ende, Ende der Betreuungsfrist, Studiengang beziehungsweise Hochschulkurs , Persönlicher Studienbetreuer, Studienplan, Noten, Status (Student, Mentor, Alumni, Lehrender, Mitarbeiter, Admin). HFH: Derzeit sind 7.238 HFH-Studierende auf der Plattform OLAT registriert. Es werden keine Daten bei dem Anbieter gespeichert, sondern in der an die Lernplattform angebundenen Datenbank bei der Universität Hamburg. Gespeichert werden hier standardmäßig Benutzername, Vorname, Nachname, E-Mail, Matrikelnummer und Institution (HFH). Weitere Angaben zur Person sind freiwillig. Auf der Plattform T@keLaw Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/2568 5 sind derzeit 912 HFH-Studierende registriert. Es werden in dem T@keLaw-System keine personenbezogenen Daten gespeichert. Alle gespeicherten Daten sind anonymisiert und somit vom Anbieter keiner natürlichen Person zuordenbar. HSBA: Alle 870 Studierenden der HSBA haben einen Zugang zu HSBA Connect. Die Studierenden müssen zwingend keine Daten hinterlegen, können dieses in ihrem persönlichen Profil jedoch freiwillig machen. Standardmäßig sind Name, Vorname, die HSBAinterne E-Mail-Adresse sowie die Klassenzugehörigkeit hinterlegt. HSU: Bei der eLearning-Plattform der HSU sind derzeit circa 4.600 Studierende, Lehrende und Mitarbeiter/-innen registriert. Bei der Registrierung werden folgende Daten erfasst und gespeichert: Benutzername, Passwort, Vorname, Nachname, Geschlecht, Institution , Straße, Postleitzahl, Ort, E-Mail-Adresse. KLU: Die Moodle-Plattform der KLU zählt derzeit 425 User. Die im Nutzerprofil zu hinterlegenden Daten sind: Erforderlich: Username, Matrikelnummer, Vorname, Nachname, KLU E-Mail, Stadt (immer HH), Land (immer Deutschland), Zeitzone. Optional: Foto, phonetische Schreibweise von Vor- und Nachname. MSH: 1.849 Studierende. Gespeichert werden: Vorname, Name, Geburtsdatum, Privat- Adresse, Telefonnummer, E-Mail-Adresse, Passbild, Matrikelnummer. NBS: Alle 350 Studierenden der NBS sind bei der eLearning-Plattform registriert. Es werden keine Daten bei einem externen Anbieter gespeichert. NoA, Ev. HS, BLS, EBC, AK, HCU, HFBK: entfällt. b) Welche sonstigen – nicht registrierten – Daten der Studentinnen und Studenten werden von den jeweiligen Anbietern erfasst und gespeichert und wie lange? Bitte differenziert nach Plattform und Anbieter sowie nach Universität und Hochschule darstellen. UHH: Entfällt, da die eLearning-Plattformen der Universität Hamburg im Eigenbetrieb sind. UKE: Siehe Antwort zu 2. a). TUHH: Zu Stud.IP/ILIAS: Bei der Nutzung kann es notwendig werden, Angaben zum eigenen Studiengang zu machen, um Veranstaltungen, die nur einem bestimmten Adressatenkreis zugänglich sein sollen, buchen zu können. Diese Angaben sind Studiengang, Fachsemester und Abschlussart und werden durch die Nutzerinnen und Nutzer selbst im System eingetragen. Bei ILIAS können durch die Nutzerin und den Nutzer freiwillig weitere Daten gespeichert werden wie Adresse, Telefonnummer, Interessen/Hobbies. Die im Verlauf der Nutzung beider Produkte anfallenden Daten bleiben jeweils auf der Plattform an der TUHH. Es erfolgt keine Übermittlung von Daten an einen externen Anbieter – es handelt sich um OpenSource-Produkte. Zu Mediasite: Es werden keine weiteren Daten gespeichert. Drucksache 21/2568 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 6 HAW: keine. HfMT: Das RRZ erhebt, speichert und verarbeitet zur Erbringung des Dienstangebots (hier CommSy) die unter 2. a) genannten Daten von Dienstnutzenden. Darüber hinaus werden Bewegungsdaten am CommSy (Berechtigungen zum Zugang zu thematischen „Räumen“, letzter Login, letzte Verwendung eines Raums, Datum und Namen von genutzten beziehungsweise auf die Plattform geladenen Dateien oder anderen eingestellten Inhalten) gespeichert. Systemtechnisch bedingt werden diese Daten erst mit der Löschung von Projekträumen beziehungsweise der Löschung einer Kennung aus dem System entfernt. Zum Dienstangebot liegt eine Verfahrensbeschreibung samt Risikoanalyse beim Chief Information Officer (CIO) der Universität Hamburg und beim Datenschutzbeauftragten der Universität Hamburg vor. BA: keine. Euro-FH: Alle Chatinhalte werden protokolliert. Bei dem Besuch eines Nutzers auf dem Online- Campus sammeln die Server der Hochschule Protokollinformationen. Im Einzelnen werden folgende Daten erfasst: IP-Adresse, Standort des Client-Rechners, Zeit/ Datum, verwendeter Browsertyp und -version, verwendetes Betriebssystem und Version , Websites, die besucht werden (URL) mit GET-Request-Parameter. Erfasst werden auch die Aufenthaltsdauer, Klickpfade und die Ausstiegsseiten. Weitere Angaben können der Datenschutzerklärung unter http://www.euro-fh.de/datenschutzerklaerung entnommen werden. HFH: Plattform OLAT und Plattform T@keLaw: Erstelldatum des Benutzerkontos, Datum des letzten Logins, Rolle des Benutzers (verbunden mit Nutzerrechten), Gruppenzugehörigkeit (kursbezogen). HSBA: HSBA Connect greift in sehr eingeschränktem Maße auf das interne Campusmanagement -System zu, in dem alle persönlichen Daten gespeichert werden. Hierzu gibt es ansonsten keinen externen Zugriff. Alle innerhalb der eLearning-Plattform getätigten Aktionen werden auf einem internen SharePoint-Server gespeichert. HSU: Bei jedem Zugriff eines Nutzers auf eine Seite des ILIAS der HSU und bei jedem Abruf einer Datei werden aus Gründen der technischen Qualitätssicherung Daten über diesen Vorgang vorübergehend in einer Protokolldatei erhoben, gespeichert und verarbeitet . Im Einzelnen werden über jeden Zugriff/Abruf folgende Daten protokolliert und genutzt: die IP-Adresse, das Datum und die Uhrzeit der Anforderung, die aufgerufene Seite (von der aus die Datei angefordert wurde), der Namen der abgerufenen Datei, die übertragene Datenmenge, der Zugriffsstatus, das heißt eine Meldung, ob der Zugriff/Abruf erfolgreich war, eine Beschreibung des Typs des verwendeten Webbrowsers. Weitergehende personenbezogene Daten werden erfasst, wenn der Betroffene diese Angaben freiwillig im Rahmen der Kommunikation innerhalb des Lernmanagementsystems preisgibt (zum Beispiel durch Erstellen und Freischalten eines persönlichen Profils für andere Teilnehmer, durch Preisgabe persönlicher Daten in Foren oder Chats). Die Erfassung weiterer Lerndaten durch die Lehrenden ist möglich , sofern diese aus didaktischen Gründen benötigt werden (zum Beispiel Auswertung von Bearbeitungsständen, Portfolio-Arbeit, und andere). Die diesbezügliche Konzeption obliegt den Lehrenden, die die erhobenen Daten zur Optimierung ihrer Lehre auswerten können. Informationen zur Datenspeicherung sind unter dem Punkt „Impressum und Datenschutzerklärung“ für die Nutzer dargestellt: https://iliascluster.unibw-hamburg.de/ilias5/goto_unibw_cat_24618.html Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/2568 7 KLU: Dies kann nur der Hersteller beantworten, der in der Kürze der gesetzten Frist nicht zu erreichen war. MSH: Datum und Uhrzeit des letzten Logins, Datum und Uhrzeit des letzten Seitenaufrufes, Datum und Uhrzeit des letzten Logouts, Anzahl der Logins, Gesamt-Aufenthaltsdauer im System, letzte IP-Nummer, ob der Zugang über ein Mobilgerät erfolgte, sowie gegebenenfalls zuletzt verwendetes Betriebssystem, zuletzt verwendeter Browser. Die Daten werden beim nächsten Login des Studierenden jeweils gelöscht. Sie werden auch gelöscht, wenn der Studierende aus dem System gelöscht oder zum Alumni umgewandelt wird. NBS: Entfällt, da die eLearning-Plattform von der NBS und nicht von einem externen Anbieter betrieben wird. NoA, Ev. HS, BLS, EBC, AK, HCU, HFBK: entfällt. 3. Hat der Senat bereits in Zusammenarbeit mit den Hamburger Universitäten und Hochschulen ein Konzept erarbeitet, um den Datenmissbrauch bei der Nutzung der in Hamburg verwendeten eLearning-Plattformen zu begrenzen? Wenn ja: Was beinhaltet dieses Konzept? Und seit wann liegt es vor? Wenn nein: warum nicht? Wann soll es ein solches Konzept geben? Und was soll dieses beinhalten? Nein. Für alle digitalen und analogen Verfahren, in denen personenbezogene Daten erhoben und verarbeitet werden, gilt das Hamburgische Datenschutzgesetz. Die für die unterschiedlichen Verfahren fachlich-verantwortlichen Stellen an den staatlichen Hochschulen werden durch die Datenschutzbeauftragten der Hochschulen beratend unterstützt und durch weitere begleitende Angebote am Hochschulstandort Hamburg zu datenschutzrechtlichen Fragestellungen informiert, sensibilisiert und auch qualifiziert . Gleiches gilt auch für die Planungen der Hamburg Open Online University.