Benachrichtungsmails von MeinProf e.V.
Stand: 21.04.2015
2010 erhielten viele Hochschulen E-Mails, die angeblich von MeinProf e.V. stammten. Was hatte es damit auf sich?
Die Informationen dazu stellen wir Ihnen auf dieser Seite vor.
Der vollständige Inhalt des Dokuments steht nur den mit ZENDAS kooperierenden Hochschulen zur Verfügung
(nähere Informationen finden Sie hier
).
E-Mail von MeinProf e.V.
In letzter Zeit erreichen einzelne Personen an Hochschulen bundesweit E-Mails folgenden Inhalts, denen die in der E-Mail beschriebene Liste von DozentInnen beigefügt ist:
Sie kennen wahrscheinlich das Online-Portal MeinProf.de, auf dem Studierende die Qualität ihrer Lehrveranstaltungen und damit indirekt ihre DozentInnen bewerten können. Dazu geben die Dozierenden oder Studierenden Angaben zu den DozentInnen und den Lehrveranstaltungen, sog. Dozentenprofile, auf MeinProf.de ein. Auch an der Uni XY wurden so bereits 370 Dozentenprofile angelegt.
Wir gehen davon aus, dass viele DozentInnen bereits Kenntnis von ihren Profilen auf MeinProf.de haben. Viele nutzen auch aktiv die Möglichkeiten, die das Portal ihnen zur Verfügung stellt (eine Übersicht der Vorteile einer Registrierung als DozentIn finden Sie hier: http://www.meinprof.de/info/register_docent). Wir streben als Betreiber des Portals MeinProf.de aus Gründen des Datenschutzes und der Beteiligung der DozentInnen aber an, die DozentInnen möglichst flächendeckend darüber zu informieren, dass über sie ein Profil auf MeinProf.de angelegt wurde. Da die Angabe einer elektronischen Erreichbarkeit bei der Erstellung eines Dozentenprofils nicht implementiert ist, die Ermittlung der elektronischen Erreichbarkeit einzelner DozentInnen einen erheblichen Aufwand bedeutet und erfahrungsgemäß auch zu unzutreffenden oder veralteten Ergebnissen führt, schreiben wir nicht alle DozentInnen an Ihrer Hochschule an. Mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit sind wir vielmehr übereingekommen, dass wir stattdessen jeweils die zentrale, für den Datenschutz an Ihrer Hochschule verantwortliche Stelle informieren.
Sie erhalten diese Nachricht, da Sie der Datenschutzbeauftragte der Uni XY sind.
Im Anhang finden Sie eine Liste der bisher für Ihre Hochschule angelegten Profile. Wir beschränken uns dabei auf diejenigen DozentInnen, die noch nicht sicher über deren Existenz informiert worden sind. Dozentenprofile, die von den Dozierenden selbst angelegt wurden, sind daher nicht enthalten. Die Liste umfasst die vollständigen Namen - soweit bei uns verzeichnet - und Schwerpunkte der DozentInnen sowie direkte Links zu den Profilseiten auf MeinProf.de. Wir übermitteln Ihnen diese Liste zur Sicherheit sowohl als HTML-Dokument als auch als Excel-Tabelle. Wie bitten Sie, die Nachricht über die Anlage eines Dozentenprofils in geeigneter Weise an die betroffenen DozentInnen an Ihrer Hochschule weiterzugeben.
Da dies die erste Benachrichtigung ist, kann die Liste etwas umfangreicher ausfallen. Zukünftige Benachrichtigungen werden weniger Daten enthalten, da sie nur noch die in der Zwischenzeit neu angelegten Dozentenprofile beinhalten werden. Wir werden einen regelmäßigen Benachrichtigungszeitraum von 14 Tagen vorsehen. Solange allerdings keine neuen Dozentenprofile an der Uni XY angelegt werden, erhalten Sie auch keine weiteren Nachrichten von uns.
Wir können den Benachrichtigungszeitraum gerne ändern, falls Sie das wünschen: Alternativ informieren wir Sie gerne jede Woche oder nur einmal im Monat über neue Dozentenprofile. Schicken Sie uns dafür einfach eine kurze E-Mail an datenschutz@meinprof.de und wir nehmen die Änderungen für Sie vor. Kontaktieren Sie uns auch bitte, falls wir etwas an den über Sie verzeichneten Daten ändern sollen.
Datenschutz lebt vom Mitmachen. Wir möchten daher den Erfolg dieses Benachrichtigungsweges evaluieren. Bitte teilen Sie uns mit, ob und ggf. wie Sie die DozentInnen an Ihrer Hochschule über die Anlage eines Profils auf MeinProf.de informiert haben oder informieren wollen. Schreiben Sie uns dazu einfach eine E-Mail an datenschutz@meinprof.de oder kontaktieren Sie uns über die unten angegebene Telefonnummer. Sollten Sie an Ihrer Hochschule nicht oder nicht mehr für den Datenschutz zuständig sein, würden wir Sie bitten, uns zu benachrichtigen und uns den korrekten Ansprechpartner zu nennen, um Sie zu entlasten.
Bei Rückfragen stehen wir Ihnen selbstverständlich gerne zur Verfügung.
Mit Dank für Ihre Mitwirkung und freundlichen Grüßen,
das MeinProf-Team
--
MeinProf e.V. - Lepsiusstraße 15, 12163 Berlin
Telefon: +49.30.20239249, Fax: +49.30.202392499
Web: http://www.meinprof.org/ - E-Mail: info@meinprof.org
Vereinsregister-Nr.: VR 26354 B (Amtsgericht Berlin-Charlottenburg)
Steuer-Nr.: 27/672/56023 (Finanzamt für Körperschaften I, Berlin)
Wir wurden mehrfach darauf angesprochen, was davon zu halten sei.
Unklarheiten
Unklar war dabei:
- ob der Absender tatsächlich der Betreiber von MeinProf.de ist: Die E-Mail ist unpersönlich unterzeichnet, so dass kein Ansprechpartner zur Verfügung steht. Es wurden verschiedentlich auch Bedenken geäußert, ob es sich dabei um eine Werbemaßnahme handelt.
- ob das Vorgehen tatsächlich mit dem Berliner Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LDI) abgesprochen ist.
ZENDAS hat daher in KW 17 sowohl MeinProf e.V. als auch den LDI um Auskunft zu der angeblichen Übereinkunft gebeten.
Unsere Anfrage an den Berliner Beauftragten für Datenschutz und Informationsfreiheit war wie folgt:
[...]
sehr geehrte Damen und Herren,
[...]
In den letzten Tagen erhalten Hochschulen E-Mails der nachstehenden Art, denen eine Liste mit Dozentennamen, Fachbereich und URL zum Profil beigefügt ist. Diese E-Mails sind an eine Person innerhalb der Hochschule adressiert, die auf der Webseite mit dem Thema Datenschutz in Verbindung gebracht werden kann.
Diese E-Mail führt zu erheblichen Irritationen bei den Hochschulen nicht nur in Baden-Württemberg und wir erhielten Nachfragen, was es damit auf sich hat. Diese Nachfragen würden wir gerne beantworten, benötigen jedoch dazu selbst weitere Informationen.
Da in dieser E-Mail darauf verwiesen wird, das Verfahren der Information einer Person an der Hochschule sei mit dem LDI abgestimmt, bitten wir hierzu um Ihre Stellungnahme: Ist dies richtig und könnten Sie uns diese "Übereinkunft" zur Verfügung stellen?
Nach § 33 Abs. 1 BDSG hat eine Information der Betroffenen zu erfolgen, eine Information einer zentralen Stelle der Hochschule genügt u.E. daher zunächst nicht.
Können Sie uns hierzu sagen, aufgrund welchen Tatbestands des § 33 Abs. 2 BDSG bzw. aus welchem anderen Grund der LDI hier eine Mitteilung der Betroffenen für entbehrlich hält?
Wir können keine Verpflichtung der "zentralen" Person erkennen, diese Information an die einzelnen Betroffenen weiter zu leiten, sie sind nicht Teil der für diese Datenverarbeitung verantwortlichen Stelle. Sind Sie hier anderer Auffassung?
Die mangelnden Ressourcen an den Hochschulen verbieten es aus unserer Sicht, diese Personen zum "Handlanger" von MeinProf.de zu machen.
Für Ihre Mühe vielen Dank.
Mit freundlichen Grüßen
(Anlage: E-Mail von MeinProf e.V)
Der Berliner Beauftragte für Datenschutzschutz und Informationsfreiheit hat am 30.04.10 auf unsere Nachfrage geantwortet.
MeinProf e.V. hat ZENDAS am 14.05.10 eine Antwort geschickt und sich darin auch zur E-Mail "bekannt".
Wir stellen Ihnen im folgenden beide Antworten vor:
Angwort des Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 30.04.10 zur angebliche Übereinkunft
Es sei "zumindest missverständlich, wenn der MeinProf e.V. von einer 'Übereinkunft' " mit dem LDI schreibe, " '...stattdessen jeweils die zentrale, für den Datenschutz an Ihrer Hochschule verantwortliche Stelle zu informieren' ".
Im Rahmen eines Ordnungswidrigkeitenverfahrens, das der LDI gegen MeinProf e.V. führe, sei auch Gegenstand, dass der Verein als Anbieter der Plattform www.meinprof.de seiner nach § 33 Abs. 1 Satz 2 BDSG bestehenden Verpflichtung, betroffene DozentInnen über die erstmalige Übermittlung ihrer Daten zu benachrichtigen, nicht nachgekommen sei.
Wir haben dazu mitgeteilt, dass auch durch ein solches Mittlungsverfahren der gesetzlichen Benachrichtigungspflicht Genüge getan werden könnte, wenn und soweit sich die behördlichen Datenschutzbeauftragten der Hochschulen sich dazu bereitfinden, entsprechende Nachrichten an die Dozentinnen und Dozenten ihrer jeweiligen Hochschule weiterzuleiten (wir teilen Ihre Auffassung, dass die Information der bzw. des Hochschuldatenschutzbeauftragten allein nicht ausreicht).
Es steht den Datenschutzbeauftragten der Hochschulen natürlich völlig frei, ob sie bei der Benachrichtigung mitwirken wollen oder nicht. Hierzu bestehen aus unserer Sicht selbstverständlich keinerlei (gesetzliche oder sonstige) Verpflichtungen und wir haben auch keine diesbezügliche Empfehlung ausgesprochen.
Wir werden uns in der Angelegenheit nochmals an den Verein wenden und dies klarstellen.
(Quelle: E-Mail des LDI an ZENDAS vom 30.04.10)
Antwort von MeinProf e.V. vom 14.05.10
Daher haben wir uns entschlossen, die Datenschutzbeauftragten der Hochschulen bzw. die für Datenschutz zuständigen Stellen der Hochschulleitungen um Mitwirkung zu bitten, um die Speicherung von Daten auf MeinProf.de bei den Dozierenden bekannt zu machen. Wir haben diverse positive Rückmeldungen auf unsere Anschreiben erhalten, sind aber bedauerlicherweise offenbar auch von manchen Angesprochenen missverstanden worden. Inzwischen haben wir auch von Ihrer Anfrage an den Berliner Beauftragten für Datenschutz und Informationsfreiheit und dessen Reaktion erfahren.
Wir nehmen die von verschiedener Seite geäußerten Fragen und Bedenken ernst und werden die Reaktionen der Hochschulen und Datenschutzbeauftragten nunmehr zunächst auswerten und danach entscheiden, wie wir die Problematik in Zukunft angehen. [...]
Für Fragen und Anregungen stehen wir Ihnen weiterhin gerne zur Verfügung.
Mit freundlichen Grüßen,
[namentlich unterzeichnet]
(Quelle: E-Mail von MeinProf e.V. an ZENDAS vom 14.05.10)
Reaktion von ZENDAS vom 17.04.10 auf die Antwort von MeinProf e.V.
Ich entnehme [Ihrer E-Mail] zunächst, dass die Benachrichtigungsmail an Datenschutzbeauftragte von Hochschulen tatsächlich vom MeinProf e.V. stammt. Das ist ja leider bei unverschlüsselten bzw. unsignierten E-Mails nicht ohne weiteres ersichtlich.
[...]
Inhaltlich finden wir es sehr bedauerlich, dass in Ihrer Benachrichtigungmail der Eindruck erweckt wird (und nach unserem Dafürhalten beruht der nicht auf einem Missverständnis, sondern ist eindeutig so formuliert), das Verfahren, eine Liste von Dozentennamen mit Links zu den Profilen an den Datenschutzbeauftragten der Hochschule zu senden, beruhe auf einem Übereinkommen mit dem Berliner LDI. Wie sich gezeigt hat, ist dies gerade nicht der Fall.
Hätten Sie mitgeteilt - so wie in Ihrer nachstehenden E-Mail - dass Sie rechtlich die Benachrichtigungspflicht anders beurteilen und daher einen anderen Weg gehen, wäre Ihre E-Mail und Ihr Vorgehen sicherlich verständlicher gewesen.
Die E-Mail erscheint auch nicht als Bitte, sondern Sie kündigen an, einfach auch zukünftig derartige Benachrichtigungsmails zu schicken. Es wäre schon psychologisch feinfühliger gewesen, die DSB anzuschreiben (ohne gleich eine Liste mitzusenden) und zu fragen, wer denn bereit wäre, eine Information der Lehrpersonen innerhalb der Hochschule vorzunehmen. So jedoch entsteht der Eindruck, der jeweilige DSB wird für Ihre Dienste eingespannt.
Wie ich aus Gesprächen mit Kollegen auch in anderen Bundesländern weiß, überrumpeln Sie mit dem erfolgten Vorgehen selbst die DSB, die es zumindest in Betracht gezogen hätte, eine Information der Lehrpersonen zu übernehmen, und rufen damit Widerstand hervor.
[...]
(Quelle: E-Mail von ZENDAS an MeinProf e.V. an ZENDAS vom 17.05.10)
Antwort von MeinProf e.V. vom 21.05.10: Benachrichtigungsprozess gestoppt!
vielen Dank für Ihre Antwort. Bezugnehmend auf das Schreiben möchte ich unserer letzten eMail noch folgende Erläuterung hinzufügen:
Dass wir die Datenschutzbeauftragten der Hochschulen informieren würden, war mit dem Berliner Landesbeauftragten für Datenschutz und Informationsfreiheit abgestimmt. Allerdings wurde weder der Inhalt noch der Prozess der Benachrichtigungen zusammen mit der Berliner Behörde detailliert spezifiziert. Daher haben wir im guten Glauben die Ihnen vorliegende Nachricht entwickelt und an die Hochschuldatenschutzbeauftragten versandt.
Leider hat sich nun im Nachhinein herausgestellt, dass die Vorstellungen beider Seiten doch so weit auseinandergehen, dass wir den Benachrichtigungsprozess nun zunächst stoppen werden. Alle Datenschutzbeauftragten, die bisher dem Verfahren nicht explizit zugestimmt haben, werden bis auf weiteres keine Benachrichtigungen mehr erhalten und in Kürze separat um Feedback gebeten. Wir werden das Verfahren daraufhin auswerten und an den Berliner Landesbeauftragten für Datenschutz und Informationsfreiheit herantreten. [...]
(Quelle: E-Mail von MeinProf e.V. an ZENDAS vom 21.05.10)
Rechtliches
Wir vermuten, dass MeinProf e.V. wie folgt vorgegangen ist:
MeinProf recherchierte auf den Webseiten der Hochschule, bei welcher Person der Datenschutz angesiedelt ist.
Diese Personen erhalten dann o.g. E-Mail.
Hintergrund war - wie die Antwort des LDI zeigt-, dass § 33 Abs. 1 BDSG, der für MeinProf e.V. einschlägig ist, fordert, Betroffene
"von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen“, wenn „personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung ohne Kenntnis des Betroffenen gespeichert“ werden.
Damit müsste MeinProf e.V. die DozentInnen informieren, deren Daten bei MeinProf.de gespeichert werden.
Dass dies nicht ohne Aufwand für den Anbieter geht, liegt auf der Hand. Offenbar hat MeinProf e.V. diesen Aufwand für sich als unverhältnismäßig eingeschätzt und ist den Weg gegangen, einfach eine Person an der Hochschule zu informieren und diese (ungefragt) mit der Aufgabe zu betrauen, die DozentInnen zu informieren.
MeinProf e.V. hat in seiner Antwort vom 14.05.10 ausgeführt, nicht der Benachrichtigungspflicht nach § 33 Abs. 1 BDSG zu unterliegen und begründet dies nach der E-Mail vermutlich mit dem nicht-kommerziellen Charakter als Meinungsportal.
Was den nicht-kommerziellen Charakter angeht, gilt:
Tatbestandsvoraussetzung des § 33 Abs.1 BDSG ist das "geschäftsmäßige" Übermitteln. Eine auf Gewinnerzielung gerichtete Tätigkeit wäre ein "gewerbsmäßiges" Übermitteln, was das Gesetz gerade nicht fordert.
Was den Charakter als "Meinungsportal" betrifft, so macht das Gesetz selbst für Meinungsportale keine Ausnahmen. von der Benachrichtigungspflicht. Möglicherweise wird von MeinProf e.V. damit argumentiert, dass die Meinungsfreiheit aber sonst unverhältnismäßig eingeschränkt wäre. Wir können daher zu diesem Punkt ohne Kenntnis der genauen Argumentation von MeinProf e.V. keine substantiellen abschließenden Ausführungen machen.
Warum MeinProf e.V. mit dem ursprünglichen Vorgehen die Datenschützer an den Hochschulen verärgert hat
Dass das ursprüngliche Vorgehen für Verärgerung sorgt, insbesondere wenn die Übereinkunft mit der Aufsichtsbehörde so gar nicht besteht, liegt auf der Hand.
Hätte MeinProf e.V. zunächst die Datenschutzbeauftragten nach ihrer Bereitschaft gefragt und nicht einfach versucht, den Anschein zu erwecken, die Information der DozentInnen sei nun ihre Aufgabe, wäre das Vorgehen von MeinProf e.V. unter den Datenschutzbeauftragten der Hochschulen sicher positiver aufgenommen worden.
Rechtlich ist eindeutig, dass die Datenschutzbeauftragten und andere von MeinProf e.V. angeschriebenen Personen nicht verpflichtet sind, die DozentInnen zu informieren, sie können die E-Mails von MeinProf e.V. einfach ignorieren:
Die an der Hochschule für den Datenschutz verantwortlichen Personen sind nicht bei der für die Datenverarbeitung verantwortlichen Stelle MeinProf e.V. tätig.
Ihnen wird (ungefragt) eine Aufgabe aufgebürdet, die MeinProf e.V. selber tun müsste (die Benachrichtigung der Betroffenen).
Es dürfte außer Frage stehen, dass die offenbar von den Datenschutzverantwortlichen der Hochschulen erwartete Information der Betroffenen einen erheblichen Arbeitsaufwand erfordert, der von diesen insbesondere im Hinblick auf das ohnehin für den Datenschutz knappe Zeitbudget vielfach nicht erbracht werden kann.
Natürlich ist die Information der DozentInnen zu begrüßen, aber es ist eine Aufgabe der verantwortlichen Stelle MeinProf e.V.
Selbstverständlich können angeschriebene Datenschutzbeauftragte, die MeinProf e.V. unterstützen möchten, diese Aufgabe auch gerne übernehmen. Ihnen muss nur bewusst sein, dass sie eine Aufgabe für einen Dritten übernehmen. Und es sollte geklärt werden, wer dafür einsteht, wenn in einem Fall eine an sich notwendige Benachrichtigung nicht erfolgt ist und ein Betroffener daraus Ansprüche ableitet.
Alle anderen können getrost die E-Mails von MeinProf e.V. ignorieren bzw. sich dort darüber beschweren und darauf dringen, keine diesbezüglichen E-Mails mehr erhalten zu wollen.
Wir begrüßen es ausdrücklich, dass MeinProf e.V. mitgeteilt hat, den begonnen Benachrichtigungsprozess zu stoppen.
Beispiel-Antwort eines Datenschutzbeauftragten einer Hochschule
Nachfolgend stellen wir Ihnen als Beispiel die Antwort des Datenschutzbeauftragten der Fachhochschule Gießen-Friedberg an MeinProf e.V. zur Verfügung. Diese kann Ihnen die eine oder andere Anregung geben, sofern Sie auf die Benachrichtigungsmail von MeinProf e.V. noch reagieren möchten.
mit E-Mail vom 23. April 2010 bitten Sie mich als behördlichen Datenschutzbeauftragten der FH Gießen-Friedberg, für den MeinProf e.V. Professorinnen und Professoren sowie Mitarbeiterinnen und Mitarbeiter der Hochschule, die in dem Internetportal meinprof.de mit personenbezogenen Daten gelistet sind, über die Speicherung ihrer Daten zu informieren. Ich gehe davon aus, dass Sie über diesen Weg Ihrer Benachrichtigungspflicht gem. § 33 BDSG nachkommen wollen.
Ich erkläre hiermit ausdrücklich, dass ich in meiner Funktion als behördlicher Datenschutzbeauftragter dieser Bitte aus rechtlichen Gründen NICHT nachkommen werde. Die Benachrichtigungspflicht gem. § 33 BDSG obliegt allein dem MeinProf.e.V als „verantwortlicher Stelle“ i.S.d Gesetzes. In der „Delegation“ dieser Aufgabe an die Datenschutzbeauftragten der Hochschulen ist aus meiner Sicht keine gesetzeskonforme Umsetzung der Benachrichtigungspflicht zu sehen. Auch wirft das von Ihnen angestrebte Verfahren erhebliche haftungsrechtliche Fragen für die Hochschulen (und auch den MeinProf e.V.) auf. Immerhin ist eine unterlassene, nicht richtige oder nicht vollständige Benachrichtigung gem. § 43 Abs. 1 Nr. 8 BDSG mit einem Bußgeld von bis zu fünfzigtausend Euro belegt. Dass der MeinProf e.V. mit seiner Bitte von den Hochschulen eine Dienstleistung abfordert, die üblicherweise nur gegen Zahlung einer dem Arbeitsaufwand entsprechenden Vergütung zu erhalten ist, lasse ich hier unkommentiert.
Anmerken will ich aber, dass die Tatsache, dass Sie ihrer (unverschlüsselten) E-Mail gleich in doppelter Ausfertigung eine Liste mit den bei meinprof.de gelisteten Dozentinnen und Dozenten der FH Gießen-Friedberg anhängen, datenschutzrechtlich mehr als bedenklich ist.
So Sie in ihrer E-Mail schreiben „Datenschutz lebt vom Mitmachen“, so antworte ich darauf: Datenschutz lebt vor allen Dingen von Professionalität. Die scheint mir nach der Lektüre ihrer E-Mail beim MainProf e.V. nicht sonderlich ausgeprägt.
Ich fasse zusammen:
- Ich werde ihre E-Mail NICHT an die Dozentinnen und Dozenten der Hochschule „in geeigneter Weise“ weitergeben.
- Ich will zukünftig keine weiteren E-Mails der vorliegenden Art oder anderen Inhalts vom MeinProf e.V. erhalten.
Wollen Sie die bei meinprof.de gelisteten Dozentinnen und Dozenten der FH Gießen-Friedberg gem. § 33 BDSG benachrichtigen, empfehle ich den Postweg. Die Namen der Dozentinnen und Dozenten sind Ihnen bekannt, die Postanschriften der Hochschulen sind öffentlich.
Mit freundlichen Grüßen