Grundprinzipien des Datenschutzes¶
IANAL (I Am Not A Lawyer)
Die GLAREAN-Anleitungen sind keine rechtlich bindenden Dokumente, die Autoren sind keine Juristen. Wir bemühen uns um akkurate Darstellung und legen jeweils offen, auf welcher Grundlage die Aussagen getroffen werden. Doch können wir weder für Vollständigkeit noch Korrektheit bürgen.
Im Zweifelsfall können die GLAREAN-Anleitungen professionelle juristische Beratung nicht ersetzen. Bei Bedarf können wir Sie jedoch dabei beraten, und vielleicht ist Ihr Anliegen ja auch von allgemeinem Interesse und sollte grundsätzlich geklärt werden.
Aus Sicht des Betroffenen1 heißt Datenschutz in erster Linie:
Ich möchte sicher sein, dass meine persönlichen Daten nicht ohne mein Wissen und meine Zustimmung an Dritte weitergegeben werden. Außerdem möchte ich wissen, wozu derjenige, dem ich sie – freiwillig und bewusst – gegeben habe, sie tatsächlich benutzt.
Aus Sicht der Lehrenden2 sind beim Datenschutz zwei Aspekte zu beachten:
Wenn ich Daten von Studierenden erhebe, muss ich auf einen rechtskonformen Umgang damit achten.
Studierende sollen nicht in die Lage gebracht werden, ihren persönlichen Datenschutz vernachlässigen zu müssen. Dabei spielt es keine Rolle, ob die Studierenden sich dessen bewusst sind bzw. ein aktives Interesse an der Fragestellung haben.
Worum geht es?¶
Der Kerngedanke beim Thema Datenschutz ist es, dass jeder Mensch die Kontrolle darüber behalten sollte, was mit seinen personenbezogenen Daten, also Informationen, die ihm als Person zugeordnet werden können, passiert.
Die Problematik, die hinter dieser Prämisse steht, ist die mit zunehmender Technisierung einhergehende Möglichkeit, Datensätze aus unterschiedlichen Quellen zu verknüpfen und daraus Profile zu erstellen. Die Implikationen hieraus reichen von »personalisierter Werbung« bis hin zur Genehmigung (oder dem Versagen) von Krediten und Krankenversicherungen.
Was hat dies mit der Lehre an einer Musikhochschule zu tun, außer dass Studierende bei der Bewerbung Immatrikulation eine Reihe von Daten bei der Hochschulverwaltung hinterlegen müssen? Nun, eine ganze Menge. Einige Zitate aus den FAQ beim Bundesinnenministerium mögen dies verdeutlichen:
Die Betroffenen erhalten mehr Kontrolle und Transparenz bei der Datenverarbeitung, auch und gerade im digitalen Zeitalter. Durch die Datenschutz-Grundverordnung werden die Anforderungen an eine rechtswirksame Einwilligung der betroffenen Personen erhöht und deren Rechte, insbesondere auf Information und Auskunft, erweitert.
Wenn Sie beispielsweise die Telefonnummern und Email-Adressen von Studierenden »verarbeiten« (und das tun Sie bereits, wenn Sie sie mit Bleistift in ein Notizbuch schreiben), brauchen Sie die Einwilligung der »Betroffenen«, sowohl zur Speicherung an sich als auch zu jeglicher Form der Weiterverarbeitung oder Weitergabe. Sie sind diesen gegenüber auch zu detaillierter Auskunft über diese Verarbeitung verpflichtet.
Wenn Ihnen dies unproblematisch erscheint, dann bedenken Sie bitte die beiden Fragen: Was passiert eigentlich, wenn ich die Kontaktdaten meiner Studierenden in meinem Google-Account speichere? Was passiert, wenn ich WhatsApp nutze (hier ist bewusst noch gar nicht davon die Rede, WhatsApp zur Kommunikation mit Studierenden zu nutzen)?
- Wenn Sie einen Kontakt bei Google Contacts speichern, übermitteln Sie dem Anbieter sämtliche Daten, die diesem Kontakt zugeordnet sind. Damit ermöglichen sie dem Anbieter u.U., weitere Datenpunkte einem Profil zuzuordnen, die evtl. bis dahin noch nicht vorhanden waren. Unter Anderem gehören hierzu Verknüpfungen zu allen anderen Kontakten in Ihrem Adresssbuch. Haben Sie die Studierenden gefragt, ob sie damit einverstanden sind?
- Wenn Sie sich bei WhatsApp anmelden, erteilen Sie der App (bzw. deren Besitzer) die Erlaubnis, auf Ihre Kontakte zuzugreifen, um sie mit anderen Nutzern abzugleichen. Im Unterschied zur bloßen Speicherung in Ihrem Adressbuch kommt hier hinzu, dass die Datenweitergabe in gar keinem Zusammenhang mehr mit der ursprünglichen Speicherung steht. Haben Sie, bevor Sie die AGB von WhatsApp akzeptiert haben, alle in Ihren Kontakten gespeicherten Personen um Erlaubnis gebeten?
Anwendungsbereich¶
Das erscheint Ihnen vielleicht etwas weit hergeholt, und vielleicht empfinden Sie es auch als Zumutung, sich von einem ebenso hehren wie abstrakten Konzept so weitgehend in Ihrem Alltag einschränken zu lassen. Nun ja, es ist tatsächlich eine gravierende Einschränkung, und die Verpflichtungen aus dem Datenschutz greifen tatsächlich in fast jeden Aspekt des Alltags ein. Aber es sind gesetztliche Regelungen, die effektive Gültigkeit haben und die man nicht allein mit dem Verweis auf ihre Lästigkeit aus der Welt schaffen kann.
Die Datenschutz-Grundverordnung gilt grundsätzlich für jegliche Verarbeitung personenbezogener Daten.
...
Sowohl öffentliche [Stellen] als auch ... natürliche Personen ... haben die Anforderungen der Datenschutz-Grundverordnung zu beachten, wenn sie Informationen über eine identifizierte oder identifizierbare natürliche Person verarbeiten.
Ausnahmen gelten ...
... für natürliche Personen, die personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeiten.
Da Sie in Ihrer Eigenschaft als Lehrende offensichtlich nicht »privat oder familiär« arbeiten, stehen Sie in der Verantwortung, die Datenschutzbestimmungen einzuhalten, und zwar grundsätzlich und jederzeit.3
Konsequenzen¶
Die pragmatische Frage ist natürlich, wie puristisch die Regeln in der Praxis anzuwenden sind. Als Hochschule können wir hier nur raten, grundsätzlich korrekt gemäß der gesetzlichen Datenschutzbestimmungen zu handeln. Das ist zugegebenermaßen umständlich und kann in vielen Fällen auch tatsächlich einschränkend wirken. Auch ist die Wahrscheinlichkeit relativ gering, dass es tatsächlich einmal zu Problemen kommt. Andererseits sind die potenziellen Konsequenzen empfindlich.
Persönlicher Umgang¶
Wenn Sie sich datenschutzkonform verhalten wollen, müssen Sie Ihre Studierenden bezüglich jeglicher Verwendung ihrer Daten informieren und um Erlaubnis bitten. Dies gilt insbesondere, wenn Sie die Studierendendaten an Dritte weitergeben, was insbesondere Kontaktverwaltungen und Messenger betrifft, letztlich aber jede App, die Rechte an Ihren Kontakten beansprucht.
Besser wäre es, gleich ganz auf solche Dienste zu verzichten und alle Studierendendaten rein datenschutzkonform zu verarbeiten.
Verwendete Dienstleister¶
Ein weiterer heikler Punkt ist die Verwendung externer Dienstleister wie jegliche kommerzielle Cloud-Dienste (wie z.B. DropBox, Doodle, GoogleDoc, aber auch Medienportale wie YouTube oder Spotify.
Grundsätzlich sollten solche Dienste überhaupt nicht für Lehrzwecke eingesetzt werden. Inakzeptabel ist aber jede Konstellation, in der Studierende zur Erlangung von Studienleistungen genötigt sind, externen Anbietern ihre persönlichen Daten zu überlassen. Es ist also keine Option, Studierenden Unterrichtsmaterial über einen Dropbox-Link zugänglich zu machen.
Sofern der Zugriff auf externe Dienstleister optional ist (beispielsweise Videos auf Youtube, die lediglich der freiwilligen Vertiefung dienen), befinden Sie sich in einer Grauzone. Dennoch empfehlen wir Ihnen, auch hierauf zu verzichten.
Alternativen¶
Wie soll man sich denn nun verhalten, wenn letztlich Alles Gewohnte und Praktische als nicht akzeptabel angesehen wird? Das ist eine Frage, auf die wir keine abschließende und einheitliche Antwort haben.
Sowohl die Hochschule als auch höhere öffentliche Stellen bemühen sich darum, Alternative Werkzeuge und Dienste bereitzustellen – an der Hochschule selbst natürlich in erster Linie im Rahmen der GLAREAN-Plattform. Wo dies aber (noch) nicht möglich ist, versuchen wir auch im Rahmen der GLAREAN-Anleitungen, Alternativen zu recherchieren und vorzustellen. Diese werden innerhalb dieses Abschnitts der Anleitungen beschrieben und/oder an den Stellen, die sich mit den jeweiligen Einsatzgebieten befassen.
Wir können nicht leugnen, dass etliche dieser Alternativangebote nicht so ausgereift, praktisch oder auch einfach cool sind wie die kommerziellen Angebote. Dennoch möchten wir Sie dazu ermutigen, den Datenschutz zu respektieren und gerade auch durch die Nutzung alternativer Werkzeuge deren weitere Entwicklung zu unterstützen.
-
»Betroffene« sind im Kontext dieser Seiten i.d.R. die Studierenden, deren Daten zu schützen sind. ↩
-
Als Lehrende nehmen Sie in diesem Kontext zwei unterschiedlichen Rollen ein. Einerseits »verarbeiten« Sie selbst Daten von Studierenden, andererseits haben Sie Einfluss darauf, wie Studierende mit ihren Daten umgehen. ↩
-
Bedenken Sie bei dieser Gelegenheit bitte auch einmal, dass all dies auch zutrifft, wenn Sie außerhalb der Lehre Daten nicht zu rein privaten Zwecken verarbeiten, also beispielsweise die Adressen Ihrer Kollegen oder von Konzertveranstaltungen oder Kunden ↩