Aspekte des Datenschutzes im Handlungsfeld der Schulentwicklung

Was muss man unter anonymen und personenbezogenen Daten verstehen?

Anonyme Daten sind grundsätzlich nicht mit einer natürlichen Person in Verbindung zu bringen. In anderen Worten sollten die Daten es nicht ermöglichen, Rückschlüsse darauf zu ziehen, um wen es sich handelt. Dagegen sind personenbezogene oder personenbeziehbare Daten all jene Angaben und Merkmale, die es alleine oder bei Kreuzung mit anderen Angaben ermöglichen, eine Person zu identifizieren.

Unter personenbezogene oder personenbeziehbare Daten fallen demnach folgende Angaben:

• Name(n) einer Person;
• E-Mail-Adresse einer Person;
• eine Kennnummer: Telefonnummer, Personal- oder Matrikelnummer, Kfz-Kennzeichen, Registernummer o.ä.
• Standortdaten: Wohnadresse, IP-Adresse;
• Bild- oder Tonaufnahmen einer Person (Fotografien, Stimmaufnahmen);
• Alle sogenannten biometrischen Daten (Fingerabdruck, Irisfotografie, Zahnabdruck usw.);
• Merkmale, durch welche eine Person bestimmt werden kann, wie etwa die Kombination aus Geschlecht, Körpergröße, Haar- und Augenfarbe, oder – angewendet auf den Bereich von Schulen – die Kombination aus Geschlecht, Schule, unterrichtete/s Fach/Fächer und Jahresanzahl der Berufserfahrung einer Lehrperson.

Die Datenschutzkommission (CNPD) und die Datenschutzbeauftragten (DPO)

In jedem Mitgliedstaat ist mindestens eine unabhängige Behörde für die einheitliche Anwendung, Überwachung und Durchsetzung der DSGVO vorgesehen (Artikel 51 der Verordnung (EU) 2016/679).

In Luxemburg hat die “Commission nationale pour la protection des données” dieses Amt inne. Der Datenschutzbeauftragte (auf Englisch „Data Protection Officer“ oder „DPO“) nimmt einen wichtegen Platz in dem neuen, durch die Datenschutz-Grundverordnung (DSGVO) geschaffenen, Rechtsrahmen ein. In manchen Fällen ist ein DPO vorgeschrieben, allerdings kann auch auf freiwilliger Basis ein DPO ernannt werden. [1]

Die Mission des Datenschutzbeauftragten ist es, die Verantwortlichen (oder die Auftragsverarbeiter) in Sache des Datenschutzes zu beraten und zu unterrichten (Artikel 38). Auf Seite der Verantwortlichen (oder Auftragsverarbeiter) muss jedoch sichergestellt sein, dass der Datenschutzbeauftragte rechtzeitig über alle Informationen verfügt, um seine Mission sachgerecht erfüllen zu können (Artikel 37).

Grundprinzipien der Datenschutz-Grundverordnung (DSGVO – GDPR – RGPD)

Die DSGVO basiert auf sieben Grundprinzipien, welche bei der Verarbeitung von personenbezogenen und personenbeziehbaren Daten unbedingt eingehalten werden müssen:

• Speicherbegrenzung: Daten dürfen nur solange gespeichert werden, wie sie für die Verarbeitung erforderlich sind. Im Anschluss daran müssen sie gelöscht werden.
• Datenminimierung: es dürfen nur so viele Daten verarbeitet werden, wie erforderlich sind.
• Zweckbindung: Daten dürfen nur für die vereinbarten Zwecke verarbeitet, verwendet und gespeichert werden.
• Richtigkeit: Daten müssen in bestem Wissen und Gewissen richtig und aktuell gehalten werden.
  
• Integrität und Vertraulichkeit: die Sicherheit und der Schutz von verarbeiteten Daten muss maximal gewährleistet werden.
  
• Rechenschaft: der Verantwortliche muss die Erfüllung des Datenschutzes nachweisen können.
• Rechtmäßigkeit und Transparenzgebot: die Daten dürfen nur auf rechtmäßige, nachvollziehbare und transparente Weise verarbeitet werden (“Verarbeitung nach Treu und Glauben”).

Wieso ist dies für unsere Institution (Schule) oder für mich als Lehrperson oder Schulentwickler relevant?

Sobald eine Organisation jedweder Art personenbezogene oder –beziehbare Daten erhebt, ist sie verpflichtet, sich an die DSGVO zu halten. Hiervon sind Schulen nicht ausgenommen. Ein klassisches Beispiel sind Umfragen, Online-Fragebögen oder Interviews im Rahmen einer schulinternen Evaluation oder Projektevaluation.

Was passiert, wenn wir die Bestimmungen der DSGVO nicht richtig umsetzen?

Verarbeiten Sie personenbezogene oder -beziehbare Daten und halten sich nicht an die DSGVO, so laufen Sie Gefahr, von der CNPD sanktioniert zu werden. Falls Sie die Rechte einer Person verletzt haben, könnten Sie auch von dieser direkt verklagt werden. Da heutzutage immer mehr Menschen um den Schutz ihrer Privatsphäre besorgt sind, könnten Sie bei nicht ausreichender Erläuterung ihrer Datenverarbeitungsmaßnahmen oder bei offensichtlicher Nichtachtung der DSGVO auch das Vertrauen von Personen verlieren.

Datenschutz der administrativen Daten (Schüler- und Personalstatistiken)

Die Erhebung und Verwaltung von Schülerdaten (in den Datenbanken Scolaria und Fichier Elèves) ist in Luxemburg durch das Gesetz von 2017 geregelt (Loi du 18 mars 2013 relative aux traitements de données à caractère personnel concernant les élèves).

Was es zu beachten gilt: Auszüge aus diesen Datenbanken dürfen ausschließlich in anonymisierter Form an Dritte weitergegeben werden. Sollten Sie nicht-anonyme Auszüge lokal speichern wollen (oder zur Ausübung ihrer Tätigkeit müssen), treffen Sie unbedingt Sicherheitsmaßnahmen (z.B. passwortgeschützte Datei) oder löschen Sie diese nach Verwendung wieder.

Datenschutz von selbsterhobenen Daten (Umfragen, Evaluationen, Interviews)

Was es zu beachten gilt: Insgesamt wird empfohlen, dass die Verantwortlichen einer Befragung diese anonym halten. Damit ist es allerdings noch nicht getan, denn auch bei einer anonymen Befragung sollten datenschutzethische Überlegungen in die Gestaltung und Auswertung der Umfrage mit einfließen. Die 7 Grundprinzipien der DSGVO sowie allgemeine Standards der Evaluation sollten ebenso in anonymen wie in nicht-anonymen Befragungen in Erwägung gezogen werden.

[1] Hierzu und zu weiteren Fragen zum DPO können Sie sich auf der CNPD-Webseite https://cnpd.public.lu/de/professionnels/dpo.html informieren.