Bitte beachte, dass aufgrund des Cyber-Angriffs auf die UDE noch nicht alle externen Links wieder funktionieren.

Datenschutz

Aus LehramtsWiki
Wechseln zu: Navigation, Suche

Datenschutz begegnet dir in deinem Studium vielfach. Beim Datenschutz geht es nicht um den Schutz von Daten, sondern um die informationelle Selbstbestimmung. Meist wirst also du die Person sein, deren Daten geschützt werden sollten. Manchmal wirst du auch mit Daten anderer Personen arbeiten und dich hierbei an die EU-Datenschutzgrundverordnung (EU-DSGVO) halten müssen.

Allgemeines

Der Datenschutz hilft dabei das Grundrecht auf informationelle Selbstbestimmung wahrnehmen zu können, denn er regelt den Schutz personenbezogener Daten.

EU-DSGVO

Die EU-DSGVO regelt und vereinheitlicht, wie mit personenbezogenen Daten innerhalb der EU umgegangen werden darf. Sie definiert die Grundprinzipien des Datenschutzes.

Grundprinzipien des Datenschutzes

Verbot mit Erlaubnisvorbehalt

Das Verbot mit Erlaubnisvorbehalt ist ein Rechtsprinzip, nach dem eine bestimmte Sache grundsätzlich verboten ist, sofern nicht ausdrücklich eine Erlaubnis erteilt wird. Im Datenschutzrecht ist das Verbot mit Erlaubnisvorbehalt das grundlegende Prinzip bezüglich der Nutzung personenbezogener Daten. Eine Erlaubnis kann durch (informierte) Einwilligung erfolgen oder durch rechtliche Vorgaben wie Gesetze.

Personenbezogene Daten

Personenbezogene Daten sind alle Daten, die eine Person beschreiben und direkt (identifizierte Person) oder indirekt (identifizierbare Person) auf diese bezogen werden können. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Im Jahr 2017 hatte der Bundesgerichtshof entschieden, dass IP-Adressen personenbezogene Daten sind, da es (abstrakt) möglich sei, den Inhaber des Internetanschlusses zu ermitteln und somit den Rückschluss auf eine konkrete Person herzustellen. Beispiele für personenbezogene Daten:

  • Name, Geburtsdatum, Alter, Familienstand
  • Anschrift, Telefon-/Handynummer, E-Mail-Adresse
  • Personalausweisnummer, Sozialversicherungsnummer/ Steuer-ID
  • Matrikelnummer, Prüfungsergebnisse/ Noten
  • Bildungsstand, Kenntnisse und Fähigkeiten
  • Werturteile, Bewertungen und Meinungsäußerungen
  • Fotos, Video- und Tonbandaufnahmen, Röntgenbilder

Besonders schützenswerte personenbezogene Daten

  • die rassische und ethnische Herkunft
  • politische Meinungen
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

Anonym und Pseudonym

Pseudonymisierung ist nach dem Bundesdatenschutzgesetz „das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.“ Wichtigstes Merkmal bei der Pseudonymisierung ist, dass hier Daten so zusammengeführt werden können, dass man den Originalnamen wieder zuordnen kann. Richtig anonymisierte Daten unterliegen nicht mehr den Datenschutzgesetzen. Werden aber anonymisierte Datensätze aus verschiedenen Forschungsprojekten zusammengebracht, kann das Risiko der Deanonymisierung der Daten bestehen. Viele Informationen die anonym scheinen, lassen sich häufig unter Zuhilfenahme öffentlicher Datensammlungen wieder einer Person zuordnen. Dann sind die Daten wieder personenbezogen.

Eine amerikanische Studie zeigt, dass 99,98 % der Amerikaner unter Verwendung von 15 demografischen Attributen in jedem Datensatz korrekt wiedererkannt werden würden.

– Rocher, L., Hendrickx, J.M. & de Montjoye, YA. Estimating the success of re-identifications in incomplete datasets using generative models. Nat Commun 10, 3069 (2019). https://doi.org/10.1038/s41467-019-10933-3

Datenschutz in der Forschung

Studienprojekte im Praxissemester

In den Studienprojekten im Praxissemester kann es vorkommen, dass du personenbezogene Daten erhebst oder verarbeitest. Am Besten planst du deine Studienprojekte so, dass du keine personenbezogenen Daten erhebst. Ansonsten ist es immer eine gute Idee die Studienprojekte mit anonymisierten Daten durchzuführen, dennoch ist bei einer etwaigen Anonymisierung ist Vorsicht geboten, denn es besteht diese Gefahr, dass Daten deanonymisierbar sind, weil es sich um gleiche Teilnehmer handeln kann. Beachte, dass durch Zusatzwissen die Antworten einzelner Teilnehmender wieder einer Personen zuzuordnen sein könnten. Nach dem Schulgesetz musst du auch dann, wenn du planst anonymisierte Daten zu verwenden, die Einwilligung der Teilnehmenden einholen. Die Schulleitung muss eurem Studienprojekt in jedem Fall, vor dessen Durchführung zustimmen.

Informierte Einwilligung

In der Regel ist hierzu die informierte Einwilligung der Betroffenen, also der Erziehungsberechtigten bei Schüler*innen bis 16 Jahren und ab 18 Jahren der Schüler*innen erforderlich. Bei den 16 und 17 Jahre alten Schüler*innen kommt es darauf an, ob diese in der Lage sind, die Konsequenzen der Verarbeitung ihrer personenbezogenen Daten zu überblicken, das nennt sich Einsichtsfähigkeit, und sich daher verbindlich zu äußern. Bestehen Zweifel an der Einsichtsfähigkeit, muss die Einwilligung der Erziehungsberechtigten eingeholt werden.

Datenerhebung

Es dürfen nur die Daten erhoben werden, die für die Forschung erforderlich sind (Datensparsamkeit) und die Daten dürfen nur zum ursprünglich erhobenen Zweck verwendet werden (Zweckbindung). Die im Rahmen eines Studienprojekts erhobenen personenbezogenen Daten dürfen nur zum Zweck der Durchführung des konkreten Studienprojekts verarbeitet werden. Sie dürfen nicht an Dritte weitergegeben werden, also auch nicht an andere Wissenschaftler*innen und nicht im Rahmen weiterer Forschungsprojekte oder Publikationen der Lehrenden genutzt werden. Wollt ihr die im Rahmen eines Studienprojekts erhobenen Daten für eure Masterarbeit nutzen, muss dies mit der Schulleitung abgesprochen und in der Teilnehmerinformation und Einwilligungserklärung entsprechend kenntlich gemacht werden. Liegt keine solche Einwilligung zur weiteren Nutzung der personenbezogenen Daten vor, sind diese nach Beendigung des Studienprojektes zu löschen.

Technische und organisatorische Maßnahmen

Es müssen dem Stand der Technik entsprechende, geeignete technische und organisatorische Maßnahmen zur Datensicherheit, das ist der Schutz vor dem Zugriff unberechtigter Personen, getroffen werden, um die personenbezogenen Forschungsdaten zu schützen.

Behördlicher Datenschutzbeauftragter

Durch die DSGVO ist die UDE dazu verpflichtet einen behördlichen Datenschutzbeauftragten zu benennen. Dieser muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängender Fragen eingebunden werden. Er kann von dir zu allen Fragen, die sich auf deine personenbezogenen Daten oder die DSGVO beziehen kontaktiert werden. Er erfüllt zumindest diese Aufgaben:

  • Unterrichtung und Beratung
  • Überwachung der Einhaltung von Datenschutzvorschriften
  • Beratung zur Datenschutzfolgenabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für Bedienstete

Der behördliche Datenschutzbeauftragte ist in der Regel nicht für dein Studienprojekt im Praxissemester zuständig, da du dort meist der alleinige Verantwortliche bist. Der behördliche Datenschutzbeauftragte der UDE ist Dr. Kai-Uwe Loser.

ZENDAS

Die UDE kooperiert mit der Datenschutzstelle der baden-würtembergischen Universitäten. Dort kannst du nach einem Login viele Informationen nachlesen und auch einen Online-Kurs zum Umgang mit Forschungsdaten machen. Dieser Artikel ist gültig bis 2022-05-11