6
Vorratsdatenspeicherung im Schul-WLAN
Hallo an die IT-Gemeinde!
Zur Zeit besuche ich eine Fachschule für Technik und führe dort ein Abschlussprojekt durch. Hierbei ist für die Schüler ein kostenloses WLAN einzurichten. Das WLAN wird sicher betrieben. D.h. verschlüsselt und eine Authentifizierung erfolgt über Benutzername und Passwort eingabe. So weit so gut. Nun haben sich bei der Planung ein paar rechtliche Fragen aufgetan und hoffe diese hier diskutieren zu können.
Zunächst die Speicherung von Verbindungsdaten:
Da die Schule der Inhaber der Internetverbindung ist (statische IP), haftet diese auch für die Nutzung. Über die Anmeldung der Schüler, kann ich mitloggen, wer wann online war und wo er gesurft hat. Die Nutzung des WLANs ist nur zu schulischen Zwecken gestattet. Einige Web-Seiten werden auch gesperrt (z.B. kommerzielle Anbieter und natürlich pornografische Webseiten).
Die Frage die ich mir nun stelle, ist: Was Darf ich mitloggen und was sollte ich mitloggen?
Nach meinem Verständnis ist es rechtlich ausreichend, wenn ich die IP und MAC des Schülers speichere. Natürlich inklusive Uhrzeit. Der Ort (bzw. die Adresse) ist hierbei bekannt. Somit kann ich z.B. der Polizei mitteilen, wer den Internetzugang über welchen IP genutzt hat. Aber reicht das aus?
Datenschutz:
Anhand der oben erhobenen Daten, ist es möglich personenbezogene Surfverhalten zu untersuchen. Dies könnte interessant werden, um Schüler ausfindig zu machen, die das WLAN nicht zu schulischen Zwecken benutzen. Aber darf ich das?
Laut dem Artikel "Geregelte Grauzone" von Joerg Heidrich in der ct security 02/2009 ist dies erlaubt, sofern ich die private Nutzung des Internetzuganges untersage. Hierzu ist die Aussage: Nur zu schulischen Zwecken! Also Recherche etc...! Zitat: "In diesem Fall überwiegt das Interesse des Unternehmens an der ordnungsgemäßen Organisation des Betriebsablaufes das des betroffenen Mitarbeiters."
Zusätzlich wird hierzu erwähnt, das "die strengen Vorschriften des TKG und TMG für Provider in diesem Fall nicht greifen". Warum eigentlich nicht?
Zusätzlich stellt sich mir die Frage, was bin ich denn nun als Betreiber eines solchen WLAN's? Privat, öffentlich oder doch Provider? Im Prinzip wird über das WLAN das Intranet genutzt, welches ebenfalls einen Internet-Zugang gewährt.
Hoffe meine Fragen ausreichend gestellt zu habe.
Grüße
Mirko
Zunächst die Speicherung von Verbindungsdaten:
Da die Schule der Inhaber der Internetverbindung ist (statische IP), haftet diese auch für die Nutzung. Über die Anmeldung der Schüler, kann ich mitloggen, wer wann online war und wo er gesurft hat. Die Nutzung des WLANs ist nur zu schulischen Zwecken gestattet. Einige Web-Seiten werden auch gesperrt (z.B. kommerzielle Anbieter und natürlich pornografische Webseiten).
Die Frage die ich mir nun stelle, ist: Was Darf ich mitloggen und was sollte ich mitloggen?
Nach meinem Verständnis ist es rechtlich ausreichend, wenn ich die IP und MAC des Schülers speichere. Natürlich inklusive Uhrzeit. Der Ort (bzw. die Adresse) ist hierbei bekannt. Somit kann ich z.B. der Polizei mitteilen, wer den Internetzugang über welchen IP genutzt hat. Aber reicht das aus?
Datenschutz:
Anhand der oben erhobenen Daten, ist es möglich personenbezogene Surfverhalten zu untersuchen. Dies könnte interessant werden, um Schüler ausfindig zu machen, die das WLAN nicht zu schulischen Zwecken benutzen. Aber darf ich das?
Laut dem Artikel "Geregelte Grauzone" von Joerg Heidrich in der ct security 02/2009 ist dies erlaubt, sofern ich die private Nutzung des Internetzuganges untersage. Hierzu ist die Aussage: Nur zu schulischen Zwecken! Also Recherche etc...! Zitat: "In diesem Fall überwiegt das Interesse des Unternehmens an der ordnungsgemäßen Organisation des Betriebsablaufes das des betroffenen Mitarbeiters."
Zusätzlich wird hierzu erwähnt, das "die strengen Vorschriften des TKG und TMG für Provider in diesem Fall nicht greifen". Warum eigentlich nicht?
Zusätzlich stellt sich mir die Frage, was bin ich denn nun als Betreiber eines solchen WLAN's? Privat, öffentlich oder doch Provider? Im Prinzip wird über das WLAN das Intranet genutzt, welches ebenfalls einen Internet-Zugang gewährt.
Hoffe meine Fragen ausreichend gestellt zu habe.
Grüße
Mirko
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 126926
Url: https://administrator.de/contentid/126926
Printed on: April 18, 2024 at 09:04 o'clock
6 Comments
Latest comment
Hallo,
die Fragen, die Du stellst sind so differenziert und werden ja meines Wissens von verschiedenen Gerichten auch verschieden beantwortet, dass ich kaum glaube, dass Du hier in einem IT-Forum eine befriedigende Auskunft bekommen wirst. Es wird sich eine Diskussion mit Inhalten wie "wir machen das so und so", "ich habe gelesen, dass...", "ich glaube, aber das ist jetzt keine Rechtsauskunft" etc. geben.
Der einzig vernünftige Rat: Frag einen Anwalt.
Viele Grüße
die Fragen, die Du stellst sind so differenziert und werden ja meines Wissens von verschiedenen Gerichten auch verschieden beantwortet, dass ich kaum glaube, dass Du hier in einem IT-Forum eine befriedigende Auskunft bekommen wirst. Es wird sich eine Diskussion mit Inhalten wie "wir machen das so und so", "ich habe gelesen, dass...", "ich glaube, aber das ist jetzt keine Rechtsauskunft" etc. geben.
Der einzig vernünftige Rat: Frag einen Anwalt.
Viele Grüße
Moin moin
@jhinrichs
Hast recht. Geht schon los.
Gruß L.
Zusätzlich wird hierzu erwähnt, das "die strengen Vorschriften des TKG und TMG für Provider in diesem Fall nicht greifen". Warum eigentlich nicht?
Ich meine mich zu erinnern das diese Vorschriften sich nur auf Provider > 10000 Benutzer/ Zugänge beziehen.@jhinrichs
Hast recht. Geht schon los.
Gruß L.
Das ist eine Sache, die nur studierte Juristen verbindlich beantworten dürfen.
Wende dich dazu an einen Anwalt der das Fachgebiet Datenschutz abdeckt.
Wende dich dazu an einen Anwalt der das Fachgebiet Datenschutz abdeckt.
Moin,
also erstmal: Ich bin kein Jurist - ich habe mich für ne Ehrliche Arbeit entscheiden ;). Daher ist das nur meine Meinung:
Zu allererst möchte ich mal behaupten das du ein Problem hast. Denn in einer Firma ist die Privat-Nutzung ja recht einfach rauszufinden. Was ist aber in einer SCHULE eine Privat-Nutzung? Wenn ich - angenommen ich wäre noch schüler - meine Hausaufgaben von zuhause an mein Privates Mailkonto schicke und dieses in der Schule abrufe (oder vice-versa) -> ist das jetzt eine private Nutzung? Oder ist es eine für die Schule?
Ich würde daher erstmal behaupten das eine generelle Trennung in einer Schule nicht so einfach geht wie in einer Firma - da du keine so klare Trennung hast (ein Firmen-Mitarbeiter kann sich die Daten ja auch ans Firmen-Postfach schicken...). Hier alles mitzuschneiden dürfte m.E. einen überzogenen Eingriff in die Privasspähre der Schüler darstellen.
Ich würde daher auch die Login-Zeit und die vergebene Adresse abspeichern. Ggf. noch mal prüfen in wiefern es gestattet ist die Aufrufe z.B. via Proxy zu protokollieren - wobei man hier durchaus auch Proxys findet die die Auswertung nur nach Eingabe von 2 Passwörtern (4-Augen-Prinzip) zulassen. D.h. du kannst alleine nur sehen DAS jemand auf www.deine-mega-hardcore-xxx-super-seite.porno war ->aber NICHT wer das war. Dazu muss eine zweite Person deren PW eingeben (z.b. der Schulleiter). Jetzt kannst du die IP aus dem Proxy zur Login-Kennung zusammenführen - und den Schüler mal freundlich ansprechen...
Alternativ wäre es auch möglich das du über eine Proxy-Anmeldung gehst - d.h. ein Schüler muss sich mit seinen Userdaten am Proxy anmelden. Macht er dann unsinn hast du gleich die Zuordnung...
Ein speichern NUR der internen IP wird dich dagegen nicht weiterbringen. Nehmen wir an einer deiner Schüler bricht bei mir ins Netz ein. Dann bekommst du von mir ja die Logfile in der der Angriff zu sehen ist. Darin steht aber ja nur das der Angriff von eurer öffentlichen IP kommt - welche IP sich auf deiner Seite hinter dem Nat verbirgt kann ich hier nicht erkennen...
Und falls das alles nicht hilft würde ich über ein Accounting nachdenken. Bei mehr als 10, 100, 1000 MB/Monat ne kleine Info an den Admin. Entweder du hast nen fleissigen Schüler - oder der macht komische Dinge wie Daten ohne Ende runterladen...
also erstmal: Ich bin kein Jurist - ich habe mich für ne Ehrliche Arbeit entscheiden ;). Daher ist das nur meine Meinung:
Zu allererst möchte ich mal behaupten das du ein Problem hast. Denn in einer Firma ist die Privat-Nutzung ja recht einfach rauszufinden. Was ist aber in einer SCHULE eine Privat-Nutzung? Wenn ich - angenommen ich wäre noch schüler - meine Hausaufgaben von zuhause an mein Privates Mailkonto schicke und dieses in der Schule abrufe (oder vice-versa) -> ist das jetzt eine private Nutzung? Oder ist es eine für die Schule?
Ich würde daher erstmal behaupten das eine generelle Trennung in einer Schule nicht so einfach geht wie in einer Firma - da du keine so klare Trennung hast (ein Firmen-Mitarbeiter kann sich die Daten ja auch ans Firmen-Postfach schicken...). Hier alles mitzuschneiden dürfte m.E. einen überzogenen Eingriff in die Privasspähre der Schüler darstellen.
Ich würde daher auch die Login-Zeit und die vergebene Adresse abspeichern. Ggf. noch mal prüfen in wiefern es gestattet ist die Aufrufe z.B. via Proxy zu protokollieren - wobei man hier durchaus auch Proxys findet die die Auswertung nur nach Eingabe von 2 Passwörtern (4-Augen-Prinzip) zulassen. D.h. du kannst alleine nur sehen DAS jemand auf www.deine-mega-hardcore-xxx-super-seite.porno war ->aber NICHT wer das war. Dazu muss eine zweite Person deren PW eingeben (z.b. der Schulleiter). Jetzt kannst du die IP aus dem Proxy zur Login-Kennung zusammenführen - und den Schüler mal freundlich ansprechen...
Alternativ wäre es auch möglich das du über eine Proxy-Anmeldung gehst - d.h. ein Schüler muss sich mit seinen Userdaten am Proxy anmelden. Macht er dann unsinn hast du gleich die Zuordnung...
Ein speichern NUR der internen IP wird dich dagegen nicht weiterbringen. Nehmen wir an einer deiner Schüler bricht bei mir ins Netz ein. Dann bekommst du von mir ja die Logfile in der der Angriff zu sehen ist. Darin steht aber ja nur das der Angriff von eurer öffentlichen IP kommt - welche IP sich auf deiner Seite hinter dem Nat verbirgt kann ich hier nicht erkennen...
Und falls das alles nicht hilft würde ich über ein Accounting nachdenken. Bei mehr als 10, 100, 1000 MB/Monat ne kleine Info an den Admin. Entweder du hast nen fleissigen Schüler - oder der macht komische Dinge wie Daten ohne Ende runterladen...
Vielen Dank erstmal für die Antworten!
Die datenschutzrechtlichen Probleme werden wir in unserem Projekt wohl auch nicht lösen. Da es sich wie bereits beschrieben, um eine "Erweiterung" des bestehenden Netzwerks um WLAN-Access-Points handelt, sollten hierzu bereits Lösungen vorhanden sein. Also betrachten wir diesen Punkt nicht weiter. (Sprechen wir aber an, um zu mindest darauf hinzuweisen).
Die Verbindungsdaten werden wir wohl in 2 separaten Datenbanken speichern. Einmal,von welcher IP, welche IP aufgerufen wurde. Also die wirkliche Verbindung(en) und natürlich separat welcher Useraccount von wann bis wann mit welcher IP online war. Damit sollte bei einer Anfrage einer staatlichen Behörde eine ausreichende Antwort möglich sein.
Die datenschutzrechtlichen Probleme werden wir in unserem Projekt wohl auch nicht lösen. Da es sich wie bereits beschrieben, um eine "Erweiterung" des bestehenden Netzwerks um WLAN-Access-Points handelt, sollten hierzu bereits Lösungen vorhanden sein. Also betrachten wir diesen Punkt nicht weiter. (Sprechen wir aber an, um zu mindest darauf hinzuweisen).
Die Verbindungsdaten werden wir wohl in 2 separaten Datenbanken speichern. Einmal,von welcher IP, welche IP aufgerufen wurde. Also die wirkliche Verbindung(en) und natürlich separat welcher Useraccount von wann bis wann mit welcher IP online war. Damit sollte bei einer Anfrage einer staatlichen Behörde eine ausreichende Antwort möglich sein.
Whow - das is mal ne gute Aussage...
Leider ist es ja vermutlich so das du durchs WLAN deutlich mehr Leute ins Netz holst als über Kabel (wieviele Schüler schleppen nen Laptop, nen Kabel usw. schon mit sich rum?)
Ich würde in dem Fall allerdings noch etwas weiter gehen und das WLAN so aufbauen das nur bekannte MAC-Adressen ins WLAN dürfen. Die Schüler müssen sich vorher eben mit der Netzwerkkarte bei nem Lehrer o.ä. melden und der gibt die dann entsprechend frei. Zum einen hast du so noch nen kleinen Zusatz-Schutz - und zum anderen hast du dann noch die Option das keiner sagen kann das nur jemand sein PW geknackt hat (wenn jemand mit MEINEM Laptop und MEINEM Account irgendwelchen Unsinn macht kann man wohl sicher sein das ich das auch war...). Je nach Aufbau eures restlichen Konzeptes (z.B. Firewall usw.) kann man darüber auch einstellen das nen Lehrer ggf. auch auf seinen Privaten Mail-Acc zugreiffen darf - während die Schüler das nicht dürfen...
Leider ist es ja vermutlich so das du durchs WLAN deutlich mehr Leute ins Netz holst als über Kabel (wieviele Schüler schleppen nen Laptop, nen Kabel usw. schon mit sich rum?)
Ich würde in dem Fall allerdings noch etwas weiter gehen und das WLAN so aufbauen das nur bekannte MAC-Adressen ins WLAN dürfen. Die Schüler müssen sich vorher eben mit der Netzwerkkarte bei nem Lehrer o.ä. melden und der gibt die dann entsprechend frei. Zum einen hast du so noch nen kleinen Zusatz-Schutz - und zum anderen hast du dann noch die Option das keiner sagen kann das nur jemand sein PW geknackt hat (wenn jemand mit MEINEM Laptop und MEINEM Account irgendwelchen Unsinn macht kann man wohl sicher sein das ich das auch war...). Je nach Aufbau eures restlichen Konzeptes (z.B. Firewall usw.) kann man darüber auch einstellen das nen Lehrer ggf. auch auf seinen Privaten Mail-Acc zugreiffen darf - während die Schüler das nicht dürfen...
