Anonyme Daten sind grundsätzlich nicht mit einer natürlichen Person in Verbindung zu bringen. In anderen Worten sollten die Daten es nicht ermöglichen, Rückschlüsse darauf zu ziehen, um wen es sich handelt. Dagegen sind personenbezogene oder personenbeziehbare Daten all jene Angaben und Merkmale, die es alleine oder bei Kreuzung mit anderen Angaben ermöglichen, eine Person zu identifizieren.
Unter personenbezogene oder personenbeziehbare Daten fallen demnach folgende Angaben:
In jedem Mitgliedstaat ist mindestens eine unabhängige Behörde für die einheitliche Anwendung, Überwachung und Durchsetzung der DSGVO vorgesehen (Artikel 51 der Verordnung (EU) 2016/679).
In Luxemburg hat die “Commission nationale pour la protection des données” dieses Amt inne. Der Datenschutzbeauftragte (auf Englisch „Data Protection Officer“ oder „DPO“) nimmt einen wichtegen Platz in dem neuen, durch die Datenschutz-Grundverordnung (DSGVO) geschaffenen, Rechtsrahmen ein. In manchen Fällen ist ein DPO vorgeschrieben, allerdings kann auch auf freiwilliger Basis ein DPO ernannt werden. [1]
Die Mission des Datenschutzbeauftragten ist es, die Verantwortlichen (oder die Auftragsverarbeiter) in Sache des Datenschutzes zu beraten und zu unterrichten (Artikel 38). Auf Seite der Verantwortlichen (oder Auftragsverarbeiter) muss jedoch sichergestellt sein, dass der Datenschutzbeauftragte rechtzeitig über alle Informationen verfügt, um seine Mission sachgerecht erfüllen zu können (Artikel 37).
Die DSGVO basiert auf sieben Grundprinzipien, welche bei der Verarbeitung von personenbezogenen und personenbeziehbaren Daten unbedingt eingehalten werden müssen:
Sobald eine Organisation jedweder Art personenbezogene oder –beziehbare Daten erhebt, ist sie verpflichtet, sich an die DSGVO zu halten. Hiervon sind Schulen nicht ausgenommen. Ein klassisches Beispiel sind Umfragen, Online-Fragebögen oder Interviews im Rahmen einer schulinternen Evaluation oder Projektevaluation.
Verarbeiten Sie personenbezogene oder -beziehbare Daten und halten sich nicht an die DSGVO, so laufen Sie Gefahr, von der CNPD sanktioniert zu werden. Falls Sie die Rechte einer Person verletzt haben, könnten Sie auch von dieser direkt verklagt werden. Da heutzutage immer mehr Menschen um den Schutz ihrer Privatsphäre besorgt sind, könnten Sie bei nicht ausreichender Erläuterung ihrer Datenverarbeitungsmaßnahmen oder bei offensichtlicher Nichtachtung der DSGVO auch das Vertrauen von Personen verlieren.
Die Erhebung und Verwaltung von Schülerdaten (in den Datenbanken Scolaria und Fichier Elèves) ist in Luxemburg durch das Gesetz von 2017 geregelt (Loi du 18 mars 2013 relative aux traitements de données à caractère personnel concernant les élèves).
Was es zu beachten gilt: Auszüge aus diesen Datenbanken dürfen ausschließlich in anonymisierter Form an Dritte weitergegeben werden. Sollten Sie nicht-anonyme Auszüge lokal speichern wollen (oder zur Ausübung ihrer Tätigkeit müssen), treffen Sie unbedingt Sicherheitsmaßnahmen (z.B. passwortgeschützte Datei) oder löschen Sie diese nach Verwendung wieder.
Was es zu beachten gilt: Insgesamt wird empfohlen, dass die Verantwortlichen einer Befragung diese anonym halten. Damit ist es allerdings noch nicht getan, denn auch bei einer anonymen Befragung sollten datenschutzethische Überlegungen in die Gestaltung und Auswertung der Umfrage mit einfließen. Die 7 Grundprinzipien der DSGVO sowie allgemeine Standards der Evaluation sollten ebenso in anonymen wie in nicht-anonymen Befragungen in Erwägung gezogen werden.
Lewinski, K. von (2012): Zur Geschichte von Privatsphäre und Datenschutz – eine rechtshistorische Perspektive. In: Schmidt, J.H.; Weichert, T (Hg.): Datenschutz. Grundlagen, Entwicklungen und Kontroversen. S. 23-33.
Santer, P; Hoss, T. (2004): La loi du 2 août sur la protection des personnes à l’égard du traitement des données à caractère personnel: Une nouvelle donnée pour la place financière. In: Droit bancaire et financier au Luxembourg, Larcier, 2004, vol. 1, S. 369-413. https://www.elvingerhoss.lu/sites/default/files/documents/legal_topics/corporate/Loi2-8-2002protectiondespersonnes.pdf
Sievers, K. D. (2001): Volkskundliche Fragestellungen im 19. Jahrhundert. In: Brednich, R. W. (Hg.): Grundriß der Volkskunde. Einführung in die Forschungsfelder der Europäischen Ethnologie. 3. Überarbeitete und erweiterte Auflage. Berlin: Reimer.
Webseite der Europäischen Union: Die Entwicklungsgeschichte der Datenschutz-Grundverordnung – https://edps.europa.eu/data-protection/data-protection/legislation/history-general-data-protection-regulation_de