Freitag, 30. Dezember 2016

Was versteht man unter Datenverarbeitung?

Nach § 2 Abs. 2 Landesdatenschutzgesetz (LDSG) ist Datenverarbeitung die Verwendung personenbezogener Daten. Das LDSG beschreibt die einzelnen Verarbeitungsschritte wie im Nachfolgenden beschrieben.

Ab 25.05.2018 sind die Begrifflichkeiten der EU-Datenschutz-Grundverordnung (EU-DSGVO) ebenfalls mit zu beachten. Ab diesem Zeitpunkt entfalten die Regelungen der EU-DSGVO Direktwirkung in allen EU-Staaten. Dies wird auch Auswirkungen für die personenbezogene Datenverarebitung in den Schulen haben, obwohl die Datenverarbeitung soweit bereichsspezifisch im Schulgesetz (SchulG) und in der Schul-Datenschutzverordnung (SchulDSVO) geregelt ist.

Erheben

Hiermit wird das (aktive) Beschaffen von Daten umschrieben. Personenbezogene Daten können auf vielfältige Weise erhoben werden.

Beispiel:

  • durch direkte Befragung des Betroffenen (damit erhält er gleichzeitig Kenntnis über die Datenverarbeitung),
  • Ausgabe eines Vordruckes an den Betroffenen, den er selbst ausfüllt,
  • Datenerhebung bei anderen Stellen (Behörden, Firmen, Privatpersonen usw.).

Speichern

Damit ist das Aufbewahren von Daten auf Datenträgern gemeint. Datenträger ist ein umfassender Begriff, der – wie auch der Begriff „Speichern” – in erster Linie immer mit der elektronischen Datenverarbeitung (EDV) in Zusammenhang gebracht wird. Er beschränkt sich aber nicht darauf!

Unter Datenträgern versteht man beispielsweise:

  • Papier
  • Festplatten
  • Disketten
  • CD-ROM, DVD
  • Streamer-Tapes (also Aufzeichnungsbänder von Bandlaufwerken)
  • USB-Sticks

An dieser Aufstellung können Sie sehen, dass in der Tat elektronische Datenträger überwiegen. Die immer weitere Verbreitung der EDV bestimmt mittlerweile weite Teile der staatlichen und der gesellschaftlichen Datenverarbeitung und Kommunikation.

Übermitteln

Darunter versteht man das Weitergeben von Daten an Dritte (natürliche oder juristische Personen, öffentliche oder nichtöffentliche Stellen).

Die Übermittlung von Daten kann dabei in jeder Kommunikationsform geschehen. Es ist unerheblich, ob die Informationen im Gespräch (also von Angesicht zu Angesicht oder per Telefon), per Brief, per Fax, mittels Email oder elektronischen Abruf weitergegeben werden.

Sperren

Hierunter versteht man, dass gespeicherte Daten grundsätzlich nicht mehr weiterverarbeitet (also beispielsweise genutzt oder übermittelt) werden dürfen. Dies trifft zu, wenn Daten für den ursprünglichen Zweck nicht mehr benötigt werden, aber wegen vorgeschriebener Aufbewahrungsfristen noch nicht gelöscht werden dürfen.

Löschen

Das Landesdatenschutzgesetz spricht hier vom Unkenntlichmachen gespeicherter Daten. Gemeint ist damit das unwiederbringliche Vernichten von Informationen. Auch in diesem Falle wird der Begriff automatisch mit EDV in Verbindung gebracht. Mit der Löschung von Daten ist aber nicht nur das Vernichten elektronisch gespeicherter Daten gemeint, sondern auch das papierener Unterlagen.

Die Vernichtung von Unterlagen in Papierform muss so erfolgen, dass Unbefugte keinen Zugang zu den nicht mehr benötigten Unterlagen erhalten. Ausgesonderte Papiere (z. B. Klassenarbeitshefte, Konferenzunterlagen, alte Zeugnisse, Karteikarten, Zeugnis- und Klassenlisten usw.) dürfen nicht einfach in den Papiermüll geworfen werden. Es ist in der Vergangenheit vorgekommen, dass solche Unterlagen in Abfallbehältern gefunden wurden. Dies ist keine datenschutzgerechte Entsorgung. Papierene Unterlagen sind entweder durch eigenes Personal der Schule oder des Schulträgers zu schreddern oder Sie beauftragen ein darauf spezialisiertes und nach Möglichkeit vom ULD zertifiziertes (Datenschutz-Gütesiegel) Unternehmen.

Die Firmen, die ein Gütesiegel für den datenschutzkonformen Umgang mit personenbezogenen Daten erhalten haben, finden Sie unter
https://www.datenschutzzentrum.de/guetesiegel/register.htm

Die Löschung elektronisch gespeicherter Daten ist unter datenschutzrechtlichen Gesichtspunkten nicht ganz einfach. Werden Daten durch einen Programmbefehl gelöscht, so sind sie zunächst nicht physikalisch gelöscht, d. h. sie sind weiterhin auf der Festplatte (oder einem anderen Datenträger) gespeichert, werden durch das Betriebssystem nur nicht mehr angezeigt. Erst wenn der Punkt auf dem Datenträger, an dem sich diese nicht mehr angezeigten Informationen physikalisch befinden, überschrieben wird, sind die Daten tatsächlich im Sinne der gesetzlichen Vorschriften vernichtet.

Die in Ihrer Schule eingesetzten Verwaltungsprogramme bieten die Möglichkeit, Daten zu löschen. Dabei erfolgt jedoch zumeist keine physikalische Löschung. Die Daten sind also, sofern sie noch nicht überschrieben wurden, wiederherzustellen. Eigentlich müsste also eine physikalische Löschung erfolgen, würde man den Löschungsbegriff des Landesdatenschutzgesetzes konsequent umsetzen. Da dies jedoch einen größeren technischen Aufwand nach sich zieht, weil die meisten Anwendungsprogramme (auch die Schulverwaltungsprogramme) eine solche Löschroutine nicht enthalten, wird es toleriert, wenn zunächst nur die technisch angebotene Löschung erfolgt.

Anonymisieren

Unter Anonymisierung versteht man die Veränderung personenbezogener Daten derart, dass die Einzelangaben über persönliche und sachliche Verhältnisse nicht mehr oder nur mit unverhältnismäßigem Aufwand einer Person zugeordnet werden können.

Was heißt das konkret?

Stellen Sie sich eine größere Gruppe von Personen vor, die alle eine Anzahl gleicher Merkmale haben, beispielsweise:

Name

Beruf

Geschlecht

Geb.-Datum

Fächer

Schulart

Peter Müller

Lehrer

m

12.12.1950

Mathe und Sport

Regionalschule

Maike Peter

Lehrerin

w

07.08.1965

Englisch und Erdkunde

Gemeinschaftsschule

Markus Muster

Lehrer

m

04.06.1971

Biologie

Gymnasium

Frauke Siebke

Lehrerin

w

02.02.1969

Deutsch und Kunst

Grundschule

Nehmen wir an, diese Aufstellung wäre noch viel umfangreicher. Solange Namen und Geburtsdatum enthalten sind, handelt es sich in jedem Falle um personenbezogene Daten.

Verändern Sie diese Aufstellung jedoch in dieser Weise

Name

Beruf

Geschlecht

Geb.-Datum

Fächer

Schulart

 

Lehrer

m

 

Mathe und Sport

Regionalschule

 

Lehrerin

w

 

Englisch und Erdkunde

Gemeinschaftsschule

 

Lehrer

m

 

Biologie

Gymnasium

 

Lehrerin

W

 

Deutsch und Kunst

Grundschule

ist eine Personenbeziehbarkeit nicht mehr ohne Weiteres möglich. In diesem Fall wären schon Zusatzkenntnisse erforderlich, um eine Person anhand der Fächerkombination, des Geschlechts und der Schulart zuzuordnen.

Anonymisierte Daten dürfen uneingeschränkt für andere Zwecke übermittelt, gespeichert und anderweitig genutzt werden.

Pseudonymisierung

Die Pseudonymisierung personenbezogener Daten verfolgt das gleiche Ziel wie die Anonymisierung mit dem Unterschied, dass eine Wiederherstellung des Personenbezugs möglich ist.

Auch hierfür ein Beispiel:

In einer „Referenzliste” werden die personenbezogenen Daten zusammen mit einem Pseudonym für die jeweilige Person gespeichert.

Name

Pseudonym

Beruf

Geschlecht

Geb.-Datum

Fächer

Schulart

Peter Müller

4711

Lehrer

m

12.12.1950

Mathe und Sport

Regionalschule

Maike Peter

5566

Lehrerin

w

07.08.1965

Englisch und Erdkunde

Gemeinschaftsschule

Markus Muster

Xyz2312

Lehrer

m

04.06.1971

Biologie

Gymnasium

Frauke Siebke

JKLTZTZ

Lehrerin

w

02.02.1969

Deutsch und Kunst

Grundschule

Ein Rückgriff auf die Referenzliste darf nur unter bestimmten Bedingungen erfolgen, die von der Daten verarbeitenden Stelle oder vom Gesetzgeber festgelegt werden müssen. Die Stellen, denen die pseudonymisierten Daten zur Verfügung gestellt werden, dürfen keinen Zugriff auf diese Referenzliste haben.

Nach der Pseudonymisierung könnte die Tabelle so aussehen:

Pseudonym

Beruf

Geschlecht

Fächer

Schulart

4711

Lehrer

m

Mathe und Sport

Regionalschule

5566

Lehrerin

w

Englisch und Erdkunde

Gemeinschaftsschule

Xyz2312

Lehrer

m

Biologie

Gymnasium

JKLTZTZ

Lehrerin

2

Deutsch und Kunst

Grundschule

 

In der Praxis macht eine Pseudonymisierung immer dann Sinn, wenn man über einen längeren Zeitraum bestimmte Sachverhalte im Leben eines Menschen untersuchen und verfolgen will oder wenn eine Nutzung von Daten ohne Personenbezug ausreicht, in Zweifelsfällen aber doch eine Reidentifizierung nötig werden kann. Beispielsweise werden die im Rahmen der Einschulungsuntersuchungen von den Schulärzten gewonnenen Daten in pseudonymisierter Form an ein wissenschaftliches Institut übermittelt, das diese Daten für eine Übersicht über die landesweite Schülergesundheit auswertet. Dieses Institut benötigt hierfür keine personenbezogenen Daten. Mit Hilfe des Pseudonyms können die Daten aus der Untersuchung zum Zeitpunkt der Einschulung eines Kindes mit den Daten der Untersuchung in der vierten Klasse verglichen werden, ohne dass ein Personenbezug erforderlich ist. Die Referenzliste liegt in diesem Falle beim zuständigen Gesundheitsamt.

Die Pseudonymisierung personenbezogener Daten verfolgt das gleiche Ziel wie die Anonymisierung mit dem Unterschied, dass eine Wiederherstellung des Personenbezugs möglich ist.

Verschlüsselung

Bei der Verschlüsselung von Daten muss zwischen zwei Arten unterschieden werden:

  1. Kommunikationsverschlüsselung

    Insbesondere der zunehmende Austausch personenbezogener Daten mittels E-Mail macht eine Verschlüsselung erforderlich. Sensible Informationen, wie z. B. Personalaktendaten, Gesundheitsdaten, Sozialdaten usw. gelangen, wenn sie traditionell per Brief verschickt werden, nach genau festgelegten Regeln vom Absender zum Empfänger. So werden Personalakten nur im verschlossenen und entsprechend gekennzeichneten Umschlag verschickt und allen Beteiligten ist klar, dass dieser Umschlag nur vom Adressaten geöffnet werden darf. Damit sind die Informationen relativ gut vor dem Zugang Unbefugter (dies sind auch die Mitarbeiterinnen und Mitarbeiter der Poststelle z. B. des Bildungsministeriums) geschützt. Auch der Versandweg selbst (z. B. die Deutsche Post) kann als sicher angesehen werden. Das Grundgesetz (Art. 10 GG) und das Strafgesetzbuch (§§ 202 und 206 StGB) schützen das Brief-, Post- und Fernmeldegeheimnis.

    Die Kommunikation mittels Brief und Telefon ist nicht nur rechtlich gut abgesichert, auch hat sich darauf aufbauend über die Jahrzehnte eine funktionierende Infrastruktur entwickelt. Anders ist dies bei der elektronischen Kommunikation mittels E-Mail. Zwar ist diese Kommunikation auch durch das Fernmeldegeheimnis geschützt. Da aber der Weg einer E-Mail über viele Zwischenstationen verläuft, die rund um den Erdball verstreut sein können und auf diesen Zwischenstationen die E-Mail mitgelesen (und verändert) werden kann, gilt dieser Übertragungsweg als unsicher. Eine E_Mail ist mit einer Postkarte vergleichbar; jeder könnte sie lesen, auch ein irrtümlicher Adressat. Um den Inhalt solcher E-Mails zu schützen, kann man sich der Verschlüsselung bedienen. Wirksame Verschlüsselungsprogramme stehen jedem Privatanwender kostenlos und jedem kommerziellem Nutzer (Firmen und Behörden) gegen Lizenzgebühr beispielsweise mit den Programmen PGP (Pretty Good Privacy),  GNUPG (GNU Privacy Guard – GNU steht für die Entwicklerfirma –) oder Enigmail zur Verfügung.
     
  2. Dateien- und. Datenträgerverschlüsselung

    Um sicherzustellen, dass elektronisch gespeicherte Daten nicht von Unbefugten zur Kenntnis genommen oder verändert werden können, empfiehlt es sich, diese Daten zu verschlüsseln. Hierfür gibt es die verschiedensten Programme